CellBricks: 新型蜂窝架构实现民主化蜂窝接入

626−用CellBricks实现罗志宏加州大学伯克利分校沙迪·哈桑弗吉尼亚理工大学银符加州大学伯克利分校西尔维娅·拉特纳萨米加州大学伯克利分校马克·泰斯加州大学伯克利分校斯科特·申克加州大学伯克利分校ICSI摘要竞争蓬勃发展的市场对消费者和创新都有好处，但不幸的是，在日益 重 要 的 蜂 窝 市 场 ， 竞 争 并 没 有 蓬 勃 发 展 。 我 们 提 出 了CellBricks，一种新型的蜂窝架构，通过使用户能够从任何可用的蜂窝运营商（小型或大型，可信或不可信）按需消费接入，降低了新运营商的进入门槛。CellBricks通过将对移动性和用户管理（认证和计费）的支持从网络转移到终端主机来实现这一点 我们相信，这些变化带来的宝贵好处不仅仅是促进竞争：它们带来了更简单、更高效的蜂窝基础设施。我们设计，构建和评估CellBricks，显示其效益来在性能上几乎没有成本，与应用程序的性能开销之间的1。6%至3。1%，这是目前的蜂窝基础设施所实现的。CCS概念• 网络→网络架构;移动网络;关键词蜂窝架构，主机驱动移动，民主化ACM参考格式：Zhihong Luo ， Silvery Fu ， Mark Theis ， Shaddi Hasan ， SylviaRatnasamy，and Scott Shenker. 2021.用CellBricks实现蜂窝接入的民主化。在ACM SIGCOMM 2021会议（SIGCOMMDylan Evans，USA. ACM，纽约州纽约市，美国，15页。https://doi.org/10的网站上下载。1145/3452296.34733361介绍蜂窝网络在互联网生态系统中发挥着越来越重要的作用：它们为超过50亿用户提供服务，提供超过50%的网络流量，并且由于5G，物联网和边缘计算的新应用，预计将出现急剧增长[21，26]。 鉴于其核心作用，至关重要的是，蜂窝市场应向创新和竞争开放。不幸的是，今天的情况并非如此，因为蜂窝市场由少数提供商主导;例如，3运营商占美国用户的98%以上[87]，人们越来越担心这个市场的垄断性质本作品采用知识共享署名国际4.0许可协议进行许可SIGCOMM©2021版权归所有者/作者所有。ACM ISBN978-1-4503-8383-7/21/08。https://doi.org/10.1145/3452296.3473336将对创新、定价、安全性以及最终的用户[43，45，47，59，64，65，71，96]在本文中，我们探讨了一种替代蜂窝架构，允许潜在的大量竞争的蜂窝提供商共存。我们首先观察到，为了降低进入门槛，我们必须确保任何规模的供应商-–我们使用例如，在一个示例中，小规模的提供商可以在仅跨越一个或几个小区塔的适度地理区域上提供覆盖（例如，在校园、购物中心、市中心或农村地区），而大规模提供商可能提供全国范围的覆盖（如今天的领先提供商所做的）。我们所说的“平等竞争”是指用户没有理由根据其基础设施的地理范围对供应商进行歧视。相反，我们希望让用户能够从任何提供商那里消费蜂窝服务，而不必担心该提供商是否在其他地方提供覆盖。这样做为所有供应商提供了公平的竞争环境，无论是小型还是大型，新的还是现有的。所描述的这种理想情况与当前的实际情况大不相同。如今，用户对提供商的选择受到提供商的覆盖区域（例如，[24]除此之外，还有价格和其他因素。因此，提供商的可行性和成功取决于其部署规模。 建设蜂窝网络是缓慢和资本密集型的;因此，期望新进入者在进入市场之前推出大规模网络大大提高了他们的进入门槛。虽然独立的小规模移动运营商确实存在，但它们往往被降级为次要角色：它们主要服务于利基市场，依赖于与全国规模的移动网络的漫游协议，或者只提供私人本地网络。正如我们将在第2节中讨论的那样，当前对大规模提供商的偏见不仅仅是历史的偶然;相反，它深深植根于当前蜂窝架构的设计选择中。为了扭转这一局面，我们提出了一种新的蜂窝架构CellBricks，该架构明确设计用于容纳任何规模的供应商。为了实现这一点，我们的架构从目前的蜂窝设计出发，在两个重要的方面。首先，它消除了用户与他们所连接的蜂窝网络之间存在信任关系的传统要求，而是使用户能够从任何基础设施运营商按需消费（并支付）服务。CellBricks通过移动某些用户管理功能（例如，计费、身份验证），并在用户和外部“代理”服务之间重构它们（§3）。