技術領域

本發明涉及計算機網絡技術，特別涉及一種用戶真實信息安全認證系統和方法。

背景技術

目前，據有關媒體報道，高校大學生有償代替簽到已經發展成為一條產業鏈，公共課成為了替課的重災區，而且還能夠全天候替課，能夠對付各種刁鉆的老師。大多數的替課者都是學生，隨著需求的增加，替課已經逐步發展成為了一個校園中的灰色產業鏈。

現在應用比較廣泛的簽到方式主要有上課點到簽到、指紋簽到、打卡簽到的方式。上課點到簽到比較耗費時間和精力，效率最低，并不能解決代簽的問題。打卡簽到在效率上有了一定的提升，但是仍然不能解決代替簽到的問題。指紋簽到相較而言是最好的選擇，它能夠唯一的識別用戶身份。但是它的缺點也很明顯，擴展性太差，一方面學生必須要到指定的地點才能完成簽到，另一方面指紋要求清潔，指紋系統的防破壞能力及穩定性也有待提高。而其他的簽到方式比如眼虹簽到以及人臉識別簽到則成本太高，不適用。

隨著智能手機的出現，現在也出現了一些手機考勤方法，這些考勤方法不能實現對用戶身份信息的認證，很難避免代打卡以及代班的情況。

發明內容

本發明的目的在于克服現有技術的缺點與不足，提供一種用戶真實信息安全認證系統，該系統能夠完全保證用戶身份的真實性，徹底解決一些簽到或者考勤系統中存在的用戶真實信息驗證問題，在提高認證系統擴展性的同時，簡化了用戶認證的操作和網絡管理。

本發明的第二目的在于提供一種用戶真實信息安全認證方法。

本發明的第一目的通過下述技術方案實現：一種用戶真實信息安全認證系統，主要由基礎架構層、控制層和應用層構成，包括用戶主機、無線路由器、交換機和服務器；其特征在于，所述基礎架構層包括無線路由器和交換機，用于負責數據轉發；所述控制層包括服務器中的用戶信息認證模塊和信息存儲系統，用于負責數據的處理；所述應用層包括web應用，用于負責數據的展示；

所述用戶主機通過無線網絡連接無線路由器，用于向無線路由器發送DHCP數據包請求DHCP服務器分配合法IP地址；用于接收交換機通過無線路由器轉發的RA通告，并且獲取RA通告的前綴自動生成IP地址；用于在生成IP地址后發送DAD NS重復地址檢測報文至無線路由器，通過無線路由器轉發給交換機；用于發送用戶數據包至無線路由器，通過無線路由器轉發給交換機；

所述無線路由器，用于接收用戶主機發送的用于請求DHCP服務器分配合法IP地址的DHCP數據包；用于將接收到的DHCP數據包發送給交換機；用于將交換機發送的RA通告轉發給用戶主機；用于將用戶主機發送的DAD NS重復地址檢測報文轉發至交換機；用于監聽用戶主機發送的用戶數據包；用于將監聽到的用戶數據包轉發至交換機；

所述交換機為移植有源地址驗證SAVI模塊以及配置了SAVI功能端口的交換機，用于監聽通過SAVI功能端口傳送過來的DHCP數據包，在監聽到有DHCP數據包時，通過無線路由器發送RA通過至用戶主機；用于在接收到DAD NS重復地址檢測報文后一定時間內未接收到DAD NA應答時，將對應發送DHCP數據包的用戶主機IP地址、用戶主機MAC地址以及交換機SAVI功能端口號進行綁定，生成綁定錨，其中綁定的交換機SAVI功能端口號對應為DHCP數據包所通過的交換機SAVI功能端口，即為發送DHCP數據包的用戶主機通過無線路由器所連接的交換機SAVI功能端口；用于在接收到用戶數據包時，通過源地址驗證SAVI模塊將用戶數據包解析后與其中存儲的綁定錨進行對比驗證，在驗證成功的情況認證用戶主機的IP地址是合法的，在驗證失敗的情況下認證用戶主機的IP地址是非法的，此時過濾掉該用戶主機；用于將IP地址合法的用戶主機發送的用戶數據包發送至服務器中的用戶信息認證模塊；

所述服務器中的信息存儲系統，用于存儲用戶信息以及認證信息；

服務器中的用戶信息認證模塊，用于在獲取到交換機發送的用戶數據包后，根據信息存儲系統存儲的用戶信息對用戶數據包中的用戶信息進行認證；用于在用戶信息認證成功后，將對應認證信息存儲進服務器的信息存儲系統中，并且通知交換機允許對應發送用戶數據包的用戶主機的流量；用于在用戶信息認證失敗后，通知交換機阻止對應發送用戶數據包的用戶主機的流量；

所述web應用，用于下發控制指令至服務器；用于調用并且展示用戶信息和網絡狀態信息。

優選的，所述無線路由器為移植了開源的OpenWrt系統的路由器，所述控制層還包括服務器中的SDN控制器；