فناوری احراز هویت مشترکین، پروتکل SHAKEN/STIR، در ایالات متحده مورد توجه قرار گرفته است. بیایید در مورد نحوه عملکرد و چالشهای احتمالی پیادهسازی آن بحث کنیم.
/flickr/ /
مشکل در تماسها
تماسهای رباتیک ناخواسته رایجترین دلیل شکایات مصرفکنندگان به کمیسیون تجارت فدرال ایالات متحده است. در سال ۲۰۱۶، این سازمان یک سال بعد، این رقم از هفت میلیون نفر گذشت.
این تماسهای اسپم نه تنها وقت مردم را تلف میکنند، بلکه برای اخاذی نیز مورد استفاده قرار میگیرند. طبق گزارش YouMail، ۴۰ درصد از چهار میلیارد تماس رباتیک انجام شده در سپتامبر سال گذشته در طول تابستان ۲۰۱۸، نیویورکیها تقریباً سه میلیون دلار از طریق انتقال وجه به مجرمانی که آنها را با جعل هویت مقامات و اخاذی خطاب میکردند، از دست دادند.
این مشکل به کمیسیون ارتباطات فدرال ایالات متحده (FCC) اطلاع داده شد. نمایندگان این سازمان که شرکتهای مخابراتی را ملزم به پیادهسازی راهکاری برای مقابله با هرزنامههای تلفنی میکرد. این راهکار پروتکل SHAKEN/STIR بود. در ماه مارس، آزمایش مشترک آن ایتیاندتی و کامکست
نحوه عملکرد پروتکل SHAKEN/STIR
اپراتورهای مخابراتی با گواهیهای دیجیتال (مبتنی بر رمزنگاری کلید عمومی) کار خواهند کرد که امکان تأیید هویت تماسگیرندگان را فراهم میکند.
فرآیند تأیید به شرح زیر انجام میشود: ابتدا، اپراتور تماسگیرنده درخواستی را دریافت میکند دعوت به برقراری ارتباط. سرویس احراز هویت ارائه دهنده، اطلاعات تماس - مکان، سازمان و جزئیات دستگاه تماس گیرنده - را تأیید میکند. بر اساس نتایج تأیید، تماس به یکی از سه دسته زیر اختصاص داده میشود: الف - تمام اطلاعات تماس گیرنده مشخص است؛ ب - سازمان و مکان مشخص است؛ و ج - فقط موقعیت جغرافیایی تماس گیرنده مشخص است.
پس از این، اپراتور پیامی را به سربرگ درخواست INVITE اضافه میکند که شامل یک مهر زمانی، دسته تماس و پیوندی به گواهی الکترونیکی است. در اینجا مثالی از چنین پیامی آورده شده است: یکی از شرکتهای مخابراتی آمریکایی:
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
در مرحله بعد، درخواست به ISP طرف تماس گیرنده ارسال میشود. اپراتور دوم پیام را با استفاده از کلید عمومی رمزگشایی میکند، محتویات را با SIP INVITE مقایسه میکند و صحت گواهی را تأیید میکند. تنها پس از آن ارتباط بین مشترکین برقرار میشود و "گیرنده" اعلان تماس گیرنده را دریافت میکند.
کل فرآیند تأیید را میتوان با یک نمودار نشان داد:

به گفته کارشناسان، تأیید هویت تماس گیرنده بیش از ۱۰۰ میلی ثانیه نباشد.
نظرات
مانند در انجمن USTelecom، SHAKEN/STIR به افراد کنترل بیشتری بر تماسهای دریافتی میدهد و تصمیمگیری در مورد پاسخ دادن به تلفن را برای آنها آسانتر میکند.
در وبلاگ ما بخوانید:
با این حال، برخی در این صنعت معتقدند که این پروتکل "راه حل قطعی" نخواهد بود. کارشناسان میگویند کلاهبرداران به سادگی از راه حلهای جایگزین سوءاستفاده میکنند. اسپمرها میتوانند یک PBX "ساختگی" را در شبکه اپراتور به نام یک سازمان خاص ثبت کنند و تمام تماسها را از طریق آن هدایت کنند. اگر PBX مسدود شود، میتوان آن را به سادگی دوباره ثبت کرد.
بر نماینده یکی از شرکتهای مخابراتی گفت که صرفاً تأیید مشترکین با استفاده از گواهینامهها کافی نیست. برای متوقف کردن کلاهبرداران و اسپمرها، باید به ارائهدهندگان خدمات اجازه داده شود که به طور خودکار چنین تماسهایی را مسدود کنند. اما برای انجام این کار، کمیسیون ارتباطات فدرال (FCC) باید مجموعهای جدید از قوانین را برای تنظیم این فرآیند تدوین کند. و FCC ممکن است در آینده نزدیک به این موضوع رسیدگی کند.
از ابتدای سال، نمایندگان کنگره یک لایحه جدید، کمیسیون را ملزم به تدوین سازوکارهایی برای محافظت از شهروندان در برابر تماسهای رباتیک و نظارت بر اجرای استاندارد SHAKEN/STIR خواهد کرد.

/flickr/ /
شایان ذکر است که تکان دادن/هم زدن تی-موبایل این قابلیت را برای برخی از مدلهای گوشیهای هوشمند دارد و قصد دارد طیف دستگاههای پشتیبانیشده را گسترش دهد. مشتریان این شرکت میتوانند یک اپلیکیشن ویژه دانلود کنند که به آنها در مورد تماسهای مشکوک هشدار میدهد. سایر اپراتورهای آمریکایی هنوز در حال آزمایش این فناوری هستند. انتظار میرود آزمایشهای آنها تا پایان سال ۲۰۱۹ به پایان برسد.
چه چیز دیگری را در وبلاگ ما در مورد هابر بخوانید:
منبع: www.habr.com