其次，它将对移动性的支持从网络转移到用户设备，使得用户即使频繁地在（可能规模较小的）提供商之间切换也可以体验无缝移动性，并且使得她可以这样做而不依赖于复杂的网络支持和提供商间漫游协议。627SIGCOMMLuo等人虽然CellBricks最初的动机是实现竞争的目标，但我们发现我们的设计提供了两个额外的好处：简化和有效的容量扩展。通过移除对用户管理和移动性的网内支持，CellBricks中的蜂窝核心比当前（众所周知的复杂）蜂窝架构中的蜂窝核心简单得多（§3）。 通过允许用户连接到任何蜂窝网络，CellBricks允许更有效地使用频谱和基础设施。这一好处尤其有价值，因为5G需要比前几代更密集的基站部署，这放大了现有的覆盖问题。总之，CellBricks的好处有三个方面：（i）降低新提供商的进入门槛，（ii）简化蜂窝核心基础设施，以及（iii）能够更有效地使用蜂窝频谱和基础设施。我们设计和实现CellBricks作为开源蜂窝平台的扩展（Magma[38]，srsLTE [48]）。 我们评估CellBricks通过一个小规模的测试平台上的实验和现有的蜂窝和广域网的仿真相结合。 我们证明了CellBricks与现有的无线电兼容，对应用程序性能的开销可以忽略不计（在-1.61-3.06%之间），并在不同的无线电条件下扩展到大量用户。在本文中，我们专注于技术可行性的蜂窝架构，是更开放的新进入者。我们认识到，我们的提案也引起了有关激励措施、频谱等方面的问题。 我们在第3节中简要讨论了这些问题，但将这些问题的深入探讨留给未来的工作。路线图。 在§2中，我们详细说明了为什么当前的蜂窝架构无法适应中小型供应商。 我们分别在§3、§4、§5和§6中介绍了CellBricks的总体方法、设计、实现和评估。 我们讨论了相关的工作，并在§7中结束。道德声明：这项工作不会引起任何道德问题。2背景和动机2.1当前的蜂窝体系结构当今RAN包括通过无线电接口与用户设备（UE）通信的小区塔RAN将业务从UE转发到核心，核心然后将业务向前转发到互联网。RAN定义了数据如何在蜂窝塔和用户设备之间进行编码和空中传输 我们的架构不修改RAN，因此我们不进一步讨论它。蜂窝核心实现与用户认证、移动性管理、业务分类和优先化、使用计费等相关的一系列功能。 这些功能被实现为可以在提供商的中央办公室、边缘数据中心或（最近）云中部署的硬件或软件设备[69]。重要的是，核心充当UE的移动锚点：例如，当UE连接到网络时，UE的IP地址由核心分配，并且当UE在不同的塔之间移动时，该地址保持相同。 我们确实修改了CellBricks中的细胞核心，因此简要阐述了它（详细信息请参见[10]）。蜂窝核心包括：（i）控制平面功能，其实现用于与UE通信的标准化信令协议，（ii）用户平面功能，其实现分组转发，包括分类和优先化以实施QoS等级、用于计费的计数器等。以及（iii）维护订户信息并执行认证和策略的管理平面功能。当用户连接到移动网络时，它首先经历“附接”过程，该过程该信令触发核心内的一系列管理功能，包括（i）认证设备，（ii）查找其订阅计划，（iii）基于该订阅计划配置适当的用户平面功能（例如，配置速率限制、分组分类规则和优先级），以及（iv）在UE和核心之间创建一个或多个逻辑隧道以处理业务。一旦这个连接过程完成，移动网络（无线电和核心）就可以处理用户当用户从同一个提供商内的一个蜂窝塔移动到另一个蜂窝塔时，相反，RAN和蜂窝核心中的相关组件将协调以确保该UE的通信状态-例如， 其隧道状态、QoS规则被正确地应用于到达/来自UE的新塔的业务。 该“切换过程”通过迁移承载UE的业务的隧道来实现，使得业务继续流过蜂窝核心中的相同元件，包括将核心连接到互联网的IP网关。参与者传统上，蜂窝网络中的两个主要参与者是具有她的UE的用户和移动网络运营商（MNO）。 MNO拥有并运营蜂窝基础设施，并且还提供诸如销售、计费、客户服务、营销等的用户支持服务。用户通常与充当其默认或“归属”提供商的一个MNO签订合同协议。为了提供广泛的覆盖，MNO可以与其他MNO签订合同协议，并且当UE在其归属网络的覆盖区域之外“漫游”时移动虚拟网络运营商（MVNO）是不拥有RAN基础设施的服务提供商，而是提供面向用户的服务（销售、计费等）。），同时依赖于与一些MNO的商业协议来提供对它们的RAN的使用。美国两 个 著 名 的 MVNO 是 Google Fi [49] （ 使 用 T-Mobile 和 USCellular网络）和Cricket [101]（使用其所有者AT& T的网络）。