一种适用于透明计算系统的用户身份认证方法及系统配置方法与流程

本发明涉及透明计算系统领域，尤其涉及适用于透明计算系统的用户身份认证方法及使用该用户身份认证方法的透明计算系统的配置方法。

背景技术：

透明计算是一种用户无需感知计算机操作系统、中间件、应用程序和通信网络的具体所在，只需根据自己的需求，通过网络从所需要的各种客户端（包括固定、移动、以及家庭中的各类客户端）中选择并使用相应服务（例如计算、电话、电视、上网和娱乐等）的计算模式。透明计算系统的特征主要有以下几点：

Ⅰ、存储与计算分离。透明计算系统分为客户端和服务器两个部分，其中用户使用的客户端无需预先安装任何操作系统及应用软件，所有软件资源均统一存储在服务器内。当用户访问透明计算服务器时，按需加载软件资源，并在本地执行与计算。

Ⅱ、跨终端、跨操作系统平台的支持。用户能够在任何终端上访问透明计算服务器获得所需的服务，并根据需要选择操作系统平台。对于客户端来说，使用之前不需要或尽量减少对客户端的安装与配置，以提高用户体验性。

Ⅲ、客户端与服务器之间采用流块式传输指令和数据。客户端在远程加载操作系统时，不需要将整个操作系统下载到本地运行，而是将服务器存储的数据划分为大小相同的数据块，客户端仅下载所需部分的数据块，所有数据块以数据流的形式传输。

但是，目前透明计算的身份认证存在以下几个缺点：

（1）传统的静态密码身份认证技术，仅通过用户名、密码来辨别用户已不适用于新型的透明计算模式。透明计算将操作系统作为一种服务提供给用户，而负责存储操作系统镜像的存储服务器和负责用户权限管理的认证服务器是相互分离的，单纯验证其一是无法保证用户数据安全的，非法用户如果知道操作系统镜像地址，那么就可以绕开认证服务器，直接启动存储服务器的操作系统镜像，造成用户数据泄露等安全问题。

（2）短信密码、动态口令等新型的身份认证技术需要通过第三方协助来完成，采用这种方式势必会将用户的个人信息分享给第三方，这并不是用户愿意见到的。

（3）透明计算在医疗、教育等领域发挥着越来越重要的作用，而这些领域有一个共同特点：内网都是以静态IP方式分配IP地址的，静态分配IP方式相比于动态获取IP优势在于内网用户IP不会冲突，出现故障容易定位，有专门的网络管理员负责IP管理。而透明计算系统目前仍旧采用动态获取IP方式，在终端用户运行实例操作系统时，无法实时辨别用户身份，不利于故障的定位与排除。

技术实现要素：

本发明目的在于提供一种适用于透明计算系统的用户身份认证方法使用该用户身份认证方法的透明计算系统的配置方法，以解决目前透明计算的单一身份认证易造成用户数据泄露、需第三方协助以及无法实时辨别用户身份的技术问题。

为实现上述目的，本发明提供了一种适用于透明计算系统的用户身份认证方法，包括当用户开机登录时，执行以下认证步骤：

S1：客户端以静态方式获取IP，DHCP服务器根据MAC和IP绑定的配置文件静态分配IP；

S2：客户端发送登录请求信息给认证服务器，登录请求信息包括认证服务器地址、用户名和密码；

S3：认证服务器查询后台数据库，获取用户可启动的操作系统权限列表并写入文本信息发送给客户端，文本信息包括用户标识、操作系统数量和操作系统名称；

S4：用户通过客户端选择想要远程加载的操作系统，向存储服务器发起远程加载请求，加载请求信息包含用户名、密码、存储服务器地址和远程操作系统镜像唯一标识；

S5：存储服务器对来自发起远程加载请求的客户端的用户名和密码进行认证，认证通过后查看用户操作系统镜像的配置文件，并确认客户端的IP是否与将要启动的操作系统镜像的IP设置一致，如一致，则判定用户身份认证成功。

