moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
阅读:2762回复:20

win2000 中ipsec的实现层次问题

楼主#
更多 发布于:2002-05-23 08:51
在主机上或路由器、防火墙(创建安全网关)的连接处,IPsec可以有几种实现方式。几个通常的例子:
a. IPsec完全嵌入原有的IP层实现。这需要涉及IP源码和这对主机和网关要都是适用的。
b. “Bump-in-the-stack\"(BITS)实现。IPsec实现于原有IP协议栈的下部,处于原有的IP和网络设备驱动之间。在这种情况下并不需要涉及IP协议栈的源码,所以该实现方法适于遗留系统。这种方法多在主机上采用。
c. 采用外接加密处理设备是军方、金融系统常用的网络安全系统设计方案。它有时被称为“Bump-in-the-wire”(BITW)实现。这种设计方案设计来服务于主机或网关(或两者兼有)。通常这种BITW设备是可设定IP地址的。(be IP addressable)当只支持一个单独的主机时,它和BITS方案就十分相似。但作为支持一个路由器或防火墙时,它必须象个网关一样操作。

使用IMD实现的ipsec属于第二种,但win2000的ipsec是属于哪一种呢?
我猜想应该是第一种,因为ms有这个条件。
为此我做里个试验:
1.在win2000ipsec启动的同时,启动IMD方式实现的ipsec服务,
2.结果IMD不能正常工作了。
3.把win2000的ipsec 服务停掉,IMD就正常了。
我解释不清楚这个现象。
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
沙发#
发布于:2002-05-23 10:46
首先,你的猜想是正确的。ms确实采用的是做在ip层中的机制。这令我们大家都眼红。没办法了。

   第二个问题提得很好,我以前也没注意过。因为imd的ipsec我离实现察的还远。
  但你的结果几乎可以肯定,你的猜想的正确性。

  我只能提出我自己的想法,如果起用了2k的ipsec,必然会在
 相当于ip_rev这样的功能中修改内核,既然ms已起用了vpn的功能。
他就有必要去屏蔽它说提供的类似功能接口的imd。
也就是我的内核都有着想功能了,用户你就不要在做了吧。呵呵!

至于如果让imd有效,是否会有冲突,大家就一块聊聊吧。
.
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2002-05-23 10:54
有空找一个win2000的checked build 跟它一下。
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
地板#
发布于:2002-05-23 10:58
这方面你比我强,有机会多向你学习一下。
能否赐教?
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
地下室#
发布于:2002-05-23 11:02
不见得吧。
按第一贴的“给分”键,给分。
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
5楼#
发布于:2002-05-23 11:04
我就灌水比较强。其他的难说呀。这两天是不行了,正忙着passthru呢。苦闷呀。
按第一贴的“给分”键,给分。
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
6楼#
发布于:2002-05-23 11:06
你手头有checked build 吗?一块儿学习学习。
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
7楼#
发布于:2002-05-23 11:13
我也在学passthru。呵呵!
不过,很不精。多交流!!!

给你个信箱吧。fenger_li@sina.com呵呵!
跟你学会灌水也不错
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
8楼#
发布于:2002-05-23 11:15
共同提高
moqingsong@sohu.com
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
9楼#
发布于:2002-05-23 11:22
ok
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
10楼#
发布于:2002-05-23 18:22
你手头有checked build 吗?
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
11楼#
发布于:2002-05-23 20:12
ddk下不是有么?
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
12楼#
发布于:2002-05-23 20:34
我说的是windows2000 os 的checked build 版,操作系统全部用checked build 编译的 那个版本,现在贩卖的是free buid 版,你用softice再启动的时候看一下 os 的启动信息就能看见,我说的是win2000整个操作系统的checked build,她好像带全体函数的符号的。包括没有公开的。
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
13楼#
发布于:2002-05-23 20:56
哦,
可惜无没有。
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
14楼#
发布于:2002-05-24 14:19
公匙系统你实现过吗?看你的论文对这方面很熟悉。
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
15楼#
发布于:2002-05-24 15:21
what is ur meaning?
pki?ca?
rsa?

not is ike.



不谦虚的说,懂一点点吧
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
16楼#
发布于:2002-05-24 16:33
我的意思是做过系统并且它运行着吗?就是说,你手头有你做的,这其中任何一种系统在运行没有?
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
17楼#
发布于:2002-05-24 16:53
你想做什么?

嗯,这样说吧,参与过一些,不过我不是主体。
有些不便公开,毕竟涉及到商业保密。我不想再说详细了。
有点意思。。。 呵呵!
moqingsong
论坛版主
论坛版主
  • 注册日期2002-04-07
  • 最后登录2011-02-03
  • 粉丝0
  • 关注0
  • 积分74分
  • 威望71点
  • 贡献值0点
  • 好评度10点
  • 原创分0分
  • 专家分0分
18楼#
发布于:2002-05-24 21:31
我只是觉得奇怪,passthru你还没作完怎么会对密匙的部分那么熟悉。
按第一贴的“给分”键,给分。
fenger_li
驱动老牛
驱动老牛
  • 注册日期2002-03-26
  • 最后登录2005-04-10
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
19楼#
发布于:2002-05-25 16:11
:)
我解释一下:我的兴趣。


密码学(各种密码算法,包括:单钥,双钥;hash(mac,hmac);签名

--〉
pki体系(主要是ca)
-->
vpn(ipsec),ike主要从安全性角度去看的(只是理论)。
---〉
vpn 实现,linux 下。(不很精,因没做过具体工作)

windows下,2k:现在正在学习。
98,还没来的及学。


所以,我不是做驱动出身的,对passthru理解也不深,只是硬着头皮
做,至于能到什么程度,我也不晓得。不过我想,只要大家有信心,困难必然会克服。
   这方面感觉,你比我强得多,以后要多向你学习。
   你可要知无不言,言无不尽。嗬嗬!
有点意思。。。 呵呵!
上一页
游客

返回顶部