一款代理認證服務器的設計

　　4.1 系統(tǒng)結(jié)構(gòu)

　　該系統(tǒng)主要由SOCKSv5-EAP代理認證服務器、安全管理終端、應用客戶端、資源服務器組成。系統(tǒng)結(jié)構(gòu)圖如圖4所示。

　　SOCKSv5-EAP代理認證服務器主要由SOCKSv5服務器和RADIUS服務器共同組成。其中RADIUS服務器作為后臺服務器，具有鑒權(quán)功能。安全管理終端主要由授權(quán)發(fā)布機構(gòu)、證書管理中心和證書庫組成。

　　4.2 系統(tǒng)流程

　?。?）當客戶要訪問資源時，客戶通過代理認證服務器進行身份認證。認證過程如下：

　?、賁OCKSv5客戶向SOCKSv5服務器發(fā)送版本標識/方法選集消息，SOCKSv5服務器收到該消息，從METHODS中選擇一種方法，并回應給客戶。EAP將使用METHODS域中的下列標志：Extensible Authentication Protocol。

　　②方法協(xié)商結(jié)束，雙方進入依賴方法的子協(xié)商階段。在此階段，RADIUS服務器向客戶發(fā)請求，客戶對每個請求作應答，RADIUS服務器根據(jù)客戶情況決定出一種認證機制。請求中包括請求的類型。

　?、鄞砘芈返慕㈦A段?？蛻舭l(fā)出代理請求，SOCKSv5服務器根據(jù)自己的規(guī)則初步判斷是否允許代理，如果允許，則建立常規(guī)的SOCKSv5代理回路。否則拒絕，不予代理。代理回路建立后，SOCKSv5服務器開始在客戶與RADIUS服務器之間不間斷地傳送EAP包。

　?。?）用所決定出的認證機制認證完畢后，代理認證服務器把包含身份和權(quán)限屬性的認證結(jié)果交給授權(quán)發(fā)布機構(gòu)，授權(quán)發(fā)布機構(gòu)把權(quán)限證書離線發(fā)布給客戶。

　?。?）客戶把證書信息提交給SOCKSv5服務器，由SOCKSv5中轉(zhuǎn)給RADIUS服務器來鑒定證書的權(quán)限。

　?。?）鑒定權(quán)限通過后，RADIUS服務器發(fā)送給SOCKSv5服務器一個認證成功包，告訴它客戶通過了權(quán)限的鑒定，SOCKSv5把此消息中轉(zhuǎn)給客戶，SOCKSv5服務器啟動客戶與應用資源服務器之間的代理回路，進行應用數(shù)據(jù)的中繼。

　?。?）授權(quán)發(fā)布機構(gòu)根據(jù)證書的有效期撤消證書，同時通知代理認證服務器證書過期。

　　5 結(jié)束語

　　本文在介紹SOCKSv5協(xié)議、EAP的基礎上，設計了一個代理認證服務器，在很大程度上提高了用戶身份認證和訪問控制技術(shù)的靈活性。