STIR/SHAKEN 呼叫的身份认证带外传输

CHAKEN方案使用带外传输方式传送可信呼叫信息；STIR/SHAKEN基本协议基于核心网部署，存在因中间网段不支持SIP协议或数据报文丢失等原因无法成功传输呼叫身份的情况，其同样采用带外传输作为解决以上问题的补充方案。

撰文：TransNexus

翻译：李桑桑，宗瑞

STIR/SHAKEN 通过对呼叫者 ID 进行身份认证和验证，从而缓解号码欺诈、机器人电话以及垃圾骚扰电话的问题，但这种方法是否有效需要取决于呼叫者的身份认证信息是否能够在电话网络上顺利传输。

现今的电话网络仍有一些问题尚未解决，这些问题可能会阻碍身份认证信息在电话网络中的顺利传输，从而影响到 STIR/SHAKEN 的有效性。本白皮书描述了这些问题以及克服这些问题的解决方案：STIR/SHAKEN 呼叫的身份认证带外传输。

STIR/SHAKEN 方案

STIR/SHAKEN 要求主叫服务提供商在网络上为每次电话呼叫创建一个名为 PASSporT 的身份令牌。身份令牌不仅包含呼叫信息，还包含了可信级别和用于回溯的唯一原始 ID。主叫服务商基于 PKI 技术对这些信息进行数字签名，以防止篡改和重放攻击。

身份令牌嵌入在用于在 SIP 网络中建立呼叫的 SIP INVITE 消息中。理想情况下，这个身份令牌会随着呼叫在网络中传输直到到达被叫服务提供商，然后服务提供商会使用它来对呼叫者 ID 信息进行验证并向被叫方呈现验证状态。

图 1 — STIR/SHAKEN 呼叫流程标题

这是一个非常巧妙的解决方案，但在现今的电话网络中使用仍会有一些困难和隐患。

电话网络中的呼叫路由问题

呼叫通常是在电话网络的多个网段之间进行路由传输的。

标题图 2 —电话网络中比较典型的网段组成

服务提供商之间会协商各自电话呼出信号在对方网络中传输所需支付价格。他们会使用成本最低的路由软件并基于通信质量和价格等因素选择路由。当呼叫从一个运营商传输到下一个运营商时，呼叫路径就会拉长。呼叫路径的拉长增加了身份令牌在传输过程中丢失的风险。身份令牌有可能在以下三种情况中丢失：

1. 目前电话网络中某些网段不支持 SIP。
   传统的电话网络技术仍在广泛使用。这些旧网络技术无法传输 SIP 消息。当包含身份认证的呼叫到达一个使用旧技术的网段时，STIR/SHAKEN 信息将会丢失。
2. 一些 SIP 网络软件会从 SIP 标头中删除身份令牌。
   所以运营商必须升级其 SIP 软件，确保他们的网络在传输呼叫时会保留身份令牌。
3. 一些 SIP 网络使用 UDP 传输，不支持数据流控制和重传机制。
   UDP 很容易出现数据包碎片化和数据包丢失。这在发送身份令牌时是一个比较严重的问题，因为身份令牌必须完好无损地传递下去，否则验证过程无法正常运行。基于 TCP 的 SIP 会提供数据流控制和重传，它可以比 UDP 更可靠地传递身份令牌。

以上的这些问题都会最终导致原始身份认证信息的丢失。

当位于呼叫传输路径下游的其他网段使用的是 SIP，并且具有能够进行 STIR/SHAKEN 验证的设备和软件时，运营商会对他们放回到 SIP 网络中的电话进行签名和认证。这样，即使原始身份令牌丢失，该通话仍会得到传输路径下游提供的另一个身份令牌。

但是中间运营商和被叫运营商不像主叫运营商那样了解主叫方，因此不能提供相同级别的可信证明或回溯，后续获得的身份令牌不如主叫运营商提供的原始令牌更具可信性。

为什么不把所有网络都转变成使用SIP呢？

以上问题的理想解决方案是整个电话网络使用 TCP 技术，并运行最新版本的 SIP 设备和软件，以取代电话网络中的所有传统技术。这将确保 STIR/SHAKEN 的身份令牌从网络的一端逐步传输到另一端。

几十年来，电话网络一直在向 SIP 发展。但是，这种改变所需要付出的成本高昂，并且需要一定的时间。对于一些服务提供商来说，由运营商去补偿接入费其实是一个比较大的难题，这使得他们无法从传统技术马上转变为使用 SIP。

在完成 SIP 网络的全面使用之前会存在一个过渡期，在这个过渡期中，缓解机器人电话现象需要广泛的 STIR/SHAKEN 部署。

对于消费者来说，他们希望现在就可以缓解垃圾电话和机器人电话的问题，而服务提供商需要切实可行的方案才能够提供服务。

解决方案：STIR/SHAKEN 呼叫的身份认证带外传输

有一种方法可以让当前网络中的所有呼叫启用 STIR/SHAKEN，即 STIR/SHAKEN 呼叫的身份认证带外传输。这个方案的过程与之前描述的 STIR/SHAKEN 过程非常相似，不同的是，身份令牌是在互联网中通过呼叫放置服务从呼叫路径带外传输，如图所示：

图 3 — STIR/SHAKEN 呼叫身份认证带外传输标题

这个方案的步骤与 STIR/SHAKEN 的常规步骤非常相似，只有几个步骤有所不同：

1. STI-AS 身份认证按照惯例由主叫服务提供商或网关服务提供商执行。
2. 主叫服务提供商使用被叫服务提供商的公钥身份令牌进行加密，并将加密的令牌单独通过互联网带外传输到被叫服务提供商的呼叫放置服务（“Call Placement Service”，简称“CPS”）。
3. 呼叫按照惯例通过电话网络传输。无论呼叫是通过 SIP 还是传统网络路由，又或是两者的组合，这都不会影响到 STIR/SHAKEN 认证。
4. 当被叫服务提供商接收到呼叫时，他们会检查 CPS 中是否有与被叫号码相关的令牌。
5. 在 CPS 中找到并解密了身份令牌后，被叫服务提供商将按常规步骤一样执行 STI-VS 验证。

STIR/SHAKEN 身份认证带外传输的好处

使用身份令牌的带外传输有几个比较明显的优点：

1. 使用什么样的网段来路由呼叫并不影响最终的 STIR/SHAKEN 认证。
2. 不需要担心呼叫传输路径上的任何网络设备或软件是否会从呼叫中剥离身份令牌。
3. 令牌不会因数据包丢失或碎片化而损坏。
4. 由于身份令牌使用非对称加密进行保护，因此不存在安全风险或隐私问题。除了被叫服务提供商，没有人可以读取令牌。
5. 除了对身份令牌进行加密和解密之外，无论身份令牌是带内还是带外传输，STI-AS 和 STI-VS 过程都是不变的。