CN108494731B - 一种基于双向身份认证的抗网络扫描方法 - Google Patents
一种基于双向身份认证的抗网络扫描方法 Download PDFInfo
- Publication number
- CN108494731B CN108494731B CN201810130200.7A CN201810130200A CN108494731B CN 108494731 B CN108494731 B CN 108494731B CN 201810130200 A CN201810130200 A CN 201810130200A CN 108494731 B CN108494731 B CN 108494731B
- Authority
- CN
- China
- Prior art keywords
- server
- client
- port
- specific port
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于双向身份认证的抗网络扫描方法,包括以下步骤:步骤一、关闭受保护系统的所有端口,使所述受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端;步骤二、客户端和服务端进行双向身份认证,即服务端对客户端进行验证,且客户端对服务端也进行验证;步骤三、如果客户端和服务端彼此验证通过,则进行正常业务通信。本发明提出了一种抗网络扫描方法,并实现了在抗扫描的前提下,客户端和服务端的正常业务通信不受影响,弥补了抗扫描技术领域的空白。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于双向身份认证的抗网络扫描方法。
背景技术
网络扫描技术是一种自动检测远程主机安全脆弱点的技术。通过使用扫描器可以不留痕迹地发现远程主机中各种TCP和UDP端口的分配以及它们所提供的服务和软件版本、判定目标操作系统的类型,然后根据所收集到的信息进一步测试系统是否存在安全漏洞。网络扫描技术作为一种常用的网络攻击手段,常被黑客利用,即通过对扫描结果进行推测进而对目标系统漏洞发起攻击。
网络扫描技术具有两点典型特征:一是网络扫描具有隐蔽性特征,即在目标系统没有察觉的情况下,获取目标系统的关键特征信息;二是网络扫描技术种类多,包括端口扫描技术、弱口令扫描技术、操作系统探测以及漏洞扫描技术等,攻击者通过选取对应技术来获取所需的目标系统特征信息。
抗网络扫描技术,是针对网络攻击必不可少的侦查环节而创造的主动网络安全技术,使得攻击者无法获取目标系统的特征,如目标的在线情况以及目标的操作系统、开放端口、运行的服务等特征信息。
抗网络扫描技术作为一种新型的主动网络安全技术,能有效降低目标系统被恶意攻击者发现的概率,避免系统特征信息的暴露。目前尚未发现合适的抗网络扫描技术。
发明内容
本发明所要解决的技术问题是:针对上述问题,提供一种抗网络扫描方法,使得蓄意攻击无法通过扫描获取任何系统特征信息,并采用双向身份认证,认证安全级别高。且在抗扫描前提下,保证客户端和服务端正常通信的业务能力。
本发明提供的一种基于双向身份认证的抗网络扫描方法,包括以下步骤:
步骤一、关闭受保护系统的所有端口,使所述受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端;
步骤二、客户端和服务端进行双向身份认证,即服务端对客户端进行验证,且客户端对服务端也进行验证;
步骤三、如果客户端和服务端彼此验证通过,则进行正常业务通信。
进一步,所述服务端对客户端进行验证包括:
判断数据包发送端口是否为服务端特定端口,所述服务端特定端口是服务端用于验证的端口;
若是,则对来自所述服务端特定端口的数据包进行解析与验证。
进一步,所述客户端对服务端也进行验证包括:
判断数据包发送端口是否为客户端特定端口,所述客户端特定端口是客户端用于验证的端口;
若是,则对来自所述客户端特定端口的数据包进行解析与验证。
进一步,在进行下一次身份认证请求前,随机变化生成所述服务端特定端口。
进一步,在进行下一次身份认证请求前,随机变化生成所述客户端特定端口。
进一步,所述步骤三包括:服务端按需为客户端打开指定服务端口。
进一步,所述步骤三还包括:服务端对客户端访问资源的权限进行管理。
本发明还提供一种服务端监听客户端的方法,包括以下步骤:
步骤一、关闭受保护系统的所有端口,使所述受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端;
步骤二、服务端对客户端进行验证;
步骤三、验证通过后,服务端发送验证数据包到客户端;
步骤四、客户端对服务端进行验证;
步骤五、验证通过后,服务端按需为客户端打开指定服务端口。
进一步,所述步骤二包括:
判断数据包发送端口是否为服务端特定端口,所述服务端特定端口是服务端用于验证的端口;
若是,则对来自所述服务端特定端口的数据包进行解析与验证。
