1 AnyFi介紹

AnyFi是一家瑞典公司提出的Wi-Fi解決方案。該方案讓用戶可以通過任何存在的Wi-Fi作為接入點，訪問自家的Wi-Fi網(wǎng)絡(luò)。比如用戶在家里連接上Wi-Fi后，一旦出門，進入公司或商場，它將會自動連接上任何一個新出現(xiàn)的Wi-Fi AP，而且用戶無需安裝任何的軟件或者需要人工登陸，能夠繼續(xù)使用自己的家庭網(wǎng)絡(luò)。 為此，AnyFi技術(shù)利用Wi-Fi接入點提供的物理無線電，動態(tài)安裝虛擬的無線電熱點，建立與家庭網(wǎng)絡(luò)的通道，把用戶身份驗證信息和業(yè)務(wù)發(fā)送回用戶家庭網(wǎng)絡(luò)。有人把AnyFi視為可攜帶的Wi-Fi接入，理論上有Wi-Fi接入（無論使用已經(jīng)存在固定Wi-Fi接入點還是可攜帶的Wi-Fi接入點）和有本地接入網(wǎng)絡(luò)的地方，就可以搭建AnyFi網(wǎng)絡(luò)接入。

下圖是AnyFi網(wǎng)絡(luò)架構(gòu)示意圖

?

?

從網(wǎng)絡(luò)架構(gòu)示意圖上，AnyFi引入了獨立的Controller來管理用戶通過AnyFi接入。Wi-Fi接入網(wǎng)絡(luò)本身沒有引入新的節(jié)點，只是在安全業(yè)務(wù)層和下層之間植入AnyFi模塊，以支持虛擬Wi-Fi接入點功能以及與歸屬地Wi-Fi網(wǎng)絡(luò)的隧道連接。

首先，用戶連接到歸屬地Wi-Fi網(wǎng)絡(luò)，通過Wi-Fi網(wǎng)絡(luò)訪問Internet。與此同時，歸屬地Wi-Fi網(wǎng)絡(luò)把用戶(連同MAC地址，本地網(wǎng)絡(luò)UUID等信息)注冊到AnyFi controller。

當(dāng)用戶離開歸屬地Wi-Fi網(wǎng)絡(luò)，試圖通過拜訪地Wi-Fi接入點進行連接時，該外部Wi-Fi接入點會通過AnyFi Controller查詢用戶的歸屬地Wi-Fi網(wǎng)絡(luò)信息，為用戶建立虛擬Wi-FI接入并連接到歸屬地Wi-Fi網(wǎng)絡(luò)。

自此用戶通過該虛擬Wi-Fi接入點連接到歸屬地Wi-Fi網(wǎng)絡(luò)并繼續(xù)訪問Internet。整個過程通過AnyFi自動完成，對用戶透明。

其中參與AnyFi過程的重要節(jié)點和功能包括：

AnyFi Controller：用于管理支持AnyFi的Wi-Fi網(wǎng)絡(luò)接入點。支持用戶AnyFi注冊，用戶漫游后通過AnyFi進行連接。

Wi-Fi Radio：提供AnyFi接入的物理無線電功能。

Wi-Fi Security： 提供Wi-Fi接入需要的用戶鑒權(quán)和安全建立。

AnyFi模塊：該模塊植入Wi-Fi Radio和Wi-Fi Security之間，支持虛擬Wi-Fi接入點功能以及與歸屬地Wi-Fi網(wǎng)絡(luò)的隧道連接。

RG (Residential Gateway)：在用戶通過固定網(wǎng)絡(luò)接入Internet時提供家庭網(wǎng)關(guān)功能。

2 AnyFi操作過程

AnyFi主要工作過程包括：

用戶在歸屬地Wi-Fi網(wǎng)絡(luò)中的Wi-Fi注冊連接過程（包括AnyFi注冊）

用戶在拜訪地Wi-Fi網(wǎng)絡(luò)中進行的AnyFi連接過程。

注： 本節(jié)描述的Wi-Fi連接過程僅為示例，詳細的流程參見Wi-Fi 802.11協(xié)議定義。

2.1 用戶Wi-Fi連接和AnyFi注冊

?

?

如上圖所示，主要過程包括：

信標接收和查詢過程：該過程確定Wi-Fi連接所用SSID和MAC地址等信息。

認證過程：主要基于802.1x的認證框架，實現(xiàn)基于EAP的認證。如果用戶支持移動網(wǎng)絡(luò)接入，還可以使用EAP-AKA，EAP-SIM等認證方法。AP側(cè)上行過程并未標示，一般為通過RADIUS進行。

關(guān)聯(lián)過程：該過程可提供加密算法及密鑰管理方式協(xié)商。

WPA過程：基于認證過程中產(chǎn)生的原始密鑰，產(chǎn)生用于加密的密鑰，包括數(shù)據(jù)面上下行加密密鑰。由此數(shù)據(jù)將在安全通道進行傳輸。數(shù)據(jù)加密手段比如AES, TKIP等。

DHCP過程：該過程為用戶分配地址，以及DNS等主機配置參數(shù)。AP側(cè)上行過程并未標示，一般為標準的DHCP過程或者還包含GTP過程。

在用戶連接歸屬地Wi-Fi網(wǎng)絡(luò)過程中，將同時完成用戶AnyFi注冊過程。歸屬地Wi-Fi網(wǎng)絡(luò)向AnyFi Controller提供用戶接入的MAC地址，以及本地Wi-Fi網(wǎng)絡(luò)UUID等信息。

2.2 AnyFi連接過程

?

