一款代理认证服务器的设计

DIUS认证的远程访问服务器来说，在远程访问客户和远程访问服务器之间的EAP消息将被封装和格式化为远程访问服务器和RADIUS服务器之间的RADIUS消息。

EAP-RADIUS适用于RADIUS作为认证提供者的环境。使用EAP-RADIUS的优点在于EAP类型不必嵌入在每个远程访问服务器上，而只需嵌入到RADIUS服务器上。

在EAP-RADIUS的典型使用情况中，Windows 2000远程访问服务器配置为可与EAP和IAS服务器结合来用于认证。一个连接成功创建后，远程访问客户与远程访问服务器协商EAP的使用。当客户发送一个EAP消息给远程访问服务器时，远程访问服务器把EAP消息包装成一个RADIUS消息，并把它发送给配置好的IAS服务器。IAS服务器处理EAP消息，同时返回一个封装了RADIUS的EAP消息给远程访问服务器。远程访问服务器把EAP消息提交给远程访问客户。在这种配置中，远程访问服务只是一个中继设备。远程访问客户和IAS服务器负责所有EAP消息的处理。

　　3 SOCKSv5-EAP代理认证服务器的设计

　　3.1 代理认证模块的结构

EAP协议允许防火墙在SOCKSv5认证方法阶段不必预先商定具体的认证机制。它支持所有的EAP认证的扩展机制，认证服务器可根据用户的身份来决定认证机制的类型。这就允许SOCKS服务器在决定之前认证机制可以向用户请求更多的信息。并且可以使用一个后端服务器来专门执行各种不同的认证，这使得支持EAP功能的RADIUS服务器可以用作后端服务器进行各种不同的认证。代理认证模块结构如图1所示。

　　3.2 SOCKSv5-EAP的协商过程

（1）SOCKSv5认证方法协商阶段，EAP并不进行明确的认证机制的选择，而是在SOCKS基于认证方法的子协商阶段才选定认证机制。SOCKS服务器除了用于传递认证信息之外，还能进行简单的访问控制、过滤和认证。

（2）一旦TCP连接在客户和SOCKS服务器间建立，客户发送一个包含版本标识符和方法选择集的消息。

（3）在SOCKSv5认证方法被协商确定后，RADIUS服务器发送一个或多个请求信息来认证SOCKSv5客户。请求中的类型域用于指明被请求的内容，包括身份、MD5-挑战、一次性口令和一般的认证卡等。MD5-挑战类型与挑战握手协议相对应。

（4）应答包包含的类型域与请求的类型域相同。SOCKS或RADIUS服务器将用一个认证成功或失败包来结束认证阶段。

（5）SOCKSv5服务器在客户和认证服务器RADIUS之间不停地中继双方发出的EAP包。

　　3.3 协商过程中各种包的格式

（1）SOCKS/RADIUS服务器请求包以及对方应答包的摘要如图2所示。

VER标识子协商的当前版本；CODE标识EAP请求或EAP应答；ID域负责辅助匹配请求和应答；TYPE域标识请求或应答类型，一般来说请求类型和应答类型应相同。

（2）EAP包的格式如图3所示。

其中CODE域标识EAP请求或EAP应答；LENGTH域标识EAP包的长度；DATA域的格式由CODE域决定。4 基于SOCKSv5-EAP代理认证服务器的认证系统

　　4.1 系统结构

该系统主要由SOCKSv5-EAP代理认证服务器、安全管理终端、应用客户端、资源服务器组成。系统结构图如图4所示。

SOCKSv5-EAP代理认证服务器主要由SOCKSv5服务器和RADIUS服务器共同组成。其中RADIUS服务器作为后台服务器，具有鉴权功能。安全管理终端主要由授权发布机构、证书管理中心和证书库组成。

　　4.2 系统流程

（1）当客户要访问资源时，客户通过代理认证服务器进行身份认证。认证过程如下：

①SOCKSv5客户向SOCKSv5服务器发送版本标识/方法选集消息，SOCKSv5服务器收到该消息，从METHODS中选择一种方法，并回应给客户。EAP将使用METHODS域中的下列标志：Extensible Authentication Protocol。

②方法协商结束，双方进入依赖方法的子协商阶段。在此阶段，RADIUS服务器向客户发请求，客户对每个请求作应答，RADIUS服务器根据客户情况决定出一种认证机制。请求中包括请求的类型。

③代理回路的建立阶段。客户发出代理请求，SOCKSv5服务器根据自己的规则初步判断是否允许代理，如果允许，则建立常规的SOCKSv5代理回路。否则拒绝，不予代理。代理回路建立后，SOCKSv5服务器开始在客户与RADIUS服务器之间不间断地传送EAP包。

（2）用所决定出的认证机制认证完毕后，代理认证服务器把包含身份和权限属性的认证结果交给授权发布机构，授权发布机构把权限证书离线发布给客户。

（3）客户把证书信息提交给SOCKSv5服务器，由SOCKSv5中转给RADIUS服务器来鉴定证书的权限。

（4）鉴定权限通过后，RADIUS服务器发送给SOCKSv5服务器一个认证成功包，告诉它客户通过了权限的鉴定，SOCKSv5把此消息中转给客户，SOCKSv5服务器启动客户与应用资源服务器之间的代理回路，进行应用数据的中继。

（5