部署STIR/SHAKEN加密技術(shù)目前存在的問題和挑戰(zhàn)

最近幾年，電話詐騙和騷擾電話一直困擾著我們每個人都生活，嚴(yán)重干擾了我們正常的工作和正常的通信往來。在日常生活中，我們幾乎天天收到幾個裝修房子，金融貸款，賣房子等營銷電話。有時，我們的老人經(jīng)常收到莫名其妙的電話，謊稱是孩子的親戚朋友等幫助打錢。雖然國家相關(guān)部門每年進(jìn)行整頓，但是效果好像也不是那么明顯。目前，我們主要的辦法只能通過手機(jī)APP對來電的標(biāo)識來幫助用戶鑒別是否是騷擾電話。個人認(rèn)為，這不是一個真正解決問題的辦法，解決騷擾電話的問題還是需要真正從源頭抓起。

同樣，因?yàn)榛诨ヂ?lián)網(wǎng)的VOIP市場的發(fā)展，國外也存在類似的問題。著名的美國運(yùn)營商AT&T，Verizon等都使用多種很多辦法來解決騷擾電話的問題。但是，效果也不是特別明顯，手機(jī)端處理的辦法還是不能徹底解決騷擾電話的源頭問題。最近一年，美國很多運(yùn)營商都積極采用STIR/SHAKEN加密技術(shù)來防止騷擾電話，F(xiàn)CC也不斷呼吁，希望在最近一到兩年把STIR/SHAKEN逐漸發(fā)展為一個規(guī)范，讓運(yùn)營商強(qiáng)制使用，同時著名通信設(shè)備廠家也逐漸支持了這個功能，以便從源頭徹底解決騷擾電話攔截問題。

下面，我們針對STIR/SHAKEN的使用背景，具體的技術(shù)原理，結(jié)合SBC部署來攔截騷擾電話進(jìn)行分析，并且對部署STIR/SHAKEN加密技術(shù)目前存在的問題和挑戰(zhàn)進(jìn)行討論。

1、國內(nèi)國外騷擾電話存在現(xiàn)狀

中國人可以非?？焖俳邮芎芏嘈缕娴氖聞?wù)。電話也一樣。1876美國人貝爾發(fā)明了第一步電話，就在第二年一個中國人就已經(jīng)使用了電話。

圖片均來自網(wǎng)絡(luò)

郭嵩燾是當(dāng)時的駐英公使，一次視察英國的工廠時體驗(yàn)了電話的神奇。他在日記里寫下使用電話的心得體會。

這是中國人第一次接觸并使用電話。郭嵩燾在日記里寫下使用電話的心得體會：“其語言多者亦多不能明，惟此數(shù)者分明。”

http://www.360doc.com/content/12/0529/10/5477831_214443366.shtml

誰能想到，他的后代把電話發(fā)揮到了極致。騷擾電話已經(jīng)成為了一個公害。騷擾電話的主要類型分為詐騙電話和利用撥號軟件實(shí)現(xiàn)和機(jī)器人實(shí)現(xiàn)的騷擾電話。如果讀者搜索百度關(guān)鍵詞”騷擾電話“的話，出現(xiàn)了大量官方媒體和其他媒體的關(guān)于騷擾電話的報(bào)道。

但是，騷擾電話的處理和攔截手段不多，很多用戶抱怨運(yùn)營商不作為，有利益綁定等等說法。很多部門好像也正在落實(shí)規(guī)定法規(guī)等。這些手段都是一些行政手段，究竟有多大的作用我們不得而知。

運(yùn)營商的態(tài)度和行動

根據(jù)飛象網(wǎng)的一份關(guān)于騷擾電話的報(bào)道，我們可以看到，騷擾電話的幾個特征：

另外，根據(jù)這篇報(bào)道的建議，作者建議使用手機(jī)APP，提高安全意識和控制管理運(yùn)營商號碼幾個方面來進(jìn)行處理。這些辦法聽起來非常官方，不能真正解決騷擾電話的問題。

同樣，國外的手機(jī)用戶也面臨著類似的問題，通過自動外呼的呼叫中心軟件批量呼叫用戶，讓很多用戶非常反感這些騷擾電話。我們通過幾個數(shù)據(jù)來介紹一下美國市場的情況。

根據(jù)YouMail的報(bào)道，僅2019年一月份，就產(chǎn)生了5.2 billion 機(jī)器人騷擾電話的呼叫，推廣類型包括信用卡推銷，金融產(chǎn)品銷售，詐騙老人等方式。

根據(jù)NBS News的另外一個調(diào)查報(bào)告說明，從2016年的2 billion，逐年增加到可能2019年，每個月騷擾電話的6 billion。從發(fā)展趨勢來看，美國的騷擾電話也是不斷增加。

根據(jù)YouMail的調(diào)查數(shù)據(jù)，騷擾電話呼叫類型的分布可能和中國有一些不同，缺少了房地產(chǎn)，賣房子的（中國特色），主要分布在信用卡推廣，學(xué)生貸款，商業(yè)貸款等業(yè)務(wù)。

因?yàn)轵}擾電話的干擾，導(dǎo)致很多企業(yè)呼叫業(yè)務(wù)和正常的手機(jī)用戶的通信受到了嚴(yán)重影響。根據(jù)NeuStar的調(diào)查報(bào)告，企業(yè)客戶聯(lián)系頻率較低了8%到20%，75%的消費(fèi)者漏接了重要電話，88%的消費(fèi)者不愿意接聽陌生人的來電。

2、目前國內(nèi)攔截騷擾電話的手段

在上面的討論中，我們分別看到了國內(nèi)和國外的騷擾電話的發(fā)布和業(yè)務(wù)構(gòu)成。從這些數(shù)據(jù)來看，業(yè)務(wù)類型基本上都相同。但是，攔截處理騷擾電話的處理方式可能有所不同。筆者不是相關(guān)部門的管理人員，不對管理部門的做法發(fā)表評論。筆者僅從一般用戶角度來看觀察對騷擾電話的處理方式包括以下幾種：

發(fā)動群眾，自己解決。讓用戶自己安裝手機(jī)APP 標(biāo)記軟件，如果接聽后發(fā)現(xiàn)是騷擾電話，那么就做一個標(biāo)記。同樣電話號碼呼叫到其他用戶，其他用戶就會提示標(biāo)記屬性。來電是騷擾電話還是其他，這個標(biāo)記行為完全取決于用戶自己的判斷好惡。

相關(guān)部門運(yùn)營商客戶，下達(dá)文件整頓。通過運(yùn)營商和相關(guān)部門對騷擾電話的整頓也可以立竿見影，騷擾電話馬上消失了一段時間。但是，這恰恰說明，運(yùn)營商明顯部門知道如何處理騷擾電話。這也是比較可行的手段。

運(yùn)營商攔截，最近幾個運(yùn)營商都提供了攔截服務(wù)，通過短信開通就可以。據(jù)說，這個辦法可行，但是也有很多用戶投訴產(chǎn)生了其他問題。

目前，筆者看到的是以上幾種方式來處理騷擾電話。但是，這樣處理的方式可能有幾個方面的問題。用戶標(biāo)記的方式實(shí)際上也是騷擾，計(jì)費(fèi)已經(jīng)產(chǎn)生，另外標(biāo)記的主觀性很強(qiáng)，沒有徹底解決騷擾電話這個問題。相關(guān)部門的其他整頓具有一定的時效性。一段時間后，騷擾電話又死灰復(fù)燃，每年3.15上提到這個問題，就說明根本沒有徹底解決這個問題。所以，我們應(yīng)該考慮如何從法律角度和技術(shù)手段上徹底減少騷擾電話或杜絕騷擾電話。當(dāng)然，筆者水平有限，運(yùn)營商肯定有完全有效的辦法來杜絕騷擾電話的呼出。

3、目前國外的現(xiàn)狀和將要采取的措施

因?yàn)轵}擾電話也涉及了運(yùn)營商自己的利益，和國內(nèi)騷擾電話的處理的態(tài)度一樣，國外的運(yùn)營商也有時對騷擾電話聽之任之。因?yàn)楹芏嘤脩舻耐对V和FCC的強(qiáng)力介入，美國運(yùn)營商開始了大規(guī)模的通過相關(guān)法律并且使用技術(shù)手段來杜絕騷擾電話。

根據(jù)福布斯發(fā)布的新聞，美國著名運(yùn)營商Verizon 發(fā)布了基于手機(jī)端的APP來防范騷擾電話。通過此APP可以判斷出呼叫方號碼是否是一個安全的，可信任的用戶來電號碼。

在2018年，美國幾大電信運(yùn)營商都相繼發(fā)布使用STIR-SHAKEN加密技術(shù)來杜絕騷擾電話的技術(shù)方案和實(shí)現(xiàn)路線圖。美國FCC CTO也非常頭疼騷擾電話的問題，他經(jīng)常收到用戶關(guān)于騷擾電話的投訴，表示壓力山大。

現(xiàn)在，美國/加拿大強(qiáng)烈要求運(yùn)營商配合法律部門制定法律來徹底解決騷擾電話的問題。我們看一下他們具體的行動：

加拿大政府頒布法律要求運(yùn)營商在2019年3月以前使用STIR/SHAKEN加密技術(shù)來解決騷擾電話問題

2018年4月份，ROBOCOP 計(jì)費(fèi)模式啟用，要求電話運(yùn)營商驗(yàn)證電話號碼是準(zhǔn)確的。

美國FCC發(fā)布了使用SHAKEN的時間表，規(guī)定在2019年3月份之前使用SHAKEN加密證書方式。

Verizon 響應(yīng)了FCC的要求，已經(jīng)在2018年開始部署SHAKEN，大部分部署將在2019年完成。

T-Mobile 和 Comcast也宣布開始使用SHAKEN加密方式來攔截騷擾電話。

And to address the challenges presented by Caller ID spoofing, Verizon is committed to deploying the STIR/SHAKEN authentication standard in our networks

https://ecfsapi.fcc.gov/file/105072444807124/2018%2005%2007%20Verizon%20Robocall%20Ex%20Parte.pdf

美國FCC要求運(yùn)營商部署STIR/SHAKEN的時間：

4、STIR/SHAKEN技術(shù)核心概念

從美國運(yùn)營商對騷擾電話的態(tài)度和部署中，我們可以看到。大部分運(yùn)營商準(zhǔn)備使用STIR/SHAKEN的方式來解決騷擾電話的問題。首先，讓我們來看看關(guān)于STIR/SHAKEN 的技術(shù)由來。

在美國，根據(jù)很多數(shù)據(jù)的統(tǒng)計(jì)，以前的傳統(tǒng)PSTN和手機(jī)用戶的騷擾電話的數(shù)量其實(shí)不多，畢竟傳統(tǒng)PSTN網(wǎng)絡(luò)的呼出環(huán)境是由運(yùn)營商控制的，手機(jī)用戶的呼叫也是由運(yùn)營商控制的，呼出用戶的身份非常容易確認(rèn)（這里，中國運(yùn)營商的除外）。最大的問題是來自于企業(yè)IPPBX用戶，因?yàn)楝F(xiàn)在很多基于IP的開源電話系統(tǒng)非常發(fā)達(dá)，而且可以通過SIP或者其他線路接入到系統(tǒng)中，如果這樣的呼叫通過企業(yè)PBX呼出以后，就會導(dǎo)致大量的騷擾電話和缺乏認(rèn)證的號碼。所以，STRI/SHAKEN協(xié)議真正解決的問題是針對企業(yè)IPPBX或者呼叫中心產(chǎn)生的呼叫。

通過以上的簡單示例，我們可以知道，其實(shí)大部分運(yùn)營商面對的騷擾電話的都是來自于網(wǎng)絡(luò)。根據(jù)COMCAST的調(diào)查，50%的騷擾電話是來自于IP網(wǎng)絡(luò)。因此，IP網(wǎng)絡(luò)的管理是一個非常大的挑戰(zhàn)。

另外，有效的呼入號碼不是一定是可靠的號碼。幾個運(yùn)營商呼入到本地電話以后，用戶終端看起來是一個本地的正常的號碼，但是本不能說明這個號碼的可信度。很多騷擾電話本身就是一個正常的號碼。因此，運(yùn)營商必須通過一種機(jī)制來對號碼進(jìn)行標(biāo)識，說明其用戶號碼的信譽(yù)度。

因此，控制網(wǎng)絡(luò)呼叫才可以真正解決問題。SHAKEN就是針對互聯(lián)網(wǎng)SIP電話的一種呼叫身份驗(yàn)證機(jī)制，通過和STRI認(rèn)證機(jī)制結(jié)合來解決騷擾電話攔截問題。

那么，STIR/SHAKEN到底是一種什么協(xié)議呢？ 簡單來說，其實(shí)就是通過呼叫呼出時，對呼叫號碼加認(rèn)證，呼叫到被呼叫方前，目的地接聽方首先確認(rèn)這個呼叫的身份。如果是騷擾電話，則過濾。這里需要證書簽發(fā)和驗(yàn)證兩個部分來共同處理呼叫身份問題。這里僅做簡單介紹，在后續(xù)章節(jié)我們會具體介紹整個呼叫流程的驗(yàn)證機(jī)制。

STIR/SHAKEN需要注意的幾個核心要素：

Secure Telephone Identity Revisited （STIR），參閱rfc8226

Signature-based Handling of Asserted information using toKENs （SHAKEN），參閱draft-ietf-stir-passport-shaken-08

Authenticated Identity Management in the Session Initiation Protocol （SIP），參閱rfc8224。它用來支持簽發(fā)認(rèn)證（Signs）和驗(yàn)證服務(wù)處理（verifies）。

呼叫號碼信譽(yù)度分類（Attestation，attest）：A，B，C級。對用戶號碼的信譽(yù)度進(jìn)行分類，標(biāo)識用戶的可信度。

origid原始呼出地址標(biāo)記，對原始呼出地址進(jìn)行標(biāo)記，方便跟蹤呼叫來源。

現(xiàn)在，我們首先介紹一下STIR協(xié)議，它的目的是創(chuàng)建電子簽名來支持被呼叫方的認(rèn)證，可以支持在不同地址的簽名創(chuàng)建和驗(yàn)證。STIR可以解決用戶和用戶呼叫之間的認(rèn)證問題。但是，因?yàn)镮P網(wǎng)絡(luò)的發(fā)展，STIR已經(jīng)不能滿足這個要求，所以必須使用SHAKEN來解決運(yùn)營商和運(yùn)營商之間的認(rèn)證問題。

SHAKEN通過STIR來配合運(yùn)營商解決了安全問題和部署的協(xié)調(diào)。SHAKEN首先在原始呼叫發(fā)起時，創(chuàng)建一個電子證書 PASSporT，然后對呼出的號碼標(biāo)識一個信譽(yù)度分類（attest），最后添加一個origid原始呼叫地址。對端落地后，首先檢測電子證書，然后識別號碼的信譽(yù)度來決定是否繼續(xù)對終端進(jìn)行呼叫。

在原始運(yùn)營商呼叫呼出之前，運(yùn)營商需要對呼叫號碼標(biāo)識一個信譽(yù)度分類，根據(jù)ATIS（ATIS-1000074）的定義，目前的attest定義為A，B和C三個分類：

A-Full Attestation：A類信譽(yù)度必須滿足其定義的三個條件和一些附加注意事項(xiàng)。具體的條件參閱ATIS的說明。

B-Partial Attestation：B類信譽(yù)度標(biāo)識必須滿足其定義的三個條件和一些附加注意事項(xiàng)。具體的條件參閱ATIS說明。這里的條件和A類條件的不同在于簽發(fā)證書的和呼叫號碼的驗(yàn)證關(guān)聯(lián)關(guān)系。A類信譽(yù)度標(biāo)識已經(jīng)獲得驗(yàn)證關(guān)聯(lián)，B類信譽(yù)度標(biāo)識沒有獲得驗(yàn)證關(guān)聯(lián)。

C-Gateway Attestation：C類信譽(yù)度標(biāo)識必須滿足兩種條件

匯總以上三個分類讀者可以看出其信譽(yù)度標(biāo)識的不同，當(dāng)然，A分類是最高級別。

PASSporT提供了一種證書簽發(fā)的架構(gòu)，包括了令牌使用和其類型，payload數(shù)據(jù)。具體的詳解，讀者可以參閱draft-ietf-stir-passport-11。其頭消息包括了type，alg算法和x5u頭參數(shù)設(shè)置。另外，其payload包含了目的地地址，SIP賬號信息，tn號碼和初始呼叫地址，orig等參數(shù)。

在PASSporT的擴(kuò)展中，attest應(yīng)該設(shè)置為以上三種信譽(yù)度標(biāo)識，并且是完全大寫字母。擴(kuò)展規(guī)范中增加了SHAKEN的其他參數(shù)的支持，包括rcd支持（AS和VS），對此有興趣的讀者可以參閱：

PASSporT Extension for Rich Call Data draft-ietf-stir-passport-rcd-03

https://tools.ietf.org/html/draft-ietf-stir-passport-rcd-03

其擴(kuò)展到payload構(gòu)成如下：

最后，我們介紹一下origid的使用目的。在上面的介紹中，我們已經(jīng)說明，因?yàn)镾HAKEN是針對IP網(wǎng)絡(luò)中進(jìn)行證書管理的，為了能夠跟蹤或運(yùn)營商管理分析管理的要求，origid作為一個重要的參數(shù)添加在了PASSporT消息頭中。這樣做的目的在于在呼叫路徑上的運(yùn)營商可以非常方便跟蹤呼叫來源和初始運(yùn)營商的地址。IMS的CVT可以通過這些數(shù)據(jù)來分析此呼叫的信譽(yù)度標(biāo)識，并且保存其相關(guān)記錄，同時，運(yùn)營商之間也可以通過origid加信譽(yù)度分類對某些運(yùn)營商提出相應(yīng)的報(bào)告。

5、STIR/SHAKEN具體的工作流程

因?yàn)楝F(xiàn)在的主流網(wǎng)絡(luò)是IMS的網(wǎng)絡(luò)環(huán)境，很多網(wǎng)絡(luò)電話也來自于IMS網(wǎng)絡(luò)中。因此，我們通過比較典型的IMS網(wǎng)絡(luò)架構(gòu)來解釋STIR/SHAKEN的實(shí)現(xiàn)過程。

這里，筆者簡單介紹一下在3GPP網(wǎng)絡(luò)中負(fù)責(zé)處理STIR/SHAKEN的幾個核心功能模塊：

STI-AS, 呼叫服務(wù)發(fā)起方運(yùn)營商的認(rèn)證服務(wù)和其他應(yīng)用，負(fù)責(zé)處理SKS證書和創(chuàng)建PassporT簽名功能和TLS加密傳輸。關(guān)于此規(guī)范草案說明，讀者可以查閱：draft-ietf-stir-rfc4474bis。

SKS：負(fù)責(zé)保存Secure Key Store支持STI-AS訪問。

STI-VS：落地運(yùn)營商的認(rèn)證驗(yàn)證服務(wù)器支持SIP應(yīng)用服務(wù)器，結(jié)合公鑰來驗(yàn)證呼叫號碼的信譽(yù)度標(biāo)識。關(guān)于此規(guī)范草案說明，讀者可以查閱：draft-ietf-stir-rfc4474bis。

CVT：一個第三方可選的服務(wù)器，可以存儲origid消息，幫助運(yùn)營商跟蹤原始呼叫方的地址和其他信息，它也可以用來支持對被呼叫方顯示驗(yàn)證結(jié)果。

STI-CR：一個公鑰服務(wù)器模塊，通過對證書服務(wù)的訪問。

現(xiàn)在，我們通過以上IMS網(wǎng)絡(luò)中的STIR/SHAKEN工作原理來具體描述整個STIR/SHAKEN的工作流程。

根據(jù)ATIS的規(guī)范，其處理過程大概經(jīng)過以下十四個過程：

呼叫方首先UA通過CSCF注冊，對CSCF進(jìn)行認(rèn)證要求，然后創(chuàng)建一個INVITE并且攜帶本機(jī)的電話號碼身份。

原始呼叫方的CSCF添加一個P-Asserted-Identity身份號碼表示這個原始UA的呼叫號碼。然后CSCF對STI-AS觸發(fā)一個IVITE請求。

原始呼叫方運(yùn)營商首先決定是否可以對這個INVITE請求進(jìn)行服務(wù)合約判斷，是否認(rèn)定這個用戶和運(yùn)營商簽定相關(guān)服務(wù)合同。通過運(yùn)營商的認(rèn)定以后，STI-AS對SKS請求一個專門針對此個INVITE的私鑰。

SKS返回一個私鑰，然后STI-AS簽發(fā)一個INVITE，在頭消息中使用caller id增加一個STIR值。

STI-AS返回這個INVITE到CSCF。

原始呼叫方運(yùn)營商CSCF通過路由解析到IBCF設(shè)備

然后通過路由地址路由到落地端的IBCF，通過SIP對接。

落地運(yùn)營商收到INVITE以后，然后路由到落地運(yùn)營商的CSCF。

落地運(yùn)營商的CSCF觸發(fā)一個INVITE到STI-VS驗(yàn)證服務(wù)模塊。

落地運(yùn)營商的STI-VS使用身份頭值中的info參數(shù)結(jié)合STIR的數(shù)值決定STI-CR的地址URL，并且對STI-CR發(fā)出HTTPS請求。

STI-VS驗(yàn)證這個證書，然后提取一個公共密鑰。VS根據(jù)公共密鑰重建STIR驗(yàn)證頭消息中的簽名，確認(rèn)這個caller id是一個有效的caller id，并且是此原始運(yùn)營商呼叫時的INVITE簽發(fā)的。

STI-VS獲得最終消息后，可以對CVT發(fā)送一個驗(yàn)證結(jié)果，運(yùn)營商的CVT模塊，落地運(yùn)營商的CVT可以對接自己的業(yè)務(wù)服務(wù)器或者第三方的安全策略服務(wù)器對其呼叫進(jìn)行雙方確認(rèn)，或者保存此結(jié)果，以便將來呼叫跟蹤。這里，運(yùn)營商的CVT服務(wù)可以根據(jù)運(yùn)營商的呼叫規(guī)范或者相關(guān)法律等策略做進(jìn)一步處理。

根據(jù)STI-VS的返回結(jié)果和信譽(yù)度分類，落地運(yùn)營商的CSCF然后發(fā)送最終的INVITE到落地被呼叫用戶。這里，落地用戶手機(jī)也可以顯示其信譽(yù)度分類。否則，這個呼叫可以被運(yùn)營商提前攔截，不會在呼叫到用戶終端，這樣也就不會造成騷擾電話。

如果確認(rèn)的號碼是一個信譽(yù)度分類高的號碼，落地用戶接受這個INVITE請求，接聽電話，然后返回200 OK消息，最后雙方創(chuàng)建RTP語音流。

在以上的流程中，我們需要特別注意的是SIP INVITE中的Identity header，示例如下。此示例中包含一個JSON Web Token（JWT）和三個參數(shù)（info，alg和ppt）。這三個參數(shù)我們在前面有介紹，讀者可以查閱前面內(nèi)容。其中，JWT包括三個部分（header，payload和簽名）。其中，header和payload是based64 URL JSON格式。

讀者需要注意他們之間的區(qū)域（header，payload和簽名），三個部分以逗號分開。

以下示例說明了header的加密和解密結(jié)果：

payload 經(jīng)過加密解密處理以后的結(jié)果：

當(dāng)然，最后一個部分是其簽名在info參數(shù)之前：

S_vqkgCk88ee9rtk89P6a6ru0ncDfSrdb1GyK_mJj-10hsLW-dMF7eCjDYARLR7EZSZwiu0fd4H_QD_9Z5U2bg

6、STIR/SHAKEN應(yīng)用示例

在以上關(guān)于IMS網(wǎng)絡(luò)中的STIR/SHEAKEN的介紹和STIR/SHAEKN的核心要素的介紹，我們基本上了解了此協(xié)議應(yīng)用的原理和工作機(jī)制。先讓我們看一個關(guān)于STIR/SHAKEN的演示視頻。視頻中介紹了如何通過STIR/SHAKEN結(jié)合著名邊界會話控制器廠家的FreeSBC實(shí)現(xiàn)騷擾電話的攔截處理：

接下來，這個章節(jié)，我們結(jié)合一個具體的應(yīng)用實(shí)例來進(jìn)一步說明STIR/SHAKEN是如何應(yīng)用在實(shí)際的工作環(huán)境的。首先，運(yùn)營商之間和相關(guān)的通信部門需要一個安全的合作關(guān)系，互相之間可以保證證書的安全性：

在原始運(yùn)營商呼叫方的SBC和落地運(yùn)營商之間的SBC添加處理流程和證書簽發(fā)驗(yàn)證機(jī)制。這里，ClearIP是一個基于云平臺的證書簽發(fā)驗(yàn)證服務(wù)，SBC通過和SHAKEN服務(wù)對接以后，獲取到最終呼叫號碼的結(jié)果。落地運(yùn)營商最后可以根據(jù)信譽(yù)度分類結(jié)果對呼叫號碼進(jìn)行判斷，然后把判斷結(jié)果顯示到客戶終端。如果此號碼屬于一個信譽(yù)度較低級別的呼叫號碼，落地運(yùn)營商的SBC可以拒絕進(jìn)一步處理，或者直接攔截，無需進(jìn)一步讓呼叫騷擾用戶。

呼出運(yùn)營商的SBC處理，在呼出運(yùn)營商的SBC中添加呼叫方號碼，被呼叫方號碼，時間戳和attest（信譽(yù)度分類），和源呼叫運(yùn)營商ID（Unique originating identifier/origid）。以上參數(shù)會結(jié)合落地運(yùn)營商的驗(yàn)證來確認(rèn)其呼叫號碼的信譽(yù)度和用戶是否接聽的狀態(tài)。

呼入運(yùn)營商落地SBC的處理機(jī)制：

7、TDM/SIP接入設(shè)備STIR/SHAKEN解決方案

大家通過我們以上的解釋，可能已經(jīng)看到，STIR/SHAKEN不能支持傳統(tǒng)的TDM網(wǎng)絡(luò)，普通網(wǎng)關(guān)產(chǎn)品也不能支持STIR/SHAKEN，需要在網(wǎng)關(guān)設(shè)備添加一個SHAKEN服務(wù)機(jī)制來驗(yàn)證呼叫號碼的屬性。

8、關(guān)于STIR/SHAKEN面對的挑戰(zhàn)

任何新技術(shù)的發(fā)展都會面對很多的問題，騷擾電話攔截的也是一樣的。因?yàn)?，這個業(yè)務(wù)本身就關(guān)系到了運(yùn)營商自己的利益，可能一些運(yùn)營商不會主動部署，因此這里涉及到了管理層面的問題。美國FCC已經(jīng)非常明確要求運(yùn)營商在最后期限內(nèi)必須部署STIR/SHAKEN，同時發(fā)布了相關(guān)的法律強(qiáng)制要求運(yùn)營商強(qiáng)制執(zhí)行。在部署過程中，可能涉及了很多法律和技術(shù)層面的問題，我們這里進(jìn)一步展開討論。

首先，運(yùn)營商之間需要互相配合，包括兼容性的測試，認(rèn)證簽發(fā)和驗(yàn)證。這需要政府管理層面的同一規(guī)定和協(xié)調(diào)。另外，國際運(yùn)營商之間的SIP呼叫如何實(shí)現(xiàn)STIR/SHAKEN需要國際業(yè)務(wù)結(jié)算體系和證書驗(yàn)證的支持。

然后，因?yàn)樯婕傲薙TI-AS和STI-VS證書簽發(fā)和驗(yàn)證的服務(wù)機(jī)制，SHAKEN服務(wù)必須是具有國家相關(guān)部門的權(quán)威性和其安全性。關(guān)于證書管理的內(nèi)容，讀者可以查閱以下報(bào)告：

Report on Selection of Governance Authority and Timely Deployment of SHAKEN/STIR

http://nanc-chair.org/docs/mtg_docs/May_18_Call_Authentication_Trust_Anchor_NANC_Final_Report.pdf

進(jìn)一步來說，因?yàn)樵诤舫鲞\(yùn)營商SBC部署中，信譽(yù)度分類的規(guī)定又涉及了運(yùn)營商的呼叫策略管理的問題，如何劃分規(guī)定號碼的信譽(yù)度分類也是一個運(yùn)營商之間需要明確的內(nèi)容。

還有關(guān)于IMS網(wǎng)絡(luò)和其網(wǎng)絡(luò)中協(xié)議的安全部署問題。網(wǎng)絡(luò)技術(shù)問題涉及到了從底層基礎(chǔ)設(shè)施的證書問題，SIP/RTP TLS加密的安全問題，證書簽發(fā)和驗(yàn)證的token管理和安全問題，以及簽發(fā)和驗(yàn)證服務(wù)的部署策略。這些問題都會影響STIR/SHAKEN的部署問題。STI-AS和STI-VS部署的時候還要考慮環(huán)境的信任度。這些部署模式也同樣影響STIR/SHAKEN。

網(wǎng)絡(luò)傳輸?shù)臅r延問題。大家知道，因?yàn)樵诤艚兄袔Я俗C書的相關(guān)消息，一般每個電話呼叫只有幾分鐘，因此傳輸驗(yàn)證簽名和響應(yīng)速度是一個非常大的挑戰(zhàn)。如何保證證書簽名的有效性，如何在大并發(fā)呼叫中管理證書和驗(yàn)證證書都是非常大的挑戰(zhàn)。很多解決方案提供了catch的方式，在本地保存一些數(shù)據(jù)，保證訪問證書的響應(yīng)速度：

最后，當(dāng)然必須談錢的問題。如果通過STIR/SHAKEN方式實(shí)現(xiàn)騷擾電話攔截的話，SHAKEN服務(wù)的費(fèi)用是一個應(yīng)該考慮的因素，增加了SHAKEN服務(wù)，相應(yīng)的花費(fèi)可能需要提高，電話成本可能會增加。另外，是否對所有的電話都進(jìn)行信譽(yù)度分類標(biāo)識服務(wù)也是需要考慮的問題。

STIR/SHAKEN已經(jīng)開始在美國運(yùn)營商之間部署，目前美國運(yùn)營商網(wǎng)絡(luò)部分仍然是PSTN網(wǎng)絡(luò)，部分是SIP的網(wǎng)絡(luò)。根據(jù)Dr. Eric Burger的研究報(bào)告來看，

通過STIR/SHAKEN部署以后，國內(nèi)SIP-SIP之間的呼叫的騷擾電話攔截效果非常好，PSTN-SIP的效果相對較差。但是，筆者相信，隨著TDM生命周期結(jié)束越來越近，未來的通信都可能是IP化的，因此攔截效果會逐步提升。

9、總結(jié)

在本文章中，我們從技術(shù)角度討論了騷擾電話的攔截的部署方式-STIR/SHAKEN。此技術(shù)已經(jīng)被廣泛應(yīng)用在了美國運(yùn)營商的IP網(wǎng)絡(luò)環(huán)境中，對騷擾電話攔截技術(shù)是一個非常大的突破。筆者討論了STRI/SHAKEN的技術(shù)背景，IMS網(wǎng)絡(luò)架構(gòu)中的具體步驟，還提供一個部署STIR/SHAKEN結(jié)合SBC來進(jìn)行電話攔截的案例。另外，筆者從法律層面，運(yùn)營商業(yè)務(wù)層面和技術(shù)架構(gòu)，基礎(chǔ)設(shè)備，協(xié)議安全加密和證書簽發(fā)驗(yàn)證，證書傳輸?shù)确矫嬗懻摿诵枰鎸Φ奶魬?zhàn)。

最后，筆者提醒讀者，因?yàn)榇思夹g(shù)也是在不斷發(fā)展的階段，很多實(shí)現(xiàn)方式可能不是非常成熟，需要運(yùn)營商之間逐步完善。在中國運(yùn)營商市場和虛擬運(yùn)營商的網(wǎng)絡(luò)環(huán)境中也可以部署類似的服務(wù)。通過STIR/SHAKEN的技術(shù)結(jié)合SBC可以從源頭極大降低騷擾電話的問題。