CN103701775A - 一种抵御流量分析的发送、接收数据的方法、装置 - Google Patents
一种抵御流量分析的发送、接收数据的方法、装置 Download PDFInfo
- Publication number
- CN103701775A CN103701775A CN201310652518.9A CN201310652518A CN103701775A CN 103701775 A CN103701775 A CN 103701775A CN 201310652518 A CN201310652518 A CN 201310652518A CN 103701775 A CN103701775 A CN 103701775A
- Authority
- CN
- China
- Prior art keywords
- mac
- virtual
- virtual mac
- address
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明适用于无线局域网领域,提供了一种抵御流量分析的发送数据的方法、装置,所述方法包括:发送端设备为报文分配一个虚拟MAC接口;由所述虚拟MAC接口将所述报文封装成MAC数据帧;由所述虚拟MAC接口根据所述虚拟MAC接口的属性信息调整所述MAC数据帧的传输功率、数据速率,并发送所述MAC数据帧至接收端设备。本发明,可以保证数据流量的多路分用对于上层协议栈的透明,并且在MAC层的修改不影响用户的体验,另外,与IEEE802.11协议兼容,从而实现了能够在不影响网络性能的基础上保护用户的隐私安全。
Description
技术领域
本发明属于无线局域网领域,尤其涉及一种抵御流量分析的发送、接收数据的方法、装置。
背景技术
目前,无线局域网广泛部署于住宅、公众热区、企业及校园环境中为电脑及移动终端提供网络接入服务。
但由于无线链路的开放性和共享性,攻击者能够通过多种窃听软件轻易地截获特定用户的流量,并且通过流量分析来推测用户的行为特性及私密信息。另外,即使用户信息已通过现有通用的加密和认证方式保护,如加密技术(WiredEquivalent Privacy,WEP)、WPA/WPA2(WPA是Wi-Fi的Protected Access的简称),隐私信息的泄露仍然难以避免。
发明内容
本发明实施例提供了一种抵御流量分析的发送、接收数据的方法、装置,旨在解决现有技术在进行数据的传输时,用户隐私信息的泄露难以避免的问题。
一方面,提供一种抵御流量分析的发送数据的方法,所述方法包括:
发送端设备为报文分配一个虚拟MAC接口;
由所述虚拟MAC接口将所述报文封装成MAC数据帧;
由所述虚拟MAC接口根据所述虚拟MAC接口的属性信息调整所述MAC数据帧的传输功率、数据速率,并发送所述MAC数据帧至接收端设备。
进一步地,当所述发送端设备是访问节点时,所述接收端设备是客户端设备;
当所述发送端设备是客户端设备时,所述接收端设备是访问节点;
在所述发送端设备为报文分配一个虚拟MAC接口之前,还包括:
客户端设备发送创建虚拟MAC接口的请求至访问节点;
访问节点根据所述请求创建至少两个虚拟MAC接口;
访问节点发送所述至少两个虚拟MAC接口的地址至客户端设备;
客户端设备根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
进一步地,在所述客户端设备发送创建虚拟MAC接口的请求至访问节点时,同时还发送一个随机数至访问节点;
访问节点发送所述至少两个虚拟MAC接口的地址至客户端设备时,同时还发送所述随机数至客户端设备;
客户端接收到所述随机数后,根据所述随机数来确定是否根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
进一步地,客户端设备对所述创建虚拟MAC接口的请求、所述随机数进行加密后发送至访问节点;
访问节点对所述至少两个虚拟MAC接口的地址、所述随机数进行加密后发送至客户端设备。
再一方面,提供一种抵御流量分析的接收数据的方法,所述方法包括:
接收端设备接收发送端设备发送的MAC数据帧;
对所述MAC数据帧进行解析,提取出所述MAC数据帧中包括的虚拟MAC地址;
