一款代理認證服務(wù)器的設(shè)計

　　4.1 系統(tǒng)結(jié)構(gòu)

　　該系統(tǒng)主要由SOCKSv5-EAP代理認證服務(wù)器、安全管理終端、應(yīng)用客戶端、資源服務(wù)器組成。系統(tǒng)結(jié)構(gòu)圖如圖4所示。

　　SOCKSv5-EAP代理認證服務(wù)器主要由SOCKSv5服務(wù)器和RADIUS服務(wù)器共同組成。其中RADIUS服務(wù)器作為后臺服務(wù)器，具有鑒權(quán)功能。安全管理終端主要由授權(quán)發(fā)布機構(gòu)、證書管理中心和證書庫組成。

　　4.2 系統(tǒng)流程

　?。?）當客戶要訪問資源時，客戶通過代理認證服務(wù)器進行身份認證。認證過程如下：

　　①SOCKSv5客戶向SOCKSv5服務(wù)器發(fā)送版本標識/方法選集消息，SOCKSv5服務(wù)器收到該消息，從METHODS中選擇一種方法，并回應(yīng)給客戶。EAP將使用METHODS域中的下列標志：Extensible Authentication Protocol。

　?、诜椒▍f(xié)商結(jié)束，雙方進入依賴方法的子協(xié)商階段。在此階段，RADIUS服務(wù)器向客戶發(fā)請求，客戶對每個請求作應(yīng)答，RADIUS服務(wù)器根據(jù)客戶情況決定出一種認證機制。請求中包括請求的類型。

　?、鄞砘芈返慕㈦A段。客戶發(fā)出代理請求，SOCKSv5服務(wù)器根據(jù)自己的規(guī)則初步判斷是否允許代理，如果允許，則建立常規(guī)的SOCKSv5代理回路。否則拒絕，不予代理。代理回路建立后，SOCKSv5服務(wù)器開始在客戶與RADIUS服務(wù)器之間不間斷地傳送EAP包。

　?。?）用所決定出的認證機制認證完畢后，代理認證服務(wù)器把包含身份和權(quán)限屬性的認證結(jié)果交給授權(quán)發(fā)布機構(gòu)，授權(quán)發(fā)布機構(gòu)把權(quán)限證書離線發(fā)布給客戶。

　?。?）客戶把證書信息提交給SOCKSv5服務(wù)器，由SOCKSv5中轉(zhuǎn)給RADIUS服務(wù)器來鑒定證書的權(quán)限。

　?。?）鑒定權(quán)限通過后，RADIUS服務(wù)器發(fā)送給SOCKSv5服務(wù)器一個認證成功包，告訴它客戶通過了權(quán)限的鑒定，SOCKSv5把此消息中轉(zhuǎn)給客戶，SOCKSv5服務(wù)器啟動客戶與應(yīng)用資源服務(wù)器之間的代理回路，進行應(yīng)用數(shù)據(jù)的中繼。

　?。?）授權(quán)發(fā)布機構(gòu)根據(jù)證書的有效期撤消證書，同時通知代理認證服務(wù)器證書過期。

　　5 結(jié)束語

　　本文在介紹SOCKSv5協(xié)議、EAP的基礎(chǔ)上，設(shè)計了一個代理認證服務(wù)器，在很大程度上提高了用戶身份認證和訪問控制技術(shù)的靈活性。