在美国,用户身份验证技术发展势头强劲——SHAKEN/STIR 协议。 让我们谈谈它的运作原理和潜在的实施困难。
/flickr/
通话问题
未经请求的机器人电话是消费者向美国联邦贸易委员会投诉的最常见原因。 2016年组织
这些垃圾邮件电话不仅占用人们的时间。 自动呼叫服务用于勒索钱财。 据 YouMail 称,去年 40 月,XNUMX 亿个机器人电话中有 XNUMX%
该问题已引起美国联邦通信委员会 (FCC) 的注意。 组织代表
SHAKEN/STIR 协议的工作原理
电信运营商将使用数字证书(它们基于公钥加密)来验证呼叫者。
验证程序将按如下方式进行。 首先,拨打电话的人的接线员收到一个请求
之后,运营商将带有时间戳、呼叫类别和电子证书链接的消息添加到 INVITE 请求标头。 这是此类消息的示例
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
此外,请求转到被叫用户的提供商。 第二个运营商使用公钥解密消息,将内容与 SIP INVITE 进行比较,并验证证书的真实性。 只有在用户之间建立连接之后,“接收”方才会收到有关谁在呼叫他的通知。
整个验证过程可以用一张图表示:
据专家称,来电验证
意见
如
在我们的博客上阅读:
但业内有观点认为,该协议不会成为“银弹”。 专家表示,诈骗者只会使用变通办法。 垃圾邮件发送者将能够以组织的名义在运营商的网络中注册一个“虚拟”PBX,并通过它拨打所有电话。 在 PBX 阻塞的情况下,可以简单地重新注册。
上
自年初以来,国会议员
应该注意的是,SHAKEN/STIR
在我们关于 Habré 的博客中还有什么值得阅读的:
来源: habr.com