本發明公開了一種基于雙向身份認證的抗網絡掃描方法，包括以下步驟：步驟一、關閉受保護系統的所有端口，使所述受保護系統處于只監聽而不響應請求的狀態，所述受保護系統包括客戶端和服務端；步驟二、客戶端和服務端進行雙向身份認證，即服務端對客戶端進行驗證，且客戶端對服務端也進行驗證；步驟三、如果客戶端和服務端彼此驗證通過，則進行正常業務通信。本發明提出了一種抗網絡掃描方法，并實現了在抗掃描的前提下，客戶端和服務端的正常業務通信不受影響，彌補了抗掃描技術領域的空白。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種基于雙向身份認證的抗網絡掃描方法。

背景技術

網絡掃描技術是一種自動檢測遠程主機安全脆弱點的技術。通過使用掃描器可以不留痕跡地發現遠程主機中各種TCP和UDP端口的分配以及它們所提供的服務和軟件版本、判定目標操作系統的類型，然后根據所收集到的信息進一步測試系統是否存在安全漏洞。網絡掃描技術作為一種常用的網絡攻擊手段，常被黑客利用，即通過對掃描結果進行推測進而對目標系統漏洞發起攻擊。

網絡掃描技術具有兩點典型特征：一是網絡掃描具有隱蔽性特征，即在目標系統沒有察覺的情況下，獲取目標系統的關鍵特征信息；二是網絡掃描技術種類多，包括端口掃描技術、弱口令掃描技術、操作系統探測以及漏洞掃描技術等，攻擊者通過選取對應技術來獲取所需的目標系統特征信息。

抗網絡掃描技術，是針對網絡攻擊必不可少的偵查環節而創造的主動網絡安全技術，使得攻擊者無法獲取目標系統的特征，如目標的在線情況以及目標的操作系統、開放端口、運行的服務等特征信息。

抗網絡掃描技術作為一種新型的主動網絡安全技術，能有效降低目標系統被惡意攻擊者發現的概率，避免系統特征信息的暴露。目前尚未發現合適的抗網絡掃描技術。

發明內容

本發明所要解決的技術問題是：針對上述問題，提供一種抗網絡掃描方法，使得蓄意攻擊無法通過掃描獲取任何系統特征信息，并采用雙向身份認證，認證安全級別高。且在抗掃描前提下，保證客戶端和服務端正常通信的業務能力。

本發明提供的一種基于雙向身份認證的抗網絡掃描方法，包括以下步驟：

步驟一、關閉受保護系統的所有端口，使所述受保護系統處于只監聽而不響應請求的狀態，所述受保護系統包括客戶端和服務端；

步驟二、客戶端和服務端進行雙向身份認證，即服務端對客戶端進行驗證，且客戶端對服務端也進行驗證；

步驟三、如果客戶端和服務端彼此驗證通過，則進行正常業務通信。

進一步，所述服務端對客戶端進行驗證包括：

判斷數據包發送端口是否為服務端特定端口，所述服務端特定端口是服務端用于驗證的端口；

若是，則對來自所述服務端特定端口的數據包進行解析與驗證。

進一步，所述客戶端對服務端也進行驗證包括：

判斷數據包發送端口是否為客戶端特定端口，所述客戶端特定端口是客戶端用于驗證的端口；

若是，則對來自所述客戶端特定端口的數據包進行解析與驗證。

進一步，在進行下一次身份認證請求前，隨機變化生成所述服務端特定端口。

進一步，在進行下一次身份認證請求前，隨機變化生成所述客戶端特定端口。

進一步，所述步驟三包括：服務端按需為客戶端打開指定服務端口。

進一步，所述步驟三還包括：服務端對客戶端訪問資源的權限進行管理。

本發明還提供一種服務端監聽客戶端的方法，包括以下步驟：