一款代理认证服务器的设计
4.1 系统结构
该系统主要由SOCKSv5-EAP代理认证服务器、安全管理终端、应用客户端、资源服务器组成。系统结构图如图4所示。
SOCKSv5-EAP代理认证服务器主要由SOCKSv5服务器和RADIUS服务器共同组成。其中RADIUS服务器作为后台服务器,具有鉴权功能。安全管理终端主要由授权发布机构、证书管理中心和证书库组成。
4.2 系统流程
(1)当客户要访问资源时,客户通过代理认证服务器进行身份认证。认证过程如下:
①SOCKSv5客户向SOCKSv5服务器发送版本标识/方法选集消息,SOCKSv5服务器收到该消息,从METHODS中选择一种方法,并回应给客户。EAP将使用METHODS域中的下列标志:Extensible Authentication Protocol。
②方法协商结束,双方进入依赖方法的子协商阶段。在此阶段,RADIUS服务器向客户发请求,客户对每个请求作应答,RADIUS服务器根据客户情况决定出一种认证机制。请求中包括请求的类型。
③代理回路的建立阶段。客户发出代理请求,SOCKSv5服务器根据自己的规则初步判断是否允许代理,如果允许,则建立常规的SOCKSv5代理回路。否则拒绝,不予代理。代理回路建立后,SOCKSv5服务器开始在客户与RADIUS服务器之间不间断地传送EAP包。
(2)用所决定出的认证机制认证完毕后,代理认证服务器把包含身份和权限属性的认证结果交给授权发布机构,授权发布机构把权限证书离线发布给客户。
(3)客户把证书信息提交给SOCKSv5服务器,由SOCKSv5中转给RADIUS服务器来鉴定证书的权限。
(4)鉴定权限通过后,RADIUS服务器发送给SOCKSv5服务器一个认证成功包,告诉它客户通过了权限的鉴定,SOCKSv5把此消息中转给客户,SOCKSv5服务器启动客户与应用资源服务器之间的代理回路,进行应用数据的中继。
(5)授权发布机构根据证书的有效期撤消证书,同时通知代理认证服务器证书过期。
5 结束语
本文在介绍SOCKSv5协议、EAP的基础上,设计了一个代理认证服务器,在很大程度上提高了用户身份认证和访问控制技术的灵活性。
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码
