Asterisk项目中PJSIP对STIR/SHAKEN验证机制的改进

背景介绍

在VoIP通信领域，STIR/SHAKEN协议框架被广泛用于防止电话呼叫欺诈。Asterisk作为一款开源的PBX系统，通过res_stir_shaken模块实现了该协议的验证功能。然而，在实际部署中发现了一个值得改进的技术细节。

原有验证机制的问题

根据Asterisk官方文档，STIR/SHAKEN验证过程需要检查两个时间参数：

1. Identity头中的"iat"(issued at)时间戳
2. SIP消息中的Date头时间

这种双重验证机制在实际应用中可能带来以下问题：

• 部分SIP实现可能不包含Date头
• 增加了不必要的验证步骤
• 与行业标准建议存在差异

行业标准建议

ATIS-1000074标准明确指出：

• 应优先使用完整格式的PASSporT
• 受签名保护的"iat"值比SIP Date头更能可靠地指示PASSporT的新鲜度
• 避免因SIP头处理可能产生的大量错误

技术改进方案

Asterisk开发团队针对这一问题进行了以下改进：

1. 新增配置选项"ignore_sip_date_header"

   • 设置为"yes"时，仅验证"iat"时间戳
   • 设置为"no"时，保持原有双重验证机制

2. 实现细节优化

   • 重构时间验证逻辑
   • 确保向后兼容性
   • 提供清晰的错误日志

实际应用效果

测试表明：

• 启用新选项后，缺少Date头的SIP消息也能正常通过验证
• 验证过程更加符合行业标准建议
• 系统日志更加清晰，便于问题排查

相关技术扩展

此改进还引发了关于证书验证机制的讨论：

• X5U证书链处理需要进一步优化
• 中间证书的自动获取需求
• 证书验证可靠性的提升空间

总结

Asterisk对STIR/SHAKEN验证机制的这次改进，不仅解决了Date头依赖问题，还推动了整个验证流程向更符合标准、更可靠的方向发展。这体现了开源项目持续优化、紧跟行业标准的技术演进特点。

对于系统管理员而言，这项改进意味着更灵活的部署选项和更稳定的验证服务，特别是在异构SIP环境中的兼容性得到了显著提升。