客户端接入服务器的认证方法和装置及VDI系统与流程

本发明涉及通信技术领域，尤其涉及一种客户端接入服务器的认证方法和装置及VDI系统。

背景技术：

DHCP(Dynamic Host Configuration Protocol，动态客户端配置协议)通常被应用在大中型的局域网络环境中，主要作用是集中的管理、分配IP地址，使网络环境中的客户端从服务器动态的获得IP地址、Gateway地址、DNS服务器地址等信息，并能够提升地址的使用率。

DHCP协议采用客户端/服务器模型，以UDP作为传输协议，客户端地址的动态分配任务由网络客户端驱动。当DHCP服务器接收到来自网络客户端申请地址的信息时，才会向网络客户端发送相关的地址配置等信息，以实现网络客户端地址信息的动态配置。客户端动态配置的详细的交互过程见附图1，包括如下步骤：

DHCP Client(客户端)以广播的方式发出DHCP Discover(发现)报文。

网络中所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文，所有的DHCP Server(服务器)在收到DHCP Discover报文后均会给出响应，向DHCP Client发送一个DHCP Offer报文。为了DHCP Client区分不同的DHCP Server发出的DHCP Offer报文，在DHCP Offer报文中包含能够提供给DHCP Client使用的IP地址和自己的IP地址。

DHCP Client一般情况下处理最先收到的其中一个DHCP Offer报文，DHCP Client会发出一个广播的DHCP Request报文，DHCP Request报文中会加入被Client选中的DHCP Server的IP地址和需要的IP地址。

所有DHCP Server收到DHCP Request报文后，判断选项字段中的IP地址是否与自己的地址相同。如果不相同，DHCP Server不做任何处理只清除相应IP地址分配记录；如果相同，该DHCP Server就会向DHCP Client响应一个DHCP ACK报文，并在选项字段中增加IP地址的使用租期信息。

DHCP Client接收到DHCP ACK报文后，检查DHCP Server分配的IP地址是否能够使用。如果可以使用，则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程；如果DHCP Client发现分配的IP地址已经被使用，则DHCP Client向DHCPServer发出DHCP Decline报文，通知DHCP Server禁用这个IP地址，然后DHCP Client开始新的地址申请过程。

DHCP Client在成功获取IP地址后，随时可以通过发送DHCP Release报文释放自己的IP地址，DHCP Server收到DHCP Release报文后，会回收相应的IP地址并重新分配。

申请人发现：现有的客户端欲接入已有的局域网时，局域网(该广播域)内的所有DHCP客户端进行响应和分配地址，从而干扰原有网络中DHCP服务的正常运转，影响网络服务，降低服务效率。

因此，需要对现有技术进行改进，迫切需要设计一种新的客户端接入服务器的方式，以便克服现有技术的上述缺陷。

技术实现要素：

针对现有技术的不足，本发明提供一种客户端接入服务器的方法和装置以及VDI系统，以解决现有客户端接入服务器时的上述技术问题。

第一方面，本发明实施例提供一种客户端接入服务器的认证方法，应用于同一个广播域内的一客户端和复数个服务器，包括如下步骤：S1，客户端生成携带客户端标签的DHCP发现报文并广播；S2，至少一个服务器接收DHCP发现报文，并验证DHCP发现报文中携带的客户端标签；S3，当步骤S2验证通过时，至少一个服务器生成携带服务器标签和空余IP地址的DHCP给予报文发送给客户端；S4，客户端接收其中服务器发送的DHCP给予报文，并验证DHCP给予报文中的服务器标签；S5，当步骤S4验证通过时，客户端广播包括通过验证的服务器的IP地址的DHCP请求报文；S6，至少一个服务器接收并匹配DHCP请求报文中的服务器IP地址，若匹配通过，发送DHCP确认报文至客户端，客户端通过空余IP地址完成接入。

优选地，客户端标签包括业务服务商信息和/或设备类型。

优选地，将客户端标签加入到DHCP发现报文中的第一选择字段。

优选地，步骤S2还包括：建立与客户端标签相对应的第一认证列表；比对客户端标签的业务服务商信息和/或设备类型与第一认证列表，若第一认证列表中包含客户端标签的业务服务商信息和/或设备类型，则验证通过。

优选地，服务器标签包括业务服务商信息和/或设备类型。

优选地，将服务器标签加入到DHCP给予报文中的第二选择字段。

优选地，步骤S4还包括：建立与服务器标签相对应的第二认证列表；

比对服务器标签的业务服务商信息和/或设备类型与第二认证列表，若第二认证列表中包含服务器标签的业务服务商信息和/或设备类型，则验证通过。

第二方面，本发明实施例提供了一种客户端接入服务器的认证装置，应用于同一个广播域内的一客户端和复数个服务器，包括：第一广播单元，用于所述客户端生成携带客户端标签的DHCP发现报文并广播；第一验证单元，连接所述第一广播单元，用于至少一个所述服务器接收所述DHCP发现报文，并验证所述DHCP发现报文中携带的所述客户端标签；发送单元，连接所述第一验证单元，用于当所述第一验证单元验证通过时，所述至少一个服务器生成携带服务器标签和空余IP地址的DHCP给予报文发送给所述客户端；第二验证单元，连接所述发送单元，用于所述客户端接收其中所述服务器发送的DHCP给予报文，并验证所述DHCP给予报文中的所述服务器标签；第二广播单元，连接所述第二验证单元，用于当所述第二验证单元验证通过时，所述客户端广播包括通过验证的服务器的IP地址的DHCP请求报文；接入单元，连接所述第二广播单元，用于至少一个所述服务器接收并匹配所述DHCP请求报文中的服务器IP地址，若匹配通过，发送DHCP确认报文至所述客户端，所述客户端通过所述空余IP地址完成接入。

优选地，第一广播单元还包括：第一加入单元，用于将所述客户端标签加入到所述DHCP发现报文中的第一选择字段。

优选地，第一验证单元还包括：第一列表建立单元，用于建立与所述客户端标签相对应的第一认证列表；第一比对验证单元，用于比对所述客户端标签的业务服务商信息和/或设备类型与所述第一认证列表，若所述第一认证列表中包含所述客户端标签的业务服务商信息和/或设备类型，则验证通过。

优选地，发送单元还包括：第二加入单元，用于将所述服务器标签加入到所述DHCP给予报文中的第二选择字段。。

优选地，第二验证单元还包括：第二列表建立单元，用于建立与所述服务器标签相对应的第二认证列表；第二比对验证单元，用于比对所述服务器标签的业务服务商信息和/或设备类型与所述第二认证列表，若所述第二认证列表中包含所述服务器标签的业务服务商信息和/或设备类型，则验证通过。

第三方面，本发明实施例提供了一种VDI系统，包括了上述第二方面实施例中的客户端接入服务器的认证装置。

与现有技术相比，本发明的有益效果是：

1、通过在客户端广播的DHCP报文中添加相应的客户端标签，使得DHCP服务器只对特定DHCP客户端响应，避免了DHCP服务对已有DHCP网络的干扰；

2、通过在服务器相应的DHCP报文中添加相应的服务器标签，使得DHCP客户端只对特定DHCP服务器的响应，避免了客户端受到网络中其他DHCP服务器的干扰；

3、添加的客户端标签和服务器标签作为认证信息均采用原有的DHCP报文中的option字段发送，不需添加新的DHCP报文类型来承载认证信息，对现有的DHCP协议改动小，不影响现有的DHCP功能，并且系统扩展性好和兼容性易实现。

4、采用了本发明实施方式的VDI系统，当新的客户端接入局域网时，服务器和客户端进行双向认证，避免干扰原有网络中DHCP服务的正常运转，影响网络服务，提高了网络运行的效率。

