IKE协议恐难保VPN安全

IKE协议是用于交换和管理在VPN中使用的加密密钥的，但是IETF认为IKE过于复杂，而这种复杂性可能会带来某些安全漏洞。因此，IETF就有关IKE协议（Internet Key Exchange）的前景问题进行了专门的讨论。

IKE是由IPSec组成的众多协议之一，而IPSec已被企业广泛用于通过Internet来建立VPN。IKE可以对VPN信道进行认证，决定在会话中使用什么加密和认证算法，产生加密密钥并对它们进行管理等。

虽然，在VPN设备中使用IKE的厂商已证明使用它是足够安全的，但是，IETF的安全专家担心，IKE过于复杂，以至于难以证明它是安全的。他们推荐发展一种新型的下一代IKE协议，工作组的成员将其称为子IKE。安全专家正致力于他们称之为JFK（Just Fast Keying）的IKE的替代品。这种协议称为子IKE（Son of IKE），它的设计思想主要是修改已认识到的IKE的缺陷。有计划表明，在12月IETF的下一次会议上将揭开JFK的神秘面纱。

其间，对IKE的改进主要有两方面的工作。一个方面是VPN流量通过网络地址转换（NAT）时的防火墙能力。实际上，虽然NAT可能会带来一些问题，但是现在有些厂商已经能够利用自己的办法来避免这些问题的产生了。第二个方面的改进是支持流控制传输协议（Stream Control Transmission Protocol，SCTP），这个协议允许其不同的组件被视为一个单独SCTP会话中的独立流，因而能够提高复杂Web页的传输。

这项工作需要花费一些时间，而子IKE和IKE的发展同样也需要一些时间。如果厂商认可了改进的或修订的协议，他们就会在其出售的设备中使用它。

虽然，提出一个稳定的标准需要花费很长的时间，但是这种标准化是必需的。而且，不同厂商生产的设备的互用性也是一个问题。这个冗长的过程并不非常理想，但它是不可避免的。小型VPN设备制造商一般主动与大型厂商一起努力解决互用性问题，因而他们的设备更具吸引力。当然，解决互用性的问题也仍然需要一定的时间和一定的技能。这也许意味着客户会坚持使用一个厂商生产的设备或者使用已解决了互用性问题的多个厂商的设备。