[发明专利]一种用户真实信息安全认证系统和方法

权利要求书

1.一种用户真实信息安全认证系统，主要由基础架构层、控制层和应用层构成，包括用户主机、无线路由器、交换机和服务器；其特征在于，所述基础架构层包括无线路由器和交换机，用于负责数据转发；所述控制层包括服务器中的用户信息认证模块和信息存储系统，用于负责数据的处理；所述应用层包括web应用，用于负责数据的展示；

所述用户主机通过无线网络连接无线路由器，用于向无线路由器发送DHCP数据包请求DHCP服务器分配合法IP地址；用于接收交换机通过无线路由器转发的RA通告，并且获取RA通告的前缀自动生成IP地址；用于在生成IP地址后发送DAD NS重复地址检测报文至无线路由器，通过无线路由器转发给交换机；用于发送用户数据包至无线路由器，通过无线路由器转发给交换机；

所述无线路由器，用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包；用于将接收到的DHCP数据包发送给交换机；用于将交换机发送的RA通告转发给用户主机；用于将用户主机发送的DAD NS重复地址检测报文转发至交换机；用于监听用户主机发送的用户数据包；用于将监听到的用户数据包转发至交换机；

所述交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机，用于监听通过SAVI功能端口传送过来的DHCP数据包，在监听到有DHCP数据包时，通过无线路由器发送RA通过至用户主机；用于在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时，将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定，生成绑定锚，其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口，即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口；用于在接收到用户数据包时，通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证，在验证成功的情况认证用户主机的IP地址是合法的，在验证失败的情况下认证用户主机的IP地址是非法的，此时过滤掉该用户主机；用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块；

所述服务器中的信息存储系统，用于存储用户信息以及认证信息；

服务器中的用户信息认证模块，用于在获取到交换机发送的用户数据包后，根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证；用于在用户信息认证成功后，将对应认证信息存储进服务器的信息存储系统中，并且通知交换机允许对应发送用户数据包的用户主机的流量；用于在用户信息认证失败后，通知交换机阻止对应发送用户数据包的用户主机的流量；

所述web应用，用于下发控制指令至服务器；用于调用并且展示用户信息和网络状态信息。

2.根据权利要求1所述的用户真实信息安全认证系统，其特征在于，

所述无线路由器为移植了开源的OpenWrt系统的路由器，所述控制层还包括服务器中的SDN控制器；

所述无线路由器还包括，用于通过OpenFlow协议与服务器中的SDN控制器进行通信，具体为：用于通过OpenFlow协议接收SDN控制器发送的控制指令，并且根据控制指令生成流表，然后将流表与其监听到的用户数据包进行匹配；当控制指令为获取网络状态信息以及用户信息时，将与流表匹配的用户数据包通过OpenFlow协议发送至SDN控制器中，当控制指令为过滤掉异常流量时，将与流表匹配的用户数据包进行丢弃；

所述服务器中的SDN控制器，用于在接收到应用层的web应用下发的控制命令时，通过OpenFlow协议将控制命令下发到无线路由器的OpenvSwitch模块上，所述控制指令包括获取网络状态信息以及用户信息的控制指令和滤掉异常流量的控制指令；用于接收无线路由器通过OpenFlow协议发送的匹配成功的用户数据包，然后解析出匹配成功的用户数据包中的用户信息和网络状态信息，最后将解析出的用户信息和网络状态信息供web应用调用；

所述web应用，用于下发获取网络状态以及用户信息的控制指令至SDN控制器；用于展示SDN控制器解析出的用户信息和网络状态信息。