IKE協(xié)議不保VPN安全
IKE是由IPSec組成的眾多協(xié)議之一,而IPSec已被企業(yè)廣泛用于通過(guò)Internet來(lái)建立VPN。IKE可以對(duì)VPN信道進(jìn)行認(rèn)證,決定在會(huì)話中使用什么加密和認(rèn)證算法,產(chǎn)生加密密鑰并對(duì)它們進(jìn)行管理等。
雖然,在VPN設(shè)備中使用IKE的廠商已證明使用它是足夠安全的,但是,IETF的安全專(zhuān)家擔(dān)心,IKE過(guò)于復(fù)雜,以至于難以證明它是安全的。他們推薦發(fā)展一種新型的下一代IKE協(xié)議,工作組的成員將其稱(chēng)為子IKE。安全專(zhuān)家正致力于他們稱(chēng)之為JFK(Just Fast Keying)的IKE的替代品。這種協(xié)議稱(chēng)為子IKE(Son of IKE),它的設(shè)計(jì)思想主要是修改已認(rèn)識(shí)到的IKE的缺陷。有計(jì)劃表明,在12月IETF的下一次會(huì)議上將揭開(kāi)JFK的神秘面紗。
其間,對(duì)IKE的改進(jìn)主要有兩方面的工作。一個(gè)方面是VPN流量通過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)時(shí)的防火墻能力。實(shí)際上,雖然NAT可能會(huì)帶來(lái)一些問(wèn)題,但是現(xiàn)在有些廠商已經(jīng)能夠利用自己的辦法來(lái)避免這些問(wèn)題的產(chǎn)生了。第二個(gè)方面的改進(jìn)是支持流控制傳輸協(xié)議(Stream Control Transmission Protocol,SCTP),這個(gè)協(xié)議允許其不同的組件被視為一個(gè)單獨(dú)SCTP會(huì)話中的獨(dú)立流,因而能夠提高復(fù)雜Web頁(yè)的傳輸。
這項(xiàng)工作需要花費(fèi)一些時(shí)間,而子IKE和IKE的發(fā)展同樣也需要一些時(shí)間。如果廠商認(rèn)可了改進(jìn)的或修訂的協(xié)議,他們就會(huì)在其出售的設(shè)備中使用它。
雖然,提出一個(gè)穩(wěn)定的標(biāo)準(zhǔn)需要花費(fèi)很長(zhǎng)的時(shí)間,但是這種標(biāo)準(zhǔn)化是必需的。而且,不同廠商生產(chǎn)的設(shè)備的互用性也是一個(gè)問(wèn)題。這個(gè)冗長(zhǎng)的過(guò)程并不非常理想,但它是不可避免的。小型VPN設(shè)備制造商一般主動(dòng)與大型廠商一起努力解決互用性問(wèn)題,因而他們的設(shè)備更具吸引力。當(dāng)然,解決互用性的問(wèn)題也仍然需要一定的時(shí)間和一定的技能。這也許意味著客戶會(huì)堅(jiān)持使用一個(gè)廠商生產(chǎn)的設(shè)備或者使用已解決了互用性問(wèn)題的多個(gè)廠商的設(shè)備。
【編輯推薦】
