Internet Engineering Task Force (IETF) C. Wendt
Request for Comments: 9795 Somos Inc.
Category: Standards Track J. Peterson
ISSN: 2070-1721 TransUnion
July 2025
This document extends Personal Assertion Token (PASSporT), a token for conveying cryptographically signed call information about personal communications, to include rich metadata about a call and caller that can be signed and integrity protected, transmitted, and subsequently rendered to the called party. This framework is intended to include and extend caller- and call-specific information beyond human-readable display name, comparable to the "Caller ID" function common on the telephone network. It is also enhanced with an integrity mechanism that is designed to protect the authoring and transport of this information for different authoritative use cases.
このドキュメントは、個人的なコミュニケーションに関する暗号化されたコール情報を伝えるためのトークンである個人的なアサーショントークン(パスポート)を拡張し、署名と整合性保護、送信、およびその後、呼び出した当事者にレンダリングできるコールと発信者に関するリッチメタデータを含めます。このフレームワークは、電話ネットワーク上で一般的な「発信者ID」関数に匹敵する、人間が読むことができるディスプレイ名を超えて、発信者および通話固有の情報を含めて拡張することを目的としています。また、さまざまな権威あるユースケースのこの情報の作成と輸送を保護するように設計された整合性メカニズムによって強化されています。
This is an Internet Standards Track document.
これは、インターネット標準トラックドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。インターネット標準の詳細については、RFC 7841のセクション2で入手できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9795.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、https://www.rfc-editor.org/info/rfc9795で取得できます。
Copyright (c) 2025 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(c)2025 IETF Trustおよび文書著者として特定された人。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(https://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、改訂されたBSDライセンスで説明されている保証なしで提供されるように、改訂されたBSDライセンステキストを含める必要があります。
1. Introduction
2. Terminology
3. Overview of the Use of the Rich Call Data PASSporT Extension
4. Overview of Rich Call Data Integrity
5. "rcd" PASSporT Claim: Definition and Usage
5.1. PASSporT "rcd" Claim
5.1.1. "nam" key
5.1.2. "apn" key
5.1.3. "icn" key
5.1.4. "jcd" key
5.1.5. "jcl" key
6. "rcdi" PASSporT Claim: Definition and Usage
6.1. Creation of the "rcd" Element Digests
6.1.1. "nam" and "apn" Elements
6.1.2. "icn" Elements
6.1.3. "jcd" Elements
6.1.4. "jcl" Elements
6.2. JWT Claim Constraints for "rcd" Claims
6.3. JWT Claim Constraints for "rcd" and "rcdi" Claims
7. "crn" PASSporT Claim: Definition and Usage
7.1. JWT Constraint for "crn" Claim
8. Rich Call Data Claims Usage Rules
8.1. "rcd" PASSporT Verification
8.2. "rcdi" Integrity Verification
8.3. Example "rcd" PASSporTs
9. Compact Form of "rcd" PASSporT
9.1. Compact Form of the "rcd" PASSporT Claim
9.2. Compact Form of the "rcdi" PASSporT Claim
9.3. Compact Form of the "crn" PASSporT Claim
10. Third-Party Uses
10.1. Signing as a Third Party
10.2. Verification Using Third-Party RCD
11. Levels of Assurance
12. Use of "rcd" PASSporTs in SIP
12.1. Authentication Service Behavior for SIP Protocol
12.2. Verification Service Behavior for SIP Protocol
13. Using "rcd", "rcdi", and "crn" as Additional Claims to Other
PASSporT Extensions
13.1. Procedures for Applying RCD Claims as Claims Only
13.2. Example for Applying RCD Claims as Claims Only
14. Further Information Associated with Callers
15. IANA Considerations
15.1. JSON Web Token Claim
15.2. Personal Assertion Token (PASSporT) Extensions
15.3. PASSporT RCD Claim Types
16. Security Considerations
16.1. Use of JWT Claim Constraints in Delegate Certificates to
Exclude Unauthorized Claims
17. References
17.1. Normative References
17.2. Informative References
Acknowledgements
Authors' Addresses
PASSporT [RFC8225] is a token format based on JSON Web Token (JWT) [RFC7519] for conveying cryptographically signed information about the parties involved in personal communications; it is used to convey a signed assertion of the identity of the participants in real-time communications established via a protocol like SIP [RFC8224]. The Secure Telephone Identity Revisited (STIR) problem statement [RFC7340] declared securing the display name of callers outside of STIR's initial scope. This document extends the use of JWT and PASSporT in the overall STIR framework by defining a PASSporT extension and the associated STIR procedures to protect additional caller- and call-related information. This is information beyond the calling party originating identity (e.g., telephone number or SIP URI) that is intended to be rendered to assist a called party in determining whether to accept or trust incoming communications. This includes information such as the name of the person or entity on one side of a communications session, for example, the traditional "Caller ID" of the telephone network along with related display information that would be rendered to the called party during alerting or potentially used by an automaton to determine whether and how to alert a called party to a call and whom is calling.
Passport [RFC8225]は、個人コミュニケーションに関与する当事者に関する暗号化された情報を伝えるためのJSON Webトークン(JWT)[RFC7519]に基づくトークン形式です。これは、SIP [RFC8224]のようなプロトコルを介して確立されたリアルタイムコミュニケーションの参加者のアイデンティティの署名された主張を伝えるために使用されます。Secure Telephone Identity Revisited(Stir)問題ステートメント[RFC7340]は、STIRの初期範囲外で発信者のディスプレイ名を確保することを宣言しました。このドキュメントは、パスポート拡張機能と関連する攪拌手順を定義して、追加の発信者関連情報とコール関連情報を保護することにより、JWTとパスポートの使用を全体的な攪拌フレームワークで拡張します。これは、コールパーティの発信者のアイデンティティ(電話番号やSIP URIなど)を超えた情報であり、着信通信を受け入れるか信頼するかを決定する際に、呼び出された当事者が支援することを目的としています。これには、通信セッションの片側にある個人またはエンティティの名前などの情報が含まれます。たとえば、電話ネットワークの従来の「発信者ID」と、アラート中または潜在的に使用される潜在的に使用される潜在的に使用される潜在的に使用される、呼び出した当事者に電話をかけるかどうかを判断するために、呼び出された当事者にレンダリングされる関連情報が含まれます。
Traditional telephone network signaling protocols have long supported delivering a 'calling name' from the originating side, though in practice the terminating side is often left to determine a name from the calling party number by consulting a local address book or an external database. SIP, for example, similarly can carry this information in a display-name in the From header field value (or alternatively the Call-Info header field) from the originating to terminating side. In this document, we utilize the STIR framework to more generally extend the assertion of an extensible set of identity information not limited to but including calling name.
従来の電話ネットワークシグナル伝達プロトコルは、生まれた側から「呼び出し名」を配信することを長い間サポートしてきましたが、実際には、地元のアドレス帳または外部データベースに相談することにより、呼び出しパーティー番号の名前を決定するために終了側がしばしば残されています。たとえば、SIPも同様に、この情報をFrom Header Field値(または、Call-INFOヘッダーフィールド)の発信元から終端側までのディスプレイ名で伝えることができます。このドキュメントでは、Stir Frameworkを利用して、より一般的には、呼び出し名に限定されないが、拡張可能なアイデンティティ情報セットのアサーションを拡張します。
This document extends PASSporT to provide cryptographic protection for the "display-name" field of SIP requests, or similar name fields in other protocols, as well as further "rich call data" (RCD) about the caller, which includes the contents of the Call-Info header field or other data structures that can be added to the PASSporT. In addition, Section 12 describes use cases that enable external third-party authorities to convey rich information associated with a calling number via an "rcd" PASSporT while clearly identifying the third-party as the source of the Rich Call Data information. Finally, this document describes how to preserve the integrity of the RCD in scenarios where there may be non-authoritative users initiating and signing RCD, therefore limiting a PASSporT and the RCD claims it asserts via certificate-level controls.
このドキュメントは、パスポートを拡張して、SIPリクエストの「ディスプレイ名」フィールド、または他のプロトコルの同様の名前フィールドに暗号化保護を提供し、さらに発信者に関する「リッチコールデータ」(RCD)を提供します。さらに、セクション12では、外部のサードパーティ当局が「RCD」パスポートを介して呼び出し番号に関連する豊富な情報を伝えることができるユースケースについて説明し、サードパーティをリッチコールデータ情報のソースとして明確に識別します。最後に、このドキュメントでは、RCDを開始および署名していないシナリオでRCDの整合性を維持する方法について説明します。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
このドキュメント内のキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、および「OPTIONAL」は、ここに示すようにすべて大文字で表示されている場合にのみ、BCP 14 [RFC2119] [RFC8174] で説明されているように解釈されます。
This document defines Rich Call Data (RCD), which is a PASSporT extension [RFC8225] that defines an extensible claim for asserting information about the call beyond the telephone number. This includes more detailed information about the calling party, calling number, or the purpose of the call. There are many use cases that this document describes around the entities responsible for the signing and integrity of this information, whether it is the entity that originates a call, a service provider acting on behalf of a caller, or when third-party services may be authoritative over the RCD on behalf of the caller. In general, PASSporT [RFC8225] has been defined to be independent of the communications protocol, but its initial usage as detailed in [RFC8224] is with the SIP protocol [RFC3261]. There are many SIP-specific references and definitions in this document, but future specifications may extend the usage of RCD PASSporTs and claims to other protocol-specific usage and definitions.
このドキュメントでは、電話番号を超えてコールに関する情報を主張するための拡張可能なクレームを定義するパスポート拡張機能[RFC8225]であるRICHコールデータ(RCD)を定義します。これには、呼び出し当事者、通話番号、または呼び出しの目的に関するより詳細な情報が含まれます。このドキュメントが、この情報の署名と整合性を担当するエンティティを中心に説明している多くのユースケースがあります。それは、通話を発信するエンティティであるかどうか、発信者に代わって行動するサービスプロバイダー、またはサードパーティサービスが発信者に代わってRCDを介して権威ある場合です。一般に、パスポート[RFC8225]は通信プロトコルとは独立していると定義されていますが、[RFC8224]で詳述されている最初の使用法はSIPプロトコル[RFC3261]にあります。このドキュメントには多くのSIP固有の参照と定義がありますが、将来の仕様はRCDパスポートの使用を拡張し、他のプロトコル固有の使用と定義に対する主張を主張する場合があります。
The RCD associated with the identity of the calling party described in this document is of two main categories. The first data is a more traditional set of information about a caller associated with "display-name" in SIP [RFC3261], typically a textual description of the caller, or alternate presentation numbers often used in the From header field [RFC3261] or P-Asserted-Identity header field [RFC3325], or an icon associated with the caller. The second category is a set of RCD that is defined as part of the jCard definitions or extensions to that data. [RFC9796] describes the optional use of jCard in the Call-Info header field as RCD with the "jcard" Call-Info purpose token. Either or both of these two types of data can be incorporated into an "rcd" claim as defined in this document.
このドキュメントに記載されている呼び出し当事者のIDに関連付けられたRCDは、2つの主要なカテゴリのものです。最初のデータは、SIP [RFC3261]の「ディスプレイ名」に関連付けられた発信者に関するより伝統的な情報セット、通常は発信者のテキストの説明、またはFrom Headerフィールド[RFC3261]またはP容認されたIDENTITYヘッダーフィールド[RFC3325]、またはカレットに関連するICONで使用される代替プレゼンテーション番号。2番目のカテゴリは、JCARD定義の一部として定義されるRCDのセットまたはそのデータの拡張です。[RFC9796]は、「JCard」コール-INFO目的トークンを備えたRCDとして、コールINFOヘッダーフィールドでのJCARDのオプションの使用について説明しています。この2種類のデータのいずれかまたは両方を、このドキュメントで定義されている「RCD」クレームに組み込むことができます。
Additionally, in relation to the description of the specific communications event itself (versus the identity description in the previous paragraph), [RFC9796] also describes a "call-reason" parameter intended for description of the intent or reason for a particular call. A new PASSporT claim "crn", or call reason, can contain a string that describes the intent of the call. This claim is intentionally kept separate from the "rcd" claim because it is envisioned that call reason is not the same as information associated with the caller and may change on a more frequent, per-call basis.
さらに、特定のコミュニケーションイベント自体の説明に関連して(前の段落のIDの説明に対して)、[RFC9796]は、特定の呼び出しの意図または理由の説明を目的とした「コールリアン」パラメーターについても説明しています。新しいパスポートの主張「CRN」、またはコール理由には、コールの意図を説明する文字列を含めることができます。このクレームは、呼び出しの理由が発信者に関連する情報と同じではなく、より頻繁に変化する可能性があることが想定されているため、「RCD」クレームとは別に維持されています。
When incorporating call data that represents a user, even in traditional calling name services today, often there are policy and restrictions around what data elements are allowed to be used. Whether preventing offensive language or icons, enforcing uniqueness, notifying about potential trademark or copyright violations, or enforcing other policies, there might be the desire to pre-certify or "vet" the specific use of RCD. This document defines a mechanism that allows for a direct or indirect party that (a) enforces the policies to approve or certify the content, (b) creates a cryptographic digest that can be used to validate that data, and (c) applies a constraint in the certificate to allow the recipient and verifier to validate that the specific content of the RCD is as intended at its creation and its approval or certification.
ユーザーを表すコールデータを組み込む場合、今日の従来の呼び出し名サービスでさえ、多くの場合、使用が許可されているデータ要素に関するポリシーと制限があります。攻撃的な言語やアイコンの防止、一意性の実施、潜在的な商標や著作権違反についての通知、または他のポリシーの実施など、RCDの特定の使用を事前認定または「獣医」したいという願望があるかもしれません。このドキュメントは、(a)コンテンツを承認または認証するポリシーを実施する直接または間接的な当事者を可能にするメカニズムを定義します。(b)そのデータを検証するために使用できる暗号化ダイジェストを作成します。
There are two mechanisms that are defined to accomplish that for two distinct categories of purposes. The first of the mechanisms include the definition of an integrity claim. The RCD integrity mechanism is a process of generating a cryptographic digest for each resource referenced by a URI within a claim value (e.g., an image file referenced by "jcd" or a jCard referenced by "jcl"). This mechanism is inspired by and based on the W3C Subresource Integrity specification [W3C-SubresourceIntegrity]. The second of the mechanisms uses the capability called JWT Claim Constraints, defined in [RFC8226] and extended in [RFC9118]. The JWT Claim Constraints specifically guide the verifier within the certificate used to compute the signature in the PASSporT for the inclusion (or exclusion) of specific claims and their values, so that the content intended by the signer can be verified to be accurate.
