Asterisk项目中STIR/SHAKEN模块的认证级别传播问题分析

问题概述

在Asterisk开源通信平台中，res_stir_shaken模块负责实现STIR/SHAKEN协议功能，该协议用于电信行业的来电身份认证。近期发现该模块存在一个关键问题：认证级别(attest_level)在配置结构中未能正确传播。

技术背景

STIR/SHAKEN协议定义了三种认证级别：

• A级(Full Attestation)：服务提供商完全认证呼叫来源
• B级(Partial Attestation)：服务提供商认证呼叫来源但无法完全验证
• C级(Gateway Attestation)：仅验证呼叫进入网络的门槛

在Asterisk配置中，认证级别可以在三个层级定义：

1. 认证(attestation)部分
2. 配置文件(profile)部分
3. 电话号码(tn)部分

问题详情

当前实现中存在以下缺陷：

1. 当配置文件(profile)中未明确指定attest_level时，系统错误地将其默认设置为"A"级，而不是从上级的attestation部分继承
2. 同样，在电话号码(tn)配置中未指定attest_level时，也错误地默认设置为"A"级，而没有从上级的profile或attestation部分继承

影响分析

这一缺陷会导致以下问题：

1. 配置灵活性降低：管理员无法通过层级继承来简化配置
2. 潜在的安全风险：默认使用最高认证级别可能导致不符合实际情况的认证声明
3. 配置维护困难：需要在每个层级重复指定相同的认证级别

解决方案

开发团队已通过代码提交修复了这一问题，确保：

1. 配置层级间的属性继承关系正确实现
2. 当某层级未明确配置时，能够正确从上级配置继承attest_level值
3. 保持向后兼容性，不影响现有明确配置了attest_level的部署

最佳实践建议

对于使用STIR/SHAKEN功能的Asterisk管理员：

1. 检查现有配置，确认是否依赖了错误的默认"A"级行为
2. 考虑采用层级化的配置方式，在高层级定义通用认证级别
3. 在升级后验证认证级别的传播是否符合预期

该修复已合并到主分支，建议用户及时更新以获得更灵活的配置能力和更准确的功能实现。