[发明专利]一种用户真实信息安全认证系统和方法

摘要

本发明公开了一种用户真实信息安全认证系统和方法，主要由基础架构层、控制层和应用层构成，包括用户主机、无线路由器、交换机和服务器；基础架构层包括无线路由器和交换机；控制层包括服务器中的用户信息认证模块和信息存储系统；应用层包括web应用；本发明首先对用户主机的IP地址合法性进行验证，防止用户主机的IP地址伪造；接着在验证到用户主机的IP地址合法的情况下，将用户主机发送的用户数据包发送至服务器中进行认证；在认证成功后，通知交换机允许发送用户数据包的用户主机的流量，否则，通知交换机阻止发送用户数据包的用户主机的流量，本发明能够完全保证用户的真实性，在提高认证系统扩展性的同时，简化了用户认证的操作。

主权项

一种用户真实信息安全认证系统，主要由基础架构层、控制层和应用层构成，包括用户主机、无线路由器、交换机和服务器；其特征在于，所述基础架构层包括无线路由器和交换机，用于负责数据转发；所述控制层包括服务器中的用户信息认证模块和信息存储系统，用于负责数据的处理；所述应用层包括web应用，用于负责数据的展示；所述用户主机通过无线网络连接无线路由器，用于向无线路由器发送DHCP数据包请求DHCP服务器分配合法IP地址；用于接收交换机通过无线路由器转发的RA通告，并且获取RA通告的前缀自动生成IP地址；用于在生成IP地址后发送DAD NS重复地址检测报文至无线路由器，通过无线路由器转发给交换机；用于发送用户数据包至无线路由器，通过无线路由器转发给交换机；所述无线路由器，用于接收用户主机发送的用于请求DHCP服务器分配合法IP地址的DHCP数据包；用于将接收到的DHCP数据包发送给交换机；用于将交换机发送的RA通告转发给用户主机；用于将用户主机发送的DAD NS重复地址检测报文转发至交换机；用于监听用户主机发送的用户数据包；用于将监听到的用户数据包转发至交换机；所述交换机为移植有源地址验证SAVI模块以及配置了SAVI功能端口的交换机，用于监听通过SAVI功能端口传送过来的DHCP数据包，在监听到有DHCP数据包时，通过无线路由器发送RA通过至用户主机；用于在接收到DAD NS重复地址检测报文后一定时间内未接收到DAD NA应答时，将对应发送DHCP数据包的用户主机IP地址、用户主机MAC地址以及交换机SAVI功能端口号进行绑定，生成绑定锚，其中绑定的交换机SAVI功能端口号对应为DHCP数据包所通过的交换机SAVI功能端口，即为发送DHCP数据包的用户主机通过无线路由器所连接的交换机SAVI功能端口；用于在接收到用户数据包时，通过源地址验证SAVI模块将用户数据包解析后与其中存储的绑定锚进行对比验证，在验证成功的情况认证用户主机的IP地址是合法的，在验证失败的情况下认证用户主机的IP地址是非法的，此时过滤掉该用户主机；用于将IP地址合法的用户主机发送的用户数据包发送至服务器中的用户信息认证模块；所述服务器中的信息存储系统，用于存储用户信息以及认证信息；服务器中的用户信息认证模块，用于在获取到交换机发送的用户数据包后，根据信息存储系统存储的用户信息对用户数据包中的用户信息进行认证；用于在用户信息认证成功后，将对应认证信息存储进服务器的信息存储系统中，并且通知交换机允许对应发送用户数据包的用户主机的流量；用于在用户信息认证失败后，通知交换机阻止对应发送用户数据包的用户主机的流量；所述web应用，用于下发控制指令至服务器；用于调用并且展示用户信息和网络状态信息。