在该场景中，用户与MVNO签约，并且MVNO进而与MNO签约。2.2当今蜂窝架构的局限性我们认为，上述蜂窝架构从根本上与授权较小规模的供应商不一致这有两个主要原因，我们将在下面详细说明。(1) 扩大覆盖范围需要预先达成协议。 用户 只能从 与其具有预先建立的合同协议的MNO获得服务。 该协议可以是直接的（即，和之间）或间接（即， 有一个协议， 并 有一个协议 ，授权 服务，）。这些协议是MNO如何为其提供服务628≥2021年8月23日至27日，美国，虚拟活动，CellBricks SIGCOMM'21使蜂窝接入民主化移动虚拟网络运营商如何建立覆盖范围。 类似于广域路由中的对等，这些协议在两个实体之间建立信任，基于此，它们在认证和计费用户时进行合作;例如，通过提供商间漫游协议。不幸的是，当我们有许多较小的提供商时，这种方法的扩展性很差，因为这些提供商之间的协议是手动建立的，交易成本很高。今天，建立这种协议的开销是可以接受的，因为每个MNO都有大量部署，因此只需要少量的协议就可以确保广泛的覆盖- 例如， 谷歌与两家MNO合作提供其Fi服务。但在一个有许多小规模供应商的环境中，确保广泛覆盖所需的协议数量很快就会变得难以维持。1(2) 无缝移动性需要小区塔之间的协调切换是将UE从一个提供商的网络内的一个塔迁移到另一个塔的过程。如今，这涉及塔和蜂窝核心之间的合作，以确保UE保持其IP地址并且其活动会话不被中断。在当前网络中，因为MNO具有大的部署，所以切换是常态，而跨越提供商边界是罕见的，因此用户大多享受“无缝”移动性。然而，在许多较小规模的提供商的网络中确保无缝移动性更具挑战性：在这种情况下，切换塔将更频繁地意味着切换提供商，并且当UE跨越提供商边界时保留UE的IP地址将是非常复杂的。因此，简单地将今天的蜂窝设计带到我们的环境中会导致频繁的IP地址更改，从而中断TCP连接并降低用户体验。总之，如果我们简单地将今天的设计应用于由许多任何规模的提供商组成的基础设施，那么蜂窝网络的基本属性（无缝移动性和广泛覆盖）将难以实现。 这促使我们重新审视现有的设计，以消除上述问题。3概述我们提出了一种新的蜂窝架构，称为CellBricks，它从MVNO架构开始，但系统地改变它以避免§2.2中讨论的问题。 CellBricks涉及三个实体：（i）用户及其关联的UE，（ii）经纪人，以及（iii）任何规模的蜂窝接入提供商，我们将其称为砖电信公司（bTelcos）。2与移动网络运营商类似，bTelcos拥有并运营蜂窝基础设施（塔、核心设备等）。经纪人充当用户和bTelcos之间的中间人：用户与经纪人签订合同协议，经纪人负责代表用户向bTelcos提供服务。从用户的角度来看，她从她的经纪人订购蜂窝服务，并且不需要知道她的设备所附接的特定bTelco，这将随时间而到目前为止，我们的架构可能与MVNO服务的架构相同。关键的出发点是，我们的架构不需要经纪人之间预先建立协议，1美国有300，000个蜂窝塔[30]，如果所有MNO都部署100个蜂窝塔，则每个MNO需要3，000个合同，今天的少数。这显然是不切实际的，或者至少提高了进入门槛2经纪人类似于当前的MVNO和bTelcos到MNO。然而，我们介绍它们的作用和职能有一些根本区别，因此采用新的术语以避免混淆。b电信公司。因此，bTelco与用户或代理商没有预先建立的协议，并且与MVNO不同，代理商可以通过任何可用的bTelco基础设施向其用户提供服务。 据我们所知，CellBricks是第一个允许用户和代理动态利用不受信任的访问提供商的架构。在高层次上，我们设想在这样一个网络中的操作如下进行。(1) 按需身份验证和授权。 当UE（未标注为U）进入T1的范围内时，UE可以向bTelco（T1）请求服务。该请求标识用户的代理（B），并且T1将该请求连同描述服务条款的参数（例如， QoS和计费选项）。B对U和T1进行身份验证（使用第4.1节）。如果B决定授权该请求，则它将此通知T1，并且T1可以开始向U提供蜂窝接入。 作为该过程的一部分，B和T1还可以协商其他功能，例如合法侦听的需要（如[4，8，36]中定义的）。(2) 结账。定期地，U和T1独立地向B发送可验证和防篡改的使用报告。 这些报告可能汇总了所使用的带宽和U接收到的连接质量。在稍后的某个时间，T1基于使用报告对B进行补偿以与其他在线金融交易相同的方式实现，建立在在线认证和支付的标准技术基础上。