一個良好的防火墻系統(tǒng)應具備安全可靠性高、透明性好、能供多種高效率的服務(wù) ,且具有實現(xiàn)簡捷、可維護性、擴充性、移植性好的特點。ＳＯＣＫＳＶ5基于這樣的需求提出了一定規(guī)范，主要支持用戶名與口令和通用安全應用程序接口 ,從而實現(xiàn)了Ｋｅｒｂｅｒｏｓ。把SOCKSv5代理服務(wù)與可擴展協(xié)議（EAP）聯(lián)合起來，形成了基于SOCKSv5與EAP聯(lián)合的代理服務(wù)器，從而彌補了防火墻代理服務(wù)在支持多種機制中的不足，提高了用戶身份的靈活性、訪問控制的可靠性。

　　1  SOCKSv5的結(jié)構(gòu)和原理

　　1.1 SOCKSv5的結(jié)構(gòu)

　　SOCKS5 是一個代理協(xié)議，它在使用 TCP/IP協(xié)議通訊的前端機器和服務(wù)器機器之間扮演一個中介角色，使得內(nèi)部網(wǎng)中的前端機器變得能夠訪問Internet網(wǎng)中的服務(wù)器，或者使通訊更加安全。SOCKS5 服務(wù)器通過將前端發(fā)來的請求轉(zhuǎn)發(fā)給真正的目標服務(wù)器， 模擬了一個前端的行為。在這里，前端和SOCKS5之間也是通過TCP/IP協(xié)議進行通訊，前端將原本要發(fā)送給真正服務(wù)器的請求發(fā)送給SOCKS5服務(wù)器，然后SOCKS5服務(wù)器將請求轉(zhuǎn)發(fā)給真正的服務(wù)器。

　　隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，防火墻怎樣適應于不斷出現(xiàn)的應用服務(wù)和安全服務(wù)成了迫切需要解決的問題。SOCKS代理服務(wù)技術(shù)成為解決該問題的有效途徑。SOCKS主要由運行在防火墻系統(tǒng)上的代理服務(wù)器軟件包和鏈接到各種網(wǎng)絡(luò)應用程序的庫函數(shù)包組成。這樣的結(jié)構(gòu)可以使用戶根據(jù)自己的需要制定代理軟件，有利于增添新的應用，從而不斷地擴展SOCKS的功能。

　　1.2 協(xié)議原理

　　SOCKSv5在OSI模型的會話層控制數(shù)據(jù)流，它定義了非常詳細的訪問控制。SOCKSv5在客戶機和應用服務(wù)器主機之間建立了一條虛電路，可根據(jù)對用戶進行監(jiān)視和訪問控制。用SOCKSv5的代理服務(wù)器可隱藏內(nèi)部網(wǎng)的網(wǎng)絡(luò)地址結(jié)構(gòu)。同防火墻結(jié)合起來使用時，數(shù)據(jù)包通過惟一的防火墻端口到SOCKSv5代理服務(wù)器，然后代理服務(wù)器過濾發(fā)往目標主機的數(shù)據(jù)。其協(xié)議過程如下：

　?。?）當TCP的應用客戶希望建立一個只有經(jīng)過防火墻才能到達目標應用服務(wù)器的連接時，它打開一個到SOCKSv5服務(wù)器系統(tǒng)上適當端口的連接。SOCKSv5服務(wù)在TCP上的端口通常為1080。

　　（2）如果連接請求成功，即客戶連接上了SOCKSv5服務(wù)器，則客戶端發(fā)送一個消息，其中包含SOCKSv5的版本號以及一種或多種方案。SOCKSv5服務(wù)器選擇客戶提供的諸多方法中的一種返回給客戶端。

　?。?）客戶端接收到該消息后，針對將要使用的具體方法與SOCKSv5服務(wù)器協(xié)商，并用協(xié)商好的方法進行，然后發(fā)送代理請求。

　?。?）SOCKSv5服務(wù)器檢查該請求，據(jù)檢查結(jié)果決定是建立適當?shù)拇砘芈愤€是拒絕該請求。同時給客戶發(fā)送代理回路狀態(tài)?？蛻魴z查代理狀態(tài)。

　?。?）代理服務(wù)器開始中繼應用協(xié)議的數(shù)據(jù)。

　　2 可擴展協(xié)議的內(nèi)容及應用

　　2.1 協(xié)議內(nèi)容

　　可擴展協(xié)議是PPP的一般協(xié)議，它支持多種機制。EAP在連接控制階段不會選擇某種特定的機制，而是在階段選擇。同時也允許使用后端服務(wù)器來執(zhí)行各種，而PPP者只用來傳遞的信息。協(xié)議過程如下。

