淺析基于網(wǎng)絡(luò)還原卡的網(wǎng)絡(luò)認(rèn)證

蔣灝東

[摘要]通過(guò)分析網(wǎng)絡(luò)還原卡的基本原理,設(shè)計(jì)一直基于還原卡的網(wǎng)絡(luò)認(rèn)證方式,在實(shí)踐中有效解決計(jì)算機(jī)機(jī)房因不斷增加產(chǎn)生管理難的問(wèn)題。

[關(guān)鍵詞]網(wǎng)絡(luò)還原卡登錄認(rèn)證嵌入設(shè)計(jì)

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1210082-01

本文設(shè)計(jì)和實(shí)現(xiàn)的基于網(wǎng)卡的客戶端驗(yàn)證方案有以下優(yōu)點(diǎn):(1)解決了以往機(jī)房管理系統(tǒng)必須添加額外硬件才能實(shí)現(xiàn)的問(wèn)題;(2)充分利用網(wǎng)絡(luò)還原卡通過(guò)設(shè)置中斷向量獲得BIOS控制權(quán)的特征,使得客戶端的登錄程序不易使用者繞過(guò)具有較高的安全性;(3)節(jié)省PCI空間,避免了和還原卡使用相同技術(shù)而發(fā)生沖突的問(wèn)題且便于完善和擴(kuò)充。

一、設(shè)計(jì)思想

要在引導(dǎo)進(jìn)入系統(tǒng)前進(jìn)行BIOS登錄認(rèn)證,首先要了解計(jì)算機(jī)啟動(dòng)的過(guò)程,當(dāng)計(jì)算機(jī)啟動(dòng)時(shí)系統(tǒng)BIOS的啟動(dòng)代碼首先要做的事情就是進(jìn)行POST(Power-On Self Test,加電后自檢),自檢正常結(jié)束后將引導(dǎo)進(jìn)入系統(tǒng)。要在BIOS下進(jìn)行登錄,就要在進(jìn)入系統(tǒng)前使得登錄程序獲得BIOS的控制權(quán)。要把在引導(dǎo)系統(tǒng)前完成登錄,使登錄程序在BIOS下運(yùn)行,可以把程序?qū)懭隑IOS的ROM芯片中,利用芯片的擴(kuò)展功能實(shí)現(xiàn)。由于BIOS的內(nèi)存分配空間有限,使得如果以后進(jìn)一步擴(kuò)展的話有困難,使用這種方法必須找到主板生產(chǎn)廠家,比較麻煩,而且在寫(xiě)入時(shí)如出錯(cuò)容易燒掉主板,代價(jià)太大。BIOS是計(jì)算機(jī)軟硬件最底層的程序?yàn)橛?jì)算機(jī)提供最低級(jí)的、最直接的硬件控制與支持,記錄了各硬件的信息,如采用調(diào)用BIOS中斷向量的方法容易與還原卡在技術(shù)上產(chǎn)生沖突,網(wǎng)絡(luò)還原卡工作原理是網(wǎng)絡(luò)還原卡把自編軟件固化在板上的EPROM里作為可訪問(wèn)的ROM組件。在網(wǎng)絡(luò)還原卡ROM中修改操作系統(tǒng)引導(dǎo)人口INT 19H的中斷向量,可獲得BIOS系統(tǒng)控制。優(yōu)先執(zhí)行自己ROM中的程序。程序啟動(dòng)后的查找系統(tǒng)BIOS的中斷向量表,截取INT13中斷,用自己的INT13程序替換掉原有的INT13程序,達(dá)到對(duì)硬盤(pán)讀寫(xiě)的攔截。在網(wǎng)絡(luò)還原卡BOOT ROM中寫(xiě)入引導(dǎo)程序,使得在系統(tǒng)引導(dǎo)時(shí)攔截啟動(dòng)信息,用非標(biāo)準(zhǔn)設(shè)備引導(dǎo)系統(tǒng)。在技術(shù)上具有可行性。

