客戶端接入伺服器的認證方法和裝置及VDI系統與流程

2023-10-09 18:40:54

本發明涉及通信技術領域，尤其涉及一種客戶端接入伺服器的認證方法和裝置及VDI系統。

背景技術：

DHCP(Dynamic Host Configuration Protocol，動態客戶端配置協議)通常被應用在大中型的區域網路環境中，主要作用是集中的管理、分配IP位址，使網絡環境中的客戶端從伺服器動態的獲得IP位址、Gateway地址、DNS伺服器地址等信息，並能夠提升地址的使用率。

DHCP協議採用客戶端/伺服器模型，以UDP作為傳輸協議，客戶端地址的動態分配任務由網絡客戶端驅動。當DHCP伺服器接收到來自網絡客戶端申請地址的信息時，才會向網絡客戶端發送相關的地址配置等信息，以實現網絡客戶端地址信息的動態配置。客戶端動態配置的詳細的交互過程見附圖1，包括如下步驟：

DHCP Client(客戶端)以廣播的方式發出DHCP Discover(發現)報文。

網絡中所有的DHCP Server都能夠接收到DHCP Client發送的DHCP Discover報文，所有的DHCP Server(伺服器)在收到DHCP Discover報文後均會給出響應，向DHCP Client發送一個DHCP Offer報文。為了DHCP Client區分不同的DHCP Server發出的DHCP Offer報文，在DHCP Offer報文中包含能夠提供給DHCP Client使用的IP位址和自己的IP位址。

DHCP Client一般情況下處理最先收到的其中一個DHCP Offer報文，DHCP Client會發出一個廣播的DHCP Request報文，DHCP Request報文中會加入被Client選中的DHCP Server的IP位址和需要的IP位址。

所有DHCP Server收到DHCP Request報文後，判斷選項欄位中的IP位址是否與自己的地址相同。如果不相同，DHCP Server不做任何處理只清除相應IP位址分配記錄；如果相同，該DHCP Server就會向DHCP Client響應一個DHCP ACK報文，並在選項欄位中增加IP位址的使用租期信息。

DHCP Client接收到DHCP ACK報文後，檢查DHCP Server分配的IP位址是否能夠使用。如果可以使用，則DHCP Client成功獲得IP位址並根據IP位址使用租期自動啟動續延過程；如果DHCP Client發現分配的IP位址已經被使用，則DHCP Client向DHCPServer發出DHCP Decline報文，通知DHCP Server禁用這個IP位址，然後DHCP Client開始新的地址申請過程。

DHCP Client在成功獲取IP位址後，隨時可以通過發送DHCP Release報文釋放自己的IP位址，DHCP Server收到DHCP Release報文後，會回收相應的IP位址並重新分配。

申請人發現：現有的客戶端欲接入已有的區域網時，區域網(該廣播域)內的所有DHCP客戶端進行響應和分配地址，從而幹擾原有網絡中DHCP服務的正常運轉，影響網絡服務，降低服務效率。

因此，需要對現有技術進行改進，迫切需要設計一種新的客戶端接入伺服器的方式，以便克服現有技術的上述缺陷。

技術實現要素：

針對現有技術的不足，本發明提供一種客戶端接入伺服器的方法和裝置以及VDI系統，以解決現有客戶端接入伺服器時的上述技術問題。

第一方面，本發明實施例提供一種客戶端接入伺服器的認證方法，應用於同一個廣播域內的一客戶端和複數個伺服器，包括如下步驟：S1，客戶端生成攜帶客戶端標籤的DHCP發現報文並廣播；S2，至少一個伺服器接收DHCP發現報文，並驗證DHCP發現報文中攜帶的客戶端標籤；S3，當步驟S2驗證通過時，至少一個伺服器生成攜帶伺服器標籤和空餘IP位址的DHCP給予報文發送給客戶端；S4，客戶端接收其中伺服器發送的DHCP給予報文，並驗證DHCP給予報文中的伺服器標籤；S5，當步驟S4驗證通過時，客戶端廣播包括通過驗證的伺服器的IP位址的DHCP請求報文；S6，至少一個伺服器接收並匹配DHCP請求報文中的伺服器IP位址，若匹配通過，發送DHCP確認報文至客戶端，客戶端通過空餘IP位址完成接入。

優選地，客戶端標籤包括業務服務商信息和/或設備類型。

優選地，將客戶端標籤加入到DHCP發現報文中的第一選擇欄位。

優選地，步驟S2還包括：建立與客戶端標籤相對應的第一認證列表；比對客戶端標籤的業務服務商信息和/或設備類型與第一認證列表，若第一認證列表中包含客戶端標籤的業務服務商信息和/或設備類型，則驗證通過。