　?。?）者和對方建立連接控制。

　?。?）連接建立階段完成之后，者發(fā)送一個或更多的請求。請求的類型包含身份、MD5-挑戰(zhàn)、性口令、一般的標識卡等。MD5-挑戰(zhàn)類型緊密地對應于CHAP協(xié)議。在典型的模式中，者在發(fā)送一個或多個對信息的請求之后，將發(fā)送一個初始的身份請求。但初始的身份請求并不是協(xié)議要求的，在身份可以推測的情況下它有可能被取消。

　　（3）對方發(fā)送應答包來答復每個請求。應答包的類型域與請求包相同。

　?。?）者發(fā)送成功或失敗包來結(jié)束階段。

　　在默認的情況下，EAP以代理模式運行，即EAP允許網(wǎng)絡(luò)訪問服務(wù)器和后端服務(wù)器協(xié)商整個過程。客戶和網(wǎng)絡(luò)接入服務(wù)器（NAS）在連接控制協(xié)議交流期間進行EAP協(xié)議的協(xié)商，更進一步的消息均在客戶和后端服務(wù)器之間被傳輸。網(wǎng)絡(luò)接入服務(wù)器不再直接參與過程，而是作為代理者在二個遠端之間中繼信息。

　　2.2 應  用

　　任意一個機制都可使用EAP驗證遠程訪問連接。在遠程客戶和者（遠程訪問服務(wù)器或者因特網(wǎng)服務(wù)器）之間需要協(xié)商好將要使用的機制。EAP可支持多種機制，諸如通用標識卡、MD5-挑戰(zhàn)、S/Key以及未來的任何技術(shù)。

　　EAP允許遠程客戶和者之間自由會話。會話包含者對信息的請求和遠程客戶的應答。例如，當EAP通過安全標示卡來實現(xiàn)時，者可獨立地詢問遠程客戶的名字、PIN以及卡的標識值，直到遠程客戶回答完所有問題，才成功地結(jié)束。

　　EAP-RADIUS不是一種EAP類型，而是任何EAP類型的信息通過者（遠程訪問服務(wù)器或IAS）到達RADIUS的傳輸過程。例如，對用于支持RADIUS的遠程訪問服務(wù)器來說，在遠程訪問客戶和遠程訪問服務(wù)器之間的EAP消息將被封裝和格式化為遠程訪問服務(wù)器和RADIUS服務(wù)器之間的RADIUS消息。

　　EAP-RADIUS適用于RADIUS作為提供者的環(huán)境。使用EAP-RADIUS的優(yōu)點在于EAP類型不必嵌入在每個遠程訪問服務(wù)器上，而只需嵌入到RADIUS服務(wù)器上。

　　在EAP-RADIUS的典型使用情況中，Windows 2000遠程訪問服務(wù)器配置為可與EAP和IAS服務(wù)器結(jié)合來用于。一個連接成功創(chuàng)建后，遠程訪問客戶與遠程訪問服務(wù)器協(xié)商EAP的使用。當客戶發(fā)送一個EAP消息給遠程訪問服務(wù)器時，遠程訪問服務(wù)器把EAP消息包裝成一個RADIUS消息，并把它發(fā)送給配置好的IAS服務(wù)器。IAS服務(wù)器處理EAP消息，同時返回一個封裝了RADIUS的EAP消息給遠程訪問服務(wù)器。遠程訪問服務(wù)器把EAP消息提交給遠程訪問客戶。在這種配置中，遠程訪問服務(wù)只是一個中繼設(shè)備。遠程訪問客戶和IAS服務(wù)器負責所有EAP消息的處理。

　　3  SOCKSv5-EAP代理服務(wù)器的設(shè)計

　　3.1 代理模塊的結(jié)構(gòu)

　　EAP協(xié)議允許防火墻在SOCKSv5方法階段不必預先商定具體的機制。它支持所有的EAP的擴展機制，服務(wù)器可根據(jù)用戶的身份來決定機制的類型。這就允許SOCKS服務(wù)器在決定之前機制可以向用戶請求更多的信息。并且可以使用一個后端服務(wù)器來專門執(zhí)行各種不同的，這使得支持EAP功能的RADIUS服務(wù)器可以用作后端服務(wù)器進行各種不同的。代理模塊結(jié)構(gòu)如圖1所示。

　　3.2 SOCKSv5-EAP的協(xié)商過程

　?。?）SOCKSv5方法協(xié)商階段，EAP并不進行明確的機制的選擇，而是在SOCKS基于方法的子協(xié)商階段才選定機制。SOCKS服務(wù)器除了用于傳遞信息之外，還能進行簡單的訪問控制、過濾和。