请注意，我们调解支付过程，但不规定实际的定价方案，这是开放的创新。(3) 迁移率稍后，U可能进入bTelcoT2的范围，并且可能希望从T1切换到T2。 为此，U只需重复与T1相同的T2身份验证和授权步骤，然后切换到T2。作为切换的结果，U的IP地址可能会改变。为了在不需要电信公司之间协调的情况下处理这种情况，我们采用了一种基于主机的移动程序（§4.2），该程序不会中断用户的应用程序级会话。实现CellBricks带来了许多技术挑战，我们将很快讨论。但是，如果可行，我们认为CellBricks提供以下好处：(i) 无(ii) 很少有预先建立的合同协议：bTelco可以开始提供服务，而不需要与用户，其他bTelco或经纪人签订合同协议。在我们的例子中，U和B都没有与T1预先建立的关系相反，B和T1按需相互认证，并且（如我们将描述的）使用标准公钥加密技术来这样做。正如我们后面所解释的，bTelco只需要一个经过认证的公钥和结算支付的能力;这些要求是在线商家的标准。(iii) 简化：CellBricks是一个更简单的蜂窝基础设施的实施和操作。CellBricks中的所有移动性都是主机驱动的，bTelcos没有为移动性实施特定的网络内支持CellBricks不区分塔（漫游）或提供商（漫游）之间的切换。这消除了在用户移动时在电信公司之间以及甚至在同一电信公司内的塔之间进行协调的需要。此外，用户身份验证由代理使用标准的、广泛部署的公钥加密技术来管理。图1总结SIGCOMMZ. Luo等人629图1：这里的网络是指RAN和蜂窝核心基础设施。云包含通常在数据中心中运行的蜂窝服务的那些部分（例如，订户数据库）。MVNO拱门需要网内管理支持，因为它们仍然依赖于在核心中实现的使用计费和授权每个体系结构中的从运营的角度来看，通过不要求经纪人和电信公司之间预先定义的信任关系，CellBricks消除了目前在运营商之间建立漫游和网络共享安排所需的昂贵的集成和测试程序(iv) 基础设施效率：对现有蜂窝基础设施不断增长的需求正在推动网络密度的提高，新兴的5G网络需要更多的小型蜂窝站点来提供其承诺的网络容量。为每个提供商部署专用的无线电基础设施是资本密集型的并且效率低下。相比之下，CellBricks促进了低摩擦基础设施共享，允许任何数量的经纪人利用bTelco的失业。更一般地说，CellBricks为用户、经纪人和bTelcos提供了更大的选择权：用户和经纪人可以使用任何bTelcos，而bTelcos可以同时为多个经纪人服务。此外，这种选择可以以细粒度的方式进行，从而允许一系列策略（例如， 基于电信公司的历史业绩选择电信公司）。(v) 专用网络的无缝集成：数量不断增长的专用蜂窝网络服务于特定人群或用例-例如， 企业园区或工业物联网环境[15，35]-并且有兴趣以受控方式将这些专用网络与公共蜂窝网络集成[ 52，94 ]。例如，在一个示例中，允许雇员从她的MNO无缝地过渡到企业的专用网络。这是不容易实现与今天的蜂窝架构，但自然是容纳在CellBricks。3.1讨论虽然我们的主要目标是评估CellBricks的技术可行性，但我们简要地解决了读者在这一点上可能遇到的一些关于采用的问题也就是说，关于CellBricks的市场结构和商业激励措施，有许多悬而未决的问题超出了本文的范围1) 光谱呢 CellBricks不需要改变无线电接入网络（RAN），bTelcos可以使用任何可用的频谱。频谱监管环境的趋势对新进入者有利，为他们提供了获得频谱的几种选择例如，在一个示例中，在美国，公民宽带广播CBRS服务（CBRS）[13]在动态共享的基础上提供3.5GHz频段的150 MHz频谱，允许无线运营商部署网络，而无需昂贵的独家频谱许可证;许多基于CBRS的LTE和5G移动网络的商业部署已经在进行中[50]。其他国家已经采用了允许新进入者在许可但未使用的蜂窝频谱中运营的监管结构[12，29]。新提供商也可以简单地从现任提供商那里许可频谱，这是互利的[11];例如，现有的或计划中的基础设施。因此，现有的供应商可以以类似特许经营的模式使用新进入者，在某些地区租用现有频谱的运营权。 我们的建议为企业利用这些创新的许可计划提供了技术基础，同时与现有的许可框架保持兼容。2) 对各利益攸关方有哪些激励措施 对于新的电信公司来说，建设和运营蜂窝网络代表着参与有利可图和不断增长的市场的机会[18]。CellBricks只是让新进入者更容易获得这个机会。此外，由于bTelco本质上是多租户的（也就是说，单个bTelco小区站点可以支持多个经纪人），因此bTelco可以使用相同的基础设施为更多的客户提供服务，从而在更广泛的环境中实现经济上有利可图的运营。CellBricks中的经纪人相当于今天 只要对蜂窝服务的需求存在，移动运营商就会竞相满足这一需求。CellBricks只是消除了目前限制这种竞争的建筑此外，与今天的MVNO不同，他们受其底层MNO的支配，CellBricks经纪人可以在必要时轻松地在bTelcos之间切换，以寻求有利的商业条款。现任供应商呢虽然看起来他们似乎没有什么动力来接受我们的架构，但我们推测这可能不是普遍正确的。构建和运营无线电网络是移动网络运营中资本最密集的部分，5G对密集部署的需求加剧了这一点[ 19 ]。 通过我们的架构，现有的MNO可以利用bTelco基础设施，而无需大量的财务投资，同时仍然受益于他们对频谱的所有权（类似于特许经营模式）。今天的MNO已经接受共享被动基础设施（例如，塔楼）来解决密集化和乡村扩张问题[9];我们的建筑只是让他们更广泛地这样做。尽管有这些潜在的好处，但现有的供应商仍然很可能会发现CellBricks对其主导地位的威胁更大，而不是更有效的基础设施的机会。幸运的是，CellBricks可以在不改变传统运营商或与传统运营商合作的情况下逐步部署具体来说，CellBricks经纪人可以与一些（传统）MNO签订合同协议，同时还利用新的CellBricks兼容的bTelcos。 在该增量部署模型中，MNO继续运行其传统协议，并且UE以双栈模式运行传统和SAP认证协议两者。最后，用户通过改善覆盖范围在短期内受益于bTelcos，并从长期来看获得更具竞争力的市场的好处。用CellBricks实现蜂窝接入的民主化SIGCOMM6303) Won’t 我们认为这不太可能成为一个问题。首先，开始经纪人的进入门槛很低，不需要对蜂窝基础设施进行投资，也不需要与电信公司签订长期协议相反，一个成功的经纪人的主要要求是吸引用户和提供客户支持的能力。 许多参与者都符合这一要求：内容提供商、在线零售商（例如，亚马逊）、传统零售商（例如，Costco）、信贷机构（例如，Visa）和政府等非营利实体。其次，经纪人市场可能会保持竞争，因为用户很容易转换经纪人，甚至与多个经纪人签约。4蜂窝砖的设计为了实现CellBricks，我们必须解决三个问题：（i）在电信公司和用户/经纪人之间缺乏相互信任的情况下，我们如何确保安全附件？，(ii)当在电信公司之间切换时，我们如何最大限度地减少对用户连接的干扰？以及（iii）在电信公司和用户/经纪人之间缺乏相互信任的情况下，我们如何确保安全的计费和QoS执行？接下来，我们将描述我们的解决方案。为了便于说明，我们使用U表示UE，B表示代理，T表示bTelco。4.1安全防护最大的挑战是安全附件，即，在电信公司和用户/经纪人之间缺乏相互信任的情况下，确保安全的身份验证和授权。设计原理。 我们首先注意到，UE附着到蜂窝网络的过程可以分解为三个步骤[37]。第一个是建立与塔的无线电层连接，为此我们简单地重用现有技术。 第二种是认证，其在今天意味着UE和MNO之间的相互认证，并且使用在UE（经由其SIM卡）和归属MNO之间预先建立的共享秘密密钥来实现[22]。设置服务参数的最后一步（例如，QoS设置）。对于CellBricks，我们必须重新考虑最后两个步骤，因为我们不能建立在UE（U）/代理（B）和bTelco（T）之间的可信关系的假设上。相反，我们对CellBricks的要求是：（i）U和它的B之间的相互认证（ii）T和B之间的相互认证，3和（iii）授权，我们的意思是T必须获得B授权它为这个U服务的无可辩驳的证据;这是必要的，因为T不需要信任B。我们提出了一种方法，远离共享的秘密，而是依赖于公共-私有密钥加密，是常见的在线服务的今天，以实现这些目标。我们假设所有实体--Us、Bs和Ts--都有一个相关的公钥，并且B和T密钥由证书颁发机构（CA）签名。在这些假设下，我们设计了一个安全的附件协议（SAP），实现我们的安全目标，使用标准的公钥认证技术。我们的SAP协议是高效的，只需要从U到T到B再返回的一次往返，而不是两次往返。在当前架构中U和MNO之间的往返SAP协议。简言之，当U移动到不同的T时，SAP协议被调用，并且涉及以下过程和消息交换（详细过程可以在图2和图3中的代码块中找到）：3.