电信骚扰和诈骗猖獗,已成为全世界的痼疾。不断封堵和阻断“可能是骚扰或诈骗”的呼叫,推动了更多新的号码加入诈骗者的行列。通过黑客手段假冒电话号码、包含实名身份的电话卡/电话号码被骗子获取、甚至直接使用实名电话参与诈骗,使得诈骗电话标记和阻断变得异常困难。
一、密码技术成为国际电信反诈的基本手段
用基于密码的数字签名技术给每一呼叫加上不可更改的可信标签是另一条解决电信骚扰和诈骗的技术途径。2019年开始时,美国联邦通信委员会(FCC)就强制要求通话运营商将每个电话呼叫都做出A、B或C三种标记,分别代表“可信”,“半可信”和“不可信”。当用户收到电话呼叫时,呼叫者的可信标签就会显示出来,以帮助用户识别不可信的电话。由于该技术需要修改核心网络,同时需要营运商增加可信用户的管理手段。尽管美国和加拿大的运营上基本接受了该方案,但全球跟进并不理想。比如,欧盟层面仍无统一强制部署要求,仅少数成员国(如法国)自主推进,欧盟多数国家尚未实施或采用替代方案。我国三大运营商也未实施这项技术标准。
我国也制定了相关的国家标准。该标准采用开放的商用密码算法,通过数字签名技术,给每一个可信的呼叫打上不可更改的可信标签。
二、中国标准方案凭借新理念竖起另一旗帜
我国2024年11月1日正式实施的《基于密码令牌的主叫用户可信身份鉴别技术规范》(英文简写为CHAKEN)国家标准,是由中国科学院大学、中国电信和中国移动和中国联通,联合众多手机厂商联合推出的,是与美国STIR/SHAKEN标准对标的反骚扰抗欺诈的重要技术规范。其全面实施对于保护我国民众利益,推动我国电信运营企业参与国际合作与竞争,引领可信通信产业发展具有重要意义。
国际权威通信行业在线媒体Commsrisk高度关注我国可信通信标准,先后于同年5月及6月连续刊发两篇专题报道:《中国采纳与STIR/SHAKEN竞争的主叫身份鉴别标准》与《CHAKEN初探:STIR/SHAKEN的中国竞争者,支持个人虚拟形象与视频ID》。报道系统解析了中国标准的技术特征及其在国际通信安全领域的创新价值。文章中把我国的标准描述成为超越美国标准的世界未来。相关报道的主要观点翻译如下:
1.STIR/SHAKEN 由美国监管机构和主要运营商支持主导,一直被视为美国的打击骚扰和诈骗电话战略的核心,但昂贵的价格和不佳的效果注定了STIR/SHAKEN难以在全球范围内实施;
2.相比RCD(Rich Call Data)仅能展示企业静态图片(无法呈现个人信息),CHAKEN标准实现了巨大飞跃;
3.因为 CHAKEN 会将每个呼叫与具体主叫手机终端绑定,相关机构将拥有远超 STIR/SHAKEN 宣称的溯源能力;
4.尽管SHAKEN将 “跨境来电验证” 列为优先目标,但至今收效甚微,就连美加之间的跨境来电也尚未实现互认。而CHAKEN的设计者已提前考虑到跨境来电的适配需求。
Commsrisk文章认为: 若 CHAKEN 落地顺利,未来可能出现两种局面:要么CHAKEN 与 SHAKEN 展开竞争,各国选择不同标准;要么标准走向统一。而CHAKEN的功能显然远超STIR/SHAKEN。这将开启一个充满变数的时代。Commsrisk曾反复强调:此类标准不仅是技术问题,更关乎治理--美国试图通过 STIR/SHAKEN 主导国际电信流量治理,这显然威胁中国利益,而CHAKEN为中国提供了制衡手段。“国际合作打击犯罪” 的陈词滥调之所以泛滥,是因为无人真正期待合作落地。而国际社会在来电验证领域的合作意愿,(随着中国标准的实施)或将很快迎来真正考验。
三、CHAKEN与 STIR/SHAKEN标准的技术对比
1.底层密码技术:均采用基于密码的数字签名技术,确保主叫身份信息的真实和不可篡改。但数字签名的密码算法不同。CHAKEN采用SM2密码算法,STIR/SHAKEN采用ES256密码算法。