　?。?）一旦TCP連接在客戶和SOCKS服務(wù)器間建立，客戶發(fā)送一個包含版本標識符和方法選擇集的消息。

　　（3）在SOCKSv5方法被協(xié)商確定后，RADIUS服務(wù)器發(fā)送一個或多個請求信息來SOCKSv5客戶。請求中的類型域用于指明被請求的內(nèi)容，包括身份、MD5-挑戰(zhàn)、性口令和一般的卡等。MD5-挑戰(zhàn)類型與挑戰(zhàn)握手協(xié)議相對應。

　?。?）應答包包含的類型域與請求的類型域相同。SOCKS或RADIUS服務(wù)器將用一個成功或失敗包來結(jié)束階段。

　　（5）SOCKSv5服務(wù)器在客戶和服務(wù)器RADIUS之間不停地中繼雙方發(fā)出的EAP包。

　　3.3 協(xié)商過程中各種包的格式

　　（1）SOCKS/RADIUS服務(wù)器請求包以及對方應答包的摘要如圖2所示。

　　VER標識子協(xié)商的當前版本；CODE標識EAP請求或EAP應答；ID域負責輔助匹配請求和應答；TYPE域標識請求或應答類型，一般來說請求類型和應答類型應相同。

　?。?）EAP包的格式如圖3所示。

　　其中CODE域標識EAP請求或EAP應答；LENGTH域標識EAP包的長度；DATA域的格式由CODE域決定。

　　4  基于SOCKSv5-EAP代理服務(wù)器的系統(tǒng)

　　4.1 系統(tǒng)結(jié)構(gòu)

　　該系統(tǒng)主要由SOCKSv5-EAP代理服務(wù)器、安全管理終端、應用客戶端、資源服務(wù)器組成。系統(tǒng)結(jié)構(gòu)圖如圖4所示。

　　SOCKSv5-EAP代理服務(wù)器主要由SOCKSv5服務(wù)器和RADIUS服務(wù)器共同組成。其中RADIUS服務(wù)器作為后臺服務(wù)器，具有鑒權(quán)功能。安全管理終端主要由授權(quán)發(fā)布機構(gòu)、證書管理中心和證書庫組成。

　　4.2 系統(tǒng)流程

　?。?）當客戶要訪問資源時，客戶通過代理服務(wù)器進行身份。過程如下：

　?、賁OCKSv5客戶向SOCKSv5服務(wù)器發(fā)送版本標識/方法選集消息，SOCKSv5服務(wù)器收到該消息，從METHODS中選擇一種方法，并回應給客戶。EAP將使用METHODS域中的下列標志：Extensible Authentication Protocol。

　?、诜椒▍f(xié)商結(jié)束，雙方進入依賴方法的子協(xié)商階段。在此階段，RADIUS服務(wù)器向客戶發(fā)請求，客戶對每個請求作應答，RADIUS服務(wù)器根據(jù)客戶情況決定出一種機制。請求中包括請求的類型。

　?、鄞砘芈返慕㈦A段?？蛻舭l(fā)出代理請求，SOCKSv5服務(wù)器根據(jù)自己的規(guī)則初步判斷是否允許代理，如果允許，則建立常規(guī)的SOCKSv5代理回路。否則拒絕，不予代理。代理回路建立后，SOCKSv5服務(wù)器開始在客戶與RADIUS服務(wù)器之間不間斷地傳送EAP包。

　?。?）用所決定出的機制完畢后，代理服務(wù)器把包含身份和權(quán)限屬性的結(jié)果交給授權(quán)發(fā)布機構(gòu)，授權(quán)發(fā)布機構(gòu)把權(quán)限證書離線發(fā)布給客戶。

　　（3）客戶把證書信息提交給SOCKSv5服務(wù)器，由SOCKSv5中轉(zhuǎn)給RADIUS服務(wù)器來鑒定證書的權(quán)限。

　?。?）鑒定權(quán)限通過后，RADIUS服務(wù)器發(fā)送給SOCKSv5服務(wù)器一個成功包，告訴它客戶通過了權(quán)限的鑒定，SOCKSv5把此消息中轉(zhuǎn)給客戶，SOCKSv5服務(wù)器啟動客戶與應用資源服務(wù)器之間的代理回路，進行應用數(shù)據(jù)的中繼。

　　（5）授權(quán)發(fā)布機構(gòu)根據(jù)證書的有效期撤消證書，同時通知代理服務(wù)器證書過期。

　　5  結(jié)束語

　　本文在介紹SOCKSv5協(xié)議、EAP的基礎(chǔ)上，設(shè)計了一個代理服務(wù)器，在很大程度上提高了用戶身份和訪問控制技術(shù)的靈活性。該方法解決了防火墻協(xié)議對不斷擴展的機制的支持問題。該技術(shù)可與其他網(wǎng)絡(luò)安全技術(shù)諸如授權(quán)管理等相結(jié)合，形成比較完善的并可以不斷擴展的安全體系。