一款代理認(rèn)證服務(wù)器的設(shè)計(jì)

　　4.1 系統(tǒng)結(jié)構(gòu)

　　該系統(tǒng)主要由SOCKSv5-EAP代理認(rèn)證服務(wù)器、安全管理終端、應(yīng)用客戶端、資源服務(wù)器組成。系統(tǒng)結(jié)構(gòu)圖如圖4所示。

　　SOCKSv5-EAP代理認(rèn)證服務(wù)器主要由SOCKSv5服務(wù)器和RADIUS服務(wù)器共同組成。其中RADIUS服務(wù)器作為后臺(tái)服務(wù)器，具有鑒權(quán)功能。安全管理終端主要由授權(quán)發(fā)布機(jī)構(gòu)、證書管理中心和證書庫組成。

　　4.2 系統(tǒng)流程

　?。?）當(dāng)客戶要訪問資源時(shí)，客戶通過代理認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證。認(rèn)證過程如下：

　?、賁OCKSv5客戶向SOCKSv5服務(wù)器發(fā)送版本標(biāo)識(shí)/方法選集消息，SOCKSv5服務(wù)器收到該消息，從METHODS中選擇一種方法，并回應(yīng)給客戶。EAP將使用METHODS域中的下列標(biāo)志：Extensible Authentication Protocol。

　?、诜椒▍f(xié)商結(jié)束，雙方進(jìn)入依賴方法的子協(xié)商階段。在此階段，RADIUS服務(wù)器向客戶發(fā)請(qǐng)求，客戶對(duì)每個(gè)請(qǐng)求作應(yīng)答，RADIUS服務(wù)器根據(jù)客戶情況決定出一種認(rèn)證機(jī)制。請(qǐng)求中包括請(qǐng)求的類型。

　?、鄞砘芈返慕㈦A段?？蛻舭l(fā)出代理請(qǐng)求，SOCKSv5服務(wù)器根據(jù)自己的規(guī)則初步判斷是否允許代理，如果允許，則建立常規(guī)的SOCKSv5代理回路。否則拒絕，不予代理。代理回路建立后，SOCKSv5服務(wù)器開始在客戶與RADIUS服務(wù)器之間不間斷地傳送EAP包。

　　（2）用所決定出的認(rèn)證機(jī)制認(rèn)證完畢后，代理認(rèn)證服務(wù)器把包含身份和權(quán)限屬性的認(rèn)證結(jié)果交給授權(quán)發(fā)布機(jī)構(gòu)，授權(quán)發(fā)布機(jī)構(gòu)把權(quán)限證書離線發(fā)布給客戶。

　?。?）客戶把證書信息提交給SOCKSv5服務(wù)器，由SOCKSv5中轉(zhuǎn)給RADIUS服務(wù)器來鑒定證書的權(quán)限。

　?。?）鑒定權(quán)限通過后，RADIUS服務(wù)器發(fā)送給SOCKSv5服務(wù)器一個(gè)認(rèn)證成功包，告訴它客戶通過了權(quán)限的鑒定，SOCKSv5把此消息中轉(zhuǎn)給客戶，SOCKSv5服務(wù)器啟動(dòng)客戶與應(yīng)用資源服務(wù)器之間的代理回路，進(jìn)行應(yīng)用數(shù)據(jù)的中繼。

　?。?）授權(quán)發(fā)布機(jī)構(gòu)根據(jù)證書的有效期撤消證書，同時(shí)通知代理認(rèn)證服務(wù)器證書過期。

　　5 結(jié)束語

　　本文在介紹SOCKSv5協(xié)議、EAP的基礎(chǔ)上，設(shè)計(jì)了一個(gè)代理認(rèn)證服務(wù)器，在很大程度上提高了用戶身份認(rèn)證和訪問控制技術(shù)的靈活性。