L'Internet Key Exchange (IKE) est un ensemble de protocoles de support créés par le groupe de travail d'ingénierie Internet (IETF) et utilisé avec les normes de sécurité des protocoles Internet (IPSEC) pour fournir des communications sécurisées entre deux appareils, ou pairs, sur un réseau.En tant que protocole, Ike peut être utilisé dans un certain nombre d'applications logicielles.Un exemple courant est la configuration d'un réseau privé virtuel sécurisé (VPN).Bien que standard sur pratiquement tous les systèmes d'exploitation informatique modernes et les équipements de mise en réseau, une grande partie de ce que fait l'échange de clés Internet est caché à la vue de l'utilisateur moyen.

Les protocoles d'Ike établissent ce qu'on appelle une association de sécurité (SA) entre deux ou plusDes pairs sur IPSec, qui est requis pour toute communication sécurisée via IPSec.La SA définit l'algorithme cryptographique utilisé dans la communication, les clés de chiffrement et leurs dates d'expiration;Tout cela va ensuite dans la base de données de chaque association de sécurité des pairs (SAD).Bien que IPSEC puisse se faire configurer manuellement sa SA, l'échange de clés Internet négocie et établit automatiquement les associations de sécurité entre les pairs, y compris la possibilité de créer le sien.

L'échange de clés Internet est connu sous le nom de protocole hybride.IKE utilise un cadre de protocole connu sous le nom d'association de sécurité Internet et le protocole de gestion des clés (ISAKMP).ISAKMP offre à Ike la possibilité d'établir le SA et fait les travaux de définition du format de la charge utile des données et de décider du protocole d'échange clé qui sera utilisé.ISAKMP est capable d'utiliser plusieurs méthodes pour échanger des clés, mais son implémentation dans IKE utilise des aspects de deux.La majeure partie du processus d'échange de clés utilise la méthode Oakley Key Détermination du protocole de détermination (Oakley), qui définit les différents modes, mais Ike utilise également une partie de la méthode de mécanisme d'échange de clés source (SKEME), qui permet le chiffrement de la clé publique et a la capacité deRafraîchissez rapidement les clés.

Lorsque les pairs souhaitent communiquer en toute sécurité, ils envoient ce que l'on appelle un trafic intéressant les uns aux autres.Le trafic intéressant est des messages qui adhèrent à une politique IPSEC qui a été établie sur les pairs.Un exemple de cette politique trouvé dans les pare-feu et les routeurs s'appelle une liste d'accès.La liste d'accès reçoit une politique de cryptographie par laquelle certaines instructions au sein de la politique déterminent si des données spécifiques envoyées sur la connexion doivent être cryptées ou non.Une fois que les pairs intéressés par la communication sécurisée ont correspondant à une politique de sécurité IPSEC entre eux, le processus d'échange de clés Internet commence.

Le processus IKE a lieu en phases.De nombreuses connexions sécurisées commencent dans un état non garanti, de sorte que la première phase négocie comment les deux pairs vont poursuivre le processus de communication sécurisée.Ike authentifie d'abord l'identité des pairs, puis sécurise leur identité en déterminant quels algorithmes de sécurité utiliseront les deux pairs.En utilisant le protocole de cryptographie de clés publics Diffie-Hellman, qui est capable de créer des clés correspondantes via un réseau non protégé, l'échange de touches Internet crée des clés de session.Ike termine la phase 1 en créant une connexion sécurisée, un tunnel, entre les pairs qui seront utilisés dans la phase 2.

Lorsque Ike entre dans la phase 2, les pairs utilisent le nouveau IKE SA pour configurer les protocoles IPSEC qu'ils utiliseront pendant lereste de leur connexion.Un en-tête d'authentification (AH) est établi qui vérifiera que les messages envoyés sont reçus intacts.Les paquets doivent également être cryptés, donc IPSec utilise ensuite le protocole de sécurité d'encapsulation (ESP) pour crypter les paquets, en les gardant à l'abri des yeux indiscrets.L'AH est calculé sur la base du contenu du paquet, et le paquet est crypté, de sorte que les paquets sont sécurisés par quiconque tente de remplacer les paquets par des bidonses ou la lecture du contenu d'un paquet.

Ike échange également des non-cryptographies pendant la phase 2. Un nonce est un nombre ou une chaîne qui n'est utilisé qu'une seule fois.Le nonce estPuis utilisé par un pair s'il a besoin de créer une nouvelle clé secrète ou d'empêcher un attaquant de générer de faux SAS, empêchant ce qu'on appelle une attaque de relecture.

Les avantages d'une approche multiphasé pour IKE est qu'en utilisant la phase 1SA, l'un ou l'autre pair peut initier une phase 2 à tout moment pour reconstituer une nouvelle SA pour s'assurer que la communication reste sécurisée.Une fois que l'échange de clés Internet a terminé ses phases, un tunnel IPSEC est créé pour l'échange d'informations.Les paquets envoyés via le tunnel sont cryptés et déchiffrés selon les SAS établis pendant la phase 2. une fois terminé, le tunnel se termine, en expirant sur la base d'un délai prédéterminé, ou après une certaine quantité de données transférées.Bien sûr, des négociations supplémentaires de la phase 2 IKE peuvent garder le tunnel ouvert ou, alternativement, démarrer une nouvelle négociation de phase 1 et de phase 2 pour établir un nouveau tunnel sécurisé.