Internet Key Exchange (IKE) je sada protokolů podpůrných protokolů vytvořených společností Internet Engineering Task Force (IETF) a používanými standardy pro zabezpečení internetového protokolu (IPSEC) k zajištění bezpečné komunikace mezi dvěma zařízeními nebo vrstevníky přes síť.Jako protokol lze IKE použít v řadě softwarových aplikací.Jedním z běžných příkladů je nastavení zabezpečené virtuální soukromé sítě (VPN).Zatímco standard prakticky na všech moderních počítačových operačních systémech a síťových zařízeních, hodně z toho, co internetová výměna klíčů dělá, je skrytá před pohledem na průměrného uživatele.Peers Over IPsec, který je vyžadován pro jakoukoli bezpečné komunikaci prostřednictvím IPsec.SA definuje kryptografický algoritmus používaný v komunikaci, šifrovacích klíčích a jejich datech vypršení;To vše pak jde do každé databáze asociace Peers Security Association (SAD).Zatímco IPSec může mít nakonfigurovaný SA ručně, internetová výměna klíčů vyjednává a zavádí bezpečnostní asociace mezi vrstevníky automaticky, včetně schopnosti vytvořit si vlastní.

Internetová výměna klíčů je známá jako hybridní protokol.IKE využívá rámec protokolu známého jako Asociace Internet Security Association and Key Management Protocol (ISAKMP).ISAKMP poskytuje IKE schopnost založit SA a provádí úlohy definování formátu datového užitečného zatížení a rozhodování o protokolu pro výměnu klíčů, který bude použit.ISAKMP je schopen použít několik metod pro výměnu klíčů, ale jeho implementace v IKE používá aspekty dvou.Většina procesu výměny klíčů používá metodu protokolu Oakley Key Determination Protocol (Oakley), která definuje různé režimy, ale IKE také používá část metody výměny zdrojových klíčů (Skeme), která umožňuje šifrování veřejného klíče a má schopnost to schopnostRychle osvěžují klíče.Zajímavým provozem jsou zprávy, které dodržují politiku IPSEC, která byla stanovena na vrstevnících.Jeden příklad této politiky nalezených v firewallech a směrovačích se nazývá seznamu přístupu.Seznam přístupu je poskytnut politiku kryptografie, pomocí které určitá prohlášení v rámci politiky určují, zda by měly být šifrovány konkrétní údaje zaslané přes připojení.Jakmile se vrstevníci, kteří mají zájem o zabezpečenou komunikaci, spojili mezi sebou bezpečnostní politiku IPSEC, začíná proces výměny internetových klíčů.

Proces IKE probíhá ve fázích.Mnoho zabezpečených spojení začíná v nezajištěném stavu, takže první fáze vyjednává, jak budou oba vrstevníci pokračovat v procesu bezpečné komunikace.IKE nejprve ověřuje identitu vrstevníků a poté zajistí jejich identitu určením, které bezpečnostní algoritmy oba vrstevníci použijí.Pomocí protokolu Diffie-Hellman Public Key Cryptography, který je schopen vytvářet odpovídající klíče prostřednictvím nechráněné sítě, vytváří internetová výměna klíčů klíče.IKE dokončí fázi 1 vytvořením zabezpečeného připojení, tunelu, mezi vrstevníky, které budou použity ve fázi 2.

Když Ike vstoupí do fáze 2, vrstevníci používají nový IKE SA pro nastavení protokolů IPSEC, které budou používat běhemzbytek jejich spojení.Je zavedena ověřovací záhlaví (AH), která ověřuje, že odesílané zprávy jsou přijímány neporušené.Pakety musí být také šifrovány, takže IPSec pak použije k šifrování paketů zapouzdřující bezpečnostní protokol (ESP), čímž je chrání v bezpečí před zvědavýma očima.AH se počítá na základě obsahu paketu a paket je šifrován, takže pakety jsou zajištěny od kohokoli, kdo se pokouší nahradit pakety za falešnými nebo čtení obsahu paketu.. Nonce je číslo nebo řetězec, který se používá pouze jednou.Nonce jePoté použije vzájemný partner, pokud potřebuje vytvořit nový tajný klíč nebo zabránit útočníkovi ve generování falešných SAS, což zabrání tomu, co se nazývá opakovací útok.SA, buď peer může zahájit fázi 2 kdykoli, aby znovu vyjednalo novou SA, aby se zajistilo, že komunikace zůstane bezpečná.Poté, co internetová výměna klíčů dokončí své fáze, je pro výměnu informací vytvořen tunel IPSEC.Pakety odeslané tunelem jsou šifrovány a dešifrovány podle SAS stanoveného během fáze 2. Po dokončení tunel končí buď vypršením vypršením na základě předem stanoveného časového limitu, nebo po přenosu určitého množství dat.Další jednání IKE fáze 2 může samozřejmě udržovat tunel otevřený nebo alternativně zahájit nové vyjednávání fáze 1 a fáze 2, aby se vytvořil nový, bezpečný tunel.