一款代理认证服务器的设计

把SOCKSv5代理服务与可扩展认证协议（EAP）联合起来，形成了基于SOCKSv5与EAP联合的代理认证服务器，从而弥补了防火墙代理服务在支持多种认证机制中的不足，提高了用户身份认证的灵活性、访问控制的可靠性。该方法解决了防火墙协议对不断扩展的认证机制的支持问题。该技术可与其他网络安全技术诸如授权管理等相结合，形成比较完善的并可以不断扩展的安全体系。

1 SOCKSv5的结构和原理

1.1 SOCKSv5的结构

SOCKS5 是一个代理协议，它在使用 TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色，使得内部网中的前端机器变得能够访问Internet网中的服务器，或者使通讯更加安全。SOCKS5 服务器通过将前端发来的请求转发给真正的目标服务器， 模拟了一个前端的行为。在这里，前端和SOCKS5之间也是通过TCP/IP协议进行通讯，前端将原本要发送给真正服务器的请求发送给SOCKS5服务器，然后SOCKS5服务器将请求转发给真正的服务器。

随着网络安全技术的不断发展，防火墙怎样适应于不断出现的应用服务和安全服务成了迫切需要解决的问题。SOCKS代理服务技术成为解决该问题的有效途径。SOCKS主要由运行在防火墙系统上的代理服务器软件包和链接到各种网络应用程序的库函数包组成。这样的结构可以使用户根据自己的需要制定代理软件，有利于增添新的应用，从而不断地扩展SOCKS的功能。

1.2 协议原理

SOCKSv5在OSI模型的会话层控制数据流，它定义了非常详细的访问控制。SOCKSv5在客户机和应用服务器主机之间建立了一条虚电路，可根据认证对用户进行监视和访问控制。用SOCKSv5的代理服务器可隐藏内部网的网络地址结构。同防火墙结合起来使用时，数据包通过惟一的防火墙端口到SOCKSv5代理服务器，然后代理服务器过滤发往目标主机的数据。其协议过程如下：

（1）当TCP的应用客户希望建立一个只有经过防火墙才能到达目标应用服务器的连接时，它打开一个到SOCKSv5服务器系统上适当端口的连接。SOCKSv5服务在TCP上的端口通常为1080。

（2）如果连接请求成功，即客户连接上了SOCKSv5服务器，则客户端发送一个消息，其中包含SOCKSv5的版本号以及一种或多种认证方案。SOCKSv5服务器选择客户提供的诸多方法中的一种返回给客户端。

（3）客户端接收到该消息后，针对将要使用的具体认证方法与SOCKSv5服务器协商，并用协商好的方法进行认证，然后发送代理请求。

（4）SOCKSv5服务器检查该请求，据检查结果决定是建立适当的代理回路还是拒绝该请求。同时给客户发送代理回路状态。客户检查代理状态。

（5）代理服务器开始中继应用协议的数据。

　　2 可扩展认证协议的内容及应用

　　2.1 协议内容

可扩展认证协议是PPP认证的一般协议，它支持多种认证机制。EAP在连接控制阶段不会选择某种特定的认证机制，而是在认证阶段选择。同时也允许使用后端服务器来执行各种认证，而PPP认证者只用来传递认证的信息。协议过程如下。

（1）认证者和对方建立连接控制。

（2）连接建立阶段完成之后，认证者发送一个或更多的认证请求。请求的类型包含身份、MD5-挑战、一次性口令、一般的标识卡等。MD5-挑战类型紧密地对应于CHAP认证协议。在典型的模式中，认证者在发送一个或多个对认证信息的请求之后，将发送一个初始的身份请求。但初始的身份请求并不是协议要求的，在身份可以推测的情况下它有可能被取消。

（3）对方发送应答包来答复每个请求。应答包的类型域与请求包相同。

（4）认证者发送认证成功或失败包来结束认证阶段。

在默认的情况下，EAP以代理模式运行，即EAP允许网络访问服务器和后端服务器协商整个认证过程。客户和网络接入服务器（NAS）在连接控制协议交流期间进行EAP协议的协商，更进一步的认证消息均在客户和后端服务器之间被传输。网络接入服务器不再直接参与认证过程，而是作为代理者在二个远端之间中继信息。

　　2.2 应 用

任意一个认证机制都可使用EAP验证远程访问连接。在远程客户和认证者（远程访问服务器或者因特网认证服务器）之间需要协商好将要使用的认证机制。EAP可支持多种认证机制，诸如通用标识卡、MD5-挑战、S/Key以及未来的任何认证技术。

EAP允许远程客户和认证者之间自由会话。会话包含认证者对认证信息的请求和远程客户的应答。例如，当EAP通过安全标示卡来实现时，认证者可独立地询问远程客户的名字、PIN以及卡的标识值，直到远程客户回答完所有问题，认证才成功地结束。

EAP-RADIUS不是一种EAP类型，而是任何EAP类型的信息通过认证者（远程访问服务器或IAS）到达RADIUS的传输过程。例如，对用于支持RA