演进中的VoIP来电ID技术

admin

　　在VoIP呼叫的建立、拆除和管理流程中，会话发起协议（SIP）已经得到了广泛的应用。 正如它的名字一样，该协议的许多功能都与呼叫的建立直接相关。建立呼叫的过程中会涉及到呼叫者的身份，使被叫方能够确定如何对待这次呼叫。这就是我们所说的Internet来电ID。

　　在核心SIP规范（RFC 3261）中，来电ID的基本机制与电子邮件所用的方式非常相似，呼叫方的信息有一个From报头域，地址就包含在其中。当Internet中没有太多的恶意用户时，该机制可以很好地发挥作用，但事实证明，这种技术和电子邮件遇到的问题一样，容易被他人滥用。恶意用户可以对VoIP 中的“From”报头加以篡改，从而隐藏发送方的真实身份。



　　为了解决这些问题，IETF于2002年11月发布了一项名为P-Asserted-ID（RFC 3325）的规范。有了P-Asserted-ID规范，单个网络或小型网络联盟都可以提供通过网络验证的来电ID服务。P-Asserted-ID的出台是一次重大的飞跃，并且在SIP网络中得到了广泛的使用。

　　然而，人们始终还是将它视作是一种权宜之计。首要的问题是，它只适用于单个服务商的网络，或者是由一群相互信任的服务商紧密联合而形成的网络。到目前为止，所部署的VoIP恰好都属于这种类型。多数VoIP网络不能通过IP实现网络互联，而只能通过公共交换电话网络作为替代。在许多服务商的眼里，IP才是实现网络互联的更好方式。IP网络的成本更低，可以实现语音、视频和多媒体传输，并且能够提供即时消息等高价值服务，同时还可以实现高质量的宽带语音服务。

　　此外，在规模较大的IP互联环境中，P-Asserted-ID根本没有用武之地，因为它对呼叫身份的判别过程不加密，所以无法安全地验证呼叫方的域就是在消息中存在的那个身份。因此，在大规模的网络互联组中，P-Asserted-ID的可信度只能处于该组中可信度最低的水平。

　　幸运的是，IETF已经完成了一系列新的规范，所有这些规范都基于一种称为SIP身份认证的技术。这些规范（RFC 4474）已于2006年8月正式发布，成为安全来电ID技术领域的一次重大进步。

　　这种规范的基本机制如左图所示。呼叫者Joe的SIP统一资源标识符为sip:joe@example.com，而Joe的电话会将该标识符插入其SIP消息的From报头域中。当Joe发起一个呼叫时，Joe的电话会发出一个SIP 请求（步骤1），并将其发送至example.com的服务器。这台服务器对该消息进行盘问，要求Joe的电话提供证书（步骤2）。Joe的电话接受这一要求后，重新发送带有适当证书的请求（步骤3）。这些证书将证明呼叫者确实是Joe，并且表明From域是准确的。而example.com的服务器则会在消息中的某些部分应用一组加密的签名，并将该签名和提取证书的HTTP URL一同安插在SIP消息中（步骤4）。被叫方对该证书进行检索（步骤5）并且检查签名。如果验证通过，则证明呼叫方确实在example.com的域中。

　　同时，在防范VoIP垃圾（即所谓的SPIT，Internet电话垃圾）的众多技术中，SIP身份认证也具有里程碑式的重大意义。由于它能够实现更安全的互联，并有效阻止垃圾呼叫，因此SIP身份认证将在未来的VoIP网络中发挥越来越重要的作用。