电信骚扰和诈骗猖獗,已成为全世界的痼疾。不断封堵和阻断“可能是骚扰或诈骗”的呼叫,推动了更多新的号码加入诈骗者的行列。通过黑客手段假冒电话号码、包含实名身份的电话卡/电话号码被骗子获取、甚至直接使用实名电话参与诈骗,使得诈骗电话标记和阻断变得异常困难。
一、密码技术成为国际电信反诈的基本手段
用基于密码的数字签名技术给每一呼叫加上不可更改的可信标签是另一条解决电信骚扰和诈骗的技术途径。2019年开始时,美国联邦通信委员会(FCC)就强制要求通话运营商将每个电话呼叫都做出A、B或C三种标记,分别代表“可信”,“半可信”和“不可信”。当用户收到电话呼叫时,呼叫者的可信标签就会显示出来,以帮助用户识别不可信的电话。由于该技术需要修改核心网络,同时需要营运商增加可信用户的管理手段。尽管美国和加拿大的运营上基本接受了该方案,但全球跟进并不理想。比如,欧盟层面仍无统一强制部署要求,仅少数成员国(如法国)自主推进,欧盟多数国家尚未实施或采用替代方案。我国三大运营商也未实施这项技术标准。
我国也制定了相关的国家标准。该标准采用开放的商用密码算法,通过数字签名技术,给每一个可信的呼叫打上不可更改的可信标签。
二、中国标准方案凭借新理念竖起另一旗帜
我国2024年11月1日正式实施的《基于密码令牌的主叫用户可信身份鉴别技术规范》(英文简写为CHAKEN)国家标准,是由中国科学院大学、中国电信和中国移动和中国联通,联合众多手机厂商联合推出的,是与美国STIR/SHAKEN标准对标的反骚扰抗欺诈的重要技术规范。其全面实施对于保护我国民众利益,推动我国电信运营企业参与国际合作与竞争,引领可信通信产业发展具有重要意义。
国际权威通信行业在线媒体Commsrisk高度关注我国可信通信标准,先后于同年5月及6月连续刊发两篇专题报道:《中国采纳与STIR/SHAKEN竞争的主叫身份鉴别标准》与《CHAKEN初探:STIR/SHAKEN的中国竞争者,支持个人虚拟形象与视频ID》。报道系统解析了中国标准的技术特征及其在国际通信安全领域的创新价值。文章中把我国的标准描述成为超越美国标准的世界未来。相关报道的主要观点翻译如下:
1.STIR/SHAKEN 由美国监管机构和主要运营商支持主导,一直被视为美国的打击骚扰和诈骗电话战略的核心,但昂贵的价格和不佳的效果注定了STIR/SHAKEN难以在全球范围内实施;
2.相比RCD(Rich Call Data)仅能展示企业静态图片(无法呈现个人信息),CHAKEN标准实现了巨大飞跃;
3.因为 CHAKEN 会将每个呼叫与具体主叫手机终端绑定,相关机构将拥有远超 STIR/SHAKEN 宣称的溯源能力;
4.尽管SHAKEN将 “跨境来电验证” 列为优先目标,但至今收效甚微,就连美加之间的跨境来电也尚未实现互认。而CHAKEN的设计者已提前考虑到跨境来电的适配需求。
Commsrisk文章认为: 若 CHAKEN 落地顺利,未来可能出现两种局面:要么CHAKEN 与 SHAKEN 展开竞争,各国选择不同标准;要么标准走向统一。而CHAKEN的功能显然远超STIR/SHAKEN。这将开启一个充满变数的时代。Commsrisk曾反复强调:此类标准不仅是技术问题,更关乎治理--美国试图通过 STIR/SHAKEN 主导国际电信流量治理,这显然威胁中国利益,而CHAKEN为中国提供了制衡手段。“国际合作打击犯罪” 的陈词滥调之所以泛滥,是因为无人真正期待合作落地。而国际社会在来电验证领域的合作意愿,(随着中国标准的实施)或将很快迎来真正考验。
三、CHAKEN与 STIR/SHAKEN标准的技术对比
1.底层密码技术:均采用基于密码的数字签名技术,确保主叫身份信息的真实和不可篡改。但数字签名的密码算法不同。CHAKEN采用SM2密码算法,STIR/SHAKEN采用ES256密码算法。
2.可信信息的丰富程度:STIR/SHAKEN标准规定由运营商对用户呼叫进行签名,由被叫运营商进行验证。由于运营商不了解用户服务细节,显示的主叫信息比较简单,仅为A(高可信)/B(中可信)/C(不可信)三种。尽管后续改进可支持RCD,但仍旧无法支持角色信息。CHAKEN标准中由主叫用户进行签名,由被叫用户进行验证。主叫用户信息由第三方可信机构进行认证,可获得丰富的主叫用户信息,如身份类别、社会角色、个人头像等。
