下载本文的 PDF 版本 PDF

让 SIP 更有意义

使用 SIP 的 P2P 支付可以实现新型小额支付应用和商业模式。

新的小额支付系统可能即将问世。

Jason Fischl,Counterpath,以及 Hannes Tschofenig,西门子

会话发起协议 (SIP) 用于在基于 IP 的网络中建立实时会话。1 这些会话可能是用于音频、视频或 IM 通信,也可能用于中继呈现信息。SIP 服务提供商主要专注于提供一种服务,该服务复制了 PSTN(公共交换电话网络)或 PLMN(公共陆地移动网络)向基于互联网的环境提供的服务。

为此目的使用 SIP 的一些优点是

然而,尽管有许多好处,SIP 系统仍缺乏与最近引入的身份管理解决方案以及实时计费和支付的集成。本文介绍了现有 SIP 部署如何解决计费和支付问题。它还提出了一个关于使用 SIP 进行 P2P(对等)实时计费和支付的建议,其精神与联合身份管理一致。

挑战

在传统的电子商务环境中,客户与商家建立直接关系。例如,客户在商家(例如 Amazon.com)处创建一个帐户,并提供信用卡和用户身份信息,这些信息可以存储起来,以便将来在同一商家处购买商品。

典型的 ITSP(互联网电话服务提供商)使用 SIP 主要关注基本服务的交付以及电信公司的功能,例如语音邮件和呼叫等待。最常见的 ITSP 模型与包月定价相结合,具体取决于套餐,并且某些类型的呼叫按分钟收费。许多 ITSP 正在转向主要采用包月套餐,其中包含在扩展地理区域内终止于 PSTN 的呼叫的所有分钟数,并且基本包月费中包含所有呼叫功能。终止于 PSTN 的国际长途电话仍将按分钟收费,并在每个月末计费(即,后付费方式)。

其他 ITSP,例如 Skype,使用预付费方式。客户预先支付一定金额的资金,然后 ITSP 实时评估个人呼叫费用,并从客户的帐户中扣除相应的金额。为了阻止欺诈,系统必须准备好在帐户余额达到零时实时切断呼叫。呼叫管理器可能会播放公告,提供充值帐户的功能。

这样的系统还必须为最终用户同时从不同端点使用同一帐户做好准备,并且必须禁止此行为或对其进行核算。一些网络运营商希望阻止用户在没有运营商通过 SIP 信令参与的情况下直接相互通信。这需要在 SIP 实体和网络管理员域边界的路由器之间进行额外的协议交互。

如图 1 所示,以下是传统基于 SIP 的 ITSP 计费管理系统的组件(我们尽可能使用 RFC 29752 中的术语)

传统方法存在许多挑战

当今大多数 VoIP 部署都侧重于更简单的定价模型。 在这些模型中,互联网上的呼叫根本不收费。用户仅对终止于 PSTN 的呼叫收费。这使得一些更复杂的 RADIUS 和 Diameter 用法变得过时。

实时计费为整个系统增加了许多协议复杂性。 开发可扩展的计费和支付系统具有挑战性,因为需要实时和高可用性。在最坏的情况下,每次呼叫都需要与后端基础设施进行实时交互。

许多 VoIP 提供商网络仍然是孤岛,提供商之间的通信量有限。 这要求用户要么订阅多个 ITSP,要么使用 PSTN 作为通用互连网络。后者阻止了高级功能(例如视频或呈现服务)和更复杂的编解码器的使用。

传统支付机制与每笔支付交易都有相关的成本。 这些成本非常高,以至于大约一美分的小额支付是不可行的。这消除了可以向客户提供的整个类别的服务。

相比之下,在基于 HTTP 的环境中,基于 Web 的支付方案(例如 PayPal 和 Google Checkout)为商家提供了一种通过 Web 接受 P2P 支付的方式,而无需客户与商家建立直接关系。想要使用这些支付服务的商家需要使用支付服务提供商提供的专有 API(应用程序编程接口)来实现其 Web 店面。当卖家从网页销售商品或服务时,这些类型的支付服务运行良好。可以使用这样的支付机制来提供支持 SIP 的服务,例如电话呼叫,但这具有挑战性,因为交易的实时性质。它实际上也将仅限于支付 ITSP 的包月费。要求每次呼叫都与后端基础设施交互也是不可取的。此外,没有为进行支付定义标准接口或协议。专有 API 往往会将客户锁定在特定的支付服务提供商中。

