Internet Key Exchange (IKE) är en uppsättning supportprotokoll som skapats av Internet Engineering Task Force (IETF) och används med Internet Protocol Security (IPSEC) -standarder för att ge säker kommunikation mellan två enheter eller kamrater, över ett nätverk.Som ett protokoll kan IKE användas i ett antal programvaruapplikationer.Ett vanligt exempel är att ställa in ett säkert virtuellt privat nätverk (VPN).Även om standard på praktiskt taget alla moderna datoroperativsystem och nätverksutrustning, är mycket av vad Internet -nyckelutbytet gör dold för den genomsnittliga användaren.

Protokollen i IKE fastställer vad som kallas en säkerhetsförening (SA) mellan två eller flerkamrater över IPSec, som krävs för någon säker kommunikation via IPSec.SA definierar den kryptografiska algoritmen som används i kommunikationen, krypteringsnycklarna och deras utgångsdatum;Allt går sedan in i varje Peers Security Association -databas (SAD).Medan IPSec kan ha sin SA konfigurerat manuellt, förhandlar Internet Key Exchange förhandlar om säkerhetsföreningarna bland kamrater automatiskt, inklusive förmågan att skapa sin egen.

Internetnyckelutbytet kallas ett hybridprotokoll.IKE använder sig av ett protokollram som kallas Internet Security Association och Key Management Protocol (ISAKMP).ISAKMP ger IKE förmågan att fastställa SA och gör arbetet med att definiera formatet för dataan nyttolast och besluta om nyckelutbytesprotokollet som kommer att användas.Isakmp kan använda flera metoder för att utbyta nycklar, men dess implementering i IKE använder aspekter av två.Det mesta av nyckelutbytesprocessen använder Metod för Oakley Key Bestämningsprotokoll (OAKLEY), som definierar olika lägen, men IKE använder också en del av källknappens utbytesmekanism (Skeme), som möjliggör offentlig nyckelkryptering och har förmågan att förmågaUppdatera nycklar snabbt.

När kamrater vill kommunicera säkert skickar de det som kallas intressant trafik till varandra.Intressant trafik är meddelanden som följer en IPSec -policy som har upprättats på kamrater.Ett exempel på denna policy som finns i brandväggar och routrar kallas en åtkomstlista.Åtkomstlistan ges en kryptografipolicy genom vilken vissa uttalanden inom policyn avgör om specifika data som skickas över anslutningen ska krypteras eller inte.När de kamrater som är intresserade av säker kommunikation har matchat en IPSec -säkerhetspolicy med varandra, börjar internetnyckelutbytesprocessen.

IKE -processen äger rum i faser.Många säkra anslutningar börjar i ett osäkrat tillstånd, så den första fasen förhandlar om hur de två kamrater kommer att fortsätta processen med säker kommunikation.IKE autentiserar först kamraternas identitet och säkerställer sedan deras identitet genom att bestämma vilka säkerhetsalgoritmer som båda kamrater kommer att använda.Med hjälp av Diffie-Hellman Public Key Cryptography Protocol, som kan skapa matchande nycklar via ett oskyddat nätverk skapar Internet Key Exchange sessionnycklar.IKE avslutar fas 1 genom att skapa en säker anslutning, en tunnel, mellan de kamrater som kommer att användas i fas 2.

När Ike kommer in i fas 2 använder kamrater den nya Ike SA för att ställa in IPSec -protokollen de kommer att använda underresten av deras anslutning.En autentiseringshuvud (AH) upprättas som kommer att verifiera att meddelanden som skickas mottas intakt.Paket måste också krypteras, så IPSec använder sedan det inkapslande säkerhetsprotokollet (ESP) för att kryptera paketen och hålla dem säkra från nyfikna ögon.AH beräknas baserat på innehållet i paketet, och paketet är krypterat, så paketen är säkrade från alla som försöker byta ut paket med falska eller läsa innehållet i ett paket.

Ike byter också kryptografiska nonces under fas 2. En nonce är ett nummer eller sträng som bara används en gång.Nonce ärAnvänds sedan av en kamrat om den behöver skapa en ny hemlig nyckel eller för att förhindra att en angripare skapar falska SA: er, förhindrar vad som kallas en replayattack.

Fördelarna med en mångfasad strategi för IKE är att genom att använda fas 1SA, antingen kamrat kan initiera en fas 2 när som helst för att förhandla om en ny SA för att säkerställa att kommunikationen förblir säker.Efter att Internet Key Exchange har slutfört sina faser skapas en IPSec -tunnel för informationsutbyte.Paketen som skickas via tunneln är krypterade och dekrypterade enligt SAS som är etablerade under fas 2. När de är färdiga avslutas tunneln, genom att antingen löpa ut baserat på en förutbestämd tidsgräns, eller efter att en viss mängd data har överförts.Naturligtvis kan ytterligare IKE -fas 2 -förhandlingar hålla tunneln öppen eller, alternativt, starta en ny fas 1 och fas 2 -förhandlingar för att upprätta en ny, säker tunnel.