进一步,所述步骤四包括:
判断数据包发送端口是否为客户端特定端口,所述客户端特定端口是客户端用于验证的端口;
若是,则对来自所述客户端特定端口的数据包进行解析与验证。
进一步,在进行下一次验证请求前,随机变化生成所述服务端特定端口。
进一步,在进行下一次验证请求前,随机变化生成所述客户端特定端口。
进一步,所述步骤五包括:服务端对客户端访问资源的权限进行管理。
本发明还提供一种客户端向服务端发送认证连接的方法,包括以下步骤:
步骤一、关闭受保护系统的所有端口,使所述受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端;
步骤二、客户端发送验证数据包到服务端;
步骤三、服务端对客户端进行验证;
步骤四、客户端对服务端进行验证;
步骤五、验证通过后,连接服务端,按需访问服务器资源。
进一步,所述步骤三包括:
判断数据包发送端口是否为客户端特定端口,所述客户端特定端口是客户端用于验证的端口;
若是,则对来自所述客户端特定端口的数据包进行解析与验证。
进一步,所述步骤四包括:
判断数据包发送端口是否为服务端特定端口,所述服务端特定端口是服务端用于验证的端口;
若是,则对来自所述服务端特定端口的数据包进行解析与验证。
进一步,在进行下一次验证请求前,随机变化生成所述客户端特定端口。
进一步,在进行下一次验证请求前,随机变化生成所述服务端特定端口。
通过采用以上的技术方案,本发明的有益效果是:提出了一种抗网络扫描方法,并实现了在抗扫描的前提下,客户端和服务端的正常业务通信不受影响,弥补了抗扫描技术领域的空白。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为双重认证机制图;
图2为客户端向服务端发送认证连接的流程图;
图3为服务端监听客户端的流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
在一个实施例中,基于双向身份认证的抗网络扫描方法包括以下内容:
1.抗网络扫描。
针对通过使用专用扫描软件可获取信息系统关键特征问题,将受保护系统的所有端口关闭,使得受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端。实现受保护系统特征信息对外不可见,如受保护系统的在线情况以及操作系统类型、开放端口、运行的服务等特征信息,以达到抗扫描的目的。
2.双向身份认证。
客户端和服务端在启动抗网络扫描功能后,其系统(包括客户端和服务端)将对外任何请求不作响应,为了实现只对合法客户端和合法服务端的请求回应,引入一种双向身份认证方法,该方法能有效识别客户端和服务端的合法性,对验证合法的客户端和服务端进行数据包应答,对其他请求依然不响应。
双向身份认证方法是指客户端和服务端在进行正常业务会话前,将分别对对方发送到特定监听端口上的加密认证包进行解析验证。在一个实施例中,每一次的特定监听端口都是随机动态变化的(故也称为动态双向身份认证技术)。动态双向身份认证方法使得认证级别高,强度大,保证了信息系统及通信过程安全。
在一个实施例中,双向身份认证方法采用了双重认证机制,双重认证机制示意图如图1所示。第一重认证机制,是服务端将判断数据包发送端口是否为服务端特定端口,只有发送到服务端特定端口上的数据包才能进行第二重认证机制的验证,反之,采用抗网络扫描技术不响应数据包。其中服务端特定端口是客户端和服务端事先约定好的验证端口。在一个实施例中,服务端特定端口在每次进行验证请求前是随机动态变化的。第二重认证机制,是对通过服务端特定端口的数据包进行解析与验证。在一个实施例中,若验证通过,则服务端向客户端发送验证数据包。在一个实施例中,客户端也采用同样的双重认证机制,若客户端鉴定来自服务端的数据包也通过了,双方才可进行后续会话操作。
3.建立客户端和服务端的正常业务通信。
客户端和服务端在通过双向身份认证后,方可进行正常业务通信。此时,服务端按需为客户端打开指定服务端口,按需为合法客户端提供服务资源,如HTTP、SSH、FTP服务等。在一个实施例中,服务端对合法客户端访问资源的权限进行有效管理与划分,从而使得客户端访问服务端上的资源更为安全、合理及有序,预防了非法操作对服务端系统破坏,有效保障了客户端和服务端的正常会话。
在一个实施例中,一种客户端向服务端发送认证连接的方法,如图2所示。包括客户端和服务端的系统关闭所有端口,使系统处于只监听而不响应请求的状态,系统进入抗网络扫描状态。客户端构造加密数据包,并向服务端发送;服务端对数据包进行验证;服务端验证通过后,客户端将对来自服务端的加密数据包进行验证;客户端验证通过后,客户端连接服务端,并按需访问服务端资源。在一个实施例中,服务端对数据包的验证采用双重认证机制,即首先判断数据包发送端口是否为服务端特定端口,服务端特定端口是客户端和服务端事先约定好的验证端口,在一个实施例中,该服务端特定端口在每次进行验证请求前是随机动态变化的;若数据包发送端口是服务端特定端口,对通过服务端特定端口的数据包进行解析与验证,否则将错误信息记录在日志中。在一个实施例中,若服务端超时机制启动,则客户端与服务端之间的连接通道关闭;若需要重新连接服务端,则进行下一次的验证请求,直至结束抗网络扫描状态。