?

上圖所示的主要過程包括：

1 用戶終端向拜訪地Wi-Fi網(wǎng)絡(luò)接入點發(fā)起802.11查詢，提供用戶MAC地址等信息。

2 拜訪地Wi-Fi網(wǎng)絡(luò)查詢AnyFi Controller，提供MAC地址，歸屬地Wi-Fi網(wǎng)絡(luò)SSID等信息；同時提供用于Tunnel建立的本端Tunnel地址和端口。

3 AnyFi Controller根據(jù)拜訪地Wi-Fi網(wǎng)絡(luò)查詢請求提供的MAC等信息，通知其歸屬地Wi-Fi網(wǎng)絡(luò)接收該用戶的AnyFi連接請求，成功后返回用于Tunnel建立的本端Tunnel地址和端口。

4 拜訪地Wi-Fi網(wǎng)絡(luò)收到AnyFi Controller成功的查詢應(yīng)答后，回應(yīng)用戶終端的Probe查詢請求，包括歸屬地Wi-Fi網(wǎng)SSID。此時，與歸屬地網(wǎng)絡(luò)的通道Tunnel也已經(jīng)建立。

5 用戶終端與歸屬地Wi-Fi網(wǎng)絡(luò)完成802.11的后續(xù)過程，包括認證，管理，WPA, DHCP等。

6 最后，受保護的數(shù)據(jù)在用戶終端與歸屬地Wi-Fi網(wǎng)絡(luò)間傳輸，通過歸屬地Wi-Fi網(wǎng)絡(luò)進行正常Internet等業(yè)務(wù)。

3 AnyFi的典型應(yīng)用場景和組網(wǎng)

3.3 通過家庭網(wǎng)關(guān)接入

?

?

如上文AnyFi背景介紹所述，該組網(wǎng)方式中，用戶通過自家的Wi-Fi網(wǎng)絡(luò)和家庭網(wǎng)關(guān)使用Internet。家庭用戶可以在離開自家Wi-Fi網(wǎng)絡(luò)后，通過任何能夠支持AnyFi的外部Wi-Fi網(wǎng)絡(luò)接入并使用自家的Wi-Fi網(wǎng)絡(luò)，進行用戶鑒權(quán)和業(yè)務(wù)使用。用戶終端和自家網(wǎng)絡(luò)之間支持端到端的安全保障。用戶終端只需借用外部Wi-Fi網(wǎng)絡(luò)的物理無線電資源以及當(dāng)?shù)噩F(xiàn)成接入網(wǎng)絡(luò)。用戶甚至可以自攜帶支持AnyFi的Wi-Fi接入點為其終端提供接入。

家庭網(wǎng)關(guān)的應(yīng)用比較廣泛，家庭物聯(lián)網(wǎng)M2M應(yīng)用中，用戶可以通過使用AnyFi接入無縫地進行家庭物聯(lián)網(wǎng)連接。

3.2 通過TWAG接入EPC

?

?

該網(wǎng)絡(luò)連接主要考慮以AnyFi作為接入手段，然后支持用戶以3GPP標準定義的授信WLAN接入的方式接入4G核心網(wǎng)EPC。這種方式中，Wi-Fi接入網(wǎng)通過授信WLAN接入網(wǎng)關(guān)（TWAG）和授信WLAN AAA代理（TWAP）連接到EPC。這種組網(wǎng)方式的一個明顯好處就是解決授信WLAN接入方式中接入網(wǎng)絡(luò)的安全保障問題。另外，為提供面向EPC的集中式連接，歸屬地Wi-Fi網(wǎng)絡(luò)節(jié)點提供Wi-Fi AC功能以服務(wù)更多的AP連接。

3..3 直接接入EPC

該網(wǎng)絡(luò)連接以AnyFi作為接入手段，并直接連接到4G核心網(wǎng)EPC。

3GPP標準定義了非授信WLAN接入EPC。本節(jié)中的AnyFi組網(wǎng)方式可視為非授信WLAN接入EPC相類似的參考方式，其核心為AnyFi作為接入手段提供非授信WLAN接入和安全保障。

該接入組網(wǎng)的一個好處是，直接運用無線接入層的安全保障支持與EPC的連接，解決了多層面運用安全手段的低效疊加問題。