IKE協議不保VPN安全
IKE是由IPSec組成的眾多協議之一,而IPSec已被企業廣泛用于通過Internet來建立VPN。IKE可以對VPN信道進行認證,決定在會話中使用什么加密和認證算法,產生加密密鑰并對它們進行管理等。
雖然,在VPN設備中使用IKE的廠商已證明使用它是足夠安全的,但是,IETF的安全專家擔心,IKE過于復雜,以至于難以證明它是安全的。他們推薦發展一種新型的下一代IKE協議,工作組的成員將其稱為子IKE。安全專家正致力于他們稱之為JFK(Just Fast Keying)的IKE的替代品。這種協議稱為子IKE(Son of IKE),它的設計思想主要是修改已認識到的IKE的缺陷。有計劃表明,在12月IETF的下一次會議上將揭開JFK的神秘面紗。
其間,對IKE的改進主要有兩方面的工作。一個方面是VPN流量通過網絡地址轉換(NAT)時的防火墻能力。實際上,雖然NAT可能會帶來一些問題,但是現在有些廠商已經能夠利用自己的辦法來避免這些問題的產生了。第二個方面的改進是支持流控制傳輸協議(Stream Control Transmission Protocol,SCTP),這個協議允許其不同的組件被視為一個單獨SCTP會話中的獨立流,因而能夠提高復雜Web頁的傳輸。
這項工作需要花費一些時間,而子IKE和IKE的發展同樣也需要一些時間。如果廠商認可了改進的或修訂的協議,他們就會在其出售的設備中使用它。
雖然,提出一個穩定的標準需要花費很長的時間,但是這種標準化是必需的。而且,不同廠商生產的設備的互用性也是一個問題。這個冗長的過程并不非常理想,但它是不可避免的。小型VPN設備制造商一般主動與大型廠商一起努力解決互用性問題,因而他們的設備更具吸引力。當然,解決互用性的問題也仍然需要一定的時間和一定的技能。這也許意味著客戶會堅持使用一個廠商生產的設備或者使用已解決了互用性問題的多個廠商的設備。
【編輯推薦】
