无线局域网中抵御流量分析的隐私保护研究

本项目旨在提出一种新颖实用的隐私保护系统来高效抵御流量分析的攻击，保护用户的隐私信息，同时不增加额外的明显通信负荷，不带来网络性能衰退。本项目通过无线链路的虚拟化技术，使得单一网络接口具有多路虚拟链路及相应的配置参数；针对每个报文进行优化调度，通过细颗粒的流量分割技术将报文分配到不同的虚拟链路中去；隐藏了原始流量的特征，使每个链路上的流量呈现不同的特征。由于不同链路配置有不同的传输参数(如MAC地址，发送功率，发送速率，优先级队列等)，从而让攻击者无法辨别虚拟与真实链路的区别，无法关联多个虚拟链路，达到有效抵御流量分析的目的。本系统能够显著改善传统的隐私保护方式，并且具有"有效性"，"高效性"，"通用性"和"兼容性"。本项目将在实际网卡驱动上研发，并通过实际的测试平台来验证系统的防御能力，评估网络性能，优化系统设计，最终形成具有自主知识产权的隐私保护系统。

无线局域网已广泛部署于住宅、公众热区(hotspot)、企业及校园环境中为电脑及移动终端提供网络接入服务。 但由于无线链路的开放性和共享性，攻击者能够通过多种窃听软件更轻易地截获特定用户的流量，并且通过流量分析来推测用户的行为特性及私密信息。.本项目提出的隐私保护系统首先通过无线链路的虚拟化技术，使得在单一网卡上具有多路虚拟网络接口及相应的参数配置：然后针对每个传输报文进行优化调度，通过细颗粒的流量分割技术，将每个报文分配到不同的虚拟网络接口中去：这样每个虚拟链路上的流量具有不同的特性，不仅掩盖原始流量特征，而且配置不同的链路传输参数，从而让攻击者无法关联多个虚拟链路，无法辨别虚拟链路与真实链路的区别，达到有效抵御流量分析的目的。该隐私保护系统将显著提高无线局域网中抵御流量分析的防御能力。其主要特点有：(1) 系统在MAC层实现隐私保护功能，因此它将为不同应用层服务提供全面的防护，而不仅仅是针对某种应用的缓解策略：(2) 支持对于每个报文的细粒度优化调度，能够针对不同流量分析方法实施有效的防御措施：(3) 通过在不同虚拟链路上分割流量来隐蔽原有流量特征，并且在每个单一虚拟链路上重塑流量特征。由于没有修改报文的长度大小，系统在基本不寻入额外通信负荷的情况下实现对流量分析攻击的防御。.本系统能够显著改善传统的隐私保护方式，并且具有“有效性”，“高效 性”，“通用性”和“兼容性”。并通过实际的测试平台来验证系统的防御能力，评估网络性能，优化系统设计。本项目在真实的无线网络环境中进行了测试，评估了在不同流量攻击环境下的性能。实验结果显示，本项目提出的系统能够有效抵御现有流量分析的进攻。在分析用户行为的攻击中，分类的准确率从83.24% 降到了 44.21%；在网页识别的攻击中，攻击准确率从30.6%降到了5.0%；在VoIP的流量攻击中，攻击准确率从78.3% 降到了60.0%。而且本项目所提出的防御措施没有带来明显的网络负荷，也没有造成网络通信性能的下降。.本项目在国内外会议及杂志上发表论文10篇，其中发表在SCI收录的JCR一区杂志1篇，EI收录10篇。研发的具有自主知识产权的无线局域网隐私保护系统申请了国家发明专利2项（已受理）。培养了1名博士和多名硕士。本研究工作有助于在无线局域网中保护用户的隐私安全，具有一定的探索前瞻性和非常广泛的实际应用意义。