2.可信信息的丰富程度:STIR/SHAKEN标准规定由运营商对用户呼叫进行签名,由被叫运营商进行验证。由于运营商不了解用户服务细节,显示的主叫信息比较简单,仅为A(高可信)/B(中可信)/C(不可信)三种。尽管后续改进可支持RCD,但仍旧无法支持角色信息。CHAKEN标准中由主叫用户进行签名,由被叫用户进行验证。主叫用户信息由第三方可信机构进行认证,可获得丰富的主叫用户信息,如身份类别、社会角色、个人头像等。
3.隐私保护能力:STIR/SHAKEN标准对一个用户仅能支持一个身份,而我国标准支持5个以上用户可信标识,用户可以选择某种角色(如“高校教师”、“外卖小哥”)的身份标识进行呼出。既保证身份可信,又保护用户隐私,CHAKEN标准技术有天生的优势。
4.能抵御恶意的运营商或伪基站的欺骗:由于STIR/SHAKEN标准依赖运营商进行签名和验证,无法应对恶意的运营商或伪基站协助或放纵的欺骗。CHAKEN标准是在被叫用户端进行验证,可以有效抵制中间的恶意运营商或伪基站的欺骗攻击。
5.追溯能力:STIR/SHAKEN标准依赖运营商进行签名和验证,并不具备完美的对用户的追溯能力。CHAKEN标准将身份与手机/座机,并和号码绑定。使得相关机构具备很强的追溯能力,进一步确保主叫的可信,而不是仅仅依赖运营商的可信。
6.核心网改造要求:STIR/SHAKEN标准要求运营商改造核心网络,增加签名和签名验证机制,需要投入较大成本。CHAKEN标准采用端到端安全技术,运营商不需改动核心网络,不影响核心网的可靠性,能够大幅减少投入成本。CHAKEN的实施需要在终端中安装密码签名和验证模块,通过在终端中安装合规的软件密码模块,能显著降低部署成本。
7.兼容性:CHAKEN标准也支持运营商进行签名和运营商进行预先验证,兼容STIR/SHAKEN标准的运营商的可信用户验证。同时,CHAKEN标准能够通过运营商的预先验证机制,使得国际端口开放可信用户的电话,确保可信用户的国际通信畅通。比如可信的缅甸嘀嘀司机或可信导游可以在封闭缅甸国际端口的前提下,依旧能够打通我国漫游到缅甸的旅行者的手机电话。
四、落地展望
CHAKEN标准采用第三方电子认证机构来进行用户认证和证书颁发,通过严格的用户注册审计,能够有效确保主叫用户的可信。当前,我国已经建设完成覆盖全面、技术成熟、应用广泛的电子认证体系,相关电子认证服务企业都具备良好的可信度和管理认证规范,具备密码签名技术手段和可信用户登记管理能力,为CHAKEN标准落地实施提供了得天独厚的有利条件。
以SM2和SM3算法为基础建立的CHAKEN标准的实施,能为我国建立从算法到产品到检测直至应用安全测评的全面解决方案,形成防骚扰抗欺诈通信安全的技术、产业和服务体系,可推动我国在电信与安全服务行业的又一轮新的发展,也能够为全球治理电信诈骗顽疾提供新的更多选择。
参考资料:
1.China Adopts Rival Caller Identification Standard to STIR/SHAKEN. https://commsrisk.com/china-adopts-rival-caller-identification-standard-to-stir-shaken/
2.First Look at CHAKEN: The Chinese Rival to STIR/SHAKEN with Personal Avatars and Video ID. https://commsrisk.com/first-look-at-chaken-the-chinese-rival-to-stir-shaken-with-personal-avatars-and-video-id/