要求

2004 年 7 月,来自思科系统的 Cullen Jennings 和来自小额支付提供商初创公司 Bitpass 的 Gyuchang Jun 提出了一个初步的互联网草案,旨在解决更传统方法带来的一些限制。9 大约在同一时间,PayCircle 组织调查了 Liberty Alliance 协议在支付方面的适用性。10

在其 SIP 支付互联网草案中,Jennings 和 Jun 解决了以下要求

该方法应针对低价值交易进行优化,其中欺诈商家的后果对客户而言是最小的。 客户可以决定不再从商家处购买服务,而货币损失最小。这种假设导致更简单的实现。

客户和商家无需彼此建立直接的信任关系。 此外,应允许客户对商家完全匿名。他们应该能够使用受信任的第三方支付服务提供商作为清算所。一次性购买廉价服务的购买者无需信任商家。充其量,购买者承担向商家损失初始小额付款的风险。

商家应该能够支持多个支付提供商。 支付提供商的选择应通过标准化协议传达给客户。通过这样做,商家可以吸引更广泛的客户。例如,从美国销售语言培训服务的商家在向美国客户提供服务时可能会使用美国支付提供商,但在向中国客户销售同一服务时可能希望使用中国支付提供商。

客户需要能够在购买前了解价格。 这是一种费用建议的形式,但从客户方面提供了更强的执行力。例如,Alice 拨打给提供实时视频星座运势的商家的电话。星座运势供应商为 Alice 提供了购买基本星座运势(50 美分)或豪华星座运势(2 美元)的选项。由于 Alice 从未从该供应商处购买过任何东西,她可能会决定先尝试基本选项。即使商家最终是欺诈的,Alice 也只承担 50 美分的风险。如果 Alice 对星座运势不满意,商家甚至可能会退还她的钱。

商家应该能够支持包月、按时间、按量和按会话收费。 此外,应支持不同的货币。例如,PSTN 终端商家可能会提供在南非任何地方终止电话呼叫的服务,并提供多种不同的模式,包括 1 美元最多一小时的电话呼叫或每分钟 6 美分。可以使用美国支付提供商以美元和德国支付提供商以欧元提供这些不同的费率计划。也可以使用伪货币收费,例如在航空公司忠诚度计划中赚取的货币。例如,联合航空公司可以提供在美国任何地方拨打电话的服务,费用为 1,000 航空里程。

商家应该能够提供简单的退款。 尽管另一个要求是针对低价值交易进行优化,但仍然需要提供退款——例如,当客户同意支付拨打到南非的电话费用,但拨打的目的地正忙时。同样,客户可能已预付 20 分钟的按分钟使用费用,但如果呼叫过早结束,商家可能希望退还部分付款。

基于标准的解决方案

Jennings、Jun 和 IETF(互联网工程任务组)的其他人员所做的努力概述了简单、基于 SIP 的 P2P 支付机制的要求和拟议解决方案。拟议的解决方案是轻量级的,旨在让客户、商家和支付提供商易于实施。11 首先,是一些定义

客户。 服务的购买者。SIP 软电话或硬电话可以承担此角色。这通常是 SIP UAC(用户代理客户端),尽管与客户在同一管理域中的 SIP 代理可以代表客户执行此功能。

商家。 服务的销售者,即希望获得报酬的实体。PSTN 网关可以承担此角色。这通常是 SIP UAS(用户代理服务器),尽管与商家在同一管理域中的 SIP 代理可以代表商家执行此功能。

支付提供商。 处理资金从客户到商家以及反之亦然的转移的第三方。客户使用 HTTPS 与支付提供商通信。

支付报价。 从商家发送到客户的信息,描述所需的支付,包括费率、支持的货币和受信任的支付提供商。

支付请求。 从客户发送到支付提供商的信息,请求从客户的帐户向商家的帐户付款。

收据。 从支付提供商发送给客户以响应支付请求,并传递给商家的数字签名文档。收据告诉商家客户已成功付款。支付提供商需要对收据进行数字签名,以允许商家检测未经授权的修改。当前的提议是使用 SAML(安全断言标记语言)断言作为收据。SAML 是一种 XML 标准,用于在安全域之间交换身份验证和授权数据。

退款。 商家可以使用支付请求将资金转回给客户。

基本消息流如图 2 所示。客户和商家之间的信令是使用 Jennings 和 Jun 的 SIP 支付互联网草案中描述的 SIP 协议的简单扩展完成的。客户和支付提供商之间的信令是使用 HTTPS 完成的。数字签名的收据(在来自支付提供商的 HTTPS 响应中返回)是 SAML 断言。然后,此收据在随后的 SIP 请求中返回给商家。然后,商家验证收据并允许服务。如果客户仅支付了总服务使用量的一部分,则由客户在商家终止会话之前再次付款。此扩展是通过重复与原始支付中相同的步骤来完成的。

