STIR/SHAKEN 是一种通信安全框架,是为了回应人们对电信网络上未经请求的呼叫的普遍性和影响日益增长的担忧而推出的。 据估计,每月有 3 至 5 亿次“自动拨号电话”,其中超过 40% 的通信与欺诈有关。
[图片来源:magna5global.com]
为了帮助他们努力获取有价值的信息或金融资产,犯罪分子通常会诉诸一种称为欺骗的技术。 在这里,他们使用各种方法来改变外拨电话的明显来源,希望欺骗接听者接听他们认为是来自已知位置、个人或机构的电话。
在规模较温和的一端,这种欺骗可以帮助犯罪者为广告宣传或信息收集调查做好准备。 在更严重的情况下,欺诈者和犯罪分子可能会使用欺骗来欺骗呼叫接收者释放资金或泄露敏感数据。
[图片来源:ftc.gov]
自 2014 年以来,美国联邦通信委员会 (FCC) 一直在倡导遏制此类活动。作为回应,电信行业开发了名为 STIR/SHAKEN 的通信安全框架和技术标准。
事实上,截至 30 年 2021 月 XNUMX 日,FCC 已通过规则,要求电信服务提供商部署 STIR/SHAKEN 解决方案——因此这绝对值得了解。
STIR/SHAKEN 是什么意思?
STIR/SHAKEN 是组合的首字母缩写词。 STIR 部分源自 Secure Telephony Identity Revisited 的首字母,并提供了创建技术框架以解决的问题的意图声明。
SHAKEN 是从短语 Secure Handling of Asserted information using toKENs 中提取的结构。 这指向在 STIR/SHAKEN 协议下用于管理通信数据的数字方法。
除了文字之外,STIR 实际上是互联网标准机构 IETF(互联网工程任务组)内的一个工作组。 该组织开发了一套用于为电话创建数字签名的协议。 SHAKEN 涵盖了电信服务提供商应如何在其网络内部署 STIR 的标准。 它由电信行业解决方案联盟 (ATIS) 正式开发,并获得美国国家标准协会 (ANSI) 的认可。
STIR/SHAKEN 的基本原理
STIR 工作组有一项章程,要求其定义允许验证主叫方使用特定电话号码的授权的机制。
为实现这一点,STIR/SHAKEN 框架使用数字证书来保证来电号码的安全性。 这些证书基于通用公钥加密技术,根据该技术,每个服务提供商都必须从其他电话服务提供商信任的证书颁发机构获得数字证书。
[图片来源:getvoip.com]
从本质上讲,密码证书技术使接听电话的一方能够验证来电号码是否准确,并且没有被欺骗。 在 STIR/SHAKEN 呼叫中,发起服务提供商将签署(或证明)他们与呼叫者的关系,以及他们使用呼叫号码的权利。
在数字语音通信的会话启动协议 (SIP) 中,STIR 提供了对呼叫者 ID 进行身份验证的功能。 SHAKEN 协议定义了在电话网络中使用 STIR 实现主叫方 ID 身份验证所需的端到端架构。
典型的 STIR/SHAKEN 工作流程
当有人发起电话呼叫时,主叫方会发出 SIP INVITE,该消息将发送至始发服务提供商。 收到后,提供商会检查呼叫来源和主叫号码以确定其认证级别。 通常有三个选项可用:
- 在完整或“A”证明中,服务提供商知道客户是谁,并且可以担保他们有权使用特定电话号码。
- 在部分或“B”证明中,服务提供商认识客户,但不知道电话号码的来源。
- 在网关或“C”证明中,服务提供商无法验证呼叫的来源(例如,可能是国际网关)——即使服务提供商在网络上发起呼叫。
始发服务提供商将使用身份验证服务来创建加密的 SIP 身份标头。 这由几个要素组成,包括:
- 来电号码
- 接收号码
- 呼叫的当前日期和时间戳
- 认证级别
- 唯一的发起标识符,有助于追溯呼叫
此后,SIP 邀请和 SIP 身份标头被发送到终端提供商,终端提供商将 SIP 邀请传递给验证服务。 如果调用成功验证,终止提供者将最终决定是完成还是阻止调用。 在做出此决定时,他们将考虑证明级别以及其他因素,例如他们自己的呼叫分析中包含的相关信息。
更详细的工作原理
在幕后,典型的 STIR/SHAKEN 实现由多个组件组成。 他们包括:
STI 认证服务器 (STI-AS): 这提供了一个称为 REST API 的应用程序编程接口,它负责签署请求。 为此,API 可以访问 SKS(安全密钥库)中的私钥。
STI 验证服务器 (STI-VS): 这提供了在处理验证请求中起作用的 REST API。 此 API 还使用验证请求中包含的 URL 从公共互联网检索公钥。
鉴定人: 这是运营商网络中调用身份验证和签名服务来创建和验证数字签名的组件。
安全密钥库 (SKS): 由于 STIR/SHAKEN 验证中使用的每个私钥都是只有签署呼叫的运营商才知道的秘密,因此保护这些资产非常重要。 为此,SKS 充当安全存储库。 它还提供 STI-AS 在签名请求中使用的私钥。
STI 证书存储库 (STI-CR): 这个安全的网络服务器托管公共证书,服务提供商可以通过公共互联网访问。 每个在安全密钥库中拥有 SHAKEN 私钥的服务提供商都应该有一个相应的 STI-CR,其中发布了其公共证书。
密钥管理服务器 (SP-KMS): 这提供了自动化的证书和密钥管理,并提供了许多功能。 除了从 STI-CA 请求 STI 证书之外,SP-KMS 通过 HTTP 接口从 STI-PA 请求并接收令牌。 它还生成用于签名和验证的私钥和公钥对,并将它们分别存储在 SKS 和 STI-CR 中。
STIR/SHAKEN 的当前和未来应用
随着 STIR / SHAKEN 变得更加普遍,实时分析系统将获得更大的能力来区分欺骗性呼叫和真实呼叫,并更强大地过滤掉可能影响网络用户电话体验的不良通信。
STIR/SHAKEN 也有可能提供一种标准化的方法来追溯呼叫的来源。 考虑到通常涉及的不同网络和连接的数量,迄今为止这很难实现。 然而,STIR/SHAKEN 包括一个标准化的跟踪功能,代表每个网络中的呼叫始发点。 这开辟了简化追溯过程的可能性。
将来,采用 STIR/SHAKEN 还可以创建某种形式的标准化显示,向呼叫接收者确认发起来电的一方的呼叫者 ID 已得到充分验证。 例如,这可能是呼叫者姓名和呼叫目的显示。
要立即开始使用 STIR/SHAKEN 对网络上的呼叫进行身份验证,您可以在 IDT 访问我们的免费工具。