附图说明

图1是现有技术客户端动态配置HDCP交互过程的示意图；

图2是本发明实施例一的客户端接入服务器的认证方法的流程图；

图3是本发明实施例二的客户端接入服务器的认证装置的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

实施例一

参考图2，图2为一种客户端接入服务器的认证方法，应用于同一个广播域内的一客户端和复数个服务器，包括如下步骤：S1，客户端生成携带客户端标签的DHCP发现报文并广播；S2，至少一个服务器接收DHCP发现报文，并验证DHCP发现报文中携带的客户端标签；S3，当步骤S2验证通过时，至少一个服务器生成携带服务器标签和空余IP地址的DHCP给予报文发送给客户端；S4，客户端接收其中服务器发送的DHCP给予报文，并验证DHCP给予报文中的服务器标签；S5，当步骤S4验证通过时，客户端广播包括通过验证的服务器的IP地址的DHCP请求报文；S6，至少一个服务器接收并匹配DHCP请求报文中的服务器IP地址，若匹配通过，发送DHCP确认报文至客户端，客户端通过空余IP地址完成接入。

需要说明的是，步骤S1中当客户端广播DHCP发现报文时，由于此时客户端还未获得授权的IP地址，因此，为了标明客户端的身份信息，除了在DHCP发现报文中携带客户端标签信息外，还携带了客户端本身的MAC地址信息；同样地，在步骤S2、S3接收验证DHCP发现报文后，发送DHCP给予报文时，除了在DHCP给予报文中携带服务器标签和可用的空余IP地址之外，还携带了客户端随DHCP发现报文发来的MAC地址信息；步骤S4客户端接收DHCP给予报文时，首先会验证DHCP给予报文中携带的MAC地址是否与自身的MAC地址一致，由此判断该DHCP给予报文发送的对象是否是本客户端，若验证结果不一致，表明该DHCP给予报文的发送对象不是该客户端，则直接丢弃该DHCP给予报文。

进一步来说，步骤S1还包括步骤S11，将客户端标签加入到DHCP发现报文中的第一选择字段，第一选择字段可用Option 60等其他Option空闲字段，且Option 60用来标识客户端标签，客户端标签包括业务服务商信息和设备类型的一种或两种。

步骤S2还包括：步骤S21，建立与所述客户端标签相对应的第一认证列表；在验证DHCP发现报文中携带的客户端标签之前，需要建立一张认证列表，认证列表包括多个客户端生成的客户端标签类型，即多种业务服务商信息和设备类型。步骤S22，服务器比对客户端标签的业务服务商信息和/或设备类型与第一认证列表中的客户端标签类型，若所述第一认证列表中包含所述客户端标签的业务服务商信息和/或设备类型，表明该客户端标签已事先在服务器中建立认证列表，则验证通过；若验证失败，说明该客户端标签未列入第一认证列表中，则丢弃该DHCP发现报文。

同样的，步骤S3还包括步骤S31，所述服务器标签加入到所述DHCP给予报文中的第二选择字段，第二选择字段可用Option 43等其他Option空闲字段，且Option 43用来标识服务器标签，服务器标签包括业务服务商信息和设备类型的一种或两种。

步骤S4还包括：步骤S41，建立与所述服务器标签相对应的第二认证列表；在验证DHCP给予报文中携带的服务器标签之前，需要建立一张认证列表，认证列表包括多个服务器生成的服务器标签类型，即多种业务服务商信息和设备类型。步骤S42，客户端比对服务器标签的业务服务商信息和/或设备类型与第二认证列表中的服务器标签类型，若所述第二认证列表中包含所述服务器标签的业务服务商信息和/或设备类型，表明该服务器标签已事先在服务器中建立认证列表，则验证通过；若验证失败，说明该服务器标签未列入第二认证列表中，则丢弃该DHCP给予报文。

在DHCP发现报文/DHCP给予报文中携带业务服务商信息和/或设备类型，避免了客户端与服务器原有的固定接入方式，使得客户端和服务器的接入方式更加灵活开放；将客户端标签加入第一选择字段Option 60，服务器标签加入第二选择字段Option 43，不需添加新的DHCP报文类型来承载认证信息，对现有的DHCP协议改动较小，使得系统拥有更好的兼容性和扩展性。