二、設(shè)計(jì)方案

(一)擴(kuò)展ROM獲取BIOS中斷向量過(guò)程。當(dāng)計(jì)算機(jī)啟動(dòng)進(jìn)行上電自檢(POST)時(shí),會(huì)為BIOS的所有調(diào)用程序建立一個(gè)中斷向量,在缺省向量被設(shè)置好之后,將對(duì)所有的擴(kuò)展的ROM塊進(jìn)行掃描。檢查各種擴(kuò)展卡的ROM塊,確定擴(kuò)展卡的ROM塊為有效塊后將控制權(quán)傳遞給它,為了尋找有效的擴(kuò)展ROM塊,BIOS于C0000—DFFFFH內(nèi)存映象空間內(nèi),以2KB為單位進(jìn)行掃描,每一個(gè)有效的擴(kuò)展卡的ROM塊,必須建立一個(gè)標(biāo)識(shí)供POST來(lái)識(shí)別它。此時(shí),網(wǎng)絡(luò)還原卡的ROM程序可以通過(guò)設(shè)置中斷向量獲得控制權(quán),將網(wǎng)絡(luò)還原卡掛到系統(tǒng)中。一個(gè)有效的ROM塊應(yīng)滿足如下定義:

字節(jié)0:55H;

字節(jié)1:AAH;

字節(jié)2:長(zhǎng)度指示器,表示ROM中以512B為1塊的信息塊個(gè)數(shù)(長(zhǎng)度P512)。

為測(cè)試ROM模塊的完整性,需要求一個(gè)檢查和。在定義的ROM中,每1B按模100H求和,其和必須為0,該模塊才被認(rèn)為有效。當(dāng)系統(tǒng)的ROMBIOS找到1個(gè)有效的ROM時(shí),它對(duì)ROM的字節(jié)3(將是一個(gè)可執(zhí)行代碼)作1次遠(yuǎn)調(diào)用(farcall),適配器板現(xiàn)在可以執(zhí)行它的加電初始化任務(wù)。執(zhí)行完初始化工作后,適配器插件板上的ROM應(yīng)通過(guò)1條遠(yuǎn)返回(far return)指令,將控制權(quán)交還給ROMBIOS程序,完成系統(tǒng)的啟動(dòng)。

(二)登錄程序嵌入網(wǎng)絡(luò)還原卡程序。通過(guò)上述方法,當(dāng)網(wǎng)絡(luò)還原卡的ROM塊滿足有效條件時(shí),可以獲得BIOS的控制權(quán),以將自身的程序掛到系統(tǒng)上執(zhí)行。將登錄程序嵌入網(wǎng)絡(luò)還原卡程序中。在還原卡正常工作后,執(zhí)行網(wǎng)絡(luò)還原卡的程序時(shí),顯示用戶登錄界面(用戶登錄端)。用戶可以在此輸入用戶名和密碼,并選擇上機(jī)或下機(jī)登錄端程序根據(jù)登錄參數(shù)設(shè)置與服務(wù)器進(jìn)行網(wǎng)絡(luò)連接,提交認(rèn)證信息;服務(wù)器收到認(rèn)證信息后,與數(shù)據(jù)庫(kù)建立連接,并提交認(rèn)證請(qǐng)求;數(shù)據(jù)庫(kù)收到認(rèn)證請(qǐng)求后,根據(jù)提交過(guò)來(lái)的認(rèn)證信息進(jìn)行判斷,得出認(rèn)證結(jié)果(能否在該機(jī)位上機(jī)),并將認(rèn)證結(jié)果返回給用戶登錄端;用戶登錄端根據(jù)認(rèn)證結(jié)果作出相應(yīng)的處理。

(三)登錄原理與方法。登錄程序在操作系統(tǒng)引導(dǎo)前運(yùn)行,無(wú)高層的IP地址協(xié)議,故登錄程序需要與服務(wù)器聯(lián)系,得到自己的IP地址,服務(wù)器的MAC地址,使用TCP/IP協(xié)議和服務(wù)器進(jìn)行通信。引導(dǎo)協(xié)議BOOTP是一種基于UDP/IP的協(xié)議。這種協(xié)議允許正在啟動(dòng)的主機(jī)動(dòng)態(tài)配置而無(wú)需用戶監(jiān)督。BOOTP主要用于客戶機(jī)從服務(wù)器獲得自己的IP地址,服務(wù)器的IP地址和MAC地址。

BOOTP客戶機(jī)用UDP68端口以廣播的形式發(fā)出一個(gè)名為BOOTREQUEST的IP地址查詢請(qǐng)求幀,這個(gè)請(qǐng)求幀中包含了客戶機(jī)物理地址,然后客戶機(jī)等待服務(wù)器的響應(yīng),如果在特定時(shí)間段內(nèi)沒(méi)有收到響應(yīng),客戶機(jī)就重新發(fā)出請(qǐng)求。網(wǎng)絡(luò)中的運(yùn)行BOOTP服務(wù)的服務(wù)器接收到的這個(gè)請(qǐng)求幀,根據(jù)這幀中的MAC地址在BOOTPTAB啟動(dòng)數(shù)據(jù)庫(kù)中查找這個(gè)MAC的記錄,如果沒(méi)有此MAC的記錄則不響應(yīng)這個(gè)請(qǐng)求,如果有就將FOUND幀發(fā)送回客戶機(jī)。FOUND幀中包含的主要信息有客戶機(jī)的IP地址、服務(wù)器的IP地址、硬件類型、網(wǎng)關(guān)IP地址、客戶機(jī)MAC地址和啟動(dòng)映象文件名。在客戶機(jī)IP地址不知道的情況下,服務(wù)器必須要有一個(gè)硬件地址和IP地址相對(duì)應(yīng)的數(shù)據(jù)庫(kù)?？蛻魴C(jī)IP地址也被放到“bootreply”的某一字段中?？蛻魴C(jī)獲得服務(wù)器回送的IP地址和服務(wù)器的IP地址,MAC地址后,接受用戶輸入的登錄數(shù)據(jù),用TCP/IP協(xié)議把數(shù)據(jù)發(fā)送給服務(wù)器,經(jīng)過(guò)服務(wù)器驗(yàn)證后返回?cái)?shù)據(jù),如是合法用戶,啟動(dòng)計(jì)算機(jī),否則不予響應(yīng)。

(四)服務(wù)器端設(shè)計(jì)。服務(wù)器端要與客戶機(jī)進(jìn)行兩次的通訊,首先通訊回送客戶機(jī)IP,服務(wù)器IP,MAC地址,服務(wù)器要運(yùn)行BOOTP服務(wù),使用熟知的UDP67端口讀取UDP數(shù)據(jù)報(bào),因客戶機(jī)不知道自己的IP地址,不能響應(yīng)服務(wù)器的ARP請(qǐng)求,這時(shí)BOOTP服務(wù)器通過(guò)服務(wù)器廣播這個(gè)BOOTP應(yīng)答而不直接將應(yīng)答發(fā)回該客戶。要考慮好BOOTP服務(wù)運(yùn)行以保證客戶機(jī)能順利獲得回送數(shù)據(jù)包。第二次通訊接收來(lái)自用戶登錄端的登錄請(qǐng)求,從數(shù)據(jù)包中分解出登錄信息,并將登錄信息提交數(shù)據(jù)庫(kù)進(jìn)行登錄處理,處理后作出響應(yīng),根據(jù)機(jī)器編號(hào)、用戶名、密碼、登錄用戶的賬戶信息以及當(dāng)前的上機(jī)信息判定該用戶是否允許上機(jī)或下機(jī),并把結(jié)果返回客戶機(jī)?？梢允褂肰C等加上SQL來(lái)開(kāi)發(fā),該部分程序可利用數(shù)據(jù)庫(kù)的存儲(chǔ)過(guò)程完成,這樣便于系統(tǒng)的更新與維護(hù)。在設(shè)計(jì)時(shí)應(yīng)考慮由于機(jī)房里的計(jì)算機(jī)數(shù)量多,很多時(shí)候?qū)W生都是同一時(shí)間進(jìn)入機(jī)房啟動(dòng)計(jì)算機(jī),這時(shí)數(shù)據(jù)庫(kù)要處理大量來(lái)自用戶機(jī)的登錄請(qǐng)求,需要處理的任務(wù)量非常大,除了提高服務(wù)器的硬件性能外,在設(shè)計(jì)過(guò)程中應(yīng)考慮在接收數(shù)據(jù)包時(shí)采取多線程來(lái)截取避免堵塞。

參考文獻(xiàn):

[1]王書(shū)海、劉明生、肖眾,機(jī)房管理系統(tǒng)用戶登錄認(rèn)證方案設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索,2005,24(2).

[2]仲兆滿、韓其睿、管燕,一種基于網(wǎng)卡的網(wǎng)絡(luò)實(shí)驗(yàn)室安全設(shè)計(jì)[J].儀器儀表用戶,2005,12(5).