请注意,图 2 中所示的协议交互不需要客户和支付提供商之间为每次客户到商家的 SIP 交互进行交互。来自支付提供商的收据可能具有跨越许多 SIP 会话的有效期。此外,值得注意的是,图 2 仅显示了推送方法。基于拉取的方法需要商家和支付提供商之间的交互。这可以通过使用对断言的引用来完成,但详细描述超出了本文的范围(有关更多详细信息,请参见互联网草案12)。

应用

在解决传统实时计费和支付处理的一些基本限制方面,此处描述的方法可以实现各种新的应用程序。例如,让呼叫者“冒险支付”可能有助于解决 VoIP 系统中的垃圾邮件问题。垃圾电子邮件激增的关键原因之一是发送垃圾邮件的成本几乎为零。互联网电话和即时消息 (spit and spim) 的垃圾邮件预计将成为一个更为严重的问题。由于未经请求的电话呼叫或即时消息引起的干扰具有实时性,因此它可能对最终用户来说是一个更令人恼火的问题。

加剧问题的一个因素是能够以极低的成本从这些 ITSP 之一创建新帐户(以及因此的身份)。因此,解决此问题需要假设默认情况下不能信任新的、以前未知的身份。因此,黑名单的用处有限。

增加垃圾邮件发送者的成本可以缓解此问题。当用户第一次收到未经请求的呼叫或即时消息时,接收者可以向呼叫者发回小额费用(可能为 5 美分)的付款请求。付款甚至可以支付给接收者最喜欢的慈善机构。一旦付款完成,接收者现在可以将呼叫者的身份添加到白名单中,以用于所有未来的通信。此外,接收者可以向呼叫者退还付款。在这种情况下,促成交易的支付服务提供商将收取两笔交易的费用。请注意,呼叫者的身份必须难以伪造或冒充。

此方法的另一个有趣应用是为实时通信服务创建 P2P 市场。例如,语言培训服务可以在没有直接商业关系的各方之间的 SIP 网络上提供。一位英语语言学生可能正在寻找一位英语语言教师,并且愿意为这项服务付费。培训服务的销售者可以在按分钟、按小时或按固定费用等多种模式中选择服务收费模式。对话可以包括音频、视频和/或 IM。

为了找到特定的卖家,买家将使用目录,其中包括类似于 eBay 为其买家和卖家提供的评级信息,以帮助买家选择提供商。当买家首次联系卖家时,卖家会发回付款请求,指示支持的计费模式、货币和支付服务提供商。在此阶段,买家可以选择他们想要使用的收费模式以及他们希望使用的支付提供商。买家甚至可以决定先支付几分钟的服务费用,看看卖家有多好,然后在会话开始后购买更多时间。

在买家进行初始付款后,支付服务提供商会将数字签名的收据返回给买家,然后将其发送给卖家。卖家验证收据,会话开始。由卖家决定商业模式。支付服务提供商仅充当支付的第三方经纪人。这种类型的支付机制针对低价值交易进行了优化。如果卖家未提供广告宣传的服务,则买家仅损失少量资金,并且可以对卖家提供负面反馈。

分析

Diameter 和 RADIUS 扩展13,14,15,16 是 IETF 内正在开发的构建块,可提供身份验证、授权和(实时)计费。这些通用机制不仅可用于网络访问,还可用于应用程序服务,例如 SIP 会话。RADIUS 和 Diameter 遵循的消息通信模式主要侧重于商家和支付提供商之间的交互,其中客户不参与,除非进行身份验证。随着新一代身份管理解决方案(例如 SAML)的引入,客户可以通过路由通过客户设备的消息更多地参与其中。

需要研究具有不同特征的新通信模式。Jennings 和 Jun 草案提出了一个旨在将基于 Web 的基于 SAML 的身份管理与在 SIP 中执行实时计费的功能相结合的提议,该功能支持各种支付机制。结果是一种现收现付方案,具有内置的费用建议,使最终用户具有更多的控制权(包括隐私)和授权决策的可见性。最后,功能和复杂性被推送到终端主机,我们认为网络基础设施因此更加健壮和更具可扩展性。