继续参考附图2，在步骤S3中，服务器验证完DHCP发现报文中的客户端标签后，除了将服务器标签和空余的IP地址通过DHCP给与报文发送给客户端以外，还将自己的IP地址也通过DHCP给予报文一同发送给客户端；步骤S4客户端收到DHCP给予报文并验证携带务器标签，验证通过后，步骤S5客户端广播DHCP请求报文，且将验证通过的DHCP给予报文中携带的服务器IP地址加入到DHCP请求报文中，步骤S6多个服务器收到DHCP的请求报文后，将DHCP请求报文中携带的服务器IP地址与自身的IP地址相匹配，若匹配通过，说明该服务器是DHCP请求报文的请求对象，则发送DHCP确认报文到客户端，客户端利用步骤S3中收到的空余IP地址接入，若匹配失败，说明该服务器不是DHCP请求报文的请求对象，则说明则丢弃该DHCP请求报文不做任何处理。

通过上述实施例，当新的客户端接入局域网时，服务器和客户端进行双向认证，避免干扰原有网络中DHCP服务的正常运转，影响网络服务，提高了网络运行的效率。

实施例二

参考图3，图3为一种客户端接入服务器的认证装置，应用于同一个广播域内的一客户端和复数个服务器，包括：第一广播单元1，用于所述客户端生成携带客户端标签的DHCP发现报文并广播；第一验证单元2，连接所述第一广播单元1，用于至少一个所述服务器接收所述DHCP发现报文，并验证所述DHCP发现报文中携带的所述客户端标签；发送单元3，连接所述第一验证单元2，用于当所述第一验证单元2验证通过时，所述至少一个服务器生成携带服务器标签和空余IP地址的DHCP给予报文发送给所述客户端；第二验证单元4，连接所述发送单元3，用于所述客户端接收其中所述服务器发送的DHCP给予报文，并验证所述DHCP给予报文中的所述服务器标签；第二广播单元5，连接所述第二验证单元4，用于当所述第二验证单元4验证通过时，所述客户端广播包括通过验证的服务器的IP地址的DHCP请求报文；接入单元6，连接所述第二广播单元5，用于至少一个所述服务器接收并匹配所述DHCP请求报文中的服务器IP地址，若匹配通过，发送DHCP确认报文至所述客户端，所述客户端通过所述空余IP地址完成接入。

其中，第一广播单元1还包括：第一加入单元11，用于将所述客户端标签加入到所述DHCP发现报文中的第一选择字段。

第一验证单元还包括2：第一列表建立单元21，用于建立与所述客户端标签相对应的第一认证列表；第一比对验证单元22，用于比对所述客户端标签的业务服务商信息和/或设备类型与所述第一认证列表，若所述第一认证列表中包含所述客户端标签的业务服务商信息和/或设备类型，则验证通过。

发送单元3还包括：第二加入单元31，用于将所述服务器标签加入到所述DHCP给予报文中的第二选择字段。

第二验证单元4还包括：第二列表建立单元41，用于建立与所述服务器标签相对应的第二认证列表；第二比对验证单元42，用于比对所述服务器标签的业务服务商信息和/或设备类型与所述第二认证列表，若所述第二认证列表中包含所述服务器标签的业务服务商信息和/或设备类型，则验证通过。

客户端接入服务器的认证装置中各个单元的具体操作方法请参考实施例一的一种客户端接入服务器的认证方法的相关描述，在此不再累述。

此外，本发明还公开了一种VDI系统，包括了实施例二中的客户端接入服务器的认证装置，其各个单元的具体实施过程与实施例一中关于方法和实施例二中关于装置的相关描述属于同一发明构思，可参见上述实施例，在这里不再详细描述。

当进行虚拟桌面基础设施(VDI)虚拟化部署时，客户端接入服务由服务器提供时，通过服务器和客户端进行双向认证，对原有网络中DHCP的干扰和不兼容问题，可以同时部署使用。

虽然本发明的各个方面在独立权利要求中给出，但是本发明的其它方面包括来自所描述实施方式的特征和/或具有独立权利要求的特征的从属权利要求的组合，而并非仅是权利要求中所明确给出的组合。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里上述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。