扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在VoIP呼叫的建立、拆除和管理流程中,会话发起协议(SIP)已经得到了广泛的应用。正如它的名字一样,该协议的许多功能都与呼叫的建立直接相关。建立呼叫的过程中会涉及到呼叫者的身份,使被叫方能够确定如何对待这次呼叫。这就是我们所说的Internet来电ID。
在核心SIP规范(RFC 3261)中,来电ID的基本机制与电子邮件所用的方式非常相似,呼叫方的信息有一个From报头域,地址就包含在其中。当Internet中没有太多的恶意用户时,该机制可以很好地发挥作用,但事实证明,这种技术和电子邮件遇到的问题一样,容易被他人滥用。恶意用户可以对VoIP 中的“From”报头加以篡改,从而隐藏发送方的真实身份。
为了解决这些问题,IETF于2002年11月发布了一项名为P-Asserted-ID(RFC 3325)的规范。有了P-Asserted-ID规范,单个网络或小型网络联盟都可以提供通过网络验证的来电ID服务。P-Asserted-ID的出台是一次重大的飞跃,并且在SIP网络中得到了广泛的使用。
然而,人们始终还是将它视作是一种权宜之计。首要的问题是,它只适用于单个服务商的网络,或者是由一群相互信任的服务商紧密联合而形成的网络。到目前为止,所部署的VoIP恰好都属于这种类型。多数VoIP网络不能通过IP实现网络互联,而只能通过公共交换电话网络作为替代。在许多服务商的眼里,IP才是实现网络互联的更好方式。IP网络的成本更低,可以实现语音、视频和多媒体传输,并且能够提供即时消息等高价值服务,同时还可以实现高质量的宽带语音服务。
此外,在规模较大的IP互联环境中,P-Asserted-ID根本没有用武之地,因为它对呼叫身份的判别过程不加密,所以无法安全地验证呼叫方的域就是在消息中存在的那个身份。因此,在大规模的网络互联组中,P-Asserted-ID的可信度只能处于该组中可信度最低的水平。
幸运的是,IETF已经完成了一系列新的规范,所有这些规范都基于一种称为SIP身份认证的技术。这些规范(RFC 4474)已于2006年8月正式发布,成为安全来电ID技术领域的一次重大进步。
这种规范的基本机制如左图所示。呼叫者Joe的SIP统一资源标识符为sip:joe@example.com,而Joe的电话会将该标识符插入其SIP消息的From报头域中。当Joe发起一个呼叫时,Joe的电话会发出一个SIP 请求(步骤1),并将其发送至example.com的服务器。这台服务器对该消息进行盘问,要求Joe的电话提供证书(步骤2)。Joe的电话接受这一要求后,重新发送带有适当证书的请求(步骤3)。这些证书将证明呼叫者确实是Joe,并且表明From域是准确的。而example.com的服务器则会在消息中的某些部分应用一组加密的签名,并将该签名和提取证书的HTTP URL一同安插在SIP消息中(步骤4)。被叫方对该证书进行检索(步骤5)并且检查签名。如果验证通过,则证明呼叫方确实在example.com的域中。
同时,在防范VoIP垃圾(即所谓的SPIT,Internet电话垃圾)的众多技术中,SIP身份认证也具有里程碑式的重大意义。由于它能够实现更安全的互联,并有效阻止垃圾呼叫,因此SIP身份认证将在未来的VoIP网络中发挥越来越重要的作用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。