Internet Key Exchange (IKE) er et sæt supportprotokoller oprettet af Internet Engineering Task Force (IETF) og bruges med Internet Protocol Security (IPSEC) standarder for at give sikker kommunikation mellem to enheder eller jævnaldrende over et netværk.Som protokol kan IKE bruges i en række softwareapplikationer.Et almindeligt eksempel er at oprette et sikkert virtuelt privat netværk (VPN).Mens standard på stort set alle moderne computeroperativsystemer og netværksudstyr, er meget af, hvad Internet Key Exchange gør, skjult for udsigten over den gennemsnitlige bruger.

Protokollerne i Ike fastlægger, hvad der kaldes en sikkerhedsforening (SA) mellem to eller flerePeers over IPSEC, som kræves til enhver sikker kommunikation via IPsec.SA definerer den kryptografiske algoritme, der bruges i kommunikationen, krypteringsnøglerne og deres udløbsdatoer;Alt dette går derefter ind i hver Peers Security Association Database (SAD).Mens IPSEC kan have sin SA konfigureret manuelt, forhandler Internet Key Exchange og etablerer sikkerhedsforeninger blandt kammerater automatisk, herunder muligheden for at oprette sin egen.

Internet Key Exchange er kendt som en hybridprotokol.Ike bruger en protokolramme kendt som Internet Security Association og Key Management Protocol (ISAKMP).ISAKMP giver Ike muligheden for at etablere SA, og udfører jobbet med at definere formatet for databehandlingen og beslutte den nøgleudvekslingsprotokol, der vil blive brugt.ISAKMP er i stand til at bruge flere metoder til udveksling af nøgler, men dens implementering i Ike bruger aspekter af to.Det meste af nøgleudvekslingsprocessen bruger Oakley Key Key Bestemmelsesprotokol (OAKLEY) -metoden, der definerer de forskellige tilstande, men IKE bruger også nogle af Source Key Exchange Mechanism (SKEME) -metoden, der giver mulighed for at få offentlig nøgle -kryptering og har evnen til atOpdater nøgler hurtigt.

Når kammerater ønsker at kommunikere sikkert, sender de det, der kaldes interessant trafik til hinanden.Interessant trafik er meddelelser, der overholder en IPsec -politik, der er etableret på jævnaldrende.Et eksempel på denne politik, der findes i firewalls og routere, kaldes en adgangsliste.Adgangslisten får en kryptografipolitik, hvorved visse udsagn inden for politikken bestemmer, om specifikke data, der er sendt over forbindelsen, skal krypteres eller ej.Når de kammerater, der er interesseret i sikker kommunikation, har matchet en IPsec -sikkerhedspolitik med hinanden, begynder Internet -nøgleudvekslingsprocessen.

IKE -processen finder sted i faser.Mange sikre forbindelser begynder i en usikret tilstand, så den første fase forhandler, hvordan de to jævnaldrende vil fortsætte processen med sikker kommunikation.IKE autentificerer først peers identitet og sikrer derefter deres identitet ved at bestemme, hvilke sikkerhedsalgoritmer begge jævnaldrende vil bruge.Ved hjælp af Diffie-Hellman Public Key Cryptography Protocol, som er i stand til at oprette matchende nøgler via et ubeskyttet netværk, opretter Internet Key Exchange sessionstaster.Ike afslutter fase 1 ved at oprette en sikker forbindelse, en tunnel, mellem de kammerater, der vil blive brugt i fase 2.

Når Ike går ind i fase 2, bruger peers den nye Ike SA til at oprette IPSec -protokollerne, de vil bruge underresten af deres forbindelse.En godkendelsesoverskrift (AH) er etableret, der vil verificere, at der sendes meddelelser modtages intakt.Pakker skal også krypteres, så IPSec bruger derefter den indkapslende sikkerhedsprotokol (ESP) til at kryptere pakkerne, hvilket holder dem sikre mod nysgerrige øjne.AH beregnes baseret på indholdet af pakken, og pakken er krypteret, så pakkerne er sikret fra enhver, der forsøger at udskifte pakker med falske eller læse indholdet af en pakke.

Ike udveksler også kryptografiske ikke -nonces i fase 2. En nonce er et tal eller en streng, der kun bruges én gang.Nonce erDerefter bruges af en peer, hvis den er nødt til at oprette en ny hemmelig nøgle eller for at forhindre en angriber i at generere falske SA'er, hvilket forhindrer, hvad der kaldes et gentagelsesangreb.

Fordelene ved en flerfaset tilgang til Ike er det ved at bruge fase 1SA, enten kan peer indlede en fase 2 når som helst for at genforhandle en ny SA for at sikre, at kommunikationen forbliver sikker.Efter at Internet Key Exchange er afsluttet sine faser, oprettes en IPsec -tunnel til udveksling af information.Pakkerne, der sendes via tunnelen, er krypteret og dekrypteret i henhold til SAS, der er etableret i fase 2., når den er færdig, afsluttes tunnelen ved enten at udløbe baseret på en forudbestemt tidsgrænse, eller efter en bestemt mængde data er overført.Naturligvis kan yderligere IKE -fase 2 -forhandlinger holde tunnelen åben eller alternativt starte en ny fase 1 og fase 2 -forhandling for at etablere en ny, sikker tunnel.