作为本发明的用户身份认证方法的进一步改进：

步骤S2和S3中，客户端与认证服务器使用http协议进行通信；步骤S4和S5中，客户端与存储服务器使用iSCSI协议进行通信。

作为一个总的技术构思，本发明还提供了一种使用上述的适用于透明计算系统的用户身份认证方法的透明计算系统的系统配置方法，包括以下步骤：

1）在网络引导程序NBP源码中添加网络配置、用户身份认证策略代码，并重新编译生成NBP引导程序；

2）擦除客户端的硬盘上的BIOS模式下的主引导分区MBR，用编译生成的NBP引导程序替换原主引导分区MBR；

3）配置认证服务器的MySQL和Tomcat服务，并将身份认证后台程序部署在Tomcat上；

4）配置存储服务器的iSCSI服务，将用户操作系统镜像与用户名及密码绑定，修改操作系统镜像的访问权限，并设置能够访问的IP地址；

5）修改DHCP服务器的配置文件，以静态方式分配IP，将应用透明计算系统的客户端的物理地址与IP绑定；

6）制作远程加载的用户操作系统镜像，修改各个操作系统内核的网络配置文件，将制作好的操作系统镜像存储在iSCSI配置文件中指定的位置。

本发明具有以下有益效果：

1、本发明的适用于透明计算系统的用户身份认证方法，将用户客户端MAC地址、IP地址以及用户身份相结合，用户获取服务时需向认证服务器和存储服务器进行多次认证，认证服务器负责用户的权限管理，存储服务器不仅负责用户操作系统镜像存储，还基于用户身份认证和基于IP地址授权两种方式对用户身份进行认证。增强了透明计算系统的安全可靠性，对医院、学校等企业内网用户，客户端运行操作系统出现故障时，更易排查与定位。此外，通过透明计算系统Web认证服务器实现了用户的权限管理，不仅可以为所有用户提供统一的服务，还能够针对不同权限的用户提供一些个性化服务，比如每个用户都有不同的可启动的操作系统列表等，完善了用户体验。

2、本发明的使用前述用户身份认证方法的透明计算系统的系统配置方法，配置简单易于实现；用户认证策略模块化，降低了移植难度，扩大了适用范围。

除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照附图，对本发明作进一步详细的说明。

附图说明

构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明优选实施例1的透明计算系统的整体结构框图；

图2是本发明优选实施例1的适用于透明计算系统的用户身份认证方法的流程示意图；

图3是本发明优选实施例1的客户端发送给认证服务器的登录请求信息的数据格式示意图；

图4是本发明优选实施例1的认证服务器响应客户端的文本信息的数据格式示意图；

图5是本发明优选实施例2的适用于透明计算系统的用户身份认证方法的流程示意图；

图6是本发明优选实施例3的使用本发明的用户身份认证方法的透明计算系统的系统配置方法的流程图。

具体实施方式

以下结合附图对本发明的实施例进行详细说明，但是本发明可以由权利要求限定和覆盖的多种不同方式实施。

实施例1：

图1示出了本实施例的透明计算系统的整体结构框图，客户端硬件平台是x86架构的移动平板，其硬盘预先烧录好网络引导程序NBP（根据开源项目编写的网络引导程序）；服务器端包含两部分：负责用户权限信息管理的认证服务器（即Web认证服务器）和负责用户操作系统镜像存储的存储服务器。存储服务器需配置iSCSI服务、DHCP服务，Web认证服务器需配置MySQL服务、Tomcat服务（参见实施例3）。

参见图2，本实施例的适用于透明计算系统的用户身份认证方法 ，包括以下步骤：

S201：客户端上电开机登录，首先进行网络配置，以静态方式获取IP地址，DHCP服务器根据MAC和IP绑定的配置文件静态分配IP。

S202：客户端发送登录请求信息给认证服务器，终端引导程序将Web认证服务器URL地址、用户名和密码信息组成（登录请求信息的数据格式如图3所示）的登录请求信息，通过http协议发送到Web认证服务器进行认证。

S203：Web认证服务器根据收到的客户端用户名和密码信息查询后台MySQL数据库，获取用户的操作系统权限列表。

S204：Web认证服务端程序将包含用户权限信息（即有哪些操作系统可供用户远程加载）的查询结果按照图4所示的数据格式写进文本信息，该文本信息包括用户标识（Access字段）、操作系统数量（Count字段）、操作系统名称（OS_name字段）和结束符（Flag字段），并通过http协议发送到客户端。

S205：客户端在内存中查找Web认证服务器返回的文本数据，并解析出用户标识（Access字段）、操作系统数量（Count字段）、操作系统名称（OS_name字段）等用户权限信息。

