STIR/SHAKEN, система безопасности связи, была введена в ответ на растущую обеспокоенность по поводу распространенности и последствий нежелательных вызовов в телекоммуникационных сетях. По оценкам, каждый месяц совершается от 3 до 5 миллиардов «робот-звонков», и более 40% этих сообщений так или иначе связаны с мошенничеством.
[Источник изображения: magna5global.com]
Чтобы помочь им в их усилиях по получению доступа к ценной информации или финансовым активам, преступники часто прибегают к методу, известному как спуфинг. Здесь они используют различные методы, чтобы изменить очевидное происхождение своих исходящих телефонных звонков, надеясь обмануть получателя, заставив его ответить на звонок, который, по их мнению, исходит из известного места, человека или учреждения.
В более мягкой форме такой обман может помочь злоумышленнику привлечь внимание к рекламному предложению или опросу по сбору информации. В более серьезных случаях мошенники и преступники могут использовать спуфинг для того, чтобы обманом заставить получателей звонков высвободить средства или разгласить конфиденциальные данные.
[Источник изображения: ftc.gov]
Федеральная комиссия по связи (FCC) выступает за инициативы по ограничению такого рода деятельности с 2014 года. В ответ на это телекоммуникационная отрасль разработала структуру безопасности связи и технологический стандарт, известный как STIR/SHAKEN.
Фактически, по состоянию на 30 июня 2021 года FCC приняла правила, требующие от поставщиков телекоммуникационных услуг развертывания решения STIR/SHAKEN, поэтому об этом определенно стоит знать.
Что означает ПЕРЕМЕШИВАНИЕ/ВЗМУШИВАНИЕ?
STIR/SHAKEN — это комбинированная аббревиатура. Часть STIR основана на первых буквах документа Secure Telephony Identity Revisited и представляет собой заявление о намерениях, для решения которых была создана технологическая структура.
SHAKEN — это конструкция, взятая из фразы «Безопасная обработка подтвержденной информации с использованием toKEN». Это указывает на цифровую методологию, используемую для управления данными связи по протоколу STIR/SHAKEN.
Помимо надписи, STIR на самом деле является рабочей группой в рамках органа по интернет-стандартам, известного как IETF (Internet Engineering Task Force). Эта организация разработала набор протоколов, используемых при создании цифровых подписей для телефонных звонков. SHAKEN включает в себя стандарты, регулирующие развертывание STIR поставщиками телекоммуникационных услуг в своих сетях. Он был официально разработан Альянсом отраслевых решений для телекоммуникаций (ATIS) и аккредитован Американским национальным институтом стандартов (ANSI).
Основные принципы перемешивания/встряхивания
Рабочая группа STIR имеет устав, обязывающий ее определять механизмы, позволяющие проверять авторизацию вызывающей стороны на использование определенного телефонного номера.
Для достижения этой цели структура STIR/SHAKEN использует цифровые сертификаты, гарантирующие безопасность исходного номера для телефонного звонка. Эти сертификаты основаны на методах шифрования с общим открытым ключом, в соответствии с которыми каждый поставщик услуг должен получить цифровой сертификат от центра сертификации, которому доверяют другие поставщики телефонных услуг.
[Источник изображения: getvoip.com]
По сути, технология криптографических сертификатов позволяет стороне, принимающей вызов, убедиться, что номер звонящего является точным и не был подделан. При вызове STIR/SHAKEN исходный поставщик услуг подписывает (или подтверждает) свои отношения с вызывающим абонентом и свое право на использование вызывающего номера.
В рамках протокола инициации сеанса (SIP) цифровой голосовой связи STIR обеспечивает возможность аутентификации идентификатора вызывающего абонента. Протокол SHAKEN определяет сквозную архитектуру, необходимую для реализации аутентификации по идентификатору вызывающего абонента с использованием STIR в телефонной сети.
Типичный рабочий процесс STIR/SHAKEN
Когда кто-то инициирует телефонный звонок, вызывающая сторона выдает сообщение SIP INVITE, которое передается исходному поставщику услуг. После получения провайдер проверяет источник вызова и номер вызывающего абонента, чтобы определить их уровень аттестации. Обычно доступны три варианта:
- При полной аттестации или аттестации «А» поставщик услуг знает, кто является клиентом, и может гарантировать его право на использование определенного номера телефона.
- При частичной аттестации или аттестации «B» поставщик услуг знает клиента, но не знает источник телефонного номера.
- При аттестации шлюза или «C» поставщик услуг не может аутентифицировать источник вызова (который может быть, например, международным шлюзом) — даже если поставщик услуг инициирует вызов в сети.
Исходный поставщик услуг будет использовать службу аутентификации для создания зашифрованного заголовка идентификации SIP. Он состоит из нескольких элементов, в том числе:
- Номер, с которого поступает вызов
- Номер получения
- Текущая дата и отметка времени вызова
- Уровень аттестации
- Уникальный идентификатор источника, который помогает отследить вызов.
После этого SIP Invite и SIP Identity Header отправляются завершающему провайдеру, который передает SIP-приглашение службе проверки. Если вызов успешно подтвержден, завершающий провайдер принимает окончательное решение о завершении или блокировке вызова. Принимая это решение, они будут учитывать уровень аттестации, а также другие факторы, такие как релевантная информация, содержащаяся в их собственной аналитике звонков.
Как это работает более подробно
За кулисами типичная реализация STIR/SHAKEN состоит из нескольких компонентов. Они включают:
Сервер аутентификации STI (STI-AS): Это обеспечивает интерфейс прикладного программирования, известный как REST API, который отвечает за подпись запросов. Для этого API имеет доступ к закрытым ключам в SKS (Secure Key Store).
Сервер СТИ-Верификации (СТИ-ВС): Это предоставляет REST API, который играет роль в обработке запросов на проверку. Этот API также получает открытые ключи из общедоступного Интернета, используя URL-адрес, содержащийся в запросе проверки.
Аутентификатор: Это компонент операторской сети, который вызывает службы аутентификации и подписи для создания и проверки цифровых подписей.
Безопасное хранилище ключей (SKS): Поскольку каждый закрытый ключ, используемый при проверке STIR/SHAKEN, является секретом, известным только оператору связи, подписывающему вызов, важно защитить эти активы. Для этой цели SKS служит безопасным хранилищем. Он также предоставляет закрытые ключи, поскольку они используются STI-AS при подписании запросов.
Репозиторий сертификатов STI (STI-CR): На этом безопасном веб-сервере размещены общедоступные сертификаты, и к нему могут получить доступ поставщики услуг через общедоступный Интернет. Каждый поставщик услуг с закрытыми ключами SHAKEN в хранилище защищенных ключей должен иметь соответствующий STI-CR, где публикуются его общедоступные сертификаты.
Сервер управления ключами (SP-KMS): Это обеспечивает автоматическое управление сертификатами и ключами, а также выполняет ряд функций. SP-KMS запрашивает и получает токен от STI-PA через интерфейс HTTP, а также запрашивает сертификат STI от STI-CA. Он также генерирует пару частного и открытого ключей для подписи и проверки, сохраняя их соответственно в SKS и STI-CR.
Текущие и будущие применения STIR/SHAKEN
По мере того, как STIR/SHAKEN становится все более распространенным, системы аналитики в реальном времени получат больше возможностей различать поддельные и подлинные вызовы, а также будут иметь больше возможностей для фильтрации некачественных сообщений, которые могут ухудшить качество телефонной связи для абонентов сети.
STIR/SHAKEN также может предоставить стандартизированную методологию отслеживания происхождения звонков. На сегодняшний день этого было трудно достичь, учитывая количество разрозненных сетей и соединений, которые обычно задействованы. Однако STIR/SHAKEN включает стандартизированную функцию отслеживания, которая определяет исходную точку вызова в каждой сети. Это открывает возможность оптимизировать процесс обратного отслеживания.
В будущем внедрение STIR/SHAKEN может также позволить создать некоторую форму стандартизированного дисплея, который подтверждает получателям звонков, что идентификатор вызывающего абонента стороны, инициирующей входящий вызов, полностью проверен. Например, это может быть отображение имени вызывающего абонента и цели вызова.
Чтобы начать использовать STIR/SHAKEN для аутентификации вызовов в вашей сети прямо сейчас, вы можете получить доступ к нашему бесплатному инструменту здесь, в IDT.