由于U信任B，代理对T进行身份验证就足够了，我们不需要在U和T之间进行额外的直接身份验证由UE在附接到新的bTelco时进行确认参数：idx实体xauthVec认证向量authReqU授权请求UE发送到bTelcoauthRespUauth.从bTelcopkB代理的公钥skUUE的秘密密钥n在UE处生成的随机现时值操作步骤：1.设置authVec =（idU，idB，idT，n）2.使用pkB→authVec* 加密authVec3.使用skU标记authVec*→sigauthvec4.发送authReqU =（sigauthvec，authVec*，idB）到bTelco收到authRespU后：5.使用pkB验证 sigauthrespU;执行6。如果成功6.使用skU解密authRespU;使用代理程序中定义的ss配置NAS安全上下文SAP：UE程序图2：作为安全附接协议的一部分，在UE处运行的步骤的总结(1) 从U到T的消息U手工制作一条请求服务的消息，T. 该消息包含一个身份验证向量，其中包括T、B和U本身的标识符;加上一个随机数。标识符可以是所有者公钥的摘要;或者IMSI [ 31 ]（如果是U），IP地址或域名（如果是随机数在U处生成为随机字符串，用于防止重放攻击。U用B的公钥加密这个消息 因为T从不观察U的明文标识符，所以它不能充当“IMSI捕获器”[89]。(2) 从T到B的消息：T用与QoS相关的服务参数（稍后描述）来增强从U接收到的请求。 T对扩充后的请求进行签名，并将其转发给B。(3) 从B到T的消息：当B收到请求时，它对U和T进行身份验证，并根据U和T的配置文件决定是否批准请求。如果被批准，则B返回包含两个签名和加密的（子）响应的消息：（i）������������������������包含U和T的标识符、共享秘密和QoS参数（下面描述后两个）的随机数;（ii）������������������������包含U和T的标识符和U生成的随机数的随机数。在接收到B������������������������的消息时，T通过验证B的签名来验证B;这个响应作为T为U服务的授权。然后，T用回复U������������������������。(4) 从T到U的消息在接收到T的签名后，U通过验证B在T的签名来验证B������������������������总之，U负责向T和B标识自己; T在U和B之间转发认证消息，B对U和T进行认证和授权。最后，U和T都将������在响应中使用，以按照现有的安全过程设置其安全上下文。请注意，SAP的安全上下文与EPS中使用的安全上下文相同，其中包括用于保护AS和NAS消息的密钥，以及NAS计数器和标识符。详情请参阅[67]简而言之，共享秘密密钥在安全性中用作主密钥（也称为Kasme[103]）。SIGCOMMZ. Luo等人631→→→→ →图3：在bTelcos（顶部）和经纪人（底部）运行的SAP程序摘要模式控制（SMC）[7]过程，以导出用于加密和完整性保护其AS和NAS消息的密钥[6]，我们重新使用这些密钥，否则未修改当今的标准。 在安全上下文建立之后，我们重新使用未修改的会话建立过程来为U提供对公共网络的访问，在此期间T为U分配IP地址。此外，SAP还用于传送各种服务参数，例如， [5]《礼记》云：“礼者，礼也;礼者，礼也。虽然今天的网络实现了这些功能的策略和机制，但CellBricks实现了这些功能，由B做出策略决定并传达给实现它们的T。 这是通过扩充认证协议以包括QoS参数（即，图3中的qosCap和qosInfo，为了简洁起见，我们省略了其他可能的策略参数）和其他服务参数，并且参数集也可以动态更新。具体来说，我们让T通知B它可以强制执行什么QoS选项（qosCap），然后B可以发送特定的参数值（qosInfo）。这样做需要标准化的方法来表示这些参数，例如，对于QoS，我们建议采用QoS参数的现有3GPP定义[5]。我们将在§4.3中描述代理如何确保bTelcos正确地实施QoS。SAP被设计成使得U只需要一小部分静态参数来进行连接;具体地说，就是U这种状态可以嵌入到U的SIM卡中请注意，U的公钥仅用于与B的交互，B首先发布U的密钥对，因此U的公钥不需要证书。此外，B可以通过简单地使其数据库中的密钥无效来撤销U的公钥。对于T和B，我们假设它们的公钥和相应的证书是使用标准PKI技术分发和维护的，类似于现有的Internet服务。