3.隐私保护能力:STIR/SHAKEN标准对一个用户仅能支持一个身份,而我国标准支持5个以上用户可信标识,用户可以选择某种角色(如“高校教师”、“外卖小哥”)的身份标识进行呼出。既保证身份可信,又保护用户隐私,CHAKEN标准技术有天生的优势。
4.能抵御恶意的运营商或伪基站的欺骗:由于STIR/SHAKEN标准依赖运营商进行签名和验证,无法应对恶意的运营商或伪基站协助或放纵的欺骗。CHAKEN标准是在被叫用户端进行验证,可以有效抵制中间的恶意运营商或伪基站的欺骗攻击。
5.追溯能力:STIR/SHAKEN标准依赖运营商进行签名和验证,并不具备完美的对用户的追溯能力。CHAKEN标准将身份与手机/座机,并和号码绑定。使得相关机构具备很强的追溯能力,进一步确保主叫的可信,而不是仅仅依赖运营商的可信。
6.核心网改造要求:STIR/SHAKEN标准要求运营商改造核心网络,增加签名和签名验证机制,需要投入较大成本。CHAKEN标准采用端到端安全技术,运营商不需改动核心网络,不影响核心网的可靠性,能够大幅减少投入成本。CHAKEN的实施需要在终端中安装密码签名和验证模块,通过在终端中安装合规的软件密码模块,能显著降低部署成本。
7.兼容性:CHAKEN标准也支持运营商进行签名和运营商进行预先验证,兼容STIR/SHAKEN标准的运营商的可信用户验证。同时,CHAKEN标准能够通过运营商的预先验证机制,使得国际端口开放可信用户的电话,确保可信用户的国际通信畅通。比如可信的缅甸嘀嘀司机或可信导游可以在封闭缅甸国际端口的前提下,依旧能够打通我国漫游到缅甸的旅行者的手机电话。
四、落地展望
CHAKEN标准采用第三方电子认证机构来进行用户认证和证书颁发,通过严格的用户注册审计,能够有效确保主叫用户的可信。当前,我国已经建设完成覆盖全面、技术成熟、应用广泛的电子认证体系,相关电子认证服务企业都具备良好的可信度和管理认证规范,具备密码签名技术手段和可信用户登记管理能力,为CHAKEN标准落地实施提供了得天独厚的有利条件。
以SM2和SM3算法为基础建立的CHAKEN标准的实施,能为我国建立从算法到产品到检测直至应用安全测评的全面解决方案,形成防骚扰抗欺诈通信安全的技术、产业和服务体系,可推动我国在电信与安全服务行业的又一轮新的发展,也能够为全球治理电信诈骗顽疾提供新的更多选择。
参考资料:
1.China Adopts Rival Caller Identification Standard to STIR/SHAKEN. https://commsrisk.com/china-adopts-rival-caller-identification-standard-to-stir-shaken/
2.First Look at CHAKEN: The Chinese Rival to STIR/SHAKEN with Personal Avatars and Video ID. https://commsrisk.com/first-look-at-chaken-the-chinese-rival-to-stir-shaken-with-personal-avatars-and-video-id/
在近日落幕的“科苑杯”羽毛球联赛中,来自密码学院的研究生孙安泽和柳金延,携手未来技术学院与心理学院组成跨院联队。未来-心理-密码联队(简称“未心密联队”)凭借顽强的斗志与出色的团队协作,在经历了小组赛的波折后上演了精彩的绝地反击。最终实现精彩逆袭。他们一路披荆斩棘、连克强手,从华北赛区67个院系和培养单位组成的共计48支队伍中脱颖而出,成功晋级赛事八强。
跌宕起伏的小组征程
在赛事初期的小组赛阶段,未心密联队的晋级之路并非一帆风顺,虽然以大比分战胜了现代农业科学学院、数学科学学院和工程热物理研究所。但面对空间应用工程及电工所-数学所联队等劲敌,联队均以2:3告负,最终队伍不得不进入残酷的败者组寻找生机。
败者组的突围之路
进入败者组,意味着每一场比赛都是“生死战”。在悬崖边上,未心密联队爆发出了惊人的韧性。