将所述虚拟MAC地址转换为所述接收端设备的真实网卡的物理MAC地址;
用所述物理MAC地址替换所述MAC数据帧中的虚拟MAC地址;
上传更新后的MAC数据帧至所述接收端设备的上层。
另一方面,提供一种抵御流量分析的发送数据的装置,所述发送数据的装置包括:
虚拟接口分配单元,用于为报文分配一个虚拟MAC接口;
报文封装单元,用于由所述虚拟MAC接口将所述报文封装成MAC数据帧;
报文发送单元,用于由所述虚拟MAC接口根据所述虚拟MAC接口的属性信息调整所述MAC数据帧的传输功率、数据速率,并发送所述MAC数据帧至接收端设备。
进一步地,所述发送数据的装置内置于发送端设备中,当所述发送端设备是访问节点时,所述接收端设备是客户端设备;
当所述发送端设备是客户端设备时,所述接收端设备是访问节点;
所述客户端设备包括:
请求发送单元,用于发送创建虚拟MAC接口的请求至访问节点;
所述访问节点包括:
第一虚拟接口创建单元,用于根据所述请求创建至少两个虚拟MAC接口;
虚拟地址发送单元,用于发送所述至少两个虚拟MAC接口的地址至客户端设备;
客户端设备还包括:
第二虚拟接口创建单元,用于根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
进一步地,所述请求发送单元发送创建虚拟MAC接口的请求至访问节点时,同时还发送一个随机数至访问节点;
所述虚拟地址发送单元发送所述至少两个虚拟MAC接口的地址至客户端设备时,同时还发送所述随机数至客户端设备;
所述客户端设备还包括:
连接验证单元,用于接收到所述随机数后,根据所述随机数来确定是否根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
进一步地,所述请求发送单元对所述创建虚拟MAC接口的请求、所述随机数进行加密后发送至访问节点;
所述虚拟地址发送单元对所述至少两个虚拟MAC接口的地址、所述随机数进行加密后发送至客户端设备。
又一方面,提供一种抵御流量分析的接收数据的装置,所述装置包括:
数据帧接收单元,用于接收发送端设备发送的MAC数据帧;
虚拟地址提取单元,用于对所述MAC数据帧进行解析,提取出所述MAC数据帧中包括的虚拟MAC地址;
地址转换单元,用于将所述虚拟MAC地址转换为所述接收端设备的真实网卡的物理MAC地址;
数据帧更新单元,用于用所述物理MAC地址替换所述MAC数据帧中的虚拟MAC地址;
数据帧上传单元,用于上传更新后的MAC数据帧至所述接收端设备的上层。
在本发明实施例,在客户端设备和访问节点(Access Point,AP)之间建立多条虚拟链路后,发送端设备可以根据需要选择其中一条虚拟链路来进行报文的传输,由于虚拟链路的数量是根据客户端设备用户的设置以及AP的可用资源的数量来设定的,可以保证数据流量的多路分用对于上层协议栈的透明,并且在MAC层的修改不影响用户的体验,另外,与IEEE802.11协议兼容,从而实现了能够在不影响网络性能的基础上保护用户的隐私安全。
附图说明
图1是本发明实施例一提供的抵御流量分析的发送数据的方法的实现流程图;
图2是本发明实施例一提供的通过建立的至少两条虚拟链路,AP和客户端设备之间传输数据的过程示意图;
图3是本发明实施例二提供的抵御流量分析的接收数据的方法的实现流程图;
图4是本发明实施例三提供的抵御流量分析的发送数据的装置的结构框图;
图5是本发明实施例四提供的抵御流量分析的接收数据的装置的结构框图;
图6是本发明实施例五提供的抵御流量分析的数据的传输系统的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,在客户端设备和AP之间建立多条虚拟链路后,发送端设备可以根据需要选择其中一条虚拟链路来进行报文的传输,由于虚拟链路的数量是根据客户端设备用户的设置以及AP的可用资源的数量来设定的,可以保证数据流量的多路分用对于上层协议栈的透明,并且在MAC层的修改不影响用户的体验,另外,与IEEE802.11协议兼容,从而实现了能够在不影响网络性能的基础上保护用户的隐私安全。
以下结合具体实施例对本发明的实现进行详细描述:
实施例一
图1示出了本发明实施例一提供的抵御流量分析的发送数据的方法的实现流程,以发送端设备侧为例来进行说明,详述如下:
在步骤S101中,发送端设备为报文分配一个虚拟MAC接口。
在本实施例中,发送端设备可以是访问节点,也可以是客户端设备,因为AP与客户端设备是双向通信,即AP与客户端设备之间进行数据的接收与发送。假如是由AP发送数据,则由AP来为报文分配一个虚拟MAC接口;假如是客户端设备发送数据,则由AP来为报文分配一个虚拟MAC接口。
虚拟MAC接口其实是一个虚拟网卡地址,AP和客户端设备上都安装有真实网卡,这个虚拟网卡地址和真实网卡的物理MAC地址有一个映射关系,这个映射关系是在创建AP和客户端设备的虚拟MAC接口时创建的,详见后面实施例中的论述,在此不再赘述。在AP与客户端设备上分别创建虚拟MAC接口后,AP与客户端设备之间通过虚拟MAC接口进行通信。
发送端设备预先创建了至少两个虚拟MAC接口,比如ath0、ath1、ath2等等。在发送报文之前,发送端设备可以为报文分配一个虚拟MAC接口。比如,发送端设备可以将所要发送的报文分配给虚拟MAC接口ath0。
另外,需要说明的是,本实施中,当发送端设备是访问节点时,接收端设备是客户端设备;当发送端设备是客户端设备时,接收端设备是访问节点。
此外,在发送端设备为报文分配一个虚拟MAC接口之前,需要通过客户端设备和AP之间的二次握手来配置客户端设备和AP之间虚拟链路,具体配置虚拟链路的过程包括以下步骤:
步骤1、客户端设备发送创建虚拟MAC接口的请求至访问节点。
本步骤中,客户端设备发送一个创建虚拟接口的请求Request至访问节点,该请求通过客户端设备与AP之间共享的对称秘钥加密之后传输至访问节点。
另外,优选的,客户端设备同时还发送一个随机数至访问节点,该随机数也是通过客户端设备与AP之间共享的对称秘钥加密之后传输至访问节点。
步骤2、访问节点根据所述请求创建至少两个虚拟MAC接口。
本步骤中,访问节点接收到客户端发送的加密请求后,对该加密请求进行解密,根据所述请求创建至少两个虚拟MAC接口,并设置每个虚拟MAC接口的属性信息,该属性信息包括虚拟MAC接口的虚拟MAC地址、优先传输队列、传输功率、数据速率。
其中,一旦接收到客户端设备的请求,AP首先确定需要创建的虚拟MAC接口的数量,该数量由客户端设备的用户设置的隐私策略和AP的可用资源来确定,其中隐私策略可以很简单,如某个程序应用的数据传输是否需要多路分用来保护隐私。
创建的每个虚拟MAC接口会被AP随机的选择分配一个没有使用的MAC地址,该MAC地址是一个虚拟MAC地址。
更具体的,一个虚拟MAC地址有48位,开始的24位用来识别设备商。本实施例中的目的是保证与设备商有关的24位被选择出来,以达到分配虚拟MAC地址的目的,这样使得虚拟MAC接口看起来更加真实。为了记录这些虚拟MAC地址,AP创建了一个查询表,通过该查询表来映射虚拟MAC地址到AP的真实网卡的物理MAC地址。
步骤3、访问节点发送所述至少两个虚拟MAC接口的地址至客户端设备。
本步骤中,访问节点创建好虚拟MAC接口后,发送一个响应信息至客户端设备。该响应信息中包括步骤2创建的至少两个虚拟MAC接口的地址。优选地,该响应信息中还可以包括客户端设备发送给AP的随机数。优选地,该响应信息是进行加密后发送至客户端设备的,并且是通过客户端设备与AP之间共享的对称秘钥进行加密的。
步骤4、客户端设备根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
本步骤中,客户端设备接收到AP发送的响应信息后,读取响应信息中包括的随机数,根据所述随机数判断该响应信息是否与步骤1中发送至AP的请求匹配,如果匹配,则读取响应信息中包括的至少两个虚拟MAC接口的地址,根据该地址在客户端设备侧创建相应的虚拟MAC接口。比如,AP建立了虚拟MAC接口ath0,则客户端设备也建立相应的虚拟MAC接口ath0,两者的虚拟MAC接口ath0的虚拟MAC地址相同,构成一条虚拟链路。
其中,客户端设备侧创建相应的虚拟MAC接口可以通过修改客户端设备的Wi-Fi驱动程序(如MadWifi)来实现。需要注意的是,客户端设备也需要创建一个查询表,通过该查询表来映射虚拟MAC接口的虚拟MAC地址到客户端设备的真实网卡的物理MAC地址。
整个虚拟MAC接口的配置过程采用了加密机制,可以防止攻击者得到AP与客户端设备配置的虚拟MAC接口的相关信息。
同样地,为了取消虚拟MAC接口,客户端设备也需要经历二次握手过程来请求AP释放虚拟MAC接口。采用这种方法,AP能够主动回收资源,动态的配置虚拟MAC接口。
在步骤S102中,由所述虚拟MAC接口将所述报文封装成MAC数据帧。
在本发明实施例中,若一个报文分配给虚拟MAC接口ath0,则ath0将该报文封装成MAC数据帧。
采用的虚拟MAC接口将报文封装成MAC数据帧,可以保证每个报文的数据长度不会超过MAC层的最大传输单元的大小,从而保证没有必要重新对报文进行分割。
在步骤S103中,由所述虚拟MAC接口调整所述MAC数据帧的传输功率、数据速率,并发送所述MAC数据帧至接收端。
在本发明实施例中,在发送报文之前,从预先创建的至少两个虚拟MAC接口中选择一个虚拟MAC接口,通过该虚拟MAC接口来发送报文。该虚拟MAC接口读取自身的属性信息,根据属性信息中包括的传输功率和数据速率调整报文的传输功率和数据速率,并根据属性信息中的优先传输队列确定发送报文的时间,使得通过该虚拟MAC接口进行的数据传输像通过一个真实的无线网卡传输一样。其中,图2示出了通过建立的至少两条虚拟链路,AP和客户端设备之间传输数据的过程示意图,具体的,图2中,AP和客户端设备之间建立了3条虚拟链路,发送端设备在发送报文时,可以选择其中的一条虚拟链路,通过该虚拟链路发送报文至接收端设备。
本实施例,在客户端设备和AP之间建立多条虚拟链路后,发送端设备可以根据需要选择其中一条虚拟链路来进行报文的传输,由于虚拟链路的数量是根据客户端设备用户的设置以及AP的可用资源的数量来设定的,可以保证数据流量的多路分用对于上层协议栈的透明,并且在MAC层的修改不影响用户的体验,另外,与IEEE802.11协议兼容,从而实现了能够在不影响网络性能的基础上保护用户的隐私安全。
另外,客户端设备和AP之间的虚拟链路配置过程中,比如创建虚拟接口的请求、随机数,还有AP的响应信息均是通过加密方式发送的,可以防止攻击者得到虚拟链路的相关信息。
本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘或光盘等。
实施例二
图3示出了本发明实施例二提供的抵御流量分析的接收数据的方法的流程图,以接收端设备侧为例来进行说明,详述如下:
在步骤S301中,接收端设备接收发送端设备发送的MAC数据帧。
在本发明实施例中,在接收MAC数据帧之前,还需要设置接收端设备而的网卡的状态为混杂模式,即既可以通过真实的物理MAC地址接收MAC数据帧,也可以通过创建的虚拟MAC接口接收MAC数据帧。
在步骤S302中,对所述MAC数据帧进行解析,提取出所述MAC数据帧中包括的虚拟MAC地址。
在步骤S303中,将所述虚拟MAC地址转换为所述接收端设备的真实网卡的物理MAC地址。
本发明实施例中,优选地,接收端设备提取出虚拟MAC地址后,在查询表中查询该虚拟MAC地址,如果查找到,则根据查询表中包括的虚拟MAC地址与物理MAC地址的映射关系获得与该虚拟MAC地址对应的物理MAC地址;否则,接收端设备丢弃该MAC数据帧。
当然,也可以先根据查询表,将虚拟MAC地址转换成物理MAC地址,然后,查询该物理MAC地址是否是与接收端设备连接的发送端设备。
比如,AP为接收端设备时,AP通过一张记录表记录有与其连接的每个客户端设备的物理MAC地址,因此,对于接收到的每个MAC数据帧,AP检测MAC数据帧的源地址,即发送MAC数据帧的客户端设备的物理MAC地址,丢掉源地址不在记录表中的MAC数据帧,将源地址在记录表中的MAC数据帧上传至上层。
具体对接收到MAC数据帧是否来自与接收端设备关联的发送端设备的判断方式,本实施例不做限制。
这种虚拟MAC地址与物理MAC地址之间的转换可以保证对MAC层的上层协议透明,尤其是对映射IP地址到物理MAC地址的ARP协议。
在步骤S304中,用所述物理MAC地址替换所述MAC数据帧中的虚拟MAC地址。
在步骤S305中,上传更新后的MAC数据帧至所述接收端设备的上层。
本实施例,接收端设备接收到发送端设备发送的MAC数据帧后,将数据帧中包括的虚拟MAC地址转换成物理MAC地址后,上传更新的数据帧至接收端设备的上层,由于数据流量的多路复用对于上层协议是透明的,并且在MAC层的修改不影响用户的体验,另外与IEEE802.11协议兼容。
实施例三
图4示出了本发明实施例三提供的抵御流量分析的发送数据的装置的具体结构框图,为了便于说明,仅示出了与本发明实施例相关的部分。该抵御流量分析的发送数据的装置4可以是内置于发送端设备的软件单元,硬件单元,或者软硬件结合的单元,该抵御流量分析的发送数据的装置4包括:虚拟接口分配单元41、报文封装单元42和报文发送单元43。
其中,虚拟接口分配单元41,用于为报文分配一个虚拟MAC接口;
报文封装单元42,用于由所述虚拟MAC接口将所述报文封装成MAC数据帧;
报文发送单元43,用于由所述虚拟MAC接口根据所述虚拟MAC接口的属性信息调整所述MAC数据帧的传输功率、数据速率,并发送所述MAC数据帧至接收端设备。
进一步地,所述发送数据的装置4内置于发送端设备中,当所述发送端设备是访问节点时,所述接收端设备是客户端设备;
当所述发送端设备是客户端设备时,所述接收端设备是访问节点;
所述客户端设备包括:
请求发送单元,用于发送创建虚拟MAC接口的请求至访问节点;
所述访问节点包括:
第一虚拟接口创建单元,用于根据所述请求创建至少两个虚拟MAC接口;
虚拟地址发送单元,用于发送所述至少两个虚拟MAC接口的地址至客户端设备;
客户端设备还包括:
第二虚拟接口创建单元,用于根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
进一步地,所述请求发送单元发送创建虚拟MAC接口的请求至访问节点时,同时还发送一个随机数至访问节点;
所述虚拟地址发送单元发送所述至少两个虚拟MAC接口的地址至客户端设备时,同时还发送所述随机数至客户端设备;
所述客户端设备还包括:
连接验证单元,用于接收到所述随机数后,根据所述随机数来确定是否根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
进一步地,所述请求发送单元对所述创建虚拟MAC接口的请求、所述随机数进行加密后发送至访问节点;
所述虚拟地址发送单元对所述至少两个虚拟MAC接口的地址、所述随机数进行加密后发送至客户端设备。
本发明实施例提供的抵御流量分析的发送数据的装置可以应用在前述对应的方法实施例一中,详情参见上述实施例一的描述,在此不再赘述。
实施例四
图5示出了本发明实施例四提供的抵御流量分析的接收数据的装置的具体结构框图,为了便于说明,仅示出了与本发明实施例相关的部分。该抵御流量分析的接收数据的装置可以是内置于接收端设备的软件单元,硬件单元,或者软硬件结合的单元,该抵御流量分析的接收数据的装置5包括:数据帧接收单元51、虚拟地址提取单元52、地址转换单元53、数据帧更新单元54和数据帧上传单元55。
其中,数据帧接收单元51,用于接收发送端设备发送的MAC数据帧;
虚拟地址提取单元52,用于对所述MAC数据帧进行解析,提取出所述MAC数据帧中包括的虚拟MAC地址;
地址转换单元53,用于将所述虚拟MAC地址转换为所述接收端设备的真实网卡的物理MAC地址;
数据帧更新单元54,用于用所述物理MAC地址替换所述MAC数据帧中的虚拟MAC地址;
数据帧上传单元55,用于上传更新后的MAC数据帧至所述接收端设备的上层。
本发明实施例提供的抵御流量分析的接收数据的装置可以应用在前述对应的方法实施例二中,详情参见上述实施例二的描述,在此不再赘述。
实施例五
图6示出了本发明实施例五提供的抵御流量分析的数据传输系统的具体结构框图,为了便于说明,仅示出了与本发明实施例相关的部分。该抵御流量分析的数据传输系统6包括:发送端设备61和接收端设备62。
其中,发送端设备61中包括实施例三所述的抵御流量分析的发送数据的装置,接收端设备62中包括实施例四所述的抵御流量分析的接收数据的装置。
发送端设备61是AP时,接收端设备62是客户端设备;发送端设备61是客户端设备时,接收端设备62是AP。一个AP可以连接至少一个客户端设备,两者是一对一或者一对多的关系。
本发明实施例提供的抵御流量分析的数据传输系统可以应用在前述对应的方法实施例一和实施例二中,详情参见上述实施例一和实施例二的描述,在此不再赘述。
值得注意的是,上述系统实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种抵御流量分析的发送数据的方法,其特征在于,所述方法包括:
发送端设备为报文分配一个虚拟MAC接口;
由所述虚拟MAC接口将所述报文封装成MAC数据帧;
由所述虚拟MAC接口根据所述虚拟MAC接口的属性信息调整所述MAC数据帧的传输功率、数据速率,并发送所述MAC数据帧至接收端设备。
2.如权利要求1所述的方法,其特征在于,当所述发送端设备是访问节点时,所述接收端设备是客户端设备;
当所述发送端设备是客户端设备时,所述接收端设备是访问节点;
在所述发送端设备为报文分配一个虚拟MAC接口之前,还包括:
客户端设备发送创建虚拟MAC接口的请求至访问节点;
访问节点根据所述请求创建至少两个虚拟MAC接口;
访问节点发送所述至少两个虚拟MAC接口的地址至客户端设备;
客户端设备根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
3.如权利要求2所述的方法,其特征在于,在所述客户端设备发送创建虚拟MAC接口的请求至访问节点时,同时还发送一个随机数至访问节点;
访问节点发送所述至少两个虚拟MAC接口的地址至客户端设备时,同时还发送所述随机数至客户端设备;
客户端接收到所述随机数后,根据所述随机数来确定是否根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
4.如权利要求3所述的方法,其特征在于,客户端设备对所述创建虚拟MAC接口的请求、所述随机数进行加密后发送至访问节点;
访问节点对所述至少两个虚拟MAC接口的地址、所述随机数进行加密后发送至客户端设备。
5.一种抵御流量分析的接收数据的方法,其特征在于,所述方法包括:
接收端设备接收发送端设备发送的MAC数据帧;
对所述MAC数据帧进行解析,提取出所述MAC数据帧中包括的虚拟MAC地址;
将所述虚拟MAC地址转换为所述接收端设备的真实网卡的物理MAC地址;
用所述物理MAC地址替换所述MAC数据帧中的虚拟MAC地址;
上传更新后的MAC数据帧至所述接收端设备的上层。
6.一种抵御流量分析的发送数据的装置,其特征在于,所述发送数据的装置包括:
虚拟接口分配单元,用于为报文分配一个虚拟MAC接口;
报文封装单元,用于由所述虚拟MAC接口将所述报文封装成MAC数据帧;
报文发送单元,用于由所述虚拟MAC接口根据所述虚拟MAC接口的属性信息调整所述MAC数据帧的传输功率、数据速率,并发送所述MAC数据帧至接收端设备。
7.如权利要求6所述的装置,其特征在于,所述发送数据的装置内置于发送端设备中,当所述发送端设备是访问节点时,所述接收端设备是客户端设备;
当所述发送端设备是客户端设备时,所述接收端设备是访问节点;
所述客户端设备包括:
请求发送单元,用于发送创建虚拟MAC接口的请求至访问节点;
所述访问节点包括:
第一虚拟接口创建单元,用于根据所述请求创建至少两个虚拟MAC接口;
虚拟地址发送单元,用于发送所述至少两个虚拟MAC接口的地址至客户端设备;
客户端设备还包括:
第二虚拟接口创建单元,用于根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
8.如权利要求7所述的装置,其特征在于,所述请求发送单元发送创建虚拟MAC接口的请求至访问节点时,同时还发送一个随机数至访问节点;
所述虚拟地址发送单元发送所述至少两个虚拟MAC接口的地址至客户端设备时,同时还发送所述随机数至客户端设备;
所述客户端设备还包括:
连接验证单元,用于接收到所述随机数后,根据所述随机数来确定是否根据所述至少两个虚拟MAC接口的地址创建相应的虚拟MAC接口。
9.如权利要求8所述的装置,其特征在于,所述请求发送单元对所述创建虚拟MAC接口的请求、所述随机数进行加密后发送至访问节点;
所述虚拟地址发送单元对所述至少两个虚拟MAC接口的地址、所述随机数进行加密后发送至客户端设备。
10.一种抵御流量分析的接收数据的装置,其特征在于,所述装置包括:
数据帧接收单元,用于接收发送端设备发送的MAC数据帧;
虚拟地址提取单元,用于对所述MAC数据帧进行解析,提取出所述MAC数据帧中包括的虚拟MAC地址;
地址转换单元,用于将所述虚拟MAC地址转换为所述接收端设备的真实网卡的物理MAC地址;
数据帧更新单元,用于用所述物理MAC地址替换所述MAC数据帧中的虚拟MAC地址;
数据帧上传单元,用于上传更新后的MAC数据帧至所述接收端设备的上层。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310652518.9A CN103701775A (zh) | 2013-12-04 | 2013-12-04 | 一种抵御流量分析的发送、接收数据的方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310652518.9A CN103701775A (zh) | 2013-12-04 | 2013-12-04 | 一种抵御流量分析的发送、接收数据的方法、装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103701775A true CN103701775A (zh) | 2014-04-02 |
Family
ID=50363172
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310652518.9A Pending CN103701775A (zh) | 2013-12-04 | 2013-12-04 | 一种抵御流量分析的发送、接收数据的方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701775A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448574A (zh) * | 2022-03-03 | 2022-05-06 | 湖南军安信达科技有限公司 | 一种mac帧数据传输处理设备及其数据传输处理方法 |
| CN114553594A (zh) * | 2022-03-24 | 2022-05-27 | 浙江网商银行股份有限公司 | 保护数据安全的方法以及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070202806A1 (en) * | 2006-02-08 | 2007-08-30 | Samsung Electronics Co., Ltd. | Method and apparatus for secured communication between Bluetooth® devices |
| CN101610258A (zh) * | 2009-07-21 | 2009-12-23 | 北京九方中实电子科技有限责任公司 | 一种docsis mac地址过滤方法 |
| CN101902399A (zh) * | 2010-07-09 | 2010-12-01 | 北京星网锐捷网络技术有限公司 | 基于生成树协议的无线网络通信方法、系统及装置 |
| CN102238091A (zh) * | 2011-07-22 | 2011-11-09 | 中兴通讯股份有限公司 | 一种报文发送方法及接入控制器 |
-
2013
- 2013-12-04 CN CN201310652518.9A patent/CN103701775A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070202806A1 (en) * | 2006-02-08 | 2007-08-30 | Samsung Electronics Co., Ltd. | Method and apparatus for secured communication between Bluetooth® devices |
| CN101610258A (zh) * | 2009-07-21 | 2009-12-23 | 北京九方中实电子科技有限责任公司 | 一种docsis mac地址过滤方法 |
| CN101902399A (zh) * | 2010-07-09 | 2010-12-01 | 北京星网锐捷网络技术有限公司 | 基于生成树协议的无线网络通信方法、系统及装置 |
