搅拌/摇晃：它是什么以及为什么重要的概述

每月发出的4-50 亿个自动电话中，近 40%是欺诈性的，这意味着美国公民平均每月会收到多达 5 个来自网络犯罪分子的非法自动电话。

犯罪分子使用号码欺骗，即故意伪造收件人来电显示上显示的电话号码和姓名的过程，来强迫毫无戒心的个人泄露敏感的个人信息，如银行账户数据、社会保险号码、密码等。

因为诈骗者更改了他们的真实电话号码，以使这些电话看起来像是来自本地号码、银行，甚至是像 IRS 这样的知名机构，所以收件人很容易将欺骗性号码和欺诈性“代表”误认为是真实的事物。

为了打击来电显示/号码欺骗，FCC 开发了 STIR/SHAKEN 来电识别和身份验证协议，以及实施它们所需的框架。

目录：

• 什么是搅拌/摇晃？
• 搅拌/摇晃如何工作？
• 为什么搅拌/摇晃很重要？
• 搅拌/震动：它能做什么和不能做什么
• 搅拌/摇晃常见问题解答

什么是搅拌/摇晃？

STIR/SHAKEN 是一系列技术协议和实施程序，旨在帮助您在 IP 网络上接到来电时验证来电显示上显示的信息。

其主要目标是减少欺诈性机器人电话的数量，从而减少身份盗用和其他VoIP 安全威胁事件。

简而言之，STIR/SHAKEN 通过使用存储在互连网络内的发起、终止和外部运营商中的数据来“签署”显示的来电者身份信息，以验证来电者 ID 是否合法。

搅拌

STIR 是 Secure Telephony Identity Revisited 的缩写，是一个 IETF（互联网任务工程组）工作组，负责概述为 VoIP 电话呼叫创建数字签名所需的技术协议。

这些数字签名（有时称为数字证书）使用 SIP 数据来提供有关呼叫者身份和呼叫来源的信息，以及有关终止提供商的信息。

STIR 由 Internet 工程任务组 (IETF) 于 2018 年 2 月开发，最初以 RFC 8824 的形式发布，作为对先前自动呼叫立法的更新。

简而言之：STIR 是由 IETF 创建的一组技术协议，用于帮助验证/验证呼叫方的身份，确保呼叫您的个人/公司实际上是您正在与之交谈的个人/公司。 它主要关注终端设备。

摇晃

SHAKEN 是使用令牌安全处理断言信息的缩写，它是一个框架，它概述并定义了服务提供商实际实施 STIR 技术以验证通过 IP 网络发出/接收的呼叫的方式。

它由 SIP 论坛和 ATIS（电信行业解决方案联盟）开发，作为对 STIR 的回应。

简而言之：SHAKEN 是服务提供商如何管理其网络中经过 STIR 身份验证的呼叫的标准。 它主要关注跨运营商网络/服务提供商的 STIR 的实际部署/实施过程。

搅拌/摇晃如何工作？

简单来说，STIR/SHAKEN 使用标准加密密钥基础设施工作，允许服务提供商验证和验证 SIP 电话呼叫标头。

当然，这个过程本身要比这复杂得多，而且考虑到技术语言，它可能会变得相当混乱。

我们在上面说过 STIR/SHAKEN 依靠数字证书/数字签名来确保拨打电话的人是他们所说的那个人。

但是这些证书实际上是从哪里来的呢？

下图所示的以下 8 个步骤概述了整个 STIR/SHAKEN 身份验证协议。

第 1 步：接收分配认证级别的 SIP 邀请

首先，VoIP 提供商检查发起呼叫的人（我们称他为 Dave）所拨打的电话号码。

始发提供商还会收到一个 SIP 邀请，它本质上是一个“邀请”，以协助验证和发送呼叫转移。

在发生其他任何事情之前，发起服务提供商需要为调用源分配一个证明级别。

第 2 步：分配证明级别

完整证明（A 级）意味着服务提供商验证是否允许 Dave 使用他拨打的号码。

部分证明（B 级）意味着 Dave 的提供商可以验证呼叫发起点，但无法验证 Dave 是否真的被授权从该号码拨打电话。

网关证明（C 级）意味着 Dave 的提供商会验证从哪里接收到呼叫，但无法验证呼叫的来源。

一旦分配了证明级别，事情就可以向前发展。

第 3 步：初始服务提供商创建 SIP 身份标头

Dave 的 VoIP 提供商查看他们提供给 Dave 的所有呼叫者 ID 标签和相关电话号码，以验证 Dave 确实是 Dave。

作为证明，提供商将加密的身份验证数字证书附加到 SIP 标头。

SIP 标头包含关键信息，例如呼叫者和接收者的电话号码、当前时间戳、证明级别和发起标识符。

第 4 步：终止服务提供商接收 SIP 标头

接收服务提供商解密该证书，读取 SIP 标头中的所有数据，并“获悉”电话号码确实属于 Dave——根据原始服务提供商的说法，即。

第 5 步：发送 SIP 邀请和 SIP 标头进行验证

可以肯定的是，终止提供商将该 SIP 标头发送到验证服务。

第 6 步：验证服务运行自己的测试

收到后，验证服务会检查数字证书并通过其他数据库运行它，包括已知的垃圾邮件数据库和来自其他服务提供商的证书存储库。

第 7 步：验证服务将 SIP 标头返回给终止提供商

一旦验证服务通过公钥和公共证书存储库对 SIP 标头进行身份验证，事情就会向前发展。

第 8 步：目标接收者接听电话

一旦根据 STIR/SHAKEN 标准完全验证和验证了 Dave 的身份，呼叫就会发送给预期的接收者。

总结一下：

1. 发起呼叫的提供商会收到一个 SIP 邀请，这决定了呼叫所需的证明级别
2. 提供商将该 SIP 邀请发送到身份验证服务
3. 身份验证服务将包含数字签名/认证（称为 PASSport）的 SIP 标头发送回初始服务提供商
4. 带有相关证书的 SIP 标头被发送到终止服务提供商（呼叫的接收方）
5. Termination Service Provider 将该 SIP 标头发送到附加的验证服务
6. 验证服务将 SIP 标头发送到证书存储库，该存储库通过解码 SIP 标头数据提供另一个级别的验证
7. 验证服务将 SIP 标头发送回终止提供商，其中包含有关呼叫者 ID 是否有效的信息
8. 如果有效，则终止提供者将呼叫发送给预期的接收者

为什么搅拌/摇晃很重要？

虽然了解 STIR/SHAKEN 的工作原理及其实际作用的过程有点复杂，但最重要的是要记住，这种额外的保护级别为您的业务提供了一些主要好处。

让我们来看看下面的一些好处。

垃圾邮件防护

认为您的团队比接听来自身份不明、不熟悉或彻头彻尾的垃圾电话号码的电话更清楚吗？

再想一想。

（图片来源）

研究表明，在来电显示屏幕上显示公司名称的电话中，有 65% 的电话都得到了应答——即使该公司不熟悉。 此外，来自身份不明号码的电话中有 18% 得到了应答，而来自被识别为垃圾电话号码的电话中有近 9% 得到了应答。

不仅如此，美国人在 2020 年还因自动电话诈骗者损失了近 300 亿美元——而且随着企业在大流行后恢复更正常的运营，预计这一数字只会上升。

使用实施 STIR/SHAKEN 协议的VoIP 软件提供商会显着降低您接到这些危险电话的机会。 请记住，只需要一名员工向可能导致数百万美元诉讼的敏感数据泄露密码即可。

减少 Robocall

没有人喜欢接听电话并听到自动电话录音的嗡嗡声。

这些电话是无情的，令人难以置信的烦人，并且经常妨碍办公室的工作效率。

您的团队浪费的每一分钟都在试图确定线路另一端提供免费环球游轮的人是否真正意味着本可以用于销售、处理即将开展的项目或回答客户服务的时间通话丢失。

（图片来源）

垃圾邮件发送者和自动电话每年浪费数十亿小时的生产力，并且由于浪费的时间而损失了超过 50 亿美元的收入。

STIR/SHAKEN 可帮助您挽回那段时间——以及那段损失的收入。

受保护的声誉

请记住，STIR/SHAKEN 不仅有助于减少您的企业接触到的自动电话和潜在诈骗者的数量。

通过显着降低您自己的企业电话号码被这些相同的号码欺骗者窃取和使用的机会，它还有助于保护您的业务。

如果这些诈骗者掌握了您公司的电话号码并开始使用它来进行烦人、不专业和彻头彻尾的非法机器人电话？ 那么贵公司的声誉几乎肯定会受到影响。

客户将失去对您的业务的信任，如果您甚至无法保护自己的个人信息，他们会想知道您对保护他们的敏感个人信息有多么关心。

另外，如果您被迫更改您的公司电话号码，您还将失去很大一部分联系人——尤其是您可能还不知道其他联系方式的潜在客户。

STIR/SHAKEN 通过确保您的个人或企业号码不会落入坏人之手，帮助您保持良好的业务信誉。

我们建议您与您的客户分享下图，以便他们能够更好地识别潜在的诈骗和电话号码欺骗。

搅拌/震动：它能做什么和不能做什么

STIR/SHAKEN 是打击自动电话和黑客的有效方法，但它不能保证您永远不会收到来自欺骗号码的电话。

请注意，虽然 STIR/SHAKEN 可以识别以前的自动电话号码，验证电话号码，并使欺骗者更难成功从您那里窃取信息，但它不能完全消除自动电话、合法惩罚号码欺骗者或保证自动电话是不需要的垃圾邮件或有恶意。

尽管 STIR/SHAKEN 和其他安全措施不能完全消除黑客的威胁，但当今的 VoIP 提供商提供了出色的网络安全和监控工具，可以大大降低网络犯罪的风险。

我们的顶级商务 VoIP 提供商交互式表格概述了 Nextiva、RingCentral 和 Vonage 等平台，所有这些平台都将 VoIP 安全性提升到了一个新的水平。

搅拌/摇晃常见问题解答

下面，我们回答了一些关于 STIR/SHAKEN 的最常见问题。