最后，为了了解SAP可以提供哪些安全属性，以及它不能提供哪些安全属性，我们在我们的技术报告中讨论了SAP在几种常见攻击背景下的安全性。4.2无缝移动性由于CellBricks可以实现潜在的大量较小规模的bTelcos，因此在塔之间切换通常意味着切换bTelcos：面对这些频繁的切换，我们如何最大限度地减少对用户连接的中断设计原理。在当今的网络中，大多数移动性事件涉及其中用户在同一提供商的网络内从一个塔切换到另一个塔的切换，并且对这样的切换的支持嵌入在网络中;即，塔使用信令协议进行协调，以确保用户的业务通过蜂窝核心中的一致网关进行路由。这可以确保设备在塔之间移动时保留其IP地址，因此其活动TCP连接不会中断。这种网络驱动的协调很难在CellBricks中实现，因为它需要bTelco之间的合作和互操作性，增加了运营和技术的复杂性，这反过来又增加了新bTelco的进入门槛相反，我们提出了一种主机驱动的方法，基本上消除了切换的概念：用户只需从一个小区塔分离，并通过SAP协议独立地连接到一个新的塔（由相同或不同的bTelco运行）。这种方法很简单，因为它不需要网络支持或塔之间的协调。4类似于当今的网络驱动的UE辅助切换，其中UE进行性能测量以帮助网络做出切换决策，我们的UE驱动切换也可以受益于网络阻抗。例如，UE驱动的切换可以基于从网络获知的相邻小区的列表来执行更智能的小区选择。 我们相信这种UE驱动的网络辅助切换是可行的并且有希望的，如在今天的Wi-Fi漫游[14，84，91]和Wi-Fi蜂窝切换[70，92，104]中所证明的。处理IP更改。由于我们的主机驱动方法，移动性，U我们注意到，目前的移交进程4虽然我们不排除在单个提供商中进行跨塔协调，但我们对从网络中完全消除这种复杂性的可能性很感兴趣，因此在§6中评估了这种极端设计点。用CellBricks实现蜂窝接入的民主化SIGCOMM632−–图4：CellBricks中的连接、移动性和计费/QoS流程概述，描述了SAP、MPTCP和计费协议期间发生的关键事件和消息交换。 注意，authReqU/T和authRespU/T在图2和图3中定义。必须保留U 但是，第3层（L3）是解决此问题的正确网络层吗？对于CellBricks，我们不争论。今天，主机相反，我们希望更高层幸运的是，新的传输协议，如MPTCP [102]和QUIC [60]已经提供了这样的支持，尽管与我们的用例不同。5这些协议在其L4报头中具有显式的连接标识符，并且仅将IP地址用于数据包传递。这种分离允许对同一连接使用多个简单地采用这些已经标准化并广泛部署的协议[42，57]，无需额外更改和网络支持即可解决我们的问题。例如，MPTCP引入了子流的概念-在单个路径上操作的TCP段的流。单个MPTCP连接可以与多个子流一起操作，这些子流可以在连接的生命周期内动态添加和移除[102]。图4示出了具有单个活动子流的MPTCP连接如何在bTelco分离和附接的上下文中对IP改变作出反应。简而言之：（i）在分离过程结束时，U处的基带处理器删除无线电承载（在bTelco A处使用），并通知OS内核UE的网络接口的IP地址0.0.0.0 ������不再有效（因此，接口的IP通常被设置为www.example.com）;然后（ii）UE处的MPTCP栈被通知地址无效，并将监视新地址，直到达到预定义的超时（默认为60s），同时现有子流⑴保持不活动。如果超时，MPTCP连接将被断开。（iii）一旦UE安全地附连到bTelco B，就使用UE的新IP地址创建新的“承载”（将UE连接到互联网的网关的隧道）。一旦网络接口重新获得新的地址，UE的MPTCP栈就使用其新的 ���MPTCP通过REMOVE_ADDR选项通知连接的服务器端删除先前的子流（ 删除1个子流）一旦建立了MPTCP2，UE和服务器就可以恢复通过MPTCP连接交换分组。我们相信这种基于主机的方法是正确的长期解决方案：在架构上，它尊重互联网设计原则和分层，可以在没有网络支持的情况下部署，由主要操作系统支持（例如，Windows，Linux，X，Android，iOS），并且正在看到越来越多的部署[20，98]，包括5G中的多路访问[34]。除了MPTCP和QUIC之外，还有其他解决方案-例如，HIP [66]和SCTP [88]-也可以处理IP更改。我们把这些选择的探索留给未来的工作。