败者组首轮,联队遭遇天文台队的强力阻击。在男双先丢一局的情况下,联队队员顶住压力,连下三城,以3:1挺进败者组决赛。
随后的败者组决赛,面对实力不俗的半导体所空间联队,未心密联队延续了火热的手感,以3:1的比分力克对手,成功拿到了通往淘汰赛阶段的宝贵门票。
密码学院参赛选手孙安泽迎战半导体所空间联队
16进8小组赛豪取三连胜
在16进8的小组循环赛中,未心密联队与地球地质所、资环工程地星联队以及高能生态联队等强劲的对手分在一组。
首战面对地球地质所。双方你来我往,比分交替上升。最终,未心密联队有惊无险地以3:2战胜对手,拿下了这场至关重要的“开门红”。
次战资环工程地星联队,联队气势如虹,没有给对手太多机会,以4:1的比分获得胜利,提前锁定了出线优势。
小组收官战,面对去年的总决赛冠军高能生态联队,未心密联队不畏强敌,敢打敢拼。继首场女双和第二场女单连续为联队拿下二分后,密码学院孙安泽和心理学院洪伟杰联手出战男双,上半局双方比分紧咬,局歇过后,孙安泽和洪伟杰针对对手的抽压打法做出调整,最终有惊无险地拿下比赛。联队连下三城,锁定小组头名。
密码学院参赛选手孙安泽迎战高能生态联队
遗憾止步八强
在8进4淘汰赛中,未心密联队再次遭遇小组赛老对手——高能生态联队。首局失利后,第二场男单比赛中,来自密码学院的孙安泽在16:20落后的逆境下连续挽救五个赛点,与对手战至最后一刻;然而关键分战术执行未达预期,最终以22:24憾负。随后的混双对决,面对对方精妙的战术配合,联队未能有效应对,最终遗憾止步于华北赛区八强。
未心密联队合影
尽管未能更进一步,但从小组赛的奋力拼搏,到败者组的险中求胜,再到十六强赛的连战连捷,未来-心理-密码联队在本次“科苑杯”中展现了顽强不屈、紧密协作的团队精神。愿他们在今后的征程中继续砥砺前行,再创佳绩!
近日,国科大密码学院研究团队全面破解“eXtended CodeBook”(简称XCB)加密方案。XCB是专门用于存储加密的密码方案,2010年正式进入IEEE标准(IEEE Std 1619.2)。密码学院团队提出了一种具有高度普适性的攻击方法,可在最多7次询问的情况下,从任意密文中恢复出全部明文。该攻击方法对XCB所有版本均有效。研究结果表明,XCB存在严重的安全缺陷,且根植于其整体架构,即使将其组件替换为更安全的模块,该攻击方法依然有效。
攻击示意图
IEEE存储安全标准制定工作组已邀请论文作者在工作组会议上报告该项研究成果,并随即启动了修订程序,决定将XCB加密方案从IEEE Std 1619.2中正式移除。修订后的标准已获批,即将发布。该项突破性研究成果已在今年的国际顶级密码学术会议Crypto上发表。
论文信息:Peng Wang, Shuping Mao, Ruozhou Xu, Jiwu Jing, Yuewu Wang. How to Recover the Full Plaintext of XCB. Crypto 2025, LNCS 16004, pp. 230–259, 2025.
2025年9月27日,国务院办公厅正式印发《电子印章管理办法》,标志着我国数字化发展迈出重要一步,具有里程碑意义。在数字化进程中,密码技术作为关键安全支撑,为电子印章的可靠运行提供了坚实保障。
在这一背景下,中国科学院大学密码学院荆继武教授应人民网邀请,深入阐释了密码技术在电子印章管理中的核心作用。他指出:密码技术是电子印章的技术核心、密码标准和密码产品认证是确保电子印章安全的基础、密码技术支撑电子印章构建数字时代的信任体系。
相关解读文章《专家解读:电子印章应用的“密码之盾”》已于2025年11月12日在人民网“社会·法治”专栏正式发布。
原文链接:http://society.people.com.cn/n1/2025/1112/c1008-40602150.html
8月22日,全国网络安全标准化技术委员会正式发布《关于2025年28项网络安全国家标准项目立项的通知》,公布了新一年度网络安全领域国家标准制定计划。在本次公布的28个项目中,中国科学院大学作为牵头单位成功入选2项。
国科大牵头承担的两项标准修订项目分别为:
