Internet Key Exchange (IKE) er et sett med støtteprotokoller opprettet av Internet Engineering Task Force (IETF) og brukt med Internet Protocol Security (IPSec) -standarder for å gi sikker kommunikasjon mellom to enheter, eller jevnaldrende, over et nettverk.Som en protokoll kan IKE brukes i en rekke programvareapplikasjoner.Et vanlig eksempel er å sette opp et sikkert virtuelt privat nettverk (VPN).Mens standard på praktisk talt alle moderne datamaskinoperativsystemer og nettverksutstyr, er mye av det Internett -nøkkelutvekslingen gjør skjult for synet på den gjennomsnittlige brukeren.

Protokollene i Ike etablerer det som kalles en sikkerhetsforening (SA) mellom to eller flerejevnaldrende over IPsec, som kreves for alle sikre kommunikasjoner via IPsec.SA definerer den kryptografiske algoritmen som brukes i kommunikasjonen, krypteringsnøklene og utløpsdatoene deres;Alt dette går deretter inn i hver Peers Security Association -database (SAD).Mens IPsec kan ha SA -konfigurert manuelt, forhandler Internet Key Exchange og etablerer sikkerhetsforeningene blant jevnaldrende automatisk, inkludert muligheten til å lage sitt eget.

Internet Key Exchange er kjent som en hybridprotokoll.Ike benytter seg av et protokollramme kjent som Internet Security Association og Key Management Protocol (ISAKMP).ISAKMP gir Ike muligheten til å etablere SA, og gjør jobbene med å definere formatet på datalasten og bestemme nøkkelutvekslingsprotokollen som skal brukes.ISAKMP er i stand til å bruke flere metoder for utveksling av nøkler, men implementeringen av Ike bruker aspekter av to.Det meste av nøkkelutvekslingsprosessen bruker Oakley Key Bestemmelsesprotokoll (Oakley) -metoden, som definerer de forskjellige modusene, men IKE bruker også noen av Source Key Exchange Mechanism (Skeme) -metoden, som gir mulighet for offentlig nøkkelkryptering og har muligheten tilOppdater nøkler raskt.

Når jevnaldrende ønsker å kommunisere sikkert, sender de det som kalles interessant trafikk til hverandre.Interessant trafikk er meldinger som holder seg til en IPsec -policy som er etablert på jevnaldrende.Et eksempel på denne policyen som finnes i brannmurer og rutere kalles en tilgangsliste.Tilgangslisten får en kryptografipolitikk som visse uttalelser innenfor policyen bestemmer om spesifikke data som er sendt over tilkoblingen skal krypteres eller ikke.Når jevnaldrende som er interessert i sikker kommunikasjon har matchet en IPSEC -sikkerhetspolitikk med hverandre, begynner internettnøkkelutvekslingsprosessen.

IKE -prosessen finner sted i faser.Mange sikre forbindelser begynner i en usikret tilstand, så den første fasen forhandler om hvordan de to jevnaldrende skal fortsette prosessen med sikker kommunikasjon.Ike autentiserer først identiteten til jevnaldrende og sikrer deretter identiteten deres ved å bestemme hvilke sikkerhetsalgoritmer begge jevnaldrende vil bruke.Ved å bruke Diffie-Hellman Public Key Cryptography Protocol, som er i stand til å lage matchende nøkler via et ubeskyttet nettverk, oppretter Internet Key Exchange Session Keys.Ike avslutter fase 1 ved å opprette en sikker tilkobling, en tunnel, mellom jevnaldrende som skal brukes i fase 2.

Når Ike går inn i fase 2, bruker jevnaldrende den nye Ike SA for å sette opp IPsec -protokollene de vil bruke under denresten av forbindelsen deres.Det er fastslått en autentiseringsoverskrift (AH) som vil bekrefte at sendte meldinger mottas intakte.Pakker må også krypteres, så IPsec bruker deretter innkapsling av sikkerhetsprotokoll (ESP) for å kryptere pakkene, og holde dem trygge mot nysgjerrige øyne.AH beregnes basert på innholdet i pakken, og pakken er kryptert, så pakkene er sikret fra alle som prøver å erstatte pakker med falske eller leser innholdet i en pakke.

Ike utveksler også kryptografiske nonces under fase 2. En nonce er et tall eller streng som bare brukes en gang.Nonce erDeretter brukes av en jevnaldrende hvis den trenger å opprette en ny hemmelig nøkkel eller for å forhindre at en angriper genererer falske SAS, og forhindrer hva som kalles et replayangrep.

Fordelene med en flerfaset tilnærming for IKE er at ved å bruke fase 1SA, begge jevnaldrende kan når som helst sette i gang en fase 2 for å forhandle om en ny SA for å sikre at kommunikasjonen holder seg sikker.Etter at internettnøkkelutvekslingen er fullført fasene, opprettes en IPSec -tunnel for utveksling av informasjon.Pakkene som er sendt via tunnelen er kryptert og dekryptert i henhold til SAS som ble opprettet i fase 2. Når den er ferdig, avsluttes tunnelen, ved å enten utløpe basert på en forhåndsbestemt tidsbegrensning, eller etter at en viss datamengde er overført.Selvfølgelig kan ytterligere Ike -fase 2 -forhandlinger holde tunnelen åpen, eller alternativt starte en ny fase 1- og fase 2 -forhandling for å etablere en ny, sikker tunnel.