| CN102238091A (zh) * | 2011-07-22 | 2011-11-09 | 中兴通讯股份有限公司 | 一种报文发送方法及接入控制器 |
Non-Patent Citations (1)
| Title |
|---|
| ZHANG FAN ET AL: "Defending Against Traffic Analysis in Wireless Networks Through Traffic Reshaping", <DISTRIBUTED COMPUTING SYSTEMS> * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448574A (zh) * | 2022-03-03 | 2022-05-06 | 湖南军安信达科技有限公司 | 一种mac帧数据传输处理设备及其数据传输处理方法 |
| CN114553594A (zh) * | 2022-03-24 | 2022-05-27 | 浙江网商银行股份有限公司 | 保护数据安全的方法以及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102801695B (zh) | 虚拟专用网通信设备及其数据包传输方法 | |
| CN1910861B (zh) | 公共接入点 | |
| CN101682569B (zh) | 用于在固定网络架构中漫游Wi-Fi接入的PANA | |
| CN104660602A (zh) | 一种量子密钥传输控制方法及系统 | |
| TW201624960A (zh) | 用於下一代蜂巢網路的使用者面安全 | |
| CN104660603A (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
| JP2004180324A (ja) | 802.11ネットワーク向けの固有wi−fiアーキテクチャ | |
| CN102404721B (zh) | Un接口的安全保护方法、装置和基站 | |
| CN107005534A (zh) | 安全连接建立 | |
| KR20090115292A (ko) | 버튼 방식의 무선 랜 설정 방법 및 장치 | |
| US10485043B2 (en) | Multi-connection access point | |
| CN101895882A (zh) | 一种WiMAX系统中的数据传输方法、系统及装置 | |
| CN103702312A (zh) | 无线信息传输方法和设备 | |
| JP2005303449A (ja) | 無線通信システム、アクセスポイント、端末および無線通信方法 | |
| JP2004064531A (ja) | 無線アクセスポイント | |
| CN104954339A (zh) | 一种电力应急抢修远程通信方法及系统 | |
| US20200374957A1 (en) | Multi-connection access point | |
| CN103701775A (zh) | 一种抵御流量分析的发送、接收数据的方法、装置 | |
| EP3787254A1 (en) | Methods and apparatus for end-to-end secure communications | |
| CN102883265B (zh) | 接入用户的位置信息发送和接收方法、设备及系统 | |
| CN107277813A (zh) | 一种单向无线网络安全隔离传输系统和方法 | |
| CN102917081A (zh) | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 | |
| CN101765230B (zh) | 无线网状网络中的用户通信数据的传输方法和装置 | |
| KR20130019804A (ko) | 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법 | |
| CN103200191B (zh) | 通信装置和无线通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |