您当前的位置是:  首页 > 资讯 > 文章精选 >
 首页 > 资讯 > 文章精选 >

解决骚扰电话问题,道路是曲折的,前途是光明的

--关于电话呼叫方身份验证规范和STIR/SHAKEN骚扰加密技术的再讨论

2022-08-01 09:58:40   作者:james.zhu   来源:Asterisk开源派   评论:0  点击:


  人类进步的动力来自于不断地对事物本质的质疑。一位未懂事的孩子可能会问自己的母亲这样的问题-“我从哪里来”。一般孩子的母亲会通过一个朴素的生理知识给孩子一个回答。如此复杂的生命问题,我们都可以通过简单的常识和知识来回答,但是,我们日常生活中遇到的骚扰电话问题好像一直未得到真正解决。本来骚扰电话的问题是一个技术问题,但是这个问题好像一直是一个“天问”,又变成了一个哲学问题。
  其实针对骚扰电话问题,不同很多国家花费了大量精力,不同国家采取不同方式来解决骚扰电话的问题。认知决定思维,思维决定手段和方法。有的国家靠政策来解决,经常出台各种政策来处理骚扰电话问题;有的国家试图通过法律和技术相结合的手段解决骚扰电话的问题。但是,从目前看,两种处理方式都是殊途同归,貌似实际效果都不理想,我们还要从长远看两种方式的最终结果。靠政策的方法处理骚扰电话,其灵活性很大,也带有一定的强制性,同时具有非常大的不确定性,笔者无从找出其规律,也没有借鉴意义。靠法律和技术手段通过一套规范来解决骚扰电话的问题的话,需要相关的技术手段和明确的规范来执行,我们可以通过这些技术规范来学习获得一定的经验和知识积累。下面,笔者针对美国FCC专门对骚扰电话的处理技术手段加以进一步的论述。在接下来的讨论中,笔者简单回顾关于骚扰电话的形成背景,针对骚扰电话出台的几个核心的规范,FCC强制要求运营商设备软件厂家执行的STIR/SHAKEN技术,关于STIR/SHAKEN的数据验证手段的局限性和未来可能需要的数据验证的几种方式。
  关于骚扰电话的前世今生
  骚扰电话对我们来说已经不是一个陌生的话题。在实际生活中,我们经常遭遇到各种莫名其妙的电话骚扰。我们知道,商业文明是推动人类社会进步的原动力之一。商业文明成就了契约,契约进一步规范了企业行为。商业也让某些人为了自己的利益,不顾及企业的行为。利益驱动和成熟的软件工具环境是骚扰电话出现的基本要素。一部分人为了所谓的“商业”或者非法利润,可以套取个人信息,非法使用这些信息,例如打骚扰电话进行营销,诈骗等行为。个人的商业目的导致了骚扰电话源源不断发生。另外,在传统的PSTN时代,运营商和各种服务提供商相对比较少,服务费用非常昂贵,呼叫追溯相对比较简单,骚扰电话业务还没有可发展的土壤和环境,随着开源VoIP或者SIP网络,以及云平台的兴起,骚扰电话的基础环境也逐渐形成,大量的公司可以利用开源的Asterisk或者FreeSWITCH平台开发各种呼叫软件,高盈利的欲望,宽松稳定成熟的网络服务资源和底层平台为其业务的发展提供了非常好的时机。
  关于电话认证中涉及的行业技术规范
  在绝大部分的网络骚扰电话中,SIP协议是核心的协议,通过修改或者转发不同的SIP呼叫号码或者URL等进行修改。为了解决SIP呼叫从何处来,到何处去的呼叫问题,针对SIP头和一些其他参数设置的规范约定。RFC4474规范是一个比较好的开始,对呼叫方进行了加密处理。但是,因为技术发展速度太快,呼叫路径节点复杂,和规范的局限性问题,此规范也是出师未捷身先死,厂家们对RFC4474支持没有真正部署使用。毕竟,当初的大环境和用户还没有意识到这些问题,法律部门也没有对其实施急迫性提出一个日程表,厂家的积极性也不会很高,所以RFC4474规范使用最终搁浅。骚扰电话问题依然存在,客户投诉越来越多,一些有识之士可能仍然不死心,又对RFC4474做了更新,发布了RFC4474bis 版本。基础不好,不断修补也是枉然。RFC4474bis非常短命,基本上没有经过正式的讨论就被废弃了。技术在不断发展,环境在不断演变,RFC4474的加密只能负责自己的呼叫实体,呼出以后,因为很多第三方平台支持了不同的安全策略,不同的呼叫控制机制,和对域名呼叫的管理,到其他第三方平台的身份认证仍然不能得到解决。终于,一些聪明的人找到了解决这些问题的办法,对呼叫认证支持PASSporT,在RFC4474bis的版本上,经过大概五年的不断讨论修正,2018年终于发布了最新的规范RFC8824的16版本. 使用了PASSporT基本上解决了呼叫方身份加密认证的问题。另外,一些其他的验证机制也帮助对呼叫进行验证,例如,增加了P-Asserted-Identity。听起来,好像这些技术手段可以帮助我们解决骚扰电话的技术问题。事实上,我们没有面对真正的业务困扰,困扰乎所有SIP网络的安全部署的四大天问出现了:
  没有办法确认Caller ID是否有效? 谁来决定呼叫号码是否有效? 用户自己随意标识,或者通过数据中心集中处理,数据中心的权威性如何管理等问题。
  谁插入的P-Asserted-Identity? 插入P-Asserted-Identity的实体是谁?此实体身份状态如何?
  插入的P-Asserted-Identity是否有效? 插入的组织是否有效?
  “好人”需要一个完整的解决方案来处理以上问题。正常呼叫用户和实体需要一个可回溯的完整的流程,身份验证和数据管理的跟踪解决方案。
  STIR/SHAKEN的推出和挑战
  为了解决这四个“天问” 问题,大家继续在技术迭代上面进行优化。不过,这次大家逐渐变得聪明了许多。大家经过不断实践发现,SIP网络越来越去中心化,环境越来越复杂,呼叫路由代理越来越多,如何协调和协同所有的呼叫路径上的厂家是一个非常大的挑战。最近几年,美国FCC终于出手,强制要求呼叫运营的服务提供商按照一个标准来执行,通过加密手段对呼叫路径,呼叫节点和呼叫号码修改做全程规范,最终数据会汇聚到一个第三方数据中心来处理。针对以上四个关键问题,STIR/SHAKEN的新技术出现了。
  关于PASSporT和STIR/SHAKEN完整技术概述和其他处理细节,读者可以参考笔者历史文档: 最新技术STIR/SHAKEN结合SBC拦截骚扰电话技术分析
  “天不生仲尼,万古如长夜”。大家以为孔子出现,大伙就有救了,孔子让大家真正看到了光明。实际上,孔子一直仅是伴随社会进步的一盏点亮的灯。如果你不愿意靠近他,与真理为伍,你无论过去几千年,你仍然生活在黑夜中。同样的道理,很多人乐观地认为美国FCC通过STIR/SHAKEN终于让我们看到解决骚扰电话的希望了。事实上,STIR/SHAKEN仍然需要面对很多的安全验证的挑战。因为呼叫路径和环境的复杂,决定了STIR/SHAKEN需要不断地更新才能完全打通呼叫流程中和呼叫路径相关的运营商的验证数据。这些身份验证数据需要分布式共享更新,实现实时正确的连通和共享。另外,呼叫服务中还要面对另外一个巨大的挑战,证书标识的等级问题。因为一些呼叫可能是运营商和运营商之间的呼叫,一些呼叫是企业PSTN的呼叫,一些呼叫可能是业务服务类型的呼叫,例如LCR呼叫。这些呼叫之间,运营商之间以及运营商的代理商之间如何取得证书的信任是一个巨大的挑战和当前面临的主要问题。如何管理呼叫身份验证目前可能提供的处理方式包括以下几种:
  1.代表委托证书:对原始呼叫发起方签发身份证书,代理商渠道服务商的呼叫前验证证书。
  2.企业用户证书:确保企业之间的呼叫身份验证
  3.TN数据库方式:电话号码数据库,不同运营商之间的电话身份验证
  4.TN注册服务-已注册呼叫方服务器证书方式:呼叫方需要提前注册到第三方的呼叫方注册服务器,查询标识状态和层级,然后允许发起呼叫。这要求运营商的呼叫号码必须都要注册到呼叫方注册状态服务器中。
  5.区块链比特币方式(Enterprise Identity on Distributed Ledger for Authenticated Caller):通过TN注册服务器方式处理号码身份验证的话,需要运营商所有的号码身份都集中注册,对TN服务器的信任和管理都是非常大的挑战。通过比特币方式根据分布式记账来实现呼叫身份的验证是目前更符合现代数据管理的方式。

Enterprise Identity on Distributed Ledger for Authenticated Caller
  5.特殊服务行业和政府部门的呼叫号码身份信任问题。很多政府组织和非常大的金融其他服务部门仍然需要进行大量的呼叫业务。这些呼叫号码呼出时需要做号码信任的标识。如果这些呼叫不进行呼叫号码身份标识的话,其他服务提供商是否需要标识,如何获知其号码身份状态,这仍然是一个对呼叫号码的管理的挑战。
  7.5G/6G的零信任方式处理呼叫身份验证问题。目前很多研究人员和5G,6G服务提供商都在讨论关于零信任的问题,安全特别是对物联网环境的边缘设备的安全始终是一个极大的调整。在这些技术的演进中笔者还没有看到关于呼叫号码的身份信任的处理。笔者希望读者后续做进一步研究学习,这里仅抛砖引玉。
  以上介绍的这些技术都是美国FCC和加拿大运营商部署的方案。目前,国内的一些厂家也利用此技术开发呼叫信任的产品-创建了国内的标准规范-可信通信国标 CHAKEN
  可信通信国标 CHAKEN|Client based Handling of Asserted information using crypto toKENs 可信通信国标 CHAKEN|Client based Handling of Asserted information using crypto toKENs CHAKEN“基于终端的密码令牌可信通信能力平台”满足组织或个人在主叫通话中展示自己身份的需求。以此为基础,CHAKEN建立了从身份录入、授权、CA认证、主动展示及注销的全流程平台功能。中国科学院大学基于对CHAKEN的研究和应用,主持(牵头)
  https://www.chaken.vv.tech/index
  深圳微位(深圳)网络科技有限公司有类似的解决方案。深圳微位是运营商旗下公司,它们具有天生的运营商部署优势,有运营商做背书,可以作为国内行业解决方案产品。
  总结
  骚扰电话一直是一个老大难问题。每个国家解决骚扰电话的方式和手段不同。认知决定方法。我们看看美国 FCC如何处理骚扰电话。这里,笔者针对骚扰电话的技术应用和管理方式,通过技术角度做了比较全面的分享。从关于SIP号码的认证的RFC协议,一直到美国FCC强制执行的STIR/SHAKEN。每个阶段都会遇到不同的问题,通过解决问题来逐步完善骚扰电话解决方案。
  前途是光明的,道路是曲折的。在对骚扰电话的“斗争”也是如此。无论是服务提供商,还是技术提供商,或者软件平台,设备厂家都在纷纷支持STIR/SHAKEN技术,相信通过大家从法律,认知和技术层面的不断努力,骚扰电话问题一定会逐步解决。虽然,STIR/SHAKEN技术仍然面临各种技术挑战和业务推动的问题。至少,目前我们看到了一点点微光,有光就有希望。并且希望以此勉励在通信领域不断进步的同仁们。
参考资料:
http://tools.ietf.org/html/rfc5876
www.asterisk.org.cn
www.dinstar.cn
https://www.chaken.vv.tech/index
https://datatracker.ietf.org/doc/html/rfc3325
https://datatracker.ietf.org/doc/rfc8224/
atis, Enterprise Identity on Distributed Ledger for Authenticated Caller
Use Cases
Xu Chen, Wei Feng, Ning Ge, and Yan Zhang, Zero Trust Architecture for 6G Security
Keyvan Ramezanpoura , Jithin Jagannatha, Intelligent Zero Trust Architecture for 5G/6G Networks: Principles, Challenges, and the Role of Machine Learning in the context of O-RAN

【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

相关阅读:

专题

CTI论坛会员企业