Το Internet Key Exchange (IKE) είναι ένα σύνολο πρωτοκόλλων υποστήριξης που δημιουργούνται από την Task Force Task Force του Διαδικτύου (IETF) και χρησιμοποιούνται με πρότυπα ασφάλειας πρωτοκόλλου Internet (IPSEC) για την παροχή ασφαλών επικοινωνιών μεταξύ δύο συσκευών ή των συνομηλίκων μέσω ενός δικτύου.Ως πρωτόκολλο, το IKE μπορεί να χρησιμοποιηθεί σε διάφορες εφαρμογές λογισμικού.Ένα κοινό παράδειγμα είναι η δημιουργία ενός ασφαλούς εικονικού ιδιωτικού δικτύου (VPN).Ενώ είναι στάνταρ σε σχεδόν όλα τα σύγχρονα λειτουργικά συστήματα υπολογιστών και εξοπλισμό δικτύωσης, πολλά από αυτά που κάνει η ανταλλαγή κλειδιών Internet είναι κρυμμένο από την άποψη του μέσου χρήστη.

Τα πρωτόκολλα στο IKE καθορίζουν αυτό που ονομάζεται Σύνδεσμος Ασφαλείας (SA) μεταξύ δύο ή περισσότερωνΟι συμμαθητές της IPSec, το οποίο απαιτείται για τυχόν ασφαλείς επικοινωνίες μέσω του IPSEC.Η ΑΕ ορίζει τον κρυπτογραφικό αλγόριθμο που χρησιμοποιείται στην επικοινωνία, τα κλειδιά κρυπτογράφησης και τις ημερομηνίες λήξης τους.Όλα αυτά πηγαίνουν σε κάθε βάση δεδομένων συσχέτισης ασφαλείας (SAD).Ενώ η IPSEC μπορεί να διαμορφώσει το SA με μη αυτόματο τρόπο, η ανταλλαγή κλειδιών στο Διαδίκτυο διαπραγματεύεται και καθιερώνει αυτόματα τις ενώσεις ασφαλείας μεταξύ των συνομηλίκων, συμπεριλαμβανομένης της δυνατότητας δημιουργίας της δικής του.

Η ανταλλαγή κλειδιών Internet είναι γνωστή ως ένα υβριδικό πρωτόκολλο.Το IKE χρησιμοποιεί ένα πλαίσιο πρωτοκόλλου που είναι γνωστό ως Σύνδεσμος Ασφαλείας Διαδικτύου και Πρωτόκολλο Διαχείρισης Βασικών (ISAKMP).Το ISAKMP παρέχει στο IKE τη δυνατότητα να καθιερώσει την SA και κάνει τις εργασίες καθορισμού της μορφής του ωφέλιμου φορτίου δεδομένων και αποφασίζοντας το πρωτόκολλο ανταλλαγής βασικών που θα χρησιμοποιηθεί.Το ISAKMP είναι σε θέση να χρησιμοποιήσει διάφορες μεθόδους για την ανταλλαγή κλειδιών, αλλά η εφαρμογή του στο IKE χρησιμοποιεί πτυχές δύο.Το μεγαλύτερο μέρος της βασικής διαδικασίας ανταλλαγής χρησιμοποιεί τη μέθοδο πρωτοκόλλου προσδιορισμού κλειδιού Oakley (Oakley), η οποία ορίζει τους διάφορους τρόπους, αλλά η IKE χρησιμοποιεί επίσης κάποια από τη μέθοδο μηχανισμού ανταλλαγής πηγής (SKEME), η οποία επιτρέπει την κρυπτογράφηση δημόσιου κλειδιού και έχει τη δυνατότητα να κάνειΑνανεώστε γρήγορα τα πλήκτρα. Όταν οι συνομηλίκοι επιθυμούν να επικοινωνούν με ασφάλεια, στέλνουν αυτό που ονομάζεται ενδιαφέρουσα κυκλοφορία ο ένας στον άλλο.Η ενδιαφέρουσα κυκλοφορία είναι τα μηνύματα που τηρούν μια πολιτική IPSEC που έχει καθιερωθεί στους συνομηλίκους.Ένα παράδειγμα αυτής της πολιτικής που βρίσκεται σε τείχη προστασίας και δρομολογητές ονομάζεται λίστα πρόσβασης.Η λίστα πρόσβασης λαμβάνει μια πολιτική κρυπτογραφίας με την οποία ορισμένες δηλώσεις εντός της πολιτικής καθορίζουν εάν συγκεκριμένα δεδομένα που αποστέλλονται κατά τη σύνδεση θα πρέπει να κρυπτογραφούνται ή όχι.Μόλις οι συμμαθητές που ενδιαφέρονται για την ασφαλή επικοινωνία έχουν αντιστοιχίσει σε μια πολιτική ασφαλείας IPSEC μεταξύ τους, αρχίζει η διαδικασία ανταλλαγής κλειδιών στο Διαδίκτυο.