在一个实施例中,一种服务端监听客户端的方法,如图3所示。包括客户端和服务端的系统关闭所有端口,使系统处于只监听而不响应请求的状态,系统进入抗网络扫描状态。服务端验证数据包通过后,服务端构造加密数据包,并向客户端发送;客户端对数据包验证;客户端验证通过后,服务端按需为客户端打开指定服务端口。在一个实施例中,客户端对数据包的验证采用双重认证机制,即首先判断数据包发送端口是否为客户端特定端口,客户端特定端口是客户端和服务端事先约定好的验证端口,在一个实施例中,该客户端特定端口在每次进行验证请求前是随机动态变化的;若数据包发送端口是客户端特定端口,对通过客户端特定端口的数据包进行解析与验证,否则,将数据包丢弃。在一个实施例中,若服务端超时机制启动,则服务端关闭向客户端打开的服务资源,并断开连接,直至结束抗网络扫描状态。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (12)
1.一种基于双向身份认证的抗网络扫描方法,其特征在于,包括以下步骤:
步骤一、关闭受保护系统的所有端口,使所述受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端;
步骤二、客户端和服务端进行双向身份认证,即服务端对客户端进行验证,且客户端对服务端也进行验证;
步骤三、如果客户端和服务端彼此验证通过,则进行正常业务通信;
所述服务端对客户端进行验证包括:
判断数据包发送端口是否为服务端特定端口,所述服务端特定端口是服务端用于验证的端口;
若是,则对来自所述服务端特定端口的数据包进行解析与验证;
所述客户端对服务端也进行验证包括:
判断数据包发送端口是否为客户端特定端口,所述客户端特定端口是客户端用于验证的端口;
若是,则对来自所述客户端特定端口的数据包进行解析与验证。
2.根据权利要求1所述的一种基于双向身份认证的抗网络扫描方法,其特征在于,在进行下一次身份认证请求前,随机变化生成所述服务端特定端口。
3.根据权利要求1所述的一种基于双向身份认证的抗网络扫描方法,其特征在于,在进行下一次身份认证请求前,随机变化生成所述客户端特定端口。
4.根据权利要求1所述的一种基于双向身份认证的抗网络扫描方法,其特征在于,所述步骤三包括:服务端按需为客户端打开指定服务端口。
5.根据权利要求4所述的一种基于双向身份认证的抗网络扫描方法,其特征在于,所述步骤三还包括:服务端对客户端访问资源的权限进行管理。
6.一种服务端监听客户端的方法,其特征在于,包括以下步骤:
步骤一、关闭受保护系统的所有端口,使所述受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端;
步骤二、服务端对客户端进行验证;
步骤三、验证通过后,服务端发送验证数据包到客户端;
步骤四、客户端对服务端进行验证;
步骤五、验证通过后,服务端按需为客户端打开指定服务端口;
所述步骤二包括:
判断数据包发送端口是否为服务端特定端口,所述服务端特定端口是服务端用于验证的端口;
若是,则对来自所述服务端特定端口的数据包进行解析与验证;
所述步骤四包括:
判断数据包发送端口是否为客户端特定端口,所述客户端特定端口是客户端用于验证的端口;
若是,则对来自所述客户端特定端口的数据包进行解析与验证。
7.根据权利要求6所述的一种服务端监听客户端的方法,其特征在于,在进行下一次验证请求前,随机变化生成所述服务端特定端口。
8.根据权利要求6所述的一种服务端监听客户端的方法,其特征在于,在进行下一次验证请求前,随机变化生成所述客户端特定端口。
9.根据权利要求6所述的一种服务端监听客户端的方法,其特征在于,所述步骤五包括:服务端对客户端访问资源的权限进行管理。
10.一种客户端向服务端发送认证连接的方法,其特征在于,包括以下步骤:
步骤一、关闭受保护系统的所有端口,使所述受保护系统处于只监听而不响应请求的状态,所述受保护系统包括客户端和服务端;
步骤二、客户端发送验证数据包到服务端;
步骤三、服务端对客户端进行验证;
步骤四、客户端对服务端进行验证;
步骤五、验证通过后,连接服务端,按需访问服务器资源;
所述步骤三包括:
判断数据包发送端口是否为客户端特定端口,所述客户端特定端口是客户端用于验证的端口;
若是,则对来自所述客户端特定端口的数据包进行解析与验证;
所述步骤四包括:
判断数据包发送端口是否为服务端特定端口,所述服务端特定端口是服务端用于验证的端口;
若是,则对来自所述服务端特定端口的数据包进行解析与验证。
11.根据权利要求10所述的一种客户端向服务端发送认证连接的方法,其特征在于,在进行下一次验证请求前,随机变化生成所述客户端特定端口。
