De Internet Key Exchange (IKE) is een reeks ondersteuningsprotocollen gemaakt door de Internet Engineering Task Force (IETF) en gebruikt met Internet Protocol Security (IPSEC) -standaarden om veilige communicatie tussen twee apparaten of collega's, via een netwerk te bieden.Als protocol kan Ike worden gebruikt in een aantal softwaretoepassingen.Een veel voorkomend voorbeeld is het opzetten van een veilig virtueel privénetwerk (VPN).Hoewel standaard op vrijwel alle moderne computerbesturingssystemen en netwerkapparatuur, is veel van wat de internetsleuteluitwisseling doet verborgen voor de weergave van de gemiddelde gebruiker.

De protocollen in Ike vestigen wat een beveiligingsvereniging (SA) wordt genoemd tussen twee of meerPeers over IPSEC, die vereist is voor elke beveiligde communicatie via IPSEC.De SA definieert het cryptografische algoritme dat wordt gebruikt in de communicatie, de coderingssleutels en hun vervaldatums;Dit gaat dan allemaal in elke database van Peers Security Association (SAD).Ike maakt gebruik van een protocolraamwerk dat bekend staat als de Internet Security Association en Key Management Protocol (ISAKMP).ISAKMP biedt Ike de mogelijkheid om de SA te vestigen, en doet de taken van het definiëren van het formaat van de gegevensvergoeding en het beslissen over het belangrijkste uitwisselingsprotocol dat zal worden gebruikt.ISAKMP is in staat om verschillende methoden te gebruiken voor het uitwisselen van toetsen, maar de implementatie ervan in Ike gebruikt aspecten van twee.Het grootste deel van het belangrijkste uitwisselingsproces maakt gebruik van de methode Oakley Key Deportination Protocol (Oakley), die de verschillende modi definieert, maar Ike gebruikt ook een deel van de methode Source Key Exchange Mechanism (SKEME), die de openbare sleutelcodering mogelijk maakt en de mogelijkheid heeftVernieuw de sleutels snel.

Wanneer collega's veilig willen communiceren, sturen ze wat interessant verkeer naar elkaar wordt genoemd.Interessant verkeer is berichten die zich houden aan een IPSEC -beleid dat op de collega's is vastgesteld.Een voorbeeld van dit beleid in firewalls en routers wordt een toegangslijst genoemd.De toegangslijst krijgt een cryptografiebeleid waarmee bepaalde verklaringen binnen het beleid bepalen of specifieke gegevens die via de verbinding worden verzonden, al dan niet moeten worden gecodeerd.Zodra de collega's die geïnteresseerd zijn in veilige communicatie een IPSEC -beveiligingsbeleid met elkaar hebben geëvenaard, begint het internetsleuteluitwisselingsproces.

Het Ike -proces vindt plaats in fasen.Veel veilige verbindingen beginnen in een onbeveiligde staat, dus de eerste fase onderhandelt hoe de twee collega's het proces van veilige communicatie zullen voortzetten.Ike authenticeert eerst de identiteit van de collega's en beveiligt vervolgens hun identiteit door te bepalen welke beveiligingsalgoritmen beide collega's zullen gebruiken.Met behulp van het Diffie-Hellman Public Key Cryptography Protocol, dat in staat is om matching-toetsen te maken via een onbeschermd netwerk, maakt de Internet Key Exchange sessietoetsen.Ike eindigt fase 1 door een veilige verbinding te maken, een tunnel, tussen de collega's die in fase 2 worden gebruikt.de rest van hun verbinding.Er is een authenticatiekop (AH) vastgesteld die zal controleren of verzonden berichten intact worden ontvangen.Pakketten moeten ook worden gecodeerd, dus Ipsec gebruikt vervolgens het Encapsulating Security Protocol (ESP) om de pakketten te coderen, waardoor ze worden beschermen tegen nieuwsgierige ogen.De AH wordt berekend op basis van de inhoud van het pakket en het pakket is gecodeerd, dus de pakketten zijn beveiligd van iedereen die probeert pakketten te vervangen door nep -banen of het lezen van de inhoud van een pakket.

IKE ruilt ook cryptografische nonces uit tijdens fase 2 tijdens fase 2. Een nonce is een getal of tekenreeks die slechts eenmaal wordt gebruikt.De nonce isvervolgens gebruikt door een peer als het een nieuwe geheime sleutel moet maken of om te voorkomen dat een aanvaller nep-SA's genereert, die voorkomt wat een herhalingsaanval wordt genoemd.

De voordelen van een meerfodige aanpak voor Ike is dat door de fase 1 te gebruikenSA, beide peer, kan op elk moment een fase 2 initiëren om een nieuwe SA opnieuw te onderhandelen om ervoor te zorgen dat de communicatie veilig blijft.Nadat de internetsleuteluitwisseling zijn fasen heeft voltooid, wordt een IPSEC -tunnel gemaakt voor de uitwisseling van informatie.De pakketten die via de tunnel worden verzonden, worden gecodeerd en gedecodeerd volgens de SAS die tijdens fase 2 zijn vastgesteld. Wanneer voltooid, wordt de tunnel beëindigd, door te vervallen op basis van een vooraf bepaalde tijdslimiet, of nadat een bepaalde hoeveelheid gegevens is overgedragen.Natuurlijk kunnen aanvullende Ike Fase 2 -onderhandelingen de tunnel open houden of, als alternatief, een nieuwe fase 1- en fase 2 -onderhandeling starten om een nieuwe, beveiligde tunnel op te zetten.