在美国,用户身份验证技术发展势头强劲——SHAKEN/STIR 协议。 让我们谈谈它的运作原理和潜在的实施困难。
/flickr/ /
通话问题
未经请求的机器人电话是消费者向美国联邦贸易委员会投诉的最常见原因。 2016年组织 ,一年后这个数字就超过了七百万。
这些垃圾邮件电话不仅占用人们的时间。 自动呼叫服务用于勒索钱财。 据 YouMail 称,去年 40 月,XNUMX 亿个机器人电话中有 XNUMX% . 2018 年夏天,纽约人损失了约 XNUMX 万美元的转账给代表当局打电话勒索的犯罪分子。
该问题已引起美国联邦通信委员会 (FCC) 的注意。 组织代表 ,这要求电信公司实施解决方案来打击电话垃圾邮件。 该溶液是 SHAKEN/STIR 方案。 XNUMX月,联合测试 AT&T 和康卡斯特。
SHAKEN/STIR 协议的工作原理
电信运营商将使用数字证书(它们基于公钥加密)来验证呼叫者。
验证程序将按如下方式进行。 首先,拨打电话的人的接线员收到一个请求 INVITE 建立连接。 提供商的身份验证服务会检查有关呼叫的信息 - 位置、组织、呼叫者的设备详细信息。 根据检查结果,呼叫被分配到三个类别之一:A - 关于呼叫者的所有信息都是已知的,B - 组织和位置是已知的,以及 C - 仅用户的地理位置是已知的。
之后,运营商将带有时间戳、呼叫类别和电子证书链接的消息添加到 INVITE 请求标头。 这是此类消息的示例 美国电信公司之一:
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
此外,请求转到被叫用户的提供商。 第二个运营商使用公钥解密消息,将内容与 SIP INVITE 进行比较,并验证证书的真实性。 只有在用户之间建立连接之后,“接收”方才会收到有关谁在呼叫他的通知。
整个验证过程可以用一张图表示:
据专家称,来电验证 不超过 100 毫秒。
意见
如 在 USTelecom 协会,SHAKEN/STIR 将让人们更好地控制他们接听的电话,使他们更容易决定是否接听电话。
在我们的博客上阅读:
但业内有观点认为,该协议不会成为“银弹”。 专家表示,诈骗者只会使用变通办法。 垃圾邮件发送者将能够以组织的名义在运营商的网络中注册一个“虚拟”PBX,并通过它拨打所有电话。 在 PBX 阻塞的情况下,可以简单地重新注册。
上 其中一家电信公司的代表表示,使用证书对用户进行简单验证是不够的。 要阻止诈骗者和垃圾邮件发送者,您需要允许 ISP 自动阻止此类呼叫。 但为此,通信委员会将不得不制定一套新的规则来规范这一过程。 FCC 可以在不久的将来处理这个问题。
自年初以来,国会议员 一项新法案将要求委员会制定机制以保护公民免受机器人电话的影响,并监督 SHAKEN / STIR 标准的实施。
/flickr/ /
应该注意的是,SHAKEN/STIR 在 T-Mobile 中 - 适用于某些智能手机型号并计划扩大支持设备的范围 - 以及 - 其运营商的客户可以下载一个特殊的应用程序,该应用程序将警告来自可疑号码的电话。 其他美国运营商仍在测试该技术。 他们预计将在 2019 年底完成测试。
在我们关于 Habré 的博客中还有什么值得阅读的:
来源: habr.com