2つの異なるカテゴリの目的でそれを達成するために定義される2つのメカニズムがあります。最初のメカニズムには、整合性請求の定義が含まれます。RCD整合性メカニズムは、請求値内でURIによって参照される各リソースの暗号化ダイジェストを生成するプロセスです(たとえば、「JCD」または「JCL」で参照されるJCARD)によって参照される画像ファイル)。このメカニズムは、W3Cサブリソースの整合性仕様[W3C-SubresourceIntegrity]に触発され、基づいています。メカニズムの2番目は、[RFC8226]で定義され、[RFC9118]で拡張されたJWTクレーム制約と呼ばれる機能を使用します。JWTクレームの制約は、特定のクレームとその値の包含(または除外)のためにパスポート内の署名を計算するために使用される証明書内の検証剤を具体的に導き、署名者が意図したコンテンツを正確に確認できるようにします。
Both of these mechanisms, integrity digests and JWT Claims Constraints, can be used together or separately depending on the intended purpose. The first category of purpose is whether the RCD conveyed in the PASSporT claims is passed by value or passed by reference; i.e., is the information contained in the PASSporT claims and therefore integrity protected by the PASSporT signature, or is the information contained in an external resource referenced by a URI in the PASSporT? The second category of purpose is whether the signer is authoritative or has responsibility for the accuracy of the RCD based on the policies of the ecosystem the "rcd" PASSporTs or "rcd" claims are being used.
これらのメカニズム、整合性ダイジェスト、およびJWTの両方のメカニズムは両方とも、目的の目的に応じて、または別々に使用できます。目的の最初のカテゴリは、パスポートのクレームで伝えられたRCDが価値で渡されるか、参照によって渡されるかどうかです。つまり、パスポートのクレームに含まれる情報、したがってパスポートの署名によって整合性が保護されているのか、それともパスポートのURIが参照する外部リソースに含まれる情報は?目的の2番目のカテゴリは、署名者がエコシステムのポリシーに基づいてRCDの正確性を信頼できるか責任があるかということです。「RCD」パスポートまたは「RCD」クレームが使用されていることです。
The following table provides an overview of the framework for how integrity should be used with RCD. ("Auth" represents "authoritative" in this table.)
次の表は、RCDで整合性をどのように使用するかについてのフレームワークの概要を示します。(「AUTH」は、この表の「権威ある」を表しています。)
+==========+=====================+==================================+
| Modes | No URI refs | Includes URI refs |
+==========+=====================+==================================+
| Auth | 1: No integrity req | 2: RCD Integrity |
+==========+---------------------+----------------------------------+
| Non-Auth | 3: JWT Claim Const. | 4: RCD Integ. / |
| | | JWT Claim Const. |
+==========+---------------------+----------------------------------+
Table 1
The first and simplest mode is exclusively for when all RCD content is directly included as part of the claims (i.e., no URIs referencing external content are included in the content) and when the signer is authoritative over the content. In this mode, integrity protection is not required, and the set of claims is simply protected by the signature of the standard PASSporT [RFC8225] and SIP identity header [RFC8224] procedures. The second mode is an extension of the first where the signer is authoritative, and an "rcd" claim contents include a URI identifying external resources. In this mode, an RCD Integrity or "rcdi" claim MUST be included. This integrity claim is defined later in this document and provides a digest of the "rcd" claim content so that, particularly for the case where there are URI references in the RCD, the content of that RCD can be comprehensively validated that it was received as intended by the signer of the PASSporT.
最初の最も単純なモードは、すべてのRCDコンテンツがクレームの一部として直接含まれる場合のみです(つまり、外部コンテンツを参照するURIがコンテンツに含まれていません)、および署名者がコンテンツに対して権威ある場合です。このモードでは、整合性保護は必要ありません。一連のクレームは、標準のパスポート[RFC8225]およびSIP IDヘッダー[RFC8224]手順の署名によって単純に保護されます。2番目のモードは、署名者が権威ある最初のモードの拡張であり、「RCD」クレームの内容には、外部リソースを識別するURIが含まれます。このモードでは、RCDの整合性または「RCDI」クレームを含める必要があります。この整合性のクレームはこのドキュメントの後半で定義されており、特にRCDにURI参照がある場合、そのRCDの内容をパスポートの署名者が意図したとおりに受信したことを包括的に検証できるように、「RCD」クレームコンテンツのダイジェストを提供します。
The third and fourth modes cover cases where there is a different authoritative entity responsible for the content of the RCD, separate from the signer of the PASSporT itself, allowing the ability, in particular when delegating signing authority for PASSporT, for agreed or vetted content to be included in or referenced by the RCD claim contents. The primary framework for allowing the separation of authority and the signing of PASSporTs by non-authorized entities is detailed in [RFC9060], although other cases may apply. As with the first and second modes, the third and fourth modes differ with the absence or inclusion of referenced external content using URIs.
3番目と4番目のモードは、パスポート自体の署名者とは別のRCDのコンテンツに責任がある異なる権威あるエンティティがあるケースをカバーし、特にパスポートの署名権限を委任するときに、RCDクレームコンテンツに含まれるか、または参照される合意または吟味されたコンテンツを委任する際の能力を可能にします。他のケースが適用される場合がありますが、権威の分離とパスポートの署名を許可されていないエンティティによるパスポートの署名を許可するための主要なフレームワークは、[RFC9060]に詳述されています。最初のモードと2番目のモードと同様に、3番目と4番目のモードは、URIを使用して参照された外部コンテンツを包含または含めることによって異なります。
This document defines a new JSON Web Token claim for "rcd", Rich Call Data, the value of which is a JSON object that can contain one or more key value pairs. This document defines a default set of key values.
このドキュメントでは、「RCD」、リッチコールデータの新しいJSON Webトークンクレームを定義します。その値は、1つ以上のキー値ペアを含むJSONオブジェクトです。このドキュメントは、キー値のデフォルトセットを定義します。
The "nam" key value is a display name, associated with the originator of personal communications, which may, for example, match the display-name component of the From header field value of a SIP request [RFC3261] or alternatively of the P-Asserted-Identity header field value [RFC3325], or a similar field in other PASSporT using protocols. This key MUST be included once as part of the "rcd" claim value JSON object. The key syntax of "nam" MUST follow the display-name ABNF given in [RFC3261]. If there is no string associated with a display name, the claim value MUST be an empty string.
「NAM」キー値は、個人的なコミュニケーションの創始者に関連付けられたディスプレイ名です。たとえば、SIP要求[RFC3261]のヘッダーフィールド値のディスプレイ名コンポーネント、またはP-ASTERTED-IDENTITYヘッダーフィールド値[RFC3325]、またはプロトコルを使用した他のパスポートの同様のフィールドのディスプレイ名コンポーネントと一致する場合があります。このキーは、「RCD」請求値JSONオブジェクトの一部として一度含める必要があります。「NAM」の重要な構文は、[RFC3261]で与えられたディスプレイ名ABNFに従う必要があります。ディスプレイ名に関連付けられた文字列がない場合、クレーム値は空の文字列でなければなりません。
The "apn" key value is an optional alternate presentation number associated with the originator of personal communications, which may, for example, match the user component of the From header field value of a SIP request (in cases where a network number is carried in the P-Asserted-Identity [RFC3325]), or alternatively of the Additional-Identity header field value [TS.3GPP.24.229], or a similar field in other PASSporT-using protocols. Its intended semantics are to convey a number that the originating user is authorized to show to called parties in lieu of their default number, such as cases where a remote call agent uses the main number of a call center instead of their personal telephone number. The "apn" key value is a canonicalized telephone number per [RFC8224], Section 8.3. If present, this key MUST be included once as part of the "rcd" claim value JSON object.
「APN」キー値は、個人コミュニケーションの発信者に関連付けられたオプションの代替プレゼンテーション番号です。たとえば、SIP要求のヘッダーフィールド値のユーザーコンポーネントと一致する可能性があります(ネットワーク番号がP-ASTERTED-IDINTITY [RFC3325]で運ばれる場合)、または追加のアイデンティティヘッダー値[TS.3GPP.24.24.24.229]の場合、プロトコル。その意図されたセマンティクスは、リモートコールエージェントが個人の電話番号の代わりにコールセンターのメイン番号を使用する場合など、デフォルト番号の代わりに、デフォルト番号の代わりに、発信元のユーザーが呼び出した当事者に示すことを許可されている番号を伝えることです。「APN」キー値は、[RFC8224]、セクション8.3あたりの標準化された電話番号です。存在する場合、このキーは「RCD」請求値JSONオブジェクトの一部として一度含める必要があります。
The use of the optional "apn" key is intended for cases where the signer of an "rcd" PASSporT or "rcd" claims authorizes the use of an alternate presentation number by the user. How the signer determines that a user is authorized to present the number in question is a policy decision outside the scope of this document. However, the vetting of the alternate presentation number should follow the same level of vetting as telephone identities or any other information contained in an "rcd" PASSporT or "rcd" claims. The use of the "apn" key is intended as an alternative to conveying the presentation number in the "tel" key value of a jCard, in situations where no other rich jCard data needs to be conveyed with the call. Only one "apn" key may be present. "apn" MUST be used when it is the intent of the caller or signer to display the alternate presentation number even if "jcd" or "jcl" keys are present in a PASSporT with a "tel" key value.
オプションの「APN」キーの使用は、「RCD」パスポートまたは「RCD」クレームの署名者が、ユーザーによる代替プレゼンテーション番号の使用を承認する場合を対象としています。署名者がユーザーが問題の番号を提示する権限を与えられていると判断する方法は、このドキュメントの範囲外のポリシー決定です。ただし、代替のプレゼンテーション番号の審査は、電話または「RCD」パスポートまたは「RCD」クレームに含まれる他の情報と同じレベルの審査を行う必要があります。「APN」キーの使用は、JCARDの「Tel」キー値でプレゼンテーション番号を伝えるための代替手段として、他の豊富なJCARDデータを通話で伝える必要がない状況で意図されています。1つの「APN」キーのみが存在する場合があります。「JCD」または「JCL」キーが「Tel」キー値を持つパスポートに存在する場合でも、「APN」は、発信者または署名者の意図である場合に使用する必要があります。
The "icn" key value is an optional HTTPS URL reference to an image resource that can be used to pictorially represent the originator of personal communications. This icon key value should be used as a base or default method of associating an image with a calling party.
「ICN」キー値は、個人コミュニケーションの発信者を描写するために使用できる画像リソースへのオプションのHTTPS URL参照です。このアイコンキー値は、画像を呼び出しパーティーに関連付けるベースまたはデフォルトの方法として使用する必要があります。
When being used for SIP [RFC3261], this claim key value is used to protect the Call-Info header field with a purpose parameter value of "icon" as described in Section 20.9 of [RFC3261]. For example:
SIP [RFC3261]に使用される場合、このクレームキー値は、[RFC3261]のセクション20.9で説明されているように、「アイコン」の目的パラメーター値を使用してコールINFOヘッダーフィールドを保護するために使用されます。例えば:
Call-Info: <http://wwww.example.com/alice/photo.jpg>;
purpose=icon
Note that [RFC9796] extends the specific usage of "icon" in SIP in the context of the larger rich call data framework with specific guidance on referencing images and image types, sizes, and formats.
[RFC9796]は、画像と画像の種類、サイズ、フォーマットの参照に関する特定のガイダンスを備えた、より大きなリッチコールデータフレームワークのコンテキストで、SIPの「アイコン」の特定の使用法を拡張することに注意してください。
It should be also noted that with jCard, as described for "jcd" and "jcl" key values (Sections 5.1.4 and 5.1.5) and in [RFC9796], there are alternative ways of including photos and logos as HTTPS URL references. The "icn" key should be considered a base or default image, and jCard usage should be considered for profiles and extensions that provide more direct guidance on the usage of what each image type represents for the proper rendering to end users.
また、「JCD」および「JCL」キー値(セクション5.1.4および5.1.5)について説明されているように、[RFC9796]では、写真とロゴをHTTPS URL参照として含める別の方法があることにも注意する必要があります。「ICN」キーはベースまたはデフォルトの画像と見なされる必要があり、JCARDの使用は、エンドユーザーへの適切なレンダリングのために各画像タイプが表すものの使用に関するより直接的なガイダンスを提供するプロファイルと拡張機能を考慮する必要があります。
The "jcd" key value is defined to contain a jCard JSON object [RFC7095]. The jCard is defined in this specification as an extensible object format used to contain RCD information about the call initiator. This object is intended to directly match the Call-Info header field value defined in [RFC9796] with a type of "jcard", where the format of the jCard and properties used should follow the normative usage and formatting rules and procedures in that document. It is an extensible object where the calling party can provide both the standard types of information defined in jCard or can use the built-in extensibility of the jCard specification to add additional information. The "jcd" key is optional. Either a "jcd" or "jcl" MAY appear in the "rcd" claim, but not both.
「JCD」キー値は、JCARD JSONオブジェクト[RFC7095]を含むように定義されています。JCardは、この仕様では、コールイニシエーターに関するRCD情報を含めるために使用される拡張可能なオブジェクト形式として定義されています。このオブジェクトは、[RFC9796]で定義されたコールINFOヘッダーフィールド値を「JCARD」のタイプと直接一致させることを目的としています。ここでは、使用されるJCARDとプロパティの形式は、そのドキュメントの規範的使用およびフォーマットルールと手順に従う必要があります。これは、呼び出し者がJCardで定義されている標準の種類の情報を提供するか、JCARD仕様の組み込み拡張性を使用して追加情報を追加できる拡張可能なオブジェクトです。「JCD」キーはオプションです。「JCD」または「JCL」のいずれかが「RCD」クレームに表示される場合がありますが、両方ではありません。
The jCard object value for "jcd" MUST be a jCard JSON object that MAY have URI-referenced content, but that URI-referenced content MUST NOT further reference URIs. Future specifications may extend this capability, but [RFC9796] constrains the security properties of RCD information and the integrity of the content referenced by URIs.
「JCD」のJCardオブジェクト値は、URIが参照されるコンテンツを持つ可能性のあるJCard JSONオブジェクトでなければなりませんが、URI参照コンテンツはURIをさらに参照する必要はありません。将来の仕様はこの機能を拡張する可能性がありますが、[RFC9796]は、RCD情報のセキュリティプロパティとURISが参照するコンテンツの整合性を制約します。
Note: Even though we refer to [RFC9796] as the definition of the jCard properties for usage in "rcd" claims, using the Call-Info header field with RCD information in a SIP request beyond the use of identity header as defined in this document is not required. Identity header fields are generally encouraged for all transport of authenticated and protected RCD information over Network-to-Network Interfaces (NNIs) between untrusted parties or over untrusted networks. The use of Call-Info header fields to carry RCD information as defined in [RFC9796] is suggested for use in trusted networks relationships, generally for User-Network Interfaces (UNIs).
注:[RFC9796]を「RFC9796」を「RCD」クレームで使用するためのJCardプロパティの定義と呼んでいますが、このドキュメントで定義されたIDヘッダーの使用を超えたSIPリクエストでRCD情報を使用してCall-INFOヘッダーフィールドを使用しても不要です。アイデンティティヘッダーフィールドは、一般に、信頼できないパーティー間または信頼されていないネットワーク間のネットワーク間インターフェイス(NNI)を介した認証および保護されたRCD情報のすべての輸送に対して奨励されています。[RFC9796]で定義されているRCD情報を携帯するためのコールINFOヘッダーフィールドの使用は、一般にユーザーネットワークインターフェイス(UNIS)で、信頼できるネットワーク関係で使用するために提案されています。
The "jcl" key value is an HTTPS URL that refers to a jCard JSON object [RFC7095] on a web server. The web server MUST use the media type for JSON text as application/json with a default encoding of UTF-8 [RFC8259]. This link may correspond to the Call-Info header field value defined in [RFC9796] with a type of "jcard". As also defined in [RFC9796], the format of the jCard and properties used should follow the normative usage and formatting rules and procedures. The "jcl" key is optional. The "jcd" or "jcl" keys MAY only appear once in the "rcd" claim but MUST be mutually exclusive.
「JCL」キー値は、Webサーバー上のJCard JSONオブジェクト[RFC7095]を指すHTTPS URLです。Webサーバーは、UTF-8 [RFC8259]のデフォルトエンコードを使用して、JSONテキストのメディアタイプをアプリケーション/JSONとして使用する必要があります。このリンクは、[rfc9796]で定義された「jcard」で定義されたコール-infoヘッダーフィールド値に対応する場合があります。[RFC9796]でも定義されているように、使用されるJCARDとプロパティの形式は、規範的使用およびフォーマットルールと手順に従う必要があります。「JCL」キーはオプションです。「JCD」または「JCL」キーは、「RCD」クレームに1回しか表示されませんが、相互に排他的でなければなりません。
The jCard object referenced by the URI value for "jcl" MUST be a jCard JSON object that MAY have URI-referenced content, but that URI-referenced content MUST NOT further reference URIs. Future specifications may extend this capability, but [RFC9796] constrains the security properties of RCD information and the integrity of the content referenced by URIs.
「JCL」のURI値によって参照されるJCardオブジェクトは、URI参照コンテンツを持つ可能性のあるJCard JSONオブジェクトでなければなりませんが、URI参照コンテンツはURIをさらに参照する必要はありません。将来の仕様はこの機能を拡張する可能性がありますが、[RFC9796]は、RCD情報のセキュリティプロパティとURISが参照するコンテンツの整合性を制約します。
The "rcdi" claim is included for the second and fourth modes described in the integrity overview (Section 4). "rcdi" and "rcd" claims MAY each appear once in a PASSporT, but if "rcdi" is included, the "rcd" MUST be present correspondingly. The value of the "rcdi" claim is a JSON object that is defined as follows.
「RCDI」クレームは、整合性の概要(セクション4)で説明されている2番目と4番目のモードに含まれています。「RCDI」および「RCD」クレームはそれぞれパスポートに一度表示される可能性がありますが、「RCDI」が含まれている場合、「RCD」がそれに応じて存在する必要があります。「RCDI」クレームの値は、次のように定義されるJSONオブジェクトです。
The claim value of the "rcdi" claim key is a JSON object with a set of JSON key/value pairs. Each "rcdi" claim key/value pair corresponds to each of the elements of the "rcd" claim object that require integrity protection with an associated digest over the content referenced by the key string. The individual digest of different elements of the "rcd" claim data and URI-referenced external content is kept specifically separate to allow the ability to verify the integrity of only the elements that are ultimately retrieved, downloaded, or rendered to the end user.
「RCDI」クレームキーの請求値は、JSONキー/値のペアのセットを備えたJSONオブジェクトです。各「RCDI」クレームキー/値ペアは、キー文字列が参照されているコンテンツに関連するダイジェストで整合性保護を必要とする「RCD」クレームオブジェクトの各要素に対応します。「RCD」クレームデータとURI参照の外部コンテンツの異なる要素の個々のダイジェストは、最終的に取得、ダウンロード、またはレンダリングされた要素のみの整合性のみを検証できるように、特異的に個別に保持されます。
The key value references a specific object within the "rcd" claim value using a JSON pointer defined in [RFC6901] with a minor additional rule to support URI references to external content that include JSON objects themselves, for the specific case of the use of "jcl", defined in Section 6.1.4. JSON pointer syntax is the key value that documents exactly the part of JSON that is used to generate the digest that produces the resulting string that makes up the value for the corresponding key. Detailed procedures are provided below, but an example "rcdi" is provided here:
キー値は、[RFC6901]で定義されたJSONポインターを使用して「RCD」クレーム値内の特定のオブジェクトを参照し、セクション6.1.4で定義されている「JCL」の使用の特定のケースについて、JSONオブジェクト自体を含む外部コンテンツ自体へのURI参照をサポートするためのマイナーな追加ルールを使用します。JSON Pointer構文は、対応するキーの値を構成する結果の文字列を生成するダイジェストを生成するために使用されるJSONの部分を正確に文書化するキー値です。詳細な手順を以下に示しますが、「RCDI」の例をここに示します。
"rcdi" : {
"/jcl": "sha256-7kdCBZqH0nqMSPsmABvsKlHPhZEStgjojhdSJGRr3rk",
"/jcl/1/2/3": "sha256-jL4f47fF82LuwcrOrSyckA4SWrlElfARHkW6kYo1JdI"
}
The values of each key/value pair consists of a digest across one of the following objects referenced by the JSON pointer key:
各キー/値ペアの値は、JSONポインターキーによって参照される次のオブジェクトのいずれかを横切るダイジェストで構成されています。
* the content inline to the referenced object,
* 参照されるオブジェクトへのコンテンツインライン、
* the content of a resource referenced by an inline URI object, or
* インラインURIオブジェクトによって参照されるリソースの内容、または
* the content of a resource specified by a URI that is in embedded in content specified by an inline URI object (e.g., "jcl")
* インラインURIオブジェクトによって指定されたコンテンツに埋め込まれたURIによって指定されたリソースのコンテンツ(例:「JCL」)
This is combined with a string that defines the cryptographic algorithm used to generate the digest. RCD implementations MUST support the hash algorithms SHA-256, SHA-384, and SHA-512. These hash algorithms are identified by "sha256", "sha384", and "sha512", respectively. SHA-256, SHA-384, and SHA-512 are part of the SHA-2 set of cryptographic hash functions [RFC6234] defined by the US National Institute of Standards and Technology (NIST). Implementations MAY support additional recommended hash algorithms in [IANA-COSE-ALG], that is, the hash algorithms with "Yes" in the "Recommended" column of the IANA registry. Hash algorithm identifiers MUST use only lowercase letters, and they MUST NOT contain hyphen characters. The character following the algorithm string MUST be a hyphen character ("-", %x2D). The subsequent characters are the base64 encoded [RFC4648] digest of a canonicalized and concatenated string or binary data based on the JSON pointer referenced elements of the "rcd" claim or the URI-referenced content contained in the claim. The next section covers the details of the determination of the input string used to determine the digest.
This is combined with a string that defines the cryptographic algorithm used to generate the digest.RCD implementations MUST support the hash algorithms SHA-256, SHA-384, and SHA-512.These hash algorithms are identified by "sha256", "sha384", and "sha512", respectively.SHA-256、SHA-384、およびSHA-512は、米国国立標準技術研究所(NIST)によって定義された暗号化ハッシュ関数[RFC6234]のSHA-2セットの一部です。実装は、[iana-cose-alg]での追加の推奨ハッシュアルゴリズム、つまりIANAレジストリの「推奨」列に「はい」を含むハッシュアルゴリズムをサポートする場合があります。Hash algorithm identifiers MUST use only lowercase letters, and they MUST NOT contain hyphen characters.The character following the algorithm string MUST be a hyphen character ("-", %x2D).後続の文字は、JSONポインターが「RCD」請求の要素またはクレームに含まれるURI参照コンテンツの参照要素に基づいて、標準化された連結文字列またはバイナリデータのbase64エンコード[RFC4648]ダイジェストです。The next section covers the details of the determination of the input string used to determine the digest.
"rcd" claim objects can contain "nam", "apn", "icn", "jcd", or "jcl" keys as part of the "rcd" JSON object claim value. This document defines the use of JSON pointer [RFC6901] as a mechanism to reference specific "rcd" claim elements.
「RCD」クレームオブジェクトには、「NAM」、「APN」、「ICN」、「JCD」、または「JCL」キーを「RCD」JSONオブジェクトの請求値を含めることができます。このドキュメントでは、特定の「RCD」クレーム要素を参照するメカニズムとして、JSON Pointer [RFC6901]の使用を定義しています。
In order to facilitate proper verification of the digests and to determine whether the "rcd" elements or content referenced by URIs were modified, the input to the digest must be completely deterministic at three points in the process. First, it must be deterministic at the certification point when the content is evaluated to conform to the application policy and when the JWT Claim Constraints are applied to the certificate containing the digest. Second, when the call is signed at the Authentication Service, there may be a local policy to verify that the provided "rcd" claim corresponds to each digest. Third, when the "rcd" data is verified at the verification service, the verification is performed for each digest by constructing the input digest string for the element being verified and referenced by the JSON pointer string.
ダイジェストの適切な検証を容易にし、URIが参照する「RCD」要素またはコンテンツが変更されたかどうかを判断するために、消化への入力はプロセスの3つのポイントで完全に決定論的でなければなりません。まず、コンテンツがアプリケーションポリシーに準拠するように評価された場合、およびJWTの請求制約がダイジェストを含む証明書に適用される場合、認定点で決定論的でなければなりません。第二に、コールが認証サービスで署名された場合、提供された「RCD」クレームが各ダイジェストに対応することを確認するためのローカルポリシーがある場合があります。第三に、検証サービスで「RCD」データが検証されると、検証され、JSONポインター文字列によって参照される要素の入力ダイジェスト文字列を構築することにより、各ダイジェストの検証が実行されます。
The procedure for the creation of each "rcd" element digest string corresponding to a JSON pointer string key is as follows.
JSONポインター文字列キーに対応する各「RCD」要素ダイジェストストリングの作成手順は次のとおりです。
1. The JSON pointer either refers to a value that is a part or the whole of a JSON object or to a string that is a URI referencing an external resource.
1. JSONポインターは、JSONオブジェクトの一部または全体である値、または外部リソースを参照するURIである文字列を指します。
2. For a JSON value, serialize the JSON to remove all white space and line breaks. The procedures of this deterministic JSON serialization are defined in [RFC8225], Section 9. The resulting string is the input for the hash function.
2. JSON値の場合、JSONをシリアル化して、すべての空白とラインの破損を除去します。この決定論的JSONシリアル化の手順は、[RFC8225]、セクション9で定義されています。結果の文字列はハッシュ関数の入力です。
3. For any URI-referenced content, the bytes of the body of the HTTP response are the input for the hash function.
3. URI参照コンテンツの場合、HTTP応答の本体のバイトはハッシュ関数の入力です。
Note that the digest is computed on the JSON representation of the string, which necessarily includes the beginning and ending double-quote characters.
ダイジェストは、弦のJSON表現で計算されていることに注意してください。これには、必然的に開始と終了の二重引用文字が含まれます。
In the case of "nam" and "apn", the only allowed value is a string. For both of these key values, an "rcdi" JSON pointer or integrity digest is optional because the direct value is protected by the signature and can be constrained directly with JWT Claim Constraints.
「NAM」と「APN」の場合、許可された唯一の値は文字列です。これらの両方の重要な値について、「RCDI」JSONポインターまたは整合性ダイジェストはオプションです。これは、直接的な値が署名によって保護され、JWTクレームの制約と直接制約できるためです。
In the case of "icn", the only allowed value is a URI value that references an image file. If the URI references externally linked content, there MUST be a JSON pointer and digest entry for the content in that linked resource. When creating a key/value representing "icn", the key is the JSON pointer string "/icn", and the digest value string is created using the image file byte data referenced in the URI.
「ICN」の場合、許可されている唯一の値は、画像ファイルを参照するURI値です。URIが外部リンクコンテンツを参照する場合、そのリンクされたリソースのコンテンツのJSONポインターとダイジェストエントリが必要です。「ICN」を表すキー/値を作成するとき、キーはJSONポインター文字列「/ICN」です。URIで参照されている画像ファイルバイトデータを使用して、ダイジェスト値の文字列が作成されます。
In the case of "jcd", the value associated is a jCard JSON object, which happens to be a JSON array with sub-arrays. JSON pointer notation uses numeric indices into elements of arrays, including when those elements are arrays themselves.
「JCD」の場合、関連する値はJCARD JSONオブジェクトであり、サブアレイを備えたJSONアレイです。JSONポインター表記は、数値インデックスをアレイの要素に使用します。
As an example, we have the following "rcd" claim:
例として、次の「RCD」クレームがあります。
"rcd": {
"jcd": ["vcard",
[ ["version",{},"text","4.0"],
["fn",{},"text","Q Branch"],
["org",{},"text","MI6;Q Branch Spy Gadgets"],
["photo",{},"uri",
"https://example.com/photos/quartermaster-256x256.png"],
["logo",{},"uri",
"https://example.com/logos/mi6-256x256.jpg"],
["logo",{},"uri",
"https://example.com/logos/mi6-64x64.jpg"]
]
],
"nam": "Q Branch Spy Gadgets"
}
In order to use a JSON pointer to refer to the URIs, the following example "rcdi" claim includes a digest for the entire "jcd" array string as well as three additional digests for the URIs, where, as defined in [RFC6901], zero-based array indices are used to reference the URI strings.
JSONポインターを使用してURIを参照するために、次の例「RCDI」クレームには、「JCD」アレイストリング全体のダイジェストと、[RFC6901]で定義されているURIベースのアレイインデックスがURIストリングを参照するために使用されるURISの3つの追加ダイジェストが含まれます。
"rcdi": {
"/jcd": "sha256-7kdCBZqH0nqMSPsmABvsKlHPhZEStgjojhdSJGRr3rk",
"/jcd/1/3/3": "sha256-RojgWwU6xUtI4q82+kHPyHm1JKbm7+663bMvzymhkl4",
"/jcd/1/4/3": "sha256-jL4f47fF82LuwcrOrSyckA4SWrlElfARHkW6kYo1JdI",
"/jcd/1/5/3": "sha256-GKNxxqlLRarbyBNh7hc/4lbZAdK6B0kMRf1AMRWPkSo"
}
}
The use of a JSON pointer and integrity digest for the "jcd" claim key and value is optional. The "jcd" value is the directly included jCard array; it can be protected by the signature and can be constrained directly with JWT Claim Constraints. However, for data length reasons (as with "icn" above) or more importantly for potential privacy and/or security considerations with a publicly accessible certificate, the use of the "rcdi" JSON pointer and integrity digest as the constraint value in JWT Claim Constraints over the jCard data is RECOMMENDED.
「JCD」クレームキーと価値のためにJSONポインターとインテグリティダイジェストの使用はオプションです。「JCD」値は、直接含まれるJCardアレイです。署名によって保護され、JWT請求の制約で直接制約することができます。ただし、データの長さの理由(上記の「ICN」と同様)またはより重要なのは、公的にアクセス可能な証明書を使用したプライバシーおよび/またはセキュリティ上の考慮事項について、JWTの制約値がJCARDデータを請求する制約値として「RCDI」JSONポインターと整合性ダイジェストの使用を推奨することです。
It is important to remember the array indices for JSON pointer are dependent on the order of the elements in the jCard. The use of digest for the "/jcd" corresponding to the entire jCard array string can be included as a redundant mechanism to avoid any possibility of substitution, insertion attacks, or other potential techniques to undermine integrity detection.
JSONポインターの配列インデックスは、JCardの要素の順序に依存していることを覚えておくことが重要です。JCARDアレイストリング全体に対応する「/JCD」のダイジェストの使用は、整合性検出を損なうための置換、挿入攻撃、またはその他の潜在的な手法を避けるための冗長なメカニズムとして含めることができます。
Each URI referenced in the jCard array string MUST have a corresponding JSON pointer string key and digest value.
JCard配列文字列で参照される各URIには、対応するJSONポインター文字列キーとダイジェスト値が必要です。
In the case of the use of a "jcl" URI reference to an external jCard, the procedures are similar to "jcd" with the minor modification to the JSON pointer, where "/jcl" is used to refer to the external jCard array string. Also, any following numeric array indices added to the "jcl" (e.g., "/jcl/1/2/3") are treated as if the external content referenced by the jCard were directly part of the overall "rcd" claim JSON object. The following example illustrates a "jcl" version of the above "jcd" example.
外部JCardへの「JCL」URI参照の使用の場合、手順は「JCD」に類似しており、JSONポインターのマイナーな変更を行います。ここで、「/jCl」は外部JCardアレイ文字列を参照するために使用されます。また、「JCL」に追加された次の数値配列インデックス(「/JCL/1/2/3」など)は、JCARDが参照する外部コンテンツが「RCD」クレームJSONオブジェクト全体の一部であるかのように扱われます。次の例は、上記の「JCD」例の「JCL」バージョンを示しています。
"rcd": {
"jcl": "https://example.com/qbranch.json",
"nam": "Q Branch Spy Gadgets"
},
"rcdi": {
"/jcl": "sha256-7kdCBZqH0nqMSPsmABvsKlHPhZEStgjojhdSJGRr3rk",
"/jcl/1/3/3": "sha256-RojgWwU6xUtI4q82+kHPyHm1JKbm7+663bMvzymhkl4",
"/jcl/1/4/3": "sha256-jL4f47fF82LuwcrOrSyckA4SWrlElfARHkW6kYo1JdI",
"/jcl/1/5/3": "sha256-GKNxxqlLRarbyBNh7hc/4lbZAdK6B0kMRf1AMRWPkSo"
}
The "rcdi" MUST have a "/jcl" key value and digest value to protect the referenced jCard object, and each URI referenced in the referenced jCard array string MUST have a corresponding JSON pointer string key and digest value.
「RCDI」には、参照されるJCardオブジェクトを保護するために「/JCl」キー値とダイジェスト値が必要であり、参照されるJCARDアレイ文字列で参照されている各URIには、対応するJSONポインター文字列キーとダイジェスト値が必要です。
The following is the example contents of the resource pointed to by https://example.com/qbranch.json; it is used to calculate the above digest for "/jcl"
以下は、https://example.com/qbranch.jsonによって指摘されたリソースの内容の例です。「/jcl」の上記のダイジェストを計算するために使用されます
["vcard",
[ ["version",{},"text","4.0"],
["fn",{},"text","Q Branch"],
["org",{},"text","MI6;Q Branch Spy Gadgets"],
["photo",{},"uri",
"https://example.com/photos/quartermaster-256x256.png"],
["logo",{},"uri",
"https://example.com/logos/mi6-256x256.jpg"],
["logo",{},"uri",
"https://example.com/logos/mi6-64x64.jpg"]
]
]
When using JWT Claim Constraints for "rcd" claims, the procedure when creating the signing certificate should adhere to the following guidelines.
「RCD」クレームにJWT請求制約を使用する場合、署名証明書を作成する際の手順は、次のガイドラインに準拠する必要があります。
The "permittedValues" for the "rcd" claim MAY contain a single entry or optionally MAY contain multiple entries with the intent of supporting cases where the certificate holder is authorized to use different sets of rich call data corresponding to different call scenarios.
「RCD」クレームの「許可値」には、単一のエントリが含まれる場合があります。または、オプションで、証明書所有者が異なるコールシナリオに対応するさまざまなセットのリッチコールデータを使用することが許可されているサポートの意図を持つ複数のエントリを含めることができます。
Only including "permittedValues" for "rcd", with no "mustInclude", provides the ability for the construction a valid PASSporT that can either have no "rcd" claim within or only the set of constrained "permittedValues" values for an included "rcd" claim.
「rcd」の「許可値」のみを含む「no nustinclude」は、「RCD」請求の「RCD」値のセットのみを持たない、または「RCD」請求の「許可された値」値のセットのみを持たない有効なパスポートを構築する能力を提供します。
The use of JWT Claim Constraints with an "rcdi" claim is for cases where URI-referenced content is to be protected by the authoritative certificate issuer. The objective for the use of JWT Claim Constraints for the combination of both "rcd" and "rcdi" claims is to constrain the signer to only construct the "rcd" and "rcdi" claims inside a PASSporT to contain and reference only a predetermined set of content. Once both the contents of the "rcd" claim and any referenced content are certified by the party that is authoritative for the certificate being issued to the signer, the "rcdi" claim is constructed and linked to the STIR certificate associated with the signature in the PASSporT via the JWT Claim Constraints extension as defined in [RFC8226], Section 8 and extended in [RFC9118]. It should be recognized that the "rcdi" set of digests is intended to be unique for only a specific combination of "rcd" content and URI-referenced external content, and therefore the set provides a robust integrity mechanism for an authentication service being performed by a non-authoritative party. For example, this may be used with delegate certificates [RFC9060] for the signing of calls by the calling party directly, even though the "authorized party" is not necessarily the subject of a STIR certificate.
「RCDI」クレームを使用したJWT請求の制約の使用は、URI参照コンテンツが権威ある証明書発行者によって保護される場合の場合です。「RCD」と「RCDI」クレームの両方の組み合わせのJWTクレーム制約の使用の目的は、署名者に「RCD」および「RCDI」クレームをパスポート内に構築するように制限することです。「RCD」請求の両方の内容と参照コンテンツの両方が、署名者に発行されている証明書に対して権威ある当事者によって認定されると、[RCDI]請求が構築され、[RFC8226]、[RFC918]で定義されたJWT請求制約拡張拡張を介してパスポートの署名に関連するSTIR証明書にリンクされます。「RCDI」のダイジェストセットは、「RCD」コンテンツとURI参照の外部コンテンツの特定の組み合わせのみで一意であることを意図していることを認識する必要があります。したがって、このセットは、非承認党によって実行される認証サービスに堅牢な整合性メカニズムを提供します。たとえば、これは、「承認された当事者」が必ずしも攪拌証明書の対象ではないにもかかわらず、呼び出し当事者による通話の署名のために、代表者証明書[RFC9060]で使用できます。
For the cases where both "rcd" and "rcdi" claims should always be included in the PASSporT, the certificate JWT Claims Constraint extension MUST include both of the following:
「RCD」と「RCDI」の両方のクレームを常にパスポートに含める必要がある場合、JWT請求制約拡張の証明書には次の両方を含める必要があります。
* a "mustInclude" for the "rcd" claim, which simply constrains the fact that an "rcd" must be included
* 「RCD」クレームの「必須」請求は、「RCD」を含める必要があるという事実を単純に制約します
* a "mustInclude" for the "rcdi" claim and a "permittedValues" equal to the created "rcdi" claim value string.
* 「RCDI」クレームの「必須」と、作成された「RCDI」クレーム値文字列に等しい「許可値」。
Note that optionally the "rcd" claims may be included in the "permittedValues"; however, it is recognized that this may be redundant with the "rcdi" permittedValues because the "rcdi" digest will imply the content of the "rcd" claims themselves.
オプションでは、「RCD」クレームが「許可値」に含まれる場合があることに注意してください。ただし、「RCDI」ダイジェストは「RCD」の内容が自分自身の内容を暗示するため、これは「RCDI」許容値で冗長である可能性があることが認識されています。
The "permittedValues" for the "rcdi" claims (or "rcd" claims more generally) may contain multiple entries to support the case where the certificate holder is authorized to use different sets of RCD.
「RCDI」クレーム(またはより一般的には「RCD」クレーム)の「許可値」には、証明書所有者が異なるセットのRCDを使用することが許可されている場合をサポートするための複数のエントリが含まれる場合があります。
This document defines a new JSON Web Token claim for "crn", Call Reason, the value of which is a single string that can contain information as defined in [RFC9796] and corresponding to the "call-reason" parameter for the Call-Info header. This claim is optional.
このドキュメントでは、「CRN」の新しいJSON Webトークンのクレーム、コール理由、その値は[RFC9796]で定義されている情報を含む単一の文字列であり、コール-INFOヘッダーの「コールリーズシーズン」パラメーターに対応できる単一の文字列です。この主張はオプションです。
Example "crn" claim with "rcd":
"crn" : "For your ears only",
"rcd": { "nam": "James Bond",
"jcl": "https://example.org/james_bond.json"}
The integrity of the "crn" claim contents can optionally be protected by the authoritative certificate issuer using JWT Claim Constraints in the certificate. When the signer of the PASSporT intends to always include a call reason string of any value, a "mustInclude" for the "crn" claim in the JWT Claim Constraints indicates that a "crn" claim must always be present and is RECOMMENDED to be included by the certificate issuer. If the signer of the "crn" claim wants to constrain the contents of "crn", then "permittedValues" for "crn" in JWT Claim Constraints should match the contents of the allowed strings and is RECOMMENDED to be included by the certificate issuer.
「CRN」クレームの内容の整合性は、証明書のJWT請求制約を使用して、権威ある証明書発行者によってオプションで保護できます。パスポートの署名者が常に任意の価値のコール理由を含めることを意図している場合、JWTクレームの制約の「CRN」請求の「必須」請求の「必須」は、「CRN」請求が常に存在する必要があり、証明書発行者に含まれることをお勧めします。「CRN」クレームの署名者が「CRN」の内容を制約したい場合、JWTの「CRN」の「許可数」の「許可値」は、許可された文字列の内容と一致し、証明書発行者に含まれることをお勧めします。
The "rcd" or "crn" claims MAY appear in any PASSporT claims object as optional elements. The creator of a PASSporT MAY also add a PASSporT extension ("ppt") value, defined in [RFC8225], Section 8.1, of "rcd" to the header of a PASSporT. In that case, the PASSporT claims MUST contain at least one "rcd" or "crn" claim (or both). Any entities verifying the PASSporT claims defined in this document are required to understand the PASSporT extension in order to process the PASSporT in question. An example PASSporT header with the PASSporT extension ("ppt") value of "rcd" included is shown as follows:
「RCD」または「CRN」クレームは、パスポートクレームオブジェクトにオプションの要素として表示される場合があります。パスポートの作成者は、パスポートのヘッダーに「RCD」の[RFC8225]、セクション8.1で定義されているパスポート拡張機能(「PPT」)値を追加する場合があります。その場合、パスポートのクレームには、少なくとも1つの「RCD」または「CRN」クレーム(またはその両方)が含まれている必要があります。このドキュメントで定義されているパスポートクレームを確認するエンティティは、問題のパスポートを処理するためにパスポート拡張機能を理解する必要があります。「RCD」のパスポート拡張機能(「PPT」)値を備えたパスポートヘッダーの例は、次のように表示されます。
{ "typ":"passport",
"ppt":"rcd",
"alg":"ES256",
"x5u":"https://www.example.com/cert.cer" }
The PASSporT claims object contains the "rcd" key with its corresponding value. The value of "rcd" is an array of JSON objects, of which one, the "nam" key and value, is mandatory.
パスポートクレームオブジェクトには、対応する値を持つ「RCD」キーが含まれています。「RCD」の値は、JSONオブジェクトの配列であり、その1つである「NAM」キーと値は必須です。
After the header and claims PASSporT objects have been constructed, their signature is computed normally per the guidance in [RFC8225].
ヘッダーとクレームのパスポートオブジェクトが構築された後、[RFC8225]のガイダンスに従って署名が通常計算されます。
A verifier that successfully verifies a PASSporT that contains an "rcd" claim MUST ensure the following about the PASSporT:
「RCD」クレームを含むパスポートを正常に検証する検証剤は、パスポートについて以下を確保する必要があります。
* It has a valid signature per the verification procedures detailed in [RFC8225].
* [RFC8225]で詳述されている検証手順に従って有効な署名があります。
* It abides by all rules set forth in the proper construction of the claims defined in Section 5.
* セクション5で定義されているクレームの適切な構築に規定されているすべての規則を順守しています。
* It abides by JWT Claims Constraint rules defined in [RFC8226], Section 8 or extended by [RFC9118] if present in the certificate used to compute the signature in the PASSporT.
* [RFC8226]、セクション8、または[RFC9118]によって定義されている制約規則が、パスポートの署名の計算に使用された証明書に存在する場合、JWTの請求請求制約ルールが順守します。
In addition, if the "iss" claim is included in the PASSporT, verification should follow procedures described in Section 10.2.
さらに、「ISS」クレームがパスポートに含まれている場合、検証はセクション10.2で説明されている手順に従う必要があります。
Consistent with the verification rules of PASSporTs more generally [RFC8225], if any of the above criteria is not met, relying parties MUST NOT use any of the claims in the PASSporT.
より一般的には[RFC8225]パスポートの検証ルールと一致して、上記の基準のいずれかが満たされていない場合、当事者はパスポート内の請求のいずれかを使用してはなりません。
When the "rcdi" claim exists, the verifier should verify the digest for each JSON pointer key. Any digest string that doesn't match a generated digest MUST be considered a failure of the verification of the content referenced by the JSON pointer.
「RCDI」クレームが存在する場合、検証者は各JSONポインターキーのダイジェストを検証する必要があります。生成されたダイジェストと一致しないダイジェスト文字列は、JSONポインターによって参照されるコンテンツの検証の障害と見なされる必要があります。
If there is any issue with completing the integrity verification procedures for referenced external content, including HTTP or HTTPS errors, the referenced content MUST be considered not verified. However, this SHOULD NOT impact the result of base PASSporT verification for claims content that is directly included in the claims of the PASSporT.
HTTPまたはHTTPSエラーを含む参照された外部コンテンツの整合性検証手順を完了することに問題がある場合、参照されるコンテンツは検証されていないと見なす必要があります。ただし、これは、パスポートのクレームに直接含まれるクレームコンテンツのベースパスポート検証の結果に影響を与えるものではありません。
As a potential optimization of verification procedures, an entity that does not otherwise need to dereference a URI from the "rcd" claim for display to the end user is NOT RECOMMENDED to unnecessarily dereference the URI solely to perform integrity verification.
検証手順の潜在的な最適化として、そうでなければエンドユーザーへの「RCD」請求からURIを再参照する必要がないエンティティは、整合性の確認を実行するためだけにURIを不必要に阻止することをお勧めしません。
An example of a "nam"-only PASSporT claims object is shown next (with line breaks for readability only).
「nam」のみのパスポートクレームオブジェクトの例が次に表示されます(読みやすさのみのためにラインブレークがあります)。
{ "orig":{"tn":"12025551000"},
"dest":{"tn":["12025551001"]},
"iat":1443208345,
"rcd":{"nam":"James Bond"} }
An example of a "nam", "apn", and "icn" using an https URI PASSporT claims object is shown next (with line breaks for readability only). Note, in this example, there is no integrity protection over the "icn" element in the "rcd" claim.
HTTPS URIパスポートクレームオブジェクトを使用した「NAM」、「APN」、および「ICN」の例が次に表示されます(読みやすさのみのラインブレークがあります)。この例では、「RCD」クレームの「ICN」要素に対する整合性保護はありません。
{ "orig":{"tn":"12025551000"},
"dest":{"tn":["12155551001"]},
"iat":1443208345,
"rcd":{
"apn":"12025559990",
"icn":"https://example.com/photos/quartermaster-256x256.png",
"nam":"Her Majesty's Secret Service" } }
An example of a "nam", "apn", and "icn" using data URI PASSporT claims object is shown next (with line breaks for readability only). Note, in this example, the "icn" data is incorporated directly in the "rcd" claim, and therefore separate integrity protection is not required.
データURIパスポートクレームオブジェクトを使用した「NAM」、「APN」、および「ICN」の例が次に表示されます(読みやすさのみのラインブレークがあります)。この例では、「ICN」データは「RCD」クレームに直接組み込まれているため、個別の整合性保護は必要ありません。
{ "orig":{"tn":"12025551000"},
"dest":{"tn":["12155551001"]},
"iat":1443208345,
"rcd":{
"apn":"12025559990",
"icn":"data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAY
AAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO9TXL0Y4OH
wAAAABJRU5ErkJggg==",
"nam":"Her Majesty's Secret Service" } }
An example of an "rcd" claims object that includes the "jcd" and also contains URI references to content, which require the inclusion of an "rcdi" claim and corresponding digests. Note, in this example, the "rcdi" claim includes integrity protection of the URI-referenced content.
「JCD」を含む「RCD」クレームオブジェクトの例と、「RCDI」クレームと対応するダイジェストを含める必要があるコンテンツへのURI参照も含まれています。この例では、「RCDI」クレームには、URI参照コンテンツの整合性保護が含まれています。
{
"crn": "Rendezvous for Little Nellie",
"orig": { "tn": "12025551000"},
"dest": { "tn": ["12155551001"]},
"iat": 1443208345,
"rcd": {
"jcd": ["vcard",
[ ["version",{},"text","4.0"],
["fn",{},"text","Q Branch"],
["org",{},"text","MI6;Q Branch Spy Gadgets"],
["photo",{},"uri","https://example.com/photos/q-256x256.png"],
["logo",{},"uri","https://example.com/logos/mi6-256x256.jpg"],
["logo",{},"uri","https://example.com/logos/mi6-64x64.jpg"]
] ],
"nam": "Q Branch Spy Gadgets"
},
"rcdi": {
"/jcd/1/3/3":"sha256-RojgWwU6xUtI4q82+kHPyHm1JKbm7+663bMvzymhkl4",
"/jcd/1/4/3":"sha256-jL4f47fF82LuwcrOrSyckA4SWrlElfARHkW6kYo1JdI",
"/jcd/1/5/3":"sha256-GKNxxqlLRarbyBNh7hc/4lbZAdK6B0kMRf1AMRWPkSo"
}
}
In the following PASSporT example, a jCard is linked via HTTPS URL using "jcl", and a jCard file is served at a particular URL.
次のパスポートの例では、JCARDは「JCL」を使用してHTTPS URLを介してリンクされ、JCardファイルは特定のURLで提供されます。
Example jCard JSON file hosted at https://example.com/qbranch.json:
https://example.com/qbranch.jsonでホストされているJcard jsonファイルの例:
["vcard",
[ ["version",{},"text","4.0"],
["fn",{},"text","Q Branch"],
["org",{},"text","MI6;Q Branch Spy Gadgets"],
["photo",{},"uri","https://example.com/photos/q-256x256.png"],
["logo",{},"uri","https://example.com/logos/mi6-256x256.jpg"],
["logo",{},"uri","https://example.com/logos/mi6-64x64.jpg"]
]
]
For the above referenced jCard, the corresponding PASSporT claims object would be as follows:
上記の参照jcardの場合、対応するパスポートクレームオブジェクトは次のとおりです。
{
"crn": "Rendezvous for Little Nellie",
"orig": {"tn": "12025551000"},
"dest": {"tn": ["12155551001"]},
"iat": 1443208345,
"rcd": {
"nam": "Q Branch Spy Gadgets",
"jcl": "https://example.com/qbranch.json"
},
"rcdi": {
"/jcl":"sha256-qCn4pEH6BJu7zXndLFuAP6DwlTv5fRmJ1AFkqftwnCs",
"/jcl/1/3/3":"sha256-RojgWwU6xUtI4q82+kHPyHm1JKbm7+663bMvzymhkl4",
"/jcl/1/4/3":"sha256-jL4f47fF82LuwcrOrSyckA4SWrlElfARHkW6kYo1JdI",
"/jcl/1/5/3":"sha256-GKNxxqlLRarbyBNh7hc/4lbZAdK6B0kMRf1AMRWPkSo"
}
}
An example "rcd" PASSporT that uses "nam" and "icn" keys with "rcdi" for calling name and referenced icon image content:
「NAM」と「ICN」キーを使用して「RCD」キーを使用して「RCDI」を呼び出し、名前を呼び出して参照したICON画像コンテンツを使用する例:
{
"crn": "Rendezvous for Little Nellie",
"orig": {"tn": "12025551000"},
"dest": {"tn": ["12155551001"]},
"iat": 1443208345,
"rcd": {
"nam": "Q Branch Spy Gadgets",
"icn": "https://example.com/photos/q-256x256.png"
},
"rcdi": {
"/nam": "sha256-sM275lTgzCte+LHOKHtU4SxG8shlOo6OS4ot8IJQImY",
"/icn": "sha256-RojgWwU6xUtI4q82+kHPyHm1JKbm7+663bMvzymhkl4"
}
}
The specific usage of the compact form of an "rcd" PASSporT claim, defined in [RFC8225], Section 7, has some restrictions that will be enumerated below, but it mainly follows standard PASSporT compact form procedures. Compact form only provides the signature from the PASSporT, requiring the reconstruction of the other PASSporT claims from the SIP header fields as discussed in Section 4.1 of [RFC8224].
[RFC8225]で定義されている「RCD」パスポートクレームのコンパクトな形式の特定の使用法は、以下に列挙されるいくつかの制限がありますが、主に標準のパスポートコンパクト形式の手順に従います。コンパクトフォームは、パスポートからの署名のみを提供し、[RFC8224]のセクション4.1で説明したように、SIPヘッダーフィールドからの他のパスポートクレームの再構築を必要とします。
The reconstruction of the "nam" claim, if using the SIP protocol, should use the display-name string in the From header field. For other protocols, if there is a display name field that exists, the string should be used; otherwise, the string should be an empty string, e.g., "". The claims "jcl" and "jcd" MUST NOT be used with compact form because the integrity rules and URI reference rules defined in this document would lead a set of constraints that is too restrictive. Future specifications may revisit this to propose a consistent and comprehensive way of addressing integrity and security of information and to provide specific guidance for other protocol usage.
SIPプロトコルを使用する場合、「NAM」クレームの再構成は、From Headerフィールドのディスプレイ名文字列を使用する必要があります。他のプロトコルの場合、存在するディスプレイ名フィールドがある場合、文字列を使用する必要があります。それ以外の場合、文字列は空の文字列、例えば ""である必要があります。このドキュメントで定義されている整合性ルールとURIリファレンスルールが制限的すぎる制約のセットをリードするため、「JCL」と「JCD」はコンパクトな形式で使用してはなりません。将来の仕様は、これを再訪して、情報の完全性とセキュリティに対処するための一貫した包括的な方法を提案し、他のプロトコルの使用に関する特定のガイダンスを提供するかもしれません。
The use of the compact form of a PASSporT using an "rcdi" claim is not supported, so if "rcdi" is required, compact form MUST NOT be used.
「RCDI」クレームを使用したパスポートのコンパクトな形式の使用はサポートされていないため、「RCDI」が必要な場合は、コンパクトなフォームを使用してはなりません。
Compact form of a "crn" PASSporT claim shall be reconstructed using the "call-reason" parameter of a Call-Info header as defined by [RFC9796].
[RFC9796]で定義されているように、「CRN」パスポートクレームのコンパクトな形式は、コールINFOヘッダーの「コールリアン」パラメーターを使用して再構築されます。
While rich data about the call can be provided by an originating authentication service, an intermediary in the call path could also acquire rich call data by querying a third-party service. Such a service effectively acts as a STIR Authentication Service, generating its own PASSporT, and that PASSporT could be attached to a call by either the originating or terminating side. This third-party PASSporT attests information about the calling number, rather than the call or caller itself, and as such its RCD MUST NOT be used when a call lacks a first-party PASSporT that assures verification services that the calling party number is not spoofed. A third-party PASSporT is intended to be used in cases when the originating side does not supply a display-name for the caller, so instead some entity in the call path invokes a third-party service to provide rich caller data for a call.
コールに関する豊富なデータは、発信元認証サービスによって提供できますが、コールパスの仲介者は、サードパーティサービスを照会することでリッチコールデータを取得することもできます。このようなサービスは、効果的にStim認証サービスとして機能し、独自のパスポートを生成し、そのパスポートは、発信元または終了側のいずれかによる呼び出しに添付される可能性があります。このサードパーティのパスポートは、呼び出しまたは発信者自体ではなく、呼び出し番号に関する情報を証明しているため、呼び出しには、呼び出しパーティー番号がスプーフィングされていないことを確認するサービスを保証するファーストパーティパスポートがない場合は、RCDを使用してはなりません。サードパーティのパスポートは、発信元側が発信者にディスプレイ名を提供しない場合に使用することを目的としているため、代わりにコールパスの一部のエンティティは、コールのリッチな発信者データを提供するためにサードパーティサービスを呼び出します。
In telephone operations today, a third-party information service is commonly queried with the calling party's number in order to learn the name of the calling party, and potentially other helpful information could also be passed over that interface. The value of using a PASSporT to convey this information from third parties lies largely in the preservation of the third party's signature over the data, and the potential for the PASSporT to be conveyed from intermediaries to endpoint devices. Effectively, these use cases form a sub-case of out-of-band use cases [RFC8816]. The manner in which third-party services are discovered is outside the scope of this document.
今日の電話操作では、呼び出し当事者の名前を学ぶために、サードパーティの情報サービスが一般的に呼び出し当事者の番号に照会されており、そのインターフェイスに他の有用な情報を渡すこともできます。パスポートを使用して第三者からこの情報を伝えることの価値は、主にデータに対する第三者の署名の保存にあり、パスポートが仲介者からエンドポイントデバイスに伝える可能性があります。効果的に、これらのユースケースは、バンド外ユースケースのサブケースを形成します[RFC8816]。サードパーティのサービスが発見される方法は、このドキュメントの範囲外です。
An intermediary use case might look as follows using the SIP protocol for this example: a SIP INVITE carries a display name in its From header field value and an initial PASSporT object without the "rcd" claim. When a terminating verification service implemented at a SIP proxy server receives this request and determines that the signature is valid, it might query a third-party service that maps telephone numbers to calling party names. Upon receiving the PASSporT in a response from that third-party service, the terminating side could add a new Identity header field to the request for the PASSporT object provided by the third-party service. It would then forward the INVITE to the terminating user agent. If the display name in the PASSporT object matches, or is string-equivalent to, the display name in the INVITE, then the name would presumably be rendered to the end user by the terminating user agent.
この例では、SIPプロトコルを使用して中間ユースケースが次のように見える場合があります。SIP招待状は、ヘッダーフィールド値と「RCD」クレームなしの初期パスポートオブジェクトに表示名を掲載します。SIPプロキシサーバーに実装された終了検証サービスがこの要求を受信し、署名が有効であると判断すると、電話番号をマップするサードパーティサービスをパーティー名の呼び出しに照会する場合があります。そのサードパーティサービスからの応答でパスポートを受信すると、終了側は、サードパーティサービスが提供するパスポートオブジェクトのリクエストに新しいIDヘッダーフィールドを追加することができます。その後、招待を終了したユーザーエージェントに転送します。パスポートオブジェクトのディスプレイ名が招待状のディスプレイ名と一致する場合、または文字列等価である場合、名前はおそらく終了ユーザーエージェントによってエンドユーザーにレンダリングされます。
A very similar flow could be followed by an intermediary closer to the origination of the call. Presumably such a service could be implemented at an originating network in order to decouple the systems that sign for calling party numbers from the systems that provide rich data about calls.
非常によく似た流れに続いて、コールの発信に近い仲介者が続く可能性があります。おそらく、このようなサービスは、呼び出しに関する豊富なデータを提供するシステムからパーティー番号を呼び出すために署名するシステムを分離するために、発信ネットワークに実装することができます。
In an alternative use case, the terminating user agent might query a third-party service. In this case, no new Identity header field would be generated, though the terminating user agent might receive a PASSporT object in return from the third-party service, and use the "rcd" field in the object as a calling name to render to users while alerting.
代替のユースケースでは、終了ユーザーエージェントはサードパーティサービスを照会する場合があります。この場合、新しいIDヘッダーフィールドは生成されませんが、終了ユーザーエージェントはサードパーティサービスからの見返りにパスポートオブジェクトを受信し、アラート中にユーザーにレンダリングするための呼び出し名としてオブジェクトの「RCD」フィールドを使用する場合があります。
While in the traditional telephone network, the business relationship between calling customers and their telephone service providers is the ultimate root of information about a calling party's name, some other forms of data like crowdsourced reputation scores might derive from third parties. When those elements are present, they MUST be in a third-party "rcd" PASSporT using the "iss" claim described in the next section.
従来の電話ネットワークにいる間、顧客の呼び出しと電話サービスプロバイダーとのビジネス関係は、発信者の名前に関する情報の究極の根源ですが、クラウドソーシングレピュテーションスコアのような他の形式のデータはサードパーティから派生する可能性があります。これらの要素が存在する場合、次のセクションで説明した「ISS」クレームを使用して、サードパーティの「RCD」パスポートにある必要があります。
A third-party PASSporT contains an "iss" element to distinguish its PASSporTs from first-party PASSporTs. Third-party "rcd" PASSporTs are signed with credentials that do not have authority over the identity that appears in the "orig" element of the PASSporT claims. The presence of "iss" signifies that a different category of credential is being used to sign a PASSporT than the certificates (as defined in [RFC8226]) used to sign STIR calls; it is instead a certificate that identifies the source of the "rcd" data. How those credentials are issued and managed is outside the scope of this document; however, the value of "iss" MUST reflect the Subject of the certificate used to sign a third-party PASSporT. The explicit mechanism for reflecting the Subject field of the certificate is out of scope of this document and left to the certificate governance policies that define how to map the "iss" value in the PASSporT to the Subject field in the certificate. Relying parties in STIR have always been left to make their own authorization decisions about whether to trust the signers of PASSporTs; in the third-party case, where an entity has explicitly queried a service to acquire the PASSporT object, it may be some external trust or business relationship that induces the relying party to trust a PASSporT.
サードパーティのパスポートには、パスポートをファーストパーティパスポートと区別するための「ISS」要素が含まれています。サードパーティの「RCD」パスポートには、パスポートクレームの「元」要素に表示されるアイデンティティに対する権限を持たない資格情報が署名されています。「ISS」の存在は、別のカテゴリの資格情報が、攪拌コールに署名するために使用される証明書([RFC8226]で定義されている)よりもパスポートに署名するために使用されていることを意味します。代わりに、「RCD」データのソースを識別する証明書です。これらの資格情報がどのように発行および管理されるかは、このドキュメントの範囲外です。ただし、「ISS」の値は、サードパーティのパスポートに署名するために使用される証明書の主題を反映する必要があります。証明書の主題フィールドを反映するための明示的なメカニズムは、このドキュメントの範囲外であり、パスポート内の「ISS」値を証明書の主題フィールドにマッピングする方法を定義する証明書ガバナンスポリシーに任せます。Stirの頼りに頼ることは、パスポートの署名者を信頼するかどうかについて独自の許可決定を下すために常に残されてきました。エンティティがパスポートオブジェクトを取得するためのサービスを明示的に照会したサードパーティのケースでは、頼る当事者がパスポートを信頼するように誘導するのは、外部の信頼またはビジネス関係かもしれません。
An example of a PASSporT claims object issued by a third party is as follows.
第三者によって発行されたパスポートクレームオブジェクトの例は次のとおりです。
{ "orig":{"tn":"12025551000"},
"dest":{"tn":["12025551001"]},
"iat":1443208345,
"iss":"Zorin Industries",
"rcd":{"nam":"James St. John Smythe"} }
The third-party "rcd" PASSporT cases must be considered in the verification service, as an attacker could attempt to cut and paste such a third-party PASSporT into a SIP request in an effort to get the terminating user agent to render the display name or confidence values it contains to a call that should have no such assurance. Following the rules of [RFC8225] and in particular if there are multiple identity headers (as in the case of the inclusion of an "rcd" and "shaken" PASSporTs from two different signing providers), a verification service MUST determine that the calling party number shown in the "orig" of the "rcd" PASSporT corresponds to the calling party number of the call it has received, and that the "iat" field of the "rcd" PASSporT is within the date interval that the verification service would ordinarily accept for a PASSporT. It is possible that if multiple identity headers are present, only the verified identity information should be considered when presenting call information to an end user.
攻撃者は、そのような保証がないはずのコールに含まれるディスプレイ名または信頼値を含むデスプレイ名または信頼値をレンダリングするために、攻撃者がそのようなサードパーティのパスポートをSIPリクエストにカットして貼り付けることができるため、検証サービスでは、サードパーティの「RCD」パスポートのケースを検討する必要があります。[RFC8225]のルールに従って、特に複数のアイデンティティヘッダーがある場合(2つの異なる署名プロバイダーから「RCD」と「揺れ」パスポートが含まれている場合のように)検証サービスが通常パスポートを受け入れる日付間隔。複数のアイデンティティヘッダーが存在する場合、エンドユーザーに呼び出し情報を提示するときに、検証済みのID情報のみを考慮する必要があります。
Verification services may alter their authorization policies for the credentials accepted to sign PASSporTs when third parties generate PASSporT objects, per Section 10.1. This may include accepting a valid signature over a PASSporT even if it is signed with a credential that does not attest authority over the identity in the "orig" claim of the PASSporT, provided that the verification service has some other reason to trust the signer. No further guidance on verification service authorization policy is given here.
検証サービスは、セクション10.1に従って、第三者がパスポートオブジェクトを生成したときにパスポートに署名するために受け入れられた資格情報の承認ポリシーを変更する場合があります。これには、検証サービスに署名者を信頼する他の理由がある限り、パスポートのアイデンティティに対する権限を証明していない資格情報で署名された場合でも、パスポートに対する有効な署名を受け入れることが含まれます。ここには、検証サービス承認ポリシーに関するさらなるガイダンスはありません。
A set of "rcd" claims can be provided by either first-party providers that are directly authorized to sign PASSporTs in the STIR ecosystem or third-party providers that are indirectly or delegated authority to sign PASSporTs. Relying parties could benefit from an additional claim that indicates the identification, in the form of a uniquely identifiable name, of the attesting party to the caller. Even in first-party cases, the Communications Service Provider (CSP) to which a number was assigned might in turn delegate the number to a reseller, who would then sell the number to an enterprise, in which case the CSP might have little insight into the caller's name. In third-party cases, a caller's name could be determined from any number of data sources, on a spectrum between public data scraped from web searches to a direct business relationship to the caller. As multiple PASSporTs can be associated with the same call, potentially a verification service could receive attestations of the caller name from multiple sources, which have different levels of granularity or accuracy. Therefore, third-party PASSporTs that carry "rcd" data are RECOMMENDED to also carry an indication of the identity of the generator of the PASSporT in the form of the 'iss' claim.
一連の「RCD」クレームは、Passportsのパスポートに署名することを直接許可されているファーストパーティプロバイダーまたはパスポートに署名するための間接的または委任された権限であるサードパーティプロバイダーによって提供できます。頼る当事者は、発信者の証明当事者の識別可能な名前の形で識別を示す追加の主張から利益を得ることができます。ファーストパーティの場合でさえ、番号が割り当てられた通信サービスプロバイダー(CSP)は、数を再販業者に委任する可能性があります。サードパーティの場合、発信者の名前は、Web検索から削除されたパブリックデータ間のスペクトルで、発信者との直接的なビジネス関係まで、任意の数のデータソースから決定できます。複数のパスポートが同じ呼び出しに関連付けられる可能性があるため、検証サービスが複数のソースから発信者名の証明を受け取る可能性があります。したがって、「ISS」クレームの形でパスポートのジェネレーターのアイデンティティを示すように、「RCD」データを掲載するサードパーティのパスポートが推奨されます。
This section documents SIP-specific usage for "rcd" PASSporTs in the SIP Identity header field value. Other protocols using PASSporT may define their own guidance for "rcd" PASSporTs.
このセクションでは、SIP IDヘッダーフィールド値の「RCD」パスポートのSIP固有の使用法を文書化します。パスポートを使用する他のプロトコルは、「RCD」パスポートの独自のガイダンスを定義する場合があります。
An authentication service creating a PASSporT containing an "rcd" claim MAY include a PASSporT extension ("ppt" value) of "rcd". Third-party authentication services following the behavior in Section 10.1 MUST include a PASSporT extension value of "rcd". If the PASSporT extension does contain an "rcd", then any SIP authentication services MUST add a PASSporT extension "ppt" parameter to the Identity header field containing that PASSporT with a value of "rcd". The resulting Identity header field might look as follows:
「RCD」クレームを含むパスポートを作成する認証サービスには、「RCD」のパスポート拡張機能(「PPT」値)が含まれる場合があります。セクション10.1の動作に続くサードパーティ認証サービスには、「RCD」のパスポート拡張値を含める必要があります。パスポート拡張機能に「RCD」が含まれている場合、SIP認証サービスはすべて、パスポート「PPT」パラメーターを「RCD」の値でそのパスポートを含むIDヘッダーフィールドに追加する必要があります。結果のアイデンティティヘッダーフィールドは次のように見える場合があります。
Identity: sv5CTo05KqpSmtHt3dcEiO/1CWTSZtnG3iV+1nmurLXV/HmtyNS7Ltrg9
dlxkWzoeU7d7OV8HweTTDobV3itTmgPwCFjaEmMyEI3d7SyN21yNDo2ER/Ovgt
w0Lu5csIppPqOg1uXndzHbG7mR6Rl9BnUhHufVRbp51Mn3w0gfUs=;
info=<https://biloxi.example.org/biloxi.cer>;alg=ES256;
ppt="rcd"
This document assumes that by default when using the SIP protocol, an authentication service determines the value of "rcd", specifically only for the "nam" key value, from the display-name component of the From header field value of the request. Alternatively, for some calls this may come from the P-Asserted-ID header. It is however a matter of authentication service policy to decide how it populates the value of the "nam" key, which MAY also match or be determined by other fields in the request, from customer profile data or from access to external services. If the authentication service generates an "rcd" claim containing "nam" with a value that is not string-equivalent to the From header field display-name value, it MUST use the full form of the PASSporT object in SIP.
このドキュメントは、デフォルトでSIPプロトコルを使用するときに、認証サービスが「RCD」の値を、特に「NAM」キー値に対してのみ、リクエストのHeaderフィールド値のディスプレイ名コンポーネントから決定することを前提としています。あるいは、一部の呼び出しでは、これはP-Asserted-IDヘッダーから生じる場合があります。ただし、認証サービスポリシーは、「NAM」キーの価値をどのように承認するかを決定することです。これは、顧客プロファイルデータまたは外部サービスへのアクセスから、リクエストの他のフィールドと一致または決定される可能性があります。認証サービスが、Header Field Display-Name値に等価でない値で「NAM」を含む「RCD」クレームを生成する場合、SIPでパスポートオブジェクトの完全な形式を使用する必要があります。
In addition, [RFC9796] defines a Call-Info header field that MAY be used as a source of RCD information that an authentication service uses to construct the appropriate PASSporT RCD claim types used.
さらに、[RFC9796]は、認証サービスが使用される適切なパスポートRCDクレームタイプを構築するために使用するRCD情報のソースとして使用できるコールINFOヘッダーフィールドを定義します。
Note also that, as a best practice, the accuracy and legitimacy of Rich Call Data information that is included in the claims is RECOMMENDED to follow a trust framework that is out of scope of this document. As with telephone numbers for the STIR framework, the authentication of Rich Call Data should follow some type of vetting process by an entity that is authoritative over determining the accuracy and legitimacy of that information. This includes the mechanisms for how and from whom that information is received by the authentication service. For example, the general use of Call-Info via SIP as a trusted source of RCD information on the authentication side is NOT RECOMMENDED.
また、ベストプラクティスとして、クレームに含まれるリッチコールデータ情報の正確性と正当性は、このドキュメントの範囲外の信頼フレームワークに従うことをお勧めします。Stir Frameworkの電話番号と同様に、リッチコールデータの認証は、その情報の正確性と正当性を判断する上で権威あるエンティティによる何らかのタイプの審査プロセスに従う必要があります。これには、認証サービスによってその情報がどのように、誰から受信されるかのメカニズムが含まれます。たとえば、認証側に関するRCD情報の信頼できるソースとしてのSIP経由のCall-INFOの一般的な使用は推奨されません。
[RFC8224], Section 6.2, Step 5 requires that future specifications defining PASSporT extension ("ppt") values describe any additional verifier behavior specific to the SIP protocol. The general verification procedures defined in Section 8.1 should be followed, but the following paragraphs describe some of the specifics needed to implement a verification service using the SIP protocol.
[RFC8224]、セクション6.2、ステップ5では、パスポート拡張機能(「PPT」)値を定義する将来の仕様が、SIPプロトコルに固有の追加の検証動作を記述することが必要です。セクション8.1で定義されている一般的な検証手順に従う必要がありますが、次の段落では、SIPプロトコルを使用して検証サービスを実装するために必要な詳細の一部について説明します。
If the PASSporT is in compact form, then the verification service MUST extract the display-name from the From header field value, if any, and MUST use that as the string value for the "nam" key when it recomputes the header and claims of the PASSporT object. Additionally, if there exists a Call-Info header field as defined in [RFC9796], the "jcard" JSON object value MUST be used to construct the "jcd" key value when it recomputes the header and claims of the PASSporT object. If the signature validates over the recomputed object, then the verification is considered successful.
パスポートがコンパクトな形式の場合、検証サービスは、From Headerフィールド値からディスプレイ名を抽出する必要があり、パスポートオブジェクトのヘッダーとクレームを再構成するときに「NAM」キーの文字列値としてそれを使用する必要があります。さらに、[RFC9796]で定義されているコール-INFOヘッダーフィールドが存在する場合、「JCARD」JSONオブジェクト値を使用して、パスポートオブジェクトのヘッダーとクレームを再構成するときに「JCD」キー値を構築する必要があります。署名が再計算されたオブジェクトを介して検証する場合、検証は成功したと見なされます。
If the PASSporT is in full form with a PASSporT extension value of "rcd", then the verification service MUST extract the value associated with the "rcd" claim "nam" key in the object. If the PASSporT signature is verified successfully, then the verification service MUST additionally compare the string value of the "rcd" claim "nam" key value with the From header field value or the preferred value. The preferred value depends on local policy of the SIP network technique that conveys the display name string through a field other than the From header field to interoperate with this specification (e.g., P-Asserted-Identity) as discussed in [RFC8224]. Similarly, "jcd", "jcl", "icn", "apn", or "crn" elements can be used optionally (based on local policy for devices that support it) to populate a Call-Info header field following the format of [RFC9796]. If PASSporT RCD claims types defined in the future are present, they should follow similar defined procedures and policies.
パスポートが「RCD」のパスポート拡張値を持つ完全な形である場合、検証サービスは、オブジェクトの「RCD」クレーム「NAM」キーに関連付けられた値を抽出する必要があります。パスポートの署名が正常に検証された場合、検証サービスは、「RCD」クレーム「NAM」キー値の文字列値を、From Headerフィールド値または優先値とさらに比較する必要があります。優先値は、[RFC8224]で説明されているように、この仕様(P asserted-Identityなど)と相互運用するために、From Headerフィールド以外のフィールドを介してディスプレイ名文字列を伝えるSIPネットワーク手法のローカルポリシーに依存します。同様に、「JCD」、「JCL」、「ICN」、「APN」、または「CRN」要素は、[RFC9796]の形式に従ってコールINFOヘッダーフィールドを設定するために(それをサポートするデバイスのローカルポリシーに基づいて)オプションで使用できます。パスポートRCDの請求タイプが将来定義されている場合、同様の定義された手順とポリシーに従う必要があります。
The behavior of a SIP User Agent Server (UAS) upon receiving an INVITE or other type of session initiation request containing a PASSporT object with an "rcd" claim largely remains a matter of implementation policy. In most cases, implementations would render this calling party name information to the user while alerting. Any user interface additions to express confidence in the veracity of this information are outside the scope of this specification.
「RCD」クレームを備えたパスポートオブジェクトを含む招待状またはその他のタイプのセッション開始要求を受信したときのSIPユーザーエージェントサーバー(UAS)の動作は、主に実装ポリシーの問題のままです。ほとんどの場合、実装は、この呼び出しのパーティー名情報をユーザーに提供し、警告している間にユーザーに提供します。この情報の真実性に対する信頼性を表明するためのユーザーインターフェイスの追加は、この仕様の範囲外です。
Rich Call Data, including calling name information, as a common example, is often data that is additive to the personal communications information defined in the core PASSporT data required to support the security properties defined in [RFC8225]. For cases where the entity originating the personal communications is supporting the authentication service for the calling identity and is the authority of the Rich Call Data, rather than creating multiple Identity header fields corresponding to multiple PASSporT extensions, the authentication service can alternatively directly add the "rcd" claim to a PASSporT that authenticates the calling identity.
一般的な例として、呼び出し名情報を含むリッチコールデータは、多くの場合、[RFC8225]で定義されているセキュリティプロパティをサポートするために必要なコアパスポートデータで定義されている個人通信情報に追加されるデータです。個人コミュニケーションを発信するエンティティが、呼び出しのアイデンティティの認証サービスをサポートしており、複数のパスポート拡張に対応する複数のアイデンティティヘッダーフィールドを作成するのではなく、リッチコールデータの権限である場合、認証サービスは代わりに、呼び出しのアイデンティティを認証するパスポートに「RCD」クレームを直接追加できます。
For a given PASSporT using some other extension than "rcd", the Authentication Service MAY additionally include the "rcd" defined in Section 5, "rcdi" defined in Section 6, and "crn" defined in Section 7 claims. This would result in a set of claims that correspond to the original intended extension with the addition of the "rcd" claim.
「RCD」以外の拡張機能を使用した特定のパスポートの場合、認証サービスには、セクション5で定義されている「RCD」、セクション6で定義されているRCDI」、セクション7の請求で定義されている「CRN」が含まれます。これにより、「RCD」クレームの追加による元の意図された拡張に対応する一連のクレームが生じます。
The verification service that receives the PASSporT, if it supports this specification and chooses to, should interpret the "rcd" claim as simply just an additional claim intended to deliver and/or validate delivered Rich Call Data.
パスポートを受け取る検証サービスは、この仕様をサポートして選択する場合、「RCD」クレームを単に配信されたリッチコールデータを配信および/または検証することを目的とした追加のクレームとして解釈する必要があります。
In the case of [RFC8588], which is the PASSporT extension supporting the Signature-based Handling of Asserted information using toKENs (SHAKEN) specification [ATIS-1000074.v003], a common case is for an authentication service to coexist in a CSP network along with the authority over the calling name used for the call. Rather than require two identity headers, the CSP authentication service can apply both the SHAKEN PASSporT claims and extension and simply add the "rcd" required claims defined in this document.
[RFC8588]の場合、トークン(ATIS-1000074.V003]を使用した(Shaken)仕様を使用したアサートされた情報の署名ベースの処理をサポートするパスポート拡張機能です。CSP認証サービスは、2つのIDヘッダーを必要とするのではなく、Shaked Passportクレームと拡張機能の両方を適用し、このドキュメントで定義されている「RCD」に必要な請求を追加できます。
For example, the PASSporT claims for the "shaken" PASSporT with "rcd" claims would be as follows:
たとえば、「RCD」クレームを備えた「揺れ」パスポートのパスポートクレームは次のとおりです。
Protected Header
{
"alg":"ES256",
"typ":"passport",
"ppt":"shaken",
"x5u":"https://cert.example.org/passport.cer"
}
Payload
{
"attest":"A",
"dest":{"tn":["12025551001"]},
"iat":1443208345,
"orig":{"tn":"12025551000"},
"origid":"123e4567-e89b-12d3-a456-426655440000",
"rcd":{"nam":"James Bond"}
}
A verification service that understands and supports claims defined in the "rcd" and "shaken" PASSporT extensions is able to receive the above PASSporT and interpret both the "shaken" claims as well as the "rcd" claims.
「RCD」および「Shaken」パスポートエクステンションで定義されているクレームを理解およびサポートする検証サービスは、上記のパスポートを受け取り、「揺れた」クレームと「RCD」クレームの両方を解釈することができます。
If the verification service only understands the "shaken" PASSporT extension claims and doesn't support the "rcd" PASSporT extension or claims, then the "rcd" claim in this example is used during PASSporT signature validation but is otherwise ignored and disregarded.
検証サービスが「Shaken」パスポート拡張クレームのみを理解し、「RCD」パスポート拡張またはクレームをサポートしていない場合、この例の「RCD」クレームはパスポート署名検証中に使用されますが、それ以外の場合は無視され、無視されます。
Beyond naming information and the information that can be contained in a jCard object [RFC7095], there may be additional human-readable information about the calling party that should be rendered to the end user in order to help the called party decide whether or not to pick up the phone. This is not limited to information about the caller; it includes information about the call itself, which may derive from analytics that determine (based on call patterns or similar data) if the call is likely to be one the called party wants to receive. Such data could include:
情報とJCARDオブジェクト[RFC7095]に含めることができる情報と情報の命名を超えて、呼び出された当事者が電話を取り上げるかどうかを決定するのを支援するために、エンドユーザーにレンダリングする必要がある呼び出しパーティーに関する追加の人間読み取り可能な情報がある場合があります。これは、発信者に関する情報に限定されません。コール自体に関する情報が含まれています。これには、呼び出しが受信したいコールが(コールパターンまたは類似のデータに基づいて)決定する分析から派生する可能性があります。このようなデータには以下が含まれます。
* information related to the location of the caller, or
* 発信者の場所に関連する情報、または
* any organizations or institutions that the caller is associated with, or even categories of institutions (whether this a government agency, a bank, or what have you), or
* 発信者が関連付けられている組織または機関、または機関のカテゴリ(これが政府機関、銀行、またはあなたが何を持っているか)、または
* hyperlinks to images, such as logos or pictures of faces, or to similar external profile information, or
* フェイスのロゴや写真、同様の外部プロファイル情報などの画像、または
* information processed by an application before rendering it to a user, like social networking data that shows that an unknown caller is a friend-of-a-friend, or reputation scores derived from crowdsourcing, or confidence scores based on broader analytics about the caller and callee.
* 未知の発信者が友達の友達であることを示すソーシャルネットワーキングデータなど、ユーザーにレンダリングする前にアプリケーションによって処理される情報、またはクラウドソーシングから得られた評判スコア、または発信者とカリーに関するより広い分析に基づく信頼スコア。
All of these data elements would benefit from the secure attestations provided by the STIR and PASSporT frameworks. A new IANA registry has been defined to hold potential values of the "rcd" array; see Section 15.3. Specific extensions to the "rcd" PASSporT claim are left for future specification.
これらのデータ要素はすべて、STIRおよびパスポートフレームワークによって提供される安全な証明の恩恵を受けるでしょう。「RCD」アレイの潜在的な値を保持するために、新しいIANAレジストリが定義されています。セクション15.3を参照してください。「RCD」パスポートクレームへの特定の拡張機能は、将来の仕様のために残されています。
There are a few ways RCD can be extended in the future; jCard is an extensible object and the key/values in the RCD claim object can also be extended. General guidance for future extensibility that was followed by the authors is that jCard typically should refer to data that references the caller as an individual or entity, whereas other claims, such as "crn", refer to data regarding the specific call. There may be other considerations discovered in the future, but this logical grouping of data should be followed to the extent possible for future extensibility.
RCDを将来拡張できる方法はいくつかあります。JCardは拡張可能なオブジェクトであり、RCDクレームオブジェクトのキー/値も拡張できます。著者が続いた将来の拡張性の一般的なガイダンスは、JCARDが通常、発信者を個人またはエンティティと呼ぶデータを参照する必要があるのに対し、「CRN」などの他の主張は特定の呼び出しに関するデータを参照する必要があるということです。将来的に発見された他の考慮事項があるかもしれませんが、この論理的なデータのグループ化は、将来の拡張性のために可能な限り続く必要があります。
Per this document, IANA has added three new claims to the "JSON Web Token Claims" registry as defined in [RFC7519].
このドキュメントに従って、IANAは[RFC7519]で定義されているように、「JSON Webトークンクレーム」レジストリに3つの新しいクレームを追加しました。
Claim Name:
クレーム名:
"rcd"
「RCD」
Claim Description:
クレームの説明:
Rich Call Data Information
リッチコールデータ情報
Change Controller:
Change Controller:
IETF
IETF
Reference:
参照:
RFC 9795
RFC 9795
Claim Name:
クレーム名:
"rcdi"
「rcdi」
Claim Description:
クレームの説明:
Rich Call Data Integrity Information
リッチコールデータの整合性情報
Change Controller:
Change Controller:
IETF
IETF
Reference:
参照:
RFC 9795
RFC 9795
Claim Name:
クレーム名:
"crn"
「CRN」
Claim Description:
クレームの説明:
Call Reason
理由を呼びます
Change Controller:
Change Controller:
IETF
IETF
Reference:
参照:
RFC 9795
RFC 9795
Per this document, IANA has added a new entry to the "Personal Assertion Token (PASSporT) Extensions" registry for the type "rcd" which is specified in this document.
このドキュメントに従って、IANAは、このドキュメントで指定されているタイプ「RCD」の「個人的なアサーショントークン(パスポート)拡張機能」レジストリに新しいエントリを追加しました。
IANA has created a new "PASSporT RCD Claim Types" registry in the "Personal Assertion Token (PASSporT)" registry group. Registration of new PASSporT RCD claim types shall be under the Specification Required policy [RFC8126].
IANAは、「Personal Assertion Token(Passport)」レジストリグループに新しい「パスポートRCDクレームタイプ」レジストリを作成しました。新しいパスポートRCDクレームタイプの登録は、必要なポリシー[RFC8126]の仕様の下にあります。
This registry is initially populated with five claim name values, "nam", "apn", "icn", "jcd", and "jcl", which are specified in this document. The columns are "Name" and "Reference". Any new registrations should consist of only of the name and the reference document. There is an obligation for expert review, where the designated expert should validate that the proposed new PASSporT RCD claim type has a scope that doesn't potentially conflict or overlap with the usage or interpretation of the other existing types in the registry.
このレジストリには、当初、このドキュメントで指定されている「NAM」、「APN」、「ICN」、「JCD」、および「JCL」の5つのクレーム名値が入力されています。列は「名前」と「参照」です。新しい登録は、名前と参照文書のみで構成されている必要があります。専門家のレビューには義務があります。指定された専門家は、提案された新しいパスポートRCDクレームタイプに、レジストリ内の他の既存のタイプの使用または解釈と潜在的に矛盾または重複しない範囲があることを検証する必要があります。
The process of signing information contained in a "rcd" PASSporT (whether the identities, identifiers, alternate identities or identifiers, images, logos, physical addresses, or otherwise) should follow some vetting process in which an authoritative entity follows an appropriate consistent policy defined and governed by the ecosystem using RCD and the STIR framework. This can be of many forms, depending on the setup and constraints of the policy requirements of the ecosystem, and is therefore out of scope of this document. However, the general chain of trust that signers of "rcd" PASSporT are either directly authoritative or have been delegated authority through certificates using JWT Claim Constraints and integrity mechanisms defined in this and related documents is critical to maintain the integrity of the ecosystem utilizing this and other STIR-related specifications.
「RCD」パスポートに含まれる情報に署名するプロセス(ID、識別子、識別子または識別子、画像、ロゴ、物理アドレス、またはその他)は、RCDとStir Frameworkを使用して生態系によって定義および統治された適切な一貫したポリシーに従う適切な一貫したポリシーに従ういくつかの審査プロセスに従う必要があります。これは、エコシステムのポリシー要件のセットアップと制約に応じて、多くの形式である可能性があるため、このドキュメントの範囲外です。ただし、「RCD」パスポートの署名者が直接権威あるか、これと関連文書で定義されたJWTクレームの制約と整合性メカニズムを使用して証明書を通じて権限を委任されたという一般的な信頼の連鎖は、このおよびその他の騒動仕様を利用する生態系の完全性を維持するために重要です。
Revealing information such as the name, location, and affiliation of a person necessarily entails certain privacy risks. Baseline PASSporT has no particular confidentiality requirement, as the information it signs in many current base communications protocols (for example, SIP) is information that is carried in the clear anyway. Transport-level security can hide those SIP fields from eavesdroppers, and the same confidentiality mechanisms would protect any PASSporT(s) carried in SIP.
人の名前、場所、所属などの情報を明らかにするには、必然的に特定のプライバシーリスクが必要です。ベースラインパスポートには、多くの現在のベース通信プロトコル(SIP)に署名されている情報は、とにかく明確な情報であるため、特別な機密性の要件はありません。トランスポートレベルのセキュリティは、これらのSIPフィールドを盗聴者から隠すことができ、同じ機密性メカニズムがSIPで運ばれるパスポートを保護します。
The dereferencing and download of any RCD URI-linked resources as part of verification either in-network or on device could provide some level of information about calling patterns, so this should be considered when making these resources available.
ネットワーク内またはデバイス上の検証の一環として、RCD URIリンクリソースの解示およびダウンロードは、呼び出しパターンに関するある程度の情報を提供できるため、これらのリソースを利用可能にするときに考慮する必要があります。
The use of JWT Claim Constraints, a mechanism defined in [RFC8226] and extended in [RFC9118], to constrain any of the RCD information in the public certificate by including that information in the certificate, depending on the availability in the deployment of the PKI system, may present a privacy issue. The use of the "rcdi" claim and digests for representing JWT claim contents is RECOMMENDED for the prevention of the exposure of that information through the certificates that are often publicly accessible and available.
[RFC8226]で定義され[RFC9118]で拡張されたメカニズムであるJWT請求の制約の使用は、PKIシステムの展開の可用性に応じて、証明書にその情報を含めることにより、公開証明書のRCD情報を制約し、プライバシー問題を提示する場合があります。JWTクレームの内容を表すための「RCDI」クレームと消化の使用は、しばしば公開され、利用可能な証明書を介してその情報の暴露を防止するために推奨されます。
Since computation of "rcdi" digests for URIs requires the loading of referenced content, it would be best practice to validate that content at the creation of the "rcdi" or corresponding JWT claim constraint value by checking for content that may cause issues for verification services or that doesn't follow the behavior defined in this document, e.g., unreasonably sized data, the inclusion of recursive URI references, etc. Along the same lines, the verification service should also use precautionary best practices to avoid attacks when accessing URI-linked content.
URISの「RCDI」ダイジェストの計算には参照コンテンツのロードが必要なため、検証サービスの問題を引き起こす可能性のあるコンテンツをチェックするか、この文書で定義されている行動に従わないコンテンツをチェックすることにより、「RCDI」または対応するJWT請求制約値の作成時にそのコンテンツを検証することがベストプラクティスになります。URIリンクコンテンツにアクセスするときに攻撃を避けるために、予防的なベストプラクティスを使用してください。
As general guidance, the use of URLs and URIs that reference potentially dangerous or intentionally harmful content should be considered in implementing this specification. [RFC3986], Section 7 contains good additional guidance to consider when communicating or dereferencing URLs and URIs.
一般的なガイダンスとして、この仕様の実装では、潜在的に危険または意図的に有害なコンテンツを参照するURLとURIの使用を考慮する必要があります。[RFC3986]、セクション7には、URLとURIを通信または繰り返して繰り返す際に考慮すべき適切な追加ガイダンスが含まれています。
While this can apply to any PASSporT that is signed with a STIR Delegate Certificate [RFC9060], it is important to note that when constraining PASSporTs to include specific claims or contents of claims, it is also important to consider potential attacks by non-authorized signers that may include other potential PASSporT claims that weren't originally vetted by the authorized entity providing the delegate certificate. The use of JWT claims constraints (as defined in [RFC9118]) for preventing the ability to include claims beyond the claims defined in this document may need to be considered.
これは、Stir Delegate証明書[RFC9060]で署名されたパスポートに適用できますが、パスポートに特定のクレームまたはクレームの内容を含めるように制約する場合は、元々の潜在的なパスポート請求を含む可能性のある非認可された署名者による潜在的な攻撃を検討することも重要であることに注意することが重要です。このドキュメントで定義されている請求を超えて請求を含める能力を防ぐために、JWT請求の制約([RFC9118]で定義されている)の使用を考慮する必要がある場合があります。
[IANA-COSE-ALG]
IANA, "COSE Algorithms",
<https://www.iana.org/assignments/cose>.
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC3261] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston,
A., Peterson, J., Sparks, R., Handley, M., and E.
Schooler, "SIP: Session Initiation Protocol", RFC 3261,
DOI 10.17487/RFC3261, June 2002,
<https://www.rfc-editor.org/info/rfc3261>.
[RFC3986] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform
Resource Identifier (URI): Generic Syntax", STD 66,
RFC 3986, DOI 10.17487/RFC3986, January 2005,
<https://www.rfc-editor.org/info/rfc3986>.
[RFC4648] Josefsson, S., "The Base16, Base32, and Base64 Data
Encodings", RFC 4648, DOI 10.17487/RFC4648, October 2006,
<https://www.rfc-editor.org/info/rfc4648>.
[RFC6234] Eastlake 3rd, D. and T. Hansen, "US Secure Hash Algorithms
(SHA and SHA-based HMAC and HKDF)", RFC 6234,
DOI 10.17487/RFC6234, May 2011,
<https://www.rfc-editor.org/info/rfc6234>.
[RFC6901] Bryan, P., Ed., Zyp, K., and M. Nottingham, Ed.,
"JavaScript Object Notation (JSON) Pointer", RFC 6901,
DOI 10.17487/RFC6901, April 2013,
<https://www.rfc-editor.org/info/rfc6901>.
[RFC7095] Kewisch, P., "jCard: The JSON Format for vCard", RFC 7095,
DOI 10.17487/RFC7095, January 2014,
<https://www.rfc-editor.org/info/rfc7095>.
[RFC7519] Jones, M., Bradley, J., and N. Sakimura, "JSON Web Token
(JWT)", RFC 7519, DOI 10.17487/RFC7519, May 2015,
<https://www.rfc-editor.org/info/rfc7519>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8224] Peterson, J., Jennings, C., Rescorla, E., and C. Wendt,
"Authenticated Identity Management in the Session
Initiation Protocol (SIP)", RFC 8224,
DOI 10.17487/RFC8224, February 2018,
<https://www.rfc-editor.org/info/rfc8224>.
[RFC8225] Wendt, C. and J. Peterson, "PASSporT: Personal Assertion
Token", RFC 8225, DOI 10.17487/RFC8225, February 2018,
<https://www.rfc-editor.org/info/rfc8225>.
[RFC8226] Peterson, J. and S. Turner, "Secure Telephone Identity
Credentials: Certificates", RFC 8226,
DOI 10.17487/RFC8226, February 2018,
<https://www.rfc-editor.org/info/rfc8226>.
[RFC8259] Bray, T., Ed., "The JavaScript Object Notation (JSON) Data
Interchange Format", STD 90, RFC 8259,
DOI 10.17487/RFC8259, December 2017,
<https://www.rfc-editor.org/info/rfc8259>.
[RFC8588] Wendt, C. and M. Barnes, "Personal Assertion Token
(PaSSporT) Extension for Signature-based Handling of
Asserted information using toKENs (SHAKEN)", RFC 8588,
DOI 10.17487/RFC8588, May 2019,
<https://www.rfc-editor.org/info/rfc8588>.
[RFC9060] Peterson, J., "Secure Telephone Identity Revisited (STIR)
Certificate Delegation", RFC 9060, DOI 10.17487/RFC9060,
September 2021, <https://www.rfc-editor.org/info/rfc9060>.
[RFC9118] Housley, R., "Enhanced JSON Web Token (JWT) Claim
Constraints for Secure Telephone Identity Revisited (STIR)
Certificates", RFC 9118, DOI 10.17487/RFC9118, August
2021, <https://www.rfc-editor.org/info/rfc9118>.
[RFC9796] Wendt, C. and J. Peterson, "SIP Call-Info Parameters for
Rich Call Data", RFC 9796, DOI 10.17487/RFC9796, July
2025, <https://www.rfc-editor.org/info/rfc9796>.
[ATIS-1000074.v003]
Alliance for Telecommunications Industry Solutions,
"Signature-based Handling of Asserted information using
toKENs (SHAKEN)", ATIS-1000074.v003, August 2022,
<https://access.atis.org/higherlogic/ws/public/
download/67436>.
[RFC3325] Jennings, C., Peterson, J., and M. Watson, "Private
Extensions to the Session Initiation Protocol (SIP) for
Asserted Identity within Trusted Networks", RFC 3325,
DOI 10.17487/RFC3325, November 2002,
<https://www.rfc-editor.org/info/rfc3325>.
[RFC7340] Peterson, J., Schulzrinne, H., and H. Tschofenig, "Secure
Telephone Identity Problem Statement and Requirements",
RFC 7340, DOI 10.17487/RFC7340, September 2014,
<https://www.rfc-editor.org/info/rfc7340>.
[RFC8126] Cotton, M., Leiba, B., and T. Narten, "Guidelines for
Writing an IANA Considerations Section in RFCs", BCP 26,
RFC 8126, DOI 10.17487/RFC8126, June 2017,
<https://www.rfc-editor.org/info/rfc8126>.
[RFC8816] Rescorla, E. and J. Peterson, "Secure Telephone Identity
Revisited (STIR) Out-of-Band Architecture and Use Cases",
RFC 8816, DOI 10.17487/RFC8816, February 2021,
<https://www.rfc-editor.org/info/rfc8816>.
[TS.3GPP.24.229]
3GPP, "IP multimedia call control protocol based on
Session Initiation Protocol (SIP) and Session Description
Protocol (SDP); Stage 3", 16.7.0, 3GPP TS 24.229,
September 2020,
<https://www.3gpp.org/ftp/Specs/html-info/24229.htm>.
[W3C-SubresourceIntegrity]
Braun, F., Ed., "Subresource Integrity", W3C First Public
Working Draft, 25 April 2025,
<https://www.w3.org/TR/2025/WD-sri-2-20250422/>.
We would like to thank David Hancock, Robert Sparks, Russ Housley, Eric Burger, Alec Fenichel, Ben Campbell, Jack Rickard, Jordan Simpson for helpful suggestions, review, and comments.
デイビッド・ハンコック、ロバート・スパークス、ラス・ヒューズリー、エリック・バーガー、アレック・フェニチェル、ベン・キャンベル、ジャック・リッカード、ジョーダン・シンプソンに有益な提案、レビュー、コメントに感謝します。
Chris Wendt
Somos Inc.
Email: chris-ietf@chriswendt.net
Jon Peterson
TransUnion
Email: jon.peterson@transunion.com