Η διαδικασία IKE λαμβάνει χώρα σε φάσεις.Πολλές ασφαλείς συνδέσεις αρχίζουν σε μια μη εξασφαλισμένη κατάσταση, οπότε η πρώτη φάση διαπραγματεύεται τον τρόπο με τον οποίο οι δύο συνομηλίκοι πρόκειται να συνεχίσουν τη διαδικασία ασφαλούς επικοινωνίας.Το IKE επικυρώνει πρώτα την ταυτότητα των συνομηλίκων και στη συνέχεια εξασφαλίζει την ταυτότητά τους, καθορίζοντας ποιοι αλγόριθμοι ασφαλείας θα χρησιμοποιήσουν και οι δύο συνομηλίκοι.Χρησιμοποιώντας το πρωτόκολλο κρυπτογραφίας Diffie-Hellman Public Key, το οποίο είναι σε θέση να δημιουργήσει πλήκτρα που ταιριάζουν μέσω ενός μη προστατευμένου δικτύου, το Exchange Key Exchange δημιουργεί κλειδιά περιόδου σύνδεσης.Το Ike τελειώνει τη φάση 1 δημιουργώντας μια ασφαλή σύνδεση, μια σήραγγα, μεταξύ των συνομηλίκων που θα χρησιμοποιηθούν στη φάση 2.

Όταν το IKE εισέρχεται στη φάση 2, οι συνομηλίκοι χρησιμοποιούν το νέο Ike SA για τη δημιουργία των πρωτοκόλλων IPSEC που θα χρησιμοποιήσουν κατά τη διάρκεια τουτο υπόλοιπο της σύνδεσής τους.Δημιουργείται μια κεφαλίδα ελέγχου ταυτότητας (AH) που θα επαληθεύσει ότι τα μηνύματα που αποστέλλονται λαμβάνονται άθικτα.Τα πακέτα πρέπει επίσης να κρυπτογραφηθούν, οπότε το IPSEC χρησιμοποιεί το πρωτόκολλο ασφαλείας (ESP) για να κρυπτογραφήσει τα πακέτα, κρατώντας τα ασφαλή από τα αδιάκριτα μάτια.Το AH υπολογίζεται με βάση τα περιεχόμενα του πακέτου και το πακέτο είναι κρυπτογραφημένο, έτσι ώστε τα πακέτα να είναι ασφαλισμένα από οποιονδήποτε επιχειρεί να αντικαταστήσει πακέτα με ψεύτικα ή να διαβάζει τα περιεχόμενα ενός πακέτου.. Ένα nonce είναι ένας αριθμός ή συμβολοσειρά που χρησιμοποιείται μόνο μία φορά.Το nonce είναιΣτη συνέχεια, χρησιμοποιείται από έναν ομότιμο εάν χρειάζεται να δημιουργήσει ένα νέο μυστικό κλειδί ή για να εμποδίσει έναν εισβολέα να δημιουργήσει ψεύτικες SAS, εμποδίζοντας αυτό που ονομάζεται επίθεση επανάληψης.

Τα οφέλη μιας πολυεπίπεδης προσέγγισης για το IKE είναι αυτή με τη χρήση της φάσης 1SA, είτε ο Peer μπορεί να ξεκινήσει μια φάση 2 ανά πάσα στιγμή για να επαναπροσδιορίσει μια νέα ΑΕ για να εξασφαλίσει ότι η επικοινωνία παραμένει ασφαλής.Μετά την ολοκλήρωση της ανταλλαγής κλειδιών στο Διαδίκτυο, δημιουργείται μια σήραγγα IPSEC για την ανταλλαγή πληροφοριών.Τα πακέτα που αποστέλλονται μέσω της σήραγγας είναι κρυπτογραφημένα και αποκρυπτογραφημένα σύμφωνα με το SAS που δημιουργήθηκε κατά τη διάρκεια της φάσης 2. Όταν τελειώσει, η σήραγγα τερματίζεται, είτε με τη λήξη με βάση ένα προκαθορισμένο χρονικό όριο είτε μετά από ένα ορισμένο ποσό δεδομένων.Φυσικά, οι πρόσθετες διαπραγματεύσεις IKE Phase 2 μπορούν να διατηρήσουν τη σήραγγα ανοιχτή ή, εναλλακτικά, να ξεκινήσουν μια νέα διαπραγμάτευση φάσης 1 και φάσης 2 για να δημιουργήσουν μια νέα, ασφαλή σήραγγα.