最后，虽然主机驱动的移动性是我们的首选方法，它需要在两个端点上都得到支持 为了在这些协议被普遍部署的同时支持增量部署，我们的策略（在我们的原型中使用）是当MPTCP不可用时简单地回退到TCP并且依赖于应用和/或L7原型（例如， SIP re-invite [83]; HTTP range header [40]）来有效地重新启动失败的连接。4.3可验证的计费和QoS难题的最后一部分是：在UE、代理和bTelco之间缺乏相互信任的情况下，我们如何确保安全且可验证设计原理。我们专注于确保准确的核算，我们的意思是获得UE在电信公司消耗的网络资源的准确记录的能力。 这样的会计是各方（T-to-B和B-to-U）之间计费的基础，我们将定价问题留给创新。该方法匹配当今的架构，其中蜂窝核心内的计费支持一系列服务计划;例如，基于统一费率定价、使用上限等。在当前的网络中，计费基于测量蜂窝核心的“分组网关”中的流量统计（4G中的PGW，5G中的尽管运营商可能会错算或超额计费，但用户通常会信任他们的结果，因为他们作为大型运营商的声誉和他们的合同协议。对于不可信的电信公司，我们需要一个防篡改和可验证的计费协议.SIGCOMMZ. Luo等人633ϵ✕图5：在代理上运行的支持可验证计费和QoS的步骤摘要我们假设bTelcos在想要破坏用户服务的意义上并不是恶意的，但是如果它增加了他们的收入，并且如果他们相信他们可以在不被发现的情况下撒谎，那么他们可能会有动机在资源消耗方面撒谎。 考虑到建立一个蜂窝塔的资本成本，后者似乎是合理的：为了看到利润，bTelco需要在一段时间内保持运营，但如果涉嫌欺诈，那么经纪人可能会选择不使用bTelco。 对于UE和它们的代理也可以这样说。 我们称之为“不诚实但不恶意”的威胁模型。这些假设类似于现实世界中的许多客户和零售企业-无论大小。可验证的计费和QoS。 在高层次上，我们的方法是让T和U独立地测量U会话的流量和QoS。然后，我们让他们定期向U的代理B发送加密和签名的流量报告，其中包含这些测量结果。业务报告包括以下信息：（i）会话标识符，其唯一地标识U和T之间的会话;（ii）会话内的相对时间戳，其用于B对齐U和T的报告;（iii）使用度量，其以字节计（v）如3GPP标准所定义的QoS度量，包括平均比特率、分组丢失和分组延迟等，分别报告DL和UL [1]。挑战在于T的流量报告是不可信的因此，U将独立地测量其自身的流量统计，并周期性地向B发送流量报告������ 由于U可能有减少使用值的动机，我们确保U������不能篡改，因此B可以信任������。我们将在下面进一步讨论这一点这种简单的方法建立了正确的激励结构：无论是我们还是技术人员的不在下文中详细阐述该信誉系统的设计考虑。信誉系统我们专注于解决使用信誉系统来执行正确的资源会计。6为此，B维护：（i）每bTelco的总信誉分数和（ii）怀疑已篡改其设备的其自己的用户的列表。我们希望后者是一个小数目，因为UE侧的实现被嵌入到基带固件中，并且之后很难篡改，这允许代理仔细审查固件实现并确保其正确性。同样地，T维护每个经纪人的总信誉分数。信誉分数可以以对创新开放的方式从UE和bTelco的业务报告中导出在这里，我们提出了一个设计的基础上简单的策略，但想象在实践中，经纪人可以实现更复杂的战略。图5描述了这种设计，其中B将报告的DL使用的差异与基于UE的报告的DL丢失率和固定容限比计算的阈值进行比较 。（例如，从可接受的链路损耗率导出当差异大于阈值时，B将其视为异常并记录此事件（“不匹配”）。然后，B根据不匹配的数量，通过不匹配的程度加权，得出信誉分数。 我们把如何准确地进行这种加权的探索留给未来的工作。请注意，对于T，它发现与U的报告的差异，或者间接地来自经纪人的最终结算，或者直接通过请求U也向其发送流量报告的副本。给定信誉分数，B可以根据bTelco的信誉分数以及用户是否在可疑列表上来决定是否授权附件同样地，T可以决定不为属于具有差的总分数的经纪人的任何用户提供服务。 每个经纪人和bTelco将采取的确切政策是开放的创新。在安全属性方面，CellBricks的信誉系统通常容易受到与任何基于信誉的系统相同的故障模式的影响，并且同时受益于现有的对策感兴趣的读者可以参考我们的技术报告，以了解有关此问题的更多讨论[24]。我们的最终要求是确保来自UE的业务报告不能被用户篡改（因为用户可能具有少计数的动机，就像bTelco具有多计数的动机一样）。UE处的防篡改计费