Internet Key Exchange (IKE) adalah serangkaian protokol dukungan yang dibuat oleh Standar Tugas Rekayasa Internet (IETF) dan digunakan dengan standar keamanan protokol Internet (IPSEC) untuk menyediakan komunikasi yang aman antara dua perangkat, atau rekan kerja, melalui jaringan.Sebagai protokol, IKE dapat digunakan dalam sejumlah aplikasi perangkat lunak.Salah satu contoh umum adalah menyiapkan jaringan pribadi virtual yang aman (VPN).Sementara standar pada hampir semua sistem operasi komputer modern dan peralatan jaringan, banyak dari apa yang dilakukan pertukaran kunci internet disembunyikan dari pandangan rata -rata pengguna.

Protokol di Ike menetapkan apa yang disebut Asosiasi Keamanan (SA) antara dua atau lebihPeers over IPSEC, yang diperlukan untuk setiap komunikasi yang aman melalui IPSEC.SA mendefinisikan algoritma kriptografi yang digunakan dalam komunikasi, kunci enkripsi, dan tanggal kedaluwarsa mereka;Ini semua kemudian masuk ke setiap database Asosiasi Keamanan Peers (SAD).Sementara IPSEC dapat memiliki SA yang dikonfigurasi secara manual, pertukaran Key Internet menegosiasikan dan menetapkan asosiasi keamanan di antara rekan -rekan secara otomatis, termasuk kemampuan untuk membuatnya sendiri.

Pertukaran kunci internet dikenal sebagai protokol hibrida.IKE memanfaatkan kerangka kerja protokol yang dikenal sebagai Asosiasi Keamanan Internet dan Protokol Manajemen Utama (ISAKMP).IsakMP memberi IKE kemampuan untuk membangun SA, dan melakukan pekerjaan mendefinisikan format muatan data dan memutuskan protokol pertukaran utama yang akan digunakan.IsakMP mampu menggunakan beberapa metode untuk bertukar kunci, tetapi implementasinya dalam IKE menggunakan aspek dua.Sebagian besar proses pertukaran utama menggunakan metode Oakley Key Decentitation Protocol (Oakley), yang mendefinisikan berbagai mode, tetapi IKE juga menggunakan beberapa metode mekanisme pertukaran kunci sumber (Skeme), yang memungkinkan untuk enkripsi kunci publik dan memiliki kemampuan untukSegarkan kunci dengan cepat.

Ketika rekan ingin berkomunikasi dengan aman, mereka mengirim apa yang disebut lalu lintas yang menarik satu sama lain.Lalu lintas yang menarik adalah pesan yang mematuhi kebijakan IPSEC yang telah ditetapkan pada rekan -rekan.Salah satu contoh kebijakan ini yang ditemukan dalam firewall dan router disebut daftar akses.Daftar akses diberikan kebijakan kriptografi yang dengannya pernyataan tertentu dalam kebijakan menentukan apakah data tertentu yang dikirim melalui koneksi harus dienkripsi atau tidak.Setelah rekan -rekan yang tertarik pada komunikasi yang aman cocok dengan kebijakan keamanan IPSEC satu sama lain, proses pertukaran kunci Internet dimulai.

Proses IKE berlangsung secara bertahap.Banyak koneksi yang aman dimulai dalam keadaan tanpa jaminan, sehingga fase pertama menegosiasikan bagaimana kedua rekan itu akan melanjutkan proses komunikasi yang aman.Ike pertama -tama mengotentikasi identitas rekan -rekan dan kemudian mengamankan identitas mereka dengan menentukan algoritma keamanan mana yang akan digunakan kedua rekan.Menggunakan Protokol Kriptografi Kunci Publik Diffie-Hellman, yang mampu membuat kunci pencocokan melalui jaringan yang tidak dilindungi, Internet Key Exchange membuat kunci sesi.Ike menyelesaikan fase 1 dengan membuat koneksi yang aman, terowongan, di antara rekan -rekan yang akan digunakan pada fase 2.

Ketika IKE memasuki fase 2, rekan -rekan menggunakan IKE SA yang baru untuk menyiapkan protokol IPSec yang akan mereka gunakan selama filesisa koneksi mereka.Header otentikasi (AH) ditetapkan yang akan memverifikasi bahwa pesan yang dikirim diterima utuh.Paket juga perlu dienkripsi, jadi IPSec kemudian menggunakan protokol keamanan enkapsulasi (ESP) untuk mengenkripsi paket, menjaga mereka tetap aman dari mata yang mengintip.AH dihitung berdasarkan isi paket, dan paket dienkripsi, sehingga paket diamankan dari siapa pun yang mencoba mengganti paket dengan yang palsu atau membaca isi paket.

Ike juga bertukar kriptografi selama fase 2. Nonce adalah angka atau string yang hanya digunakan sekali.Nonce adalahkemudian digunakan oleh rekan jika perlu membuat kunci rahasia baru atau untuk mencegah penyerang menghasilkan SAS palsu, mencegah apa yang disebut serangan replay.

Manfaat dari pendekatan multi-fase untuk IKE adalah bahwa dengan menggunakan Fase 1SA, baik rekan dapat memulai fase 2 kapan saja untuk negosiasi ulang SA baru untuk memastikan komunikasi tetap aman.Setelah Pertukaran Kunci Internet menyelesaikan fase -fasenya, terowongan IPSec dibuat untuk pertukaran informasi.Paket-paket yang dikirim melalui terowongan dienkripsi dan didekripsi sesuai dengan SAS yang ditetapkan selama Fase 2. Setelah selesai, terowongan berakhir, dengan kedaluwarsa berdasarkan batas waktu yang telah ditentukan, atau setelah sejumlah data telah ditransfer.Tentu saja, negosiasi IKE Fase 2 tambahan dapat membuat terowongan tetap terbuka atau, sebagai alternatif, memulai negosiasi fase 1 dan fase 2 baru untuk membangun terowongan baru yang aman.