即使 SAML(和类似提议)背后的身份管理社区所设想的范式转变似乎为电话应用及其他领域带来了巨大的希望,但仍有一些问题。其中包括:支付提供商是否可以以经济高效的方式提供小额支付解决方案?人们多年来一直在谈论小额支付,但似乎没有一家小额支付公司取得成功。

据道琼斯通讯社报道,1 月,在微软的“思考周”上,比尔·盖茨宣布了一项针对新支付系统的开发计划,该计划解决了早先概述的许多挑战,并且“将比信用卡交易更便宜,使公司有可能对他们现在免费提供的基于 Web 的内容和服务收取少量费用”。基于 SAML 的身份管理解决方案正被更广泛地使用(超出企业和企业对企业部署环境),并且正在从断言身份发展到授权和属性声明。这些系统将来也必须提供集成的计费和支付功能。将廉价的小额支付解决方案与不断发展的身份管理系统相结合,可能会在现实世界中发挥重要作用。适用于基于 Web 和 SIP 的服务的支付模型可以实现有趣的应用和商业模式。

另一个未解决的问题是欺诈。由于做出了一些简化假设,客户有可能因欺诈商家而蒙受损失。由于客户与商家没有直接的信任关系,因此此处面临风险的金额受到限制,并且客户很可能可以接受这种风险。欺诈商家的后果是在公共目录中获得差评。

退款机制也非常简单,不允许商家或客户有太多灵活性。同样,通过针对小额交易进行优化,不需要复杂的退款机制。与电信提供商的传统商业模式相比,这种方法倾向于鼓励不同的商业模式,但正如许多人预测的那样,基本语音服务将在不久的将来免费。电信公司需要新的商业模式才能生存。

想到的另一个问题是 SIP 基础设施提供商如何在这种模式下赚钱。在本文描述的示例中,商家并不总是与向客户提供基本 SIP 服务的公司相同。例如,Alice 在名为 example.com 的 SIP ITSP 处注册,该 ITSP 可以使用此处描述的机制提供基本终端,但也可能希望通过 Internet 提供与各种第三方商家的互连。Example.com 可能会选择向商家收取将呼叫路由给他们的费用,因为它有权访问 SIP 信令中的支付报价。向商家收费的方式不在本文的讨论范围之内,但很容易看到 ITSP 的一个有趣的商业模式,该模式不涉及提供实际服务,而是促进服务。ITSP 在此处提供的关键服务是身份和路由。ITSP 实现的身份服务完整性保护了请求中继到商家的收据。如果商家认为 ITSP 不可信,则可以拉黑来自 ITSP 域的所有请求。

结论

利用不断增长的广泛部署的 SIP 基础设施的新支付模式为通信的未来带来了巨大的希望,使服务提供商、商家和用户能够从更高的灵活性和效率中受益。然而,为了完全集成到现有系统和我们生活的结构中,小额支付服务提供商将需要激增,并且进入的技术和商业壁垒将不得不降低。随着这一领域和 SIP 集成的其他领域正在进行的工作证明会产生有希望的结果,支持者将继续看到行业各个领域的兴趣日益浓厚。

致谢

作者要感谢 Cullen Jennings 和 Gyuchang Jun 在 SIP 支付互联网草案方面的工作,Jeff Hodges 在 SAML 方面的帮助,IETF SIPPING 工作组的反馈,以及 Bertolt Eicke、Karsten Luettge、Thomas Hickethier 和 Fatih Eyüp Nar 的评论。我们还要感谢 Layya Halawi、Matthias Gsottberger 和 Marcos Dytz 在 SIP 支付互联网草案中概述的方法的原型实现方面的工作。