12.根据权利要求10所述的一种客户端向服务端发送认证连接的方法,其特征在于,在进行下一次验证请求前,随机变化生成所述服务端特定端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810130200.7A CN108494731B (zh) | 2018-02-08 | 2018-02-08 | 一种基于双向身份认证的抗网络扫描方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810130200.7A CN108494731B (zh) | 2018-02-08 | 2018-02-08 | 一种基于双向身份认证的抗网络扫描方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108494731A CN108494731A (zh) | 2018-09-04 |
CN108494731B true CN108494731B (zh) | 2021-04-02 |
Family
ID=63340005
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810130200.7A Active CN108494731B (zh) | 2018-02-08 | 2018-02-08 | 一种基于双向身份认证的抗网络扫描方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108494731B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547478A (zh) * | 2018-12-27 | 2019-03-29 | 中国电子科技网络信息安全有限公司 | 一种基于sdn的抗网络扫描方法及系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101047502A (zh) * | 2006-03-29 | 2007-10-03 | 中兴通讯股份有限公司 | 一种网络认证方法 |
CN101276402A (zh) * | 2008-04-01 | 2008-10-01 | 张卫强 | 一种身份识别系统及识别方法 |
CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
CN101465763A (zh) * | 2008-12-30 | 2009-06-24 | 上海地面通信息网络有限公司 | 用户端网络设备流量监控及分析的方法 |
CN101938485A (zh) * | 2010-09-10 | 2011-01-05 | 上海复控华龙微系统技术有限公司 | 基于双向安全认证的点对点协议的IP Camera服务实现方法 |
CN102685093A (zh) * | 2011-12-08 | 2012-09-19 | 陈易 | 一种基于移动终端的身份认证系统及方法 |
CN104486343A (zh) * | 2014-12-18 | 2015-04-01 | 广东粤铁科技有限公司 | 一种双因子双向认证的方法及系统 |
CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
CN106027487A (zh) * | 2016-04-28 | 2016-10-12 | 广州广电运通金融电子股份有限公司 | 一种硬件设备的访问管理方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7814538B2 (en) * | 2005-12-13 | 2010-10-12 | Microsoft Corporation | Two-way authentication using a combined code |
-
2018
- 2018-02-08 CN CN201810130200.7A patent/CN108494731B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101047502A (zh) * | 2006-03-29 | 2007-10-03 | 中兴通讯股份有限公司 | 一种网络认证方法 |
CN101276402A (zh) * | 2008-04-01 | 2008-10-01 | 张卫强 | 一种身份识别系统及识别方法 |
CN101378358A (zh) * | 2008-09-19 | 2009-03-04 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
CN101465763A (zh) * | 2008-12-30 | 2009-06-24 | 上海地面通信息网络有限公司 | 用户端网络设备流量监控及分析的方法 |