S206：将用户权限信息（即可供选择的操作系统列表）呈现在客户端屏幕上供用户选择，根据用户选择启动的操作系统，向存储服务器发起远程加载请求，即客户端向存储服务器发送加载请求信息，加载请求信息包含用户名、密码、存储服务器地址和远程操作系统镜像唯一标识。认证服务器负责用户的权限管理（数据库中是否存在该用户、该用户有哪些操作系统可供远程加载），存储服务器针对每一个操作系统镜像在配置文件中也配置了用户名密码，用于存储服务器端基于用户验证。此步骤中，无论是否存在该用户都需进行一次反馈。用户标识确定该用户是否存在，不存在的用户是不能进行后续认证的。存在用户至少有一个系统可供选择，该系统的名称会反馈给客户端显示。

S207：存储服务器对发起远程加载请求的客户端的用户名和密码进行认证。

S208：存储服务器对用户名和密码认证通过的请求，查询访问权限配置文件，验证发起请求的客户端IP地址是否被允许加载该操作系统镜像。

S209：IP地址认证通过，终端按需加载远程操作系统到本地运行，数据以流块式传输。

采用静态分配IP，DHCP服务器会将MAC和IP绑定，而存储服务器配设置了用户名密码和IP限制，三者间接关联在一起，客户端请求DHCP服务器静态分配IP是用MAC地址请求的，所以存储服务器的配置文件要和DHCP服务器配置文件一致。客户端有用户名密码、MAC地址，DHCP服务器有MAC地址、IP地址，存储服务器有用户名密码、IP地址，这三部分配置需一致，否则无法认证成功。因为MAC和IP绑定是DHCP提供的静态分配方式，本发明主要结合了IP授权，进而将MAC结合进来。

实施例2：

参见图5，本实施例的适用于透明计算系统的用户身份认证方法 ，包括以下步骤：

当用户开机登录时，执行以下认证步骤：

S1：客户端发送登录请求信息包给认证服务器，所述登录请求信息（参见图3）包括认证服务器地址、用户名和密码。

S2：认证服务器查询后台数据库，获取所述用户可启动的操作系统权限列表并写入文本信息发送给客户端，所述文本信息（参见图4）包括用户标识、操作系统数量、操作系统名称和结束符。

S3：用户通过客户端选择想要远程加载的操作系统，向存储服务器发起远程加载请求，加载请求信息包含用户名、密码、存储服务器地址和远程操作系统镜像唯一标识。

S4：存储服务器对来自发起远程加载请求的客户端的用户名和密码进行认证，认证通过后查看用户操作系统镜像的配置文件，并确认客户端的IP是否与将要启动的操作系统镜像的IP设置一致，如一致，则判定用户身份认证成功。

用户身份认证成功后，远程加载操作系统镜像实例到客户端运行，并置当前用户为在线状态。

综上，本发明的适用于透明计算系统的用户身份认证方法，不再单纯地使用用户名密码，而是将用户操作系统镜像与用户使用的客户端的IP地址绑定在一起，使用静态分配IP方式，只有在IP地址、MAC地址和用户名密码都正确的情况下才能远程加载操作系统镜像实例到本地运行，增强了透明计算系统的安全可靠性，对医院、学校等企业内网用户，客户端运行操作系统出现故障时，更易排查与定位。

此外，通过透明计算系统Web认证服务器实现了用户的权限管理，不仅可以为所有用户提供统一的服务，还能够针对不同权限的用户提供一些个性化服务，比如每个用户都有不同的可启动的操作系统列表等，完善了用户体验。

实施例3：

参见图6，使用实施例1或实施例2的用户身份认证方法的透明计算系统的系统配置方法，包括以下步骤：

1）在引导程序NBP源码中添加网络配置和用户身份认证策略代码，并重新编译生成NBP引导程序；

2）擦除客户端的硬盘上的BIOS模式下的主引导分区MBR，将编译生成的NBP引导程序烧写至原主引导分区MBR位置；

3）配置认证服务器的MySQL和Tomcat服务，并将身份认证后台程序部署在Web认证服务器的Tomcat上；

4）配置存储服务器的iSCSI服务，将用户操作系统镜像与用户名及密码绑定，修改操作系统镜像的访问权限，并设置能够访问的IP地址；

5）修改DHCP服务器的配置文件，以静态方式分配IP，将应用透明计算系统的客户端的物理地址与IP绑定；

6）制作远程加载的用户操作系统镜像，修改各个操作系统内核的网络配置文件，将制作好的操作系统镜像存储在iSCSI配置文件中的指定位置。

上述的系统配置方法，配置简单易于实现；将用户认证策略模块化，降低了移植难度，扩大了适用范围。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。