演進(jìn)中的VoIP來電ID技術(shù)

　　在VoIP呼叫的建立、拆除和管理流程中，會話發(fā)起協(xié)議（SIP）已經(jīng)得到了廣泛的應(yīng)用。 正如它的名字一樣，該協(xié)議的許多功能都與呼叫的建立直接相關(guān)。建立呼叫的過程中會涉及到呼叫者的身份，使被叫方能夠確定如何對待這次呼叫。這就是我們所說的Internet來電ID。

　　在核心SIP規(guī)范（RFC 3261）中，來電ID的基本機(jī)制與電子郵件所用的方式非常相似，呼叫方的信息有一個From報頭域，地址就包含在其中。當(dāng)Internet中沒有太多的惡意用戶時，該機(jī)制可以很好地發(fā)揮作用，但事實(shí)證明，這種技術(shù)和電子郵件遇到的問題一樣，容易被他人濫用。惡意用戶可以對VoIP 中的“From”報頭加以篡改，從而隱藏發(fā)送方的真實(shí)身份。



　　為了解決這些問題，IETF于2002年11月發(fā)布了一項名為P-Asserted-ID（RFC 3325）的規(guī)范。有了P-Asserted-ID規(guī)范，單個網(wǎng)絡(luò)或小型網(wǎng)絡(luò)聯(lián)盟都可以提供通過網(wǎng)絡(luò)驗(yàn)證的來電ID服務(wù)。P-Asserted-ID的出臺是一次重大的飛躍，并且在SIP網(wǎng)絡(luò)中得到了廣泛的使用。

　　然而，人們始終還是將它視作是一種權(quán)宜之計。首要的問題是，它只適用于單個服務(wù)商的網(wǎng)絡(luò)，或者是由一群相互信任的服務(wù)商緊密聯(lián)合而形成的網(wǎng)絡(luò)。到目前為止，所部署的VoIP恰好都屬于這種類型。多數(shù)VoIP網(wǎng)絡(luò)不能通過IP實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，而只能通過公共交換電話網(wǎng)絡(luò)作為替代。在許多服務(wù)商的眼里，IP才是實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的更好方式。IP網(wǎng)絡(luò)的成本更低，可以實(shí)現(xiàn)語音、視頻和多媒體傳輸，并且能夠提供即時消息等高價值服務(wù)，同時還可以實(shí)現(xiàn)高質(zhì)量的寬帶語音服務(wù)。

　　此外，在規(guī)模較大的IP互聯(lián)環(huán)境中，P-Asserted-ID根本沒有用武之地，因?yàn)樗鼘艚猩矸莸呐袆e過程不加密，所以無法安全地驗(yàn)證呼叫方的域就是在消息中存在的那個身份。因此，在大規(guī)模的網(wǎng)絡(luò)互聯(lián)組中，P-Asserted-ID的可信度只能處于該組中可信度最低的水平。

　　幸運(yùn)的是，IETF已經(jīng)完成了一系列新的規(guī)范，所有這些規(guī)范都基于一種稱為SIP身份認(rèn)證的技術(shù)。這些規(guī)范（RFC 4474）已于2006年8月正式發(fā)布，成為安全來電ID技術(shù)領(lǐng)域的一次重大進(jìn)步。

　　這種規(guī)范的基本機(jī)制如左圖所示。呼叫者Joe的SIP統(tǒng)一資源標(biāo)識符為sip:joe@example.com，而Joe的電話會將該標(biāo)識符插入其SIP消息的From報頭域中。當(dāng)Joe發(fā)起一個呼叫時，Joe的電話會發(fā)出一個SIP 請求（步驟1），并將其發(fā)送至example.com的服務(wù)器。這臺服務(wù)器對該消息進(jìn)行盤問，要求Joe的電話提供證書（步驟2）。Joe的電話接受這一要求后，重新發(fā)送帶有適當(dāng)證書的請求（步驟3）。這些證書將證明呼叫者確實(shí)是Joe，并且表明From域是準(zhǔn)確的。而example.com的服務(wù)器則會在消息中的某些部分應(yīng)用一組加密的簽名，并將該簽名和提取證書的HTTP URL一同安插在SIP消息中（步驟4）。被叫方對該證書進(jìn)行檢索（步驟5）并且檢查簽名。如果驗(yàn)證通過，則證明呼叫方確實(shí)在example.com的域中。

　　同時，在防范VoIP垃圾（即所謂的SPIT，Internet電話垃圾）的眾多技術(shù)中，SIP身份認(rèn)證也具有里程碑式的重大意義。由于它能夠?qū)崿F(xiàn)更安全的互聯(lián)，并有效阻止垃圾呼叫，因此SIP身份認(rèn)證將在未來的VoIP網(wǎng)絡(luò)中發(fā)揮越來越重要的作用。