一款代理認證服務器的設計

　　4.1 系統結構

　　該系統主要由SOCKSv5-EAP代理認證服務器、安全管理終端、應用客戶端、資源服務器組成。系統結構圖如圖4所示。

　　SOCKSv5-EAP代理認證服務器主要由SOCKSv5服務器和RADIUS服務器共同組成。其中RADIUS服務器作為后臺服務器，具有鑒權功能。安全管理終端主要由授權發布機構、證書管理中心和證書庫組成。

　　4.2 系統流程

　　（1）當客戶要訪問資源時，客戶通過代理認證服務器進行身份認證。認證過程如下：

　　①SOCKSv5客戶向SOCKSv5服務器發送版本標識/方法選集消息，SOCKSv5服務器收到該消息，從METHODS中選擇一種方法，并回應給客戶。EAP將使用METHODS域中的下列標志：Extensible Authentication Protocol。

　　②方法協商結束，雙方進入依賴方法的子協商階段。在此階段，RADIUS服務器向客戶發請求，客戶對每個請求作應答，RADIUS服務器根據客戶情況決定出一種認證機制。請求中包括請求的類型。

　　③代理回路的建立階段。客戶發出代理請求，SOCKSv5服務器根據自己的規則初步判斷是否允許代理，如果允許，則建立常規的SOCKSv5代理回路。否則拒絕，不予代理。代理回路建立后，SOCKSv5服務器開始在客戶與RADIUS服務器之間不間斷地傳送EAP包。

　　（2）用所決定出的認證機制認證完畢后，代理認證服務器把包含身份和權限屬性的認證結果交給授權發布機構，授權發布機構把權限證書離線發布給客戶。

　　（3）客戶把證書信息提交給SOCKSv5服務器，由SOCKSv5中轉給RADIUS服務器來鑒定證書的權限。

　　（4）鑒定權限通過后，RADIUS服務器發送給SOCKSv5服務器一個認證成功包，告訴它客戶通過了權限的鑒定，SOCKSv5把此消息中轉給客戶，SOCKSv5服務器啟動客戶與應用資源服務器之間的代理回路，進行應用數據的中繼。

　　（5）授權發布機構根據證書的有效期撤消證書，同時通知代理認證服務器證書過期。

　　5 結束語

　　本文在介紹SOCKSv5協議、EAP的基礎上，設計了一個代理認證服務器，在很大程度上提高了用戶身份認證和訪問控制技術的靈活性。