Ang Internet Key Exchange (IKE) ay isang hanay ng mga protocol ng suporta na nilikha ng Internet Engineering Task Force (IETF) at ginamit sa mga pamantayang Internet Protocol Security (IPsec) upang magbigay ng ligtas na komunikasyon sa pagitan ng dalawang aparato, o mga kapantay, sa isang network.Bilang isang protocol, maaaring magamit ang IKE sa isang bilang ng mga aplikasyon ng software.Ang isang karaniwang halimbawa ay ang pag -set up ng isang ligtas na virtual pribadong network (VPN).Habang ang pamantayan sa halos lahat ng mga modernong operating system at kagamitan sa networking, karamihan sa kung ano ang ginagawa ng internet key exchange ay nakatago mula sa pagtingin sa average na gumagamit.mga kapantay sa IPSEC, na kinakailangan para sa anumang ligtas na komunikasyon sa pamamagitan ng IPSEC.Tinukoy ng SA ang cryptographic algorithm na ginagamit sa komunikasyon, mga key ng encryption, at ang kanilang mga petsa ng pag -expire;Ang lahat ng ito ay pumapasok sa bawat database ng Peers Security Association (SAD).Habang ang IPsec ay maaaring manu -manong naka -configure ng SA, ang internet key exchange ay nakikipag -ayos at nagtatatag ng mga asosasyon ng seguridad sa mga kapantay na awtomatiko, kabilang ang kakayahang lumikha ng sarili nito.Ginagamit ni Ike ang isang balangkas ng protocol na kilala bilang Internet Security Association at Key Management Protocol (ISAKMP).Ang ISAKMP ay nagbibigay ng IKE ng kakayahang maitaguyod ang SA, at ginagawa ang mga trabaho ng pagtukoy ng format ng data payload at pagpapasya sa key exchange protocol na gagamitin.Ang ISAKMP ay may kakayahang gumamit ng maraming mga pamamaraan para sa pagpapalitan ng mga susi, ngunit ang pagpapatupad nito sa IKE ay gumagamit ng mga aspeto ng dalawa.Karamihan sa mga pangunahing proseso ng pagpapalitan ay gumagamit ng pamamaraan ng Oakley Key Determination Protocol (Oakley), na tumutukoy sa iba't ibang mga mode, ngunit gumagamit din ang IKE ng ilan sa paraan ng Source Key Exchange Mechanism (SKEME), na nagbibigay -daan para sa pampublikong key encryption at may kakayahangMabilis na mag -refresh ng mga susi.

Kapag nais ng mga kapantay na makipag -usap nang ligtas, ipinapadala nila ang tinatawag na kawili -wiling trapiko sa isa't isa.Ang mga kagiliw -giliw na trapiko ay mga mensahe na sumunod sa isang patakaran ng IPSEC na naitatag sa mga kapantay.Isang halimbawa ng patakarang ito na matatagpuan sa mga firewall at mga router ay tinatawag na isang listahan ng pag -access.Ang listahan ng pag -access ay bibigyan ng isang patakaran sa kriptograpiya kung saan ang ilang mga pahayag sa loob ng patakaran ay matukoy kung ang mga tukoy na data na ipinadala sa koneksyon ay dapat na naka -encrypt o hindi.Kapag ang mga kapantay na interesado sa ligtas na komunikasyon ay tumugma sa isang patakaran sa seguridad ng IPSec sa bawat isa, nagsisimula ang proseso ng pagpapalitan ng key ng internet.

Ang proseso ng IKE ay naganap sa mga phase.Maraming mga ligtas na koneksyon ang nagsisimula sa isang hindi ligtas na estado, kaya ang unang yugto ay nag -uusap kung paano ipagpapatuloy ng dalawang kapantay ang proseso ng ligtas na komunikasyon.Una nang pinatunayan ni Ike ang pagkakakilanlan ng mga kapantay at pagkatapos ay sinisiguro ang kanilang mga pagkakakilanlan sa pamamagitan ng pagtukoy kung aling mga algorithm ng seguridad ang gagamitin ng parehong mga kapantay.Gamit ang diffie-Hellman pampublikong key cryptography protocol, na may kakayahang lumikha ng pagtutugma ng mga susi sa pamamagitan ng isang hindi protektadong network, ang internet key exchange ay lumilikha ng mga susi ng session.Natapos ang Ike Phase 1 sa pamamagitan ng paglikha ng isang ligtas na koneksyon, isang lagusan, sa pagitan ngnatitira sa kanilang koneksyon.Ang isang header ng pagpapatunay (AH) ay itinatag na magpapatunay na ang mga mensahe na ipinadala ay natanggap na buo.Kailangan ding mai -encrypt ang mga packet, kaya ginamit ng IPsec ang encapsulating security protocol (ESP) upang i -encrypt ang mga packet, pinapanatili itong ligtas mula sa mga mata.Ang AH ay kinakalkula batay sa mga nilalaman ng packet, at ang packet ay naka -encrypt, kaya ang mga packet ay na -secure mula sa sinumang nagtatangkang palitan ang mga packet na may mga phony o binabasa ang mga nilalaman ng isang packet.. Ang isang nonce ay isang numero o string na ginagamit lamang ng isang beses.Ang nonce ayPagkatapos ay ginamit ng isang peer kung kailangan nitong lumikha ng isang bagong lihim na susi o upang maiwasan ang isang umaatake mula sa pagbuo ng pekeng SAS, na pumipigil sa tinatawag na isang pag-atake ng replay.

Ang mga pakinabang ng isang multi-phased na diskarte para sa IKE ay sa pamamagitan ng paggamit ng phase 1SA, alinman sa peer ay maaaring magsimula ng isang phase 2 sa anumang oras upang muling negotiate ang isang bagong SA upang matiyak na mