演進中的VoIP來電ID技術

　　在VoIP呼叫的建立、拆除和管理流程中，會話發(fā)起協議（SIP）已經得到了廣泛的應用。 正如它的名字一樣，該協議的許多功能都與呼叫的建立直接相關。建立呼叫的過程中會涉及到呼叫者的身份，使被叫方能夠確定如何對待這次呼叫。這就是我們所說的Internet來電ID。

　　在核心SIP規(guī)范（RFC 3261）中，來電ID的基本機制與電子郵件所用的方式非常相似，呼叫方的信息有一個From報頭域，地址就包含在其中。當Internet中沒有太多的惡意用戶時，該機制可以很好地發(fā)揮作用，但事實證明，這種技術和電子郵件遇到的問題一樣，容易被他人濫用。惡意用戶可以對VoIP 中的“From”報頭加以篡改，從而隱藏發(fā)送方的真實身份。



　　為了解決這些問題，IETF于2002年11月發(fā)布了一項名為P-Asserted-ID（RFC 3325）的規(guī)范。有了P-Asserted-ID規(guī)范，單個網絡或小型網絡聯盟都可以提供通過網絡驗證的來電ID服務。P-Asserted-ID的出臺是一次重大的飛躍，并且在SIP網絡中得到了廣泛的使用。

　　然而，人們始終還是將它視作是一種權宜之計。首要的問題是，它只適用于單個服務商的網絡，或者是由一群相互信任的服務商緊密聯合而形成的網絡。到目前為止，所部署的VoIP恰好都屬于這種類型。多數VoIP網絡不能通過IP實現網絡互聯，而只能通過公共交換電話網絡作為替代。在許多服務商的眼里，IP才是實現網絡互聯的更好方式。IP網絡的成本更低，可以實現語音、視頻和多媒體傳輸，并且能夠提供即時消息等高價值服務，同時還可以實現高質量的寬帶語音服務。

　　此外，在規(guī)模較大的IP互聯環(huán)境中，P-Asserted-ID根本沒有用武之地，因為它對呼叫身份的判別過程不加密，所以無法安全地驗證呼叫方的域就是在消息中存在的那個身份。因此，在大規(guī)模的網絡互聯組中，P-Asserted-ID的可信度只能處于該組中可信度最低的水平。

　　幸運的是，IETF已經完成了一系列新的規(guī)范，所有這些規(guī)范都基于一種稱為SIP身份認證的技術。這些規(guī)范（RFC 4474）已于2006年8月正式發(fā)布，成為安全來電ID技術領域的一次重大進步。

　　這種規(guī)范的基本機制如左圖所示。呼叫者Joe的SIP統一資源標識符為sip:joe@example.com，而Joe的電話會將該標識符插入其SIP消息的From報頭域中。當Joe發(fā)起一個呼叫時，Joe的電話會發(fā)出一個SIP 請求（步驟1），并將其發(fā)送至example.com的服務器。這臺服務器對該消息進行盤問，要求Joe的電話提供證書（步驟2）。Joe的電話接受這一要求后，重新發(fā)送帶有適當證書的請求（步驟3）。這些證書將證明呼叫者確實是Joe，并且表明From域是準確的。而example.com的服務器則會在消息中的某些部分應用一組加密的簽名，并將該簽名和提取證書的HTTP URL一同安插在SIP消息中（步驟4）。被叫方對該證書進行檢索（步驟5）并且檢查簽名。如果驗證通過，則證明呼叫方確實在example.com的域中。

　　同時，在防范VoIP垃圾（即所謂的SPIT，Internet電話垃圾）的眾多技術中，SIP身份認證也具有里程碑式的重大意義。由于它能夠實現更安全的互聯，并有效阻止垃圾呼叫，因此SIP身份認證將在未來的VoIP網絡中發(fā)揮越來越重要的作用。