優選地，伺服器標籤包括業務服務商信息和/或設備類型。

優選地，將伺服器標籤加入到DHCP給予報文中的第二選擇欄位。

優選地，步驟S4還包括：建立與伺服器標籤相對應的第二認證列表；

比對伺服器標籤的業務服務商信息和/或設備類型與第二認證列表，若第二認證列表中包含伺服器標籤的業務服務商信息和/或設備類型，則驗證通過。

第二方面，本發明實施例提供了一種客戶端接入伺服器的認證裝置，應用於同一個廣播域內的一客戶端和複數個伺服器，包括：第一廣播單元，用於所述客戶端生成攜帶客戶端標籤的DHCP發現報文並廣播；第一驗證單元，連接所述第一廣播單元，用於至少一個所述伺服器接收所述DHCP發現報文，並驗證所述DHCP發現報文中攜帶的所述客戶端標籤；發送單元，連接所述第一驗證單元，用於當所述第一驗證單元驗證通過時，所述至少一個伺服器生成攜帶伺服器標籤和空餘IP位址的DHCP給予報文發送給所述客戶端；第二驗證單元，連接所述發送單元，用於所述客戶端接收其中所述伺服器發送的DHCP給予報文，並驗證所述DHCP給予報文中的所述伺服器標籤；第二廣播單元，連接所述第二驗證單元，用於當所述第二驗證單元驗證通過時，所述客戶端廣播包括通過驗證的伺服器的IP位址的DHCP請求報文；接入單元，連接所述第二廣播單元，用於至少一個所述伺服器接收並匹配所述DHCP請求報文中的伺服器IP位址，若匹配通過，發送DHCP確認報文至所述客戶端，所述客戶端通過所述空餘IP位址完成接入。

優選地，第一廣播單元還包括：第一加入單元，用於將所述客戶端標籤加入到所述DHCP發現報文中的第一選擇欄位。

優選地，第一驗證單元還包括：第一列表建立單元，用於建立與所述客戶端標籤相對應的第一認證列表；第一比對驗證單元，用於比對所述客戶端標籤的業務服務商信息和/或設備類型與所述第一認證列表，若所述第一認證列表中包含所述客戶端標籤的業務服務商信息和/或設備類型，則驗證通過。

優選地，發送單元還包括：第二加入單元，用於將所述伺服器標籤加入到所述DHCP給予報文中的第二選擇欄位。。

優選地，第二驗證單元還包括：第二列表建立單元，用於建立與所述伺服器標籤相對應的第二認證列表；第二比對驗證單元，用於比對所述伺服器標籤的業務服務商信息和/或設備類型與所述第二認證列表，若所述第二認證列表中包含所述伺服器標籤的業務服務商信息和/或設備類型，則驗證通過。

第三方面，本發明實施例提供了一種VDI系統，包括了上述第二方面實施例中的客戶端接入伺服器的認證裝置。

與現有技術相比，本發明的有益效果是：

1、通過在客戶端廣播的DHCP報文中添加相應的客戶端標籤，使得DHCP伺服器只對特定DHCP客戶端響應，避免了DHCP服務對已有DHCP網絡的幹擾；

2、通過在伺服器相應的DHCP報文中添加相應的伺服器標籤，使得DHCP客戶端只對特定DHCP伺服器的響應，避免了客戶端受到網絡中其他DHCP伺服器的幹擾；

3、添加的客戶端標籤和伺服器標籤作為認證信息均採用原有的DHCP報文中的option欄位發送，不需添加新的DHCP報文類型來承載認證信息，對現有的DHCP協議改動小，不影響現有的DHCP功能，並且系統擴展性好和兼容性易實現。

4、採用了本發明實施方式的VDI系統，當新的客戶端接入區域網時，伺服器和客戶端進行雙向認證，避免幹擾原有網絡中DHCP服務的正常運轉，影響網絡服務，提高了網絡運行的效率。

附圖說明

圖1是現有技術客戶端動態配置HDCP交互過程的示意圖；

圖2是本發明實施例一的客戶端接入伺服器的認證方法的流程圖；

圖3是本發明實施例二的客戶端接入伺服器的認證裝置的結構示意圖。

具體實施方式

下面結合附圖和實施例對本發明作進一步的詳細說明。可以理解的是，此處所描述的具體實施例僅僅用於解釋本發明，而非對本發明的限定。另外還需要說明的是，為了便於描述，附圖中僅示出了與本發明相關的部分而非全部結構。

實施例一

參考圖2，圖2為一種客戶端接入伺服器的認證方法，應用於同一個廣播域內的一客戶端和複數個伺服器，包括如下步驟：S1，客戶端生成攜帶客戶端標籤的DHCP發現報文並廣播；S2，至少一個伺服器接收DHCP發現報文，並驗證DHCP發現報文中攜帶的客戶端標籤；S3，當步驟S2驗證通過時，至少一個伺服器生成攜帶伺服器標籤和空餘IP位址的DHCP給予報文發送給客戶端；S4，客戶端接收其中伺服器發送的DHCP給予報文，並驗證DHCP給予報文中的伺服器標籤；S5，當步驟S4驗證通過時，客戶端廣播包括通過驗證的伺服器的IP位址的DHCP請求報文；S6，至少一個伺服器接收並匹配DHCP請求報文中的伺服器IP位址，若匹配通過，發送DHCP確認報文至客戶端，客戶端通過空餘IP位址完成接入。

需要說明的是，步驟S1中當客戶端廣播DHCP發現報文時，由於此時客戶端還未獲得授權的IP位址，因此，為了標明客戶端的身份信息，除了在DHCP發現報文中攜帶客戶端標籤信息外，還攜帶了客戶端本身的MAC地址信息；同樣地，在步驟S2、S3接收驗證DHCP發現報文後，發送DHCP給予報文時，除了在DHCP給予報文中攜帶伺服器標籤和可用的空餘IP位址之外，還攜帶了客戶端隨DHCP發現報文發來的MAC地址信息；步驟S4客戶端接收DHCP給予報文時，首先會驗證DHCP給予報文中攜帶的MAC地址是否與自身的MAC地址一致，由此判斷該DHCP給予報文發送的對象是否是本客戶端，若驗證結果不一致，表明該DHCP給予報文的發送對象不是該客戶端，則直接丟棄該DHCP給予報文。

進一步來說，步驟S1還包括步驟S11，將客戶端標籤加入到DHCP發現報文中的第一選擇欄位，第一選擇欄位可用Option 60等其他Option空閒欄位，且Option 60用來標識客戶端標籤，客戶端標籤包括業務服務商信息和設備類型的一種或兩種。

步驟S2還包括：步驟S21，建立與所述客戶端標籤相對應的第一認證列表；在驗證DHCP發現報文中攜帶的客戶端標籤之前，需要建立一張認證列表，認證列表包括多個客戶端生成的客戶端標籤類型，即多種業務服務商信息和設備類型。步驟S22，伺服器比對客戶端標籤的業務服務商信息和/或設備類型與第一認證列表中的客戶端標籤類型，若所述第一認證列表中包含所述客戶端標籤的業務服務商信息和/或設備類型，表明該客戶端標籤已事先在伺服器中建立認證列表，則驗證通過；若驗證失敗，說明該客戶端標籤未列入第一認證列表中，則丟棄該DHCP發現報文。

同樣的，步驟S3還包括步驟S31，所述伺服器標籤加入到所述DHCP給予報文中的第二選擇欄位，第二選擇欄位可用Option 43等其他Option空閒欄位，且Option 43用來標識伺服器標籤，伺服器標籤包括業務服務商信息和設備類型的一種或兩種。

步驟S4還包括：步驟S41，建立與所述伺服器標籤相對應的第二認證列表；在驗證DHCP給予報文中攜帶的伺服器標籤之前，需要建立一張認證列表，認證列表包括多個伺服器生成的伺服器標籤類型，即多種業務服務商信息和設備類型。步驟S42，客戶端比對伺服器標籤的業務服務商信息和/或設備類型與第二認證列表中的伺服器標籤類型，若所述第二認證列表中包含所述伺服器標籤的業務服務商信息和/或設備類型，表明該伺服器標籤已事先在伺服器中建立認證列表，則驗證通過；若驗證失敗，說明該伺服器標籤未列入第二認證列表中，則丟棄該DHCP給予報文。

在DHCP發現報文/DHCP給予報文中攜帶業務服務商信息和/或設備類型，避免了客戶端與伺服器原有的固定接入方式，使得客戶端和伺服器的接入方式更加靈活開放；將客戶端標籤加入第一選擇欄位Option 60，伺服器標籤加入第二選擇欄位Option 43，不需添加新的DHCP報文類型來承載認證信息，對現有的DHCP協議改動較小，使得系統擁有更好的兼容性和擴展性。

繼續參考附圖2，在步驟S3中，伺服器驗證完DHCP發現報文中的客戶端標籤後，除了將伺服器標籤和空餘的IP位址通過DHCP給與報文發送給客戶端以外，還將自己的IP位址也通過DHCP給予報文一同發送給客戶端；步驟S4客戶端收到DHCP給予報文並驗證攜帶務器標籤，驗證通過後，步驟S5客戶端廣播DHCP請求報文，且將驗證通過的DHCP給予報文中攜帶的伺服器IP位址加入到DHCP請求報文中，步驟S6多個伺服器收到DHCP的請求報文後，將DHCP請求報文中攜帶的伺服器IP位址與自身的IP位址相匹配，若匹配通過，說明該伺服器是DHCP請求報文的請求對象，則發送DHCP確認報文到客戶端，客戶端利用步驟S3中收到的空餘IP位址接入，若匹配失敗，說明該伺服器不是DHCP請求報文的請求對象，則說明則丟棄該DHCP請求報文不做任何處理。

通過上述實施例，當新的客戶端接入區域網時，伺服器和客戶端進行雙向認證，避免幹擾原有網絡中DHCP服務的正常運轉，影響網絡服務，提高了網絡運行的效率。

實施例二

參考圖3，圖3為一種客戶端接入伺服器的認證裝置，應用於同一個廣播域內的一客戶端和複數個伺服器，包括：第一廣播單元1，用於所述客戶端生成攜帶客戶端標籤的DHCP發現報文並廣播；第一驗證單元2，連接所述第一廣播單元1，用於至少一個所述伺服器接收所述DHCP發現報文，並驗證所述DHCP發現報文中攜帶的所述客戶端標籤；發送單元3，連接所述第一驗證單元2，用於當所述第一驗證單元2驗證通過時，所述至少一個伺服器生成攜帶伺服器標籤和空餘IP位址的DHCP給予報文發送給所述客戶端；第二驗證單元4，連接所述發送單元3，用於所述客戶端接收其中所述伺服器發送的DHCP給予報文，並驗證所述DHCP給予報文中的所述伺服器標籤；第二廣播單元5，連接所述第二驗證單元4，用於當所述第二驗證單元4驗證通過時，所述客戶端廣播包括通過驗證的伺服器的IP位址的DHCP請求報文；接入單元6，連接所述第二廣播單元5，用於至少一個所述伺服器接收並匹配所述DHCP請求報文中的伺服器IP位址，若匹配通過，發送DHCP確認報文至所述客戶端，所述客戶端通過所述空餘IP位址完成接入。

其中，第一廣播單元1還包括：第一加入單元11，用於將所述客戶端標籤加入到所述DHCP發現報文中的第一選擇欄位。

第一驗證單元還包括2：第一列表建立單元21，用於建立與所述客戶端標籤相對應的第一認證列表；第一比對驗證單元22，用於比對所述客戶端標籤的業務服務商信息和/或設備類型與所述第一認證列表，若所述第一認證列表中包含所述客戶端標籤的業務服務商信息和/或設備類型，則驗證通過。

發送單元3還包括：第二加入單元31，用於將所述伺服器標籤加入到所述DHCP給予報文中的第二選擇欄位。

第二驗證單元4還包括：第二列表建立單元41，用於建立與所述伺服器標籤相對應的第二認證列表；第二比對驗證單元42，用於比對所述伺服器標籤的業務服務商信息和/或設備類型與所述第二認證列表，若所述第二認證列表中包含所述伺服器標籤的業務服務商信息和/或設備類型，則驗證通過。

客戶端接入伺服器的認證裝置中各個單元的具體操作方法請參考實施例一的一種客戶端接入伺服器的認證方法的相關描述，在此不再累述。

此外，本發明還公開了一種VDI系統，包括了實施例二中的客戶端接入伺服器的認證裝置，其各個單元的具體實施過程與實施例一中關於方法和實施例二中關於裝置的相關描述屬於同一發明構思，可參見上述實施例，在這裡不再詳細描述。

當進行虛擬桌面基礎設施(VDI)虛擬化部署時，客戶端接入服務由伺服器提供時，通過伺服器和客戶端進行雙向認證，對原有網絡中DHCP的幹擾和不兼容問題，可以同時部署使用。

雖然本發明的各個方面在獨立權利要求中給出，但是本發明的其它方面包括來自所描述實施方式的特徵和/或具有獨立權利要求的特徵的從屬權利要求的組合，而並非僅是權利要求中所明確給出的組合。

注意，上述僅為本發明的較佳實施例及所運用技術原理。本領域技術人員會理解，本發明不限於這裡上述的特定實施例，對本領域技術人員來說能夠進行各種明顯的變化、重新調整和替代而不會脫離本發明的保護範圍。因此，雖然通過以上實施例對本發明進行了較為詳細的說明，但是本發明不僅僅限於以上實施例，在不脫離本發明構思的情況下，還可以包括更多其他等效實施例，而本發明的範圍由所附的權利要求範圍決定。