参考文献

  1. Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., Schooler, E. 2002. SIP: 会话发起协议。RFC 3261(6 月)。
  2. Aboba, B., Arkko, J., Harrington, D. 2000. 会计管理简介。RFC 2975(10 月)。
  3. Garcia-Martin, M., Belinchon, M., Pallares-Lopez, M., Canales-Valenzuela, C., Tammi, K. 2006. Diameter 会话发起协议 (SIP) 应用程序。RFC 4740(11 月)。
  4. Sterman, B., Sadolevsky, D., Schwartz, D., Williams, D., Beck, W. 2006. 用于摘要式身份验证的 RADIUS 扩展。RFC 4590(7 月)。
  5. Hakala, H., Mattila, L., Koskinen, J-P., Stura, M., Loughney, J. 2005. Diameter 信用控制应用程序。RFC 4006(8 月)。
  6. Lior, A., Yegani, P., Chowdhury, K., Tschofenig, H., Pashalidis, A. 2006. 远程身份验证拨入用户服务 (RADIUS) 的预付费扩展,draft-lior-radius-prepaid-extensions-11.txt(正在进行中,6 月)。
  7. Calhoun, P., Loughney, J., Guttman, E., Zorn, G., Arkko, J. 2003. Diameter 基础协议。RFC 3588(9 月)。
  8. Rigney, C. 2000. RADIUS 计费。RFC 2866(6 月)。
  9. Jennings, C., Fischl, J., Tschofenig, H., Jun, G. 2006. 会话发起协议 (SIP) 中的服务支付。draft-jennings-sipping-pay-05.txt(10 月)。
  10. Foll, F., Eicke, B., Luettge, K. 关于 Liberty 集成的 PayCircle 白皮书,PayCircle(9 月); http://www.paycircle.org/downloads/file.php?id=28&kat_id=1
  11. 参见参考文献 9。
  12. 参见参考文献 9。
  13. 参见参考文献 3。
  14. 参见参考文献 4。
  15. 参见参考文献 5。
  16. 参见参考文献 6。

JASON FISCHL 是 SIP 软电话的领先提供商 CounterPath Solutions(前身为 Xten Networks)的 CTO。在加入 CounterPath 之前,他是 Tel Tel 和 PurpleComm Inc. 的联合创始人兼 CTO,PurpleComm Inc. 是一家 SIP 服务提供商,为世界各地的用户提供住宅 VoIP、呈现和 IM 服务。他还是 Cathay Networks 的创始人兼 CTO,该公司开发了基于 SIP 的 IP Centrex 系统。Fischl 是 SIPfoundry 和 Vovida.org 的创始董事会成员之一。他于 2002 年帮助创立了 reSIProcate 开源 SIP 堆栈项目,并且一直是其主要贡献者之一。他是 IETF 的活跃成员,并且正在研究 SIP 安全和支付机制领域的许多互联网草案。

HANNES TSCHOFENIG 在西门子网络有限公司担任高级研究科学家,专注于安全和网络协议。他获得了奥地利克拉根福大学的应用计算机科学学位。他积极参与标准化领域,尤其是在 IETF 中,他在那里共同主持 ECRIT(使用互联网技术的紧急上下文解析)、KeyProv(对称密钥的配置)和 IETF DIME(Diameter 维护和扩展)工作组。他还是 IETF NSIS(信令的下一步)工作组的秘书和传输区域理事会成员。Tschofenig 与他人合著了多篇国际会议出版物、多篇 RFC 和许多 IETF 草案。

acmqueue

最初发表于 Queue vol. 5, no. 2
数字图书馆 中评论本文




更多相关文章

- 从负债到优势:与 John Graham-Cumming 和 John Ousterhout 的对话
软件生产(软件开发的后端,包括构建、测试、打包和部署等任务)已成为许多开发组织中的瓶颈。在本次访谈中,Electric Cloud 创始人 John Ousterhout 解释了如何将软件生产从负债转变为竞争优势。


- 为您的应用程序武装防弹部署:与 Tom Spalthoff 的对话
应用程序、更新和补丁的部署是任何 IT 部门最常见 - 也是风险最高的 - 功能之一。部署任何未正确配置为分发的应用程序都可能中断或崩溃关键应用程序,并使公司在生产力损失和帮助台费用方面付出高昂的代价 - 而且公司每天都在这样做。事实上,Gartner 报告称,即使经过 10 年的经验,大多数公司也无法以 90% 或更高的成功率自动部署软件。


Martin J. Steinmann - 使用 SIP 的统一通信
基于 SIP(会话发起协议)标准的通信系统在过去几年中取得了长足的进步。SIP 现在基本上已完成,甚至涵盖了高级电话和多媒体功能以及功能交互。来自不同供应商的解决方案之间的互操作性在 SIP 论坛组织的 SIPit(互操作性测试)会议等活动中反复得到证明,并且一些制造商已经证明,标准的专有扩展不再受技术需求驱动,而是受商业考虑驱动。


David A. Bryan, Bruce B. Lowekamp - 去中心化 SIP
SIP(会话发起协议)是当今使用最流行的 VoIP 协议。1 它被企业、消费者甚至运营商广泛用于其网络核心。由于 SIP 旨在建立任何类型的媒体会话,因此它也用于 VoIP 之外的各种多媒体应用程序,包括 IPTV、视频会议,甚至协作视频游戏。



© 保留所有权利。

© . All rights reserved.