在美國,訂戶身分驗證技術(SHAKEN/STIR 協定)正在蓬勃發展。 讓我們來談談它的運作原理以及實施中潛在的困難。
/flickr/ /
通話問題
未經請求的機器人電話是消費者向聯邦貿易委員會投訴的最常見原因。 2016年組織 ,一年後這個數字就突破了七百萬。
這類垃圾電話不僅佔用了人們的時間。 自動呼叫服務用來勒索金錢。 根據 YouMail 統計,去年 40 月,XNUMX 億次自動撥號電話中有 XNUMX% 。 2018 年夏天,紐約人因代表當局打電話勒索錢財的犯罪分子而損失了約 XNUMX 萬美元。
該問題已引起美國聯邦通訊委員會(FCC)的注意。 組織代表 ,這要求電信公司實施打擊垃圾電話的解決方案。 該解決方案是搖動/攪拌方案。 XNUMX月聯合測試 AT&T 和康卡斯特。
SHAKEN/STIR 協定的工作原理
電信業者將使用數位憑證(它們建立在公鑰加密的基礎上),這將使他們能夠驗證呼叫者。
驗證程序將如下進行。 首先,撥打電話的接線生收到請求 邀請建立連結。 提供者的身份驗證服務檢查有關呼叫的資訊 - 位置、組織、有關呼叫者設備的資料。 根據驗證結果,呼叫會被分配到以下三個類別之一:A - 已知呼叫者的所有信息,B - 已知組織和位置,C - 僅已知訂戶的地理位置。
此後,操作員將帶有時間戳記、呼叫類別和電子證書連結的訊息新增至 INVITE 請求標頭。 這是此類訊息的範例 美國電信之一:
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
接下來,請求發送至被叫訂戶的提供者。 第二個業者使用公鑰解密訊息,將內容與 SIP INVITE 進行比較,並驗證憑證的真實性。 只有在此之後,訂戶之間才會建立連接,並且「接收方」會收到有關誰在呼叫他的通知。
整個驗證過程可以如下圖所示:
根據專家介紹,來電驗證 不超過100毫秒。
意見
如 在美國電信協會,SHAKEN/STIR 將使人們能夠更好地控制他們接聽的電話,使他們更容易決定是否接聽電話。
請閱讀我們的部落格:
但業界一致認為該協議不會是靈丹妙藥。 專家表示,詐騙者只會使用變通辦法。 垃圾郵件發送者將能夠以組織的名義在運營商網路中註冊「虛擬」PBX,並透過它撥打所有電話。 如果 PBX 被阻止,只需重新註冊即可。
上 一位電信公司的代表表示,使用憑證進行簡單的使用者驗證是不夠的。 要阻止詐騙者和垃圾郵件發送者,您需要允許提供者自動阻止此類呼叫。 但要做到這一點,通信委員會將必須制定一套新的規則來規範這個過程。 FCC 可能會在不久的將來討論這個問題。
自今年年初以來,國會議員 一項新法案將要求委員會制定機制,保護公民免受自動電話騷擾,並監督 SHAKEN/STIR 標準的實施。
/flickr/ /
值得注意的是搖動/攪拌 T-Mobile - 針對某些智慧型手機型號並規劃擴大支援的設備範圍 - 以及 — 其運營商客戶可以下載一個特殊的應用程序,該應用程式會對來自可疑號碼的電話發出警告。 其他美國營運商仍在測試該技術。 他們預計將在 2019 年底完成測試。
在我們關於 Habré 的部落格中還可以閱讀哪些內容:
來源: www.habr.com