CN101938485A (zh) * | 2010-09-10 | 2011-01-05 | 上海复控华龙微系统技术有限公司 | 基于双向安全认证的点对点协议的IP Camera服务实现方法 |
CN102685093A (zh) * | 2011-12-08 | 2012-09-19 | 陈易 | 一种基于移动终端的身份认证系统及方法 |
CN104486343A (zh) * | 2014-12-18 | 2015-04-01 | 广东粤铁科技有限公司 | 一种双因子双向认证的方法及系统 |
CN104767757A (zh) * | 2015-04-17 | 2015-07-08 | 国家电网公司 | 基于web业务的多维度安全监测方法和系统 |
CN106027487A (zh) * | 2016-04-28 | 2016-10-12 | 广州广电运通金融电子股份有限公司 | 一种硬件设备的访问管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108494731A (zh) | 2018-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101095447B1 (ko) | 분산 서비스 거부 공격 차단 장치 및 방법 | |
CN108429730B (zh) | 无反馈安全认证与访问控制方法 | |
US8302170B2 (en) | Method for enhancing network application security | |
CN111586025B (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
US7370354B2 (en) | Method of remotely managing a firewall | |
US8413248B2 (en) | Method for secure single-packet remote authorization | |
US7464402B2 (en) | Authentication of network users | |
US20050198501A1 (en) | System and method of providing credentials in a network | |
CN113225333A (zh) | 零信任下的网络资源访问控制方法 | |
Al-Bahadili et al. | Network security using hybrid port knocking | |
US10050938B2 (en) | Highly secure firewall system | |
Kumar et al. | Performance analysis of sdp for secure internal enterprises | |
CN111770071B (zh) | 一种网络隐身场景下网关认证可信设备的方法和装置 | |
CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
KR101020470B1 (ko) | 네트워크 침입차단 방법 및 장치 | |
CN113612790A (zh) | 基于设备身份预认证的数据安全传输方法及装置 | |
CN108494731B (zh) | 一种基于双向身份认证的抗网络扫描方法 | |
CN113055357A (zh) | 单包验证通信链路可信的方法、装置及计算设备 | |
KR20130035600A (ko) | 정보 유출 차단 장치 및 방법 | |
Abdul-Mumin | Detection of man-in-the-middle attack in IEEE 802.11 networks | |
CN113343278A (zh) | 一种防御csrf攻击的登录请求校验方法及装置 | |
AlAmeen | Building a robust client-side protection against cross site request forgery | |
CN114567479B (zh) | 一种智能设备安全管控加固及监测预警方法 | |
Sintaro et al. | SDP And VPN For Remote Access: A Comparative Study And Performance Evaluation | |
Maidine et al. | Cloud Identity Management Mechanisms and Issues |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |