IKE是由IPSec組成的眾多協(xié)議之一，而IPSec已被企業(yè)廣泛用于通過Internet來建立VPN。IKE可以對(duì)VPN信道進(jìn)行認(rèn)證，決定在會(huì)話中使用什么加密和認(rèn)證算法，產(chǎn)生加密密鑰并對(duì)它們進(jìn)行管理等。

雖然，在VPN設(shè)備中使用IKE的廠商已證明使用它是足夠安全的，但是，IETF的安全專家擔(dān)心，IKE過于復(fù)雜，以至于難以證明它是安全的。他們推薦發(fā)展一種新型的下一代IKE協(xié)議，工作組的成員將其稱為子IKE。安全專家正致力于他們稱之為JFK（Just Fast Keying）的IKE的替代品。這種協(xié)議稱為子IKE（Son of IKE），它的設(shè)計(jì)思想主要是修改已認(rèn)識(shí)到的IKE的缺陷。有計(jì)劃表明，在12月IETF的下一次會(huì)議上將揭開JFK的神秘面紗。

其間，對(duì)IKE的改進(jìn)主要有兩方面的工作。一個(gè)方面是VPN流量通過網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）時(shí)的防火墻能力。實(shí)際上，雖然NAT可能會(huì)帶來一些問題，但是現(xiàn)在有些廠商已經(jīng)能夠利用自己的辦法來避免這些問題的產(chǎn)生了。第二個(gè)方面的改進(jìn)是支持流控制傳輸協(xié)議（Stream Control Transmission Protocol，SCTP），這個(gè)協(xié)議允許其不同的組件被視為一個(gè)單獨(dú)SCTP會(huì)話中的獨(dú)立流，因而能夠提高復(fù)雜Web頁的傳輸。

這項(xiàng)工作需要花費(fèi)一些時(shí)間，而子IKE和IKE的發(fā)展同樣也需要一些時(shí)間。如果廠商認(rèn)可了改進(jìn)的或修訂的協(xié)議，他們就會(huì)在其出售的設(shè)備中使用它。

雖然，提出一個(gè)穩(wěn)定的標(biāo)準(zhǔn)需要花費(fèi)很長的時(shí)間，但是這種標(biāo)準(zhǔn)化是必需的。而且，不同廠商生產(chǎn)的設(shè)備的互用性也是一個(gè)問題。這個(gè)冗長的過程并不非常理想，但它是不可避免的。小型VPN設(shè)備制造商一般主動(dòng)與大型廠商一起努力解決互用性問題，因而他們的設(shè)備更具吸引力。當(dāng)然，解決互用性的問題也仍然需要一定的時(shí)間和一定的技能。這也許意味著客戶會(huì)堅(jiān)持使用一個(gè)廠商生產(chǎn)的設(shè)備或者使用已解決了互用性問題的多個(gè)廠商的設(shè)備。

【編輯推薦】

1. VPN實(shí)驗(yàn)小結(jié)
2. SSL VPN簡化安全訪問