使用Kamailio部署STIR/SHAKEN指南

"这篇文档是关于使用Kamailio部署STIR/SHAKEN的指南，由MartiniSecurity提供，适用于版本1.1。文档基于Creative Commons Attribution-NoDerivatives 4.0 International License发布。内容包括使用Kamailio（自5.6版本起原生支持STIR/SHAKEN的两个模块）与MartiniSecurity的服务来实施STIR/SHAKEN的方法，特别是配合Olive——一个用于订购和自动续签STIR/SHAKEN签名证书的ACME客户端。推荐的方法是使用Vermouth，它作为一个独立于Kamailio的服务，提供REST API用于Kamailio内的SIP呼叫签名和验证，并带有自己的轻量级ACME客户端以实现证书的自动续期。配置示例已在Ubuntu Server 22 LTS上测试，并使用了截至2023年4月4日的最新软件包。" STIR/SHAKEN是电话身份验证框架，旨在打击垃圾电话和网络钓鱼，通过数字签名验证电话呼叫的来源，以确保其真实性。Kamailio是一款开源的SIP服务器，广泛用于VoIP网络，可以处理路由、会话管理等功能。在Kamailio中部署STIR/SHAKEN能够增强通信的安全性，保护用户免受恶意电话的侵扰。 本指南主要关注以下知识点： 1. **STIR/SHAKEN框架**：STIR（Secure Telephony Identity Revisited）和SHAKEN（Secure Handling of Asserted information using toKs for the Internet Telephony）是两项标准，结合使用可验证电话号码的合法性，防止中间人攻击和电话号码篡改。 2. **Kamailio的STIR/SHAKEN模块**：从5.6版本开始，Kamailio提供了两个内建模块支持STIR/SHAKEN。这些模块可能是`stir_shaken`和`stir_acme`，分别用于处理STIR/SHAKEN的签名和证书管理。 3. **Olive ACME客户端**：Olive是由MartiniSecurity开发的工具，帮助用户方便地获取和自动续签用于STIR/SHAKEN签名的证书。ACME（Automated Certificate Management Environment）协议是用于自动化TLS证书申请和管理的标准。 4. **Vermouth应用**：Vermouth作为一个独立服务，它提供了REST API接口，使得Kamailio能够在处理SIP呼叫时进行签名和验证。Vermouth自身的轻量级ACME客户端使得证书续期过程自动化，简化了运维工作。 5. **系统和软件要求**：本指南的配置示例是在Ubuntu Server 22 LTS上进行的，使用的Kamailio及其依赖包都是截至2023年4月4日的最新版本。这意味着在部署STIR/SHAKEN之前，需要确保系统环境满足这些要求。 6. **配置和实施**：文档会详细介绍如何安装和配置Kamailio、Olive以及Vermouth，包括设置证书、配置模块、调用REST API等步骤，以实现完整的STIR/SHAKEN解决方案。 7. **测试和维护**：部署后，需要进行测试以确保STIR/SHAKEN功能正常工作，并了解如何监控和维护这个系统，以便在出现问题时能够迅速响应。 这篇文档为使用Kamailio部署STIR/SHAKEN提供了一套完整的解决方案，涵盖了从理论知识到实际操作的各个环节，对于需要提升VoIP网络安全性的企业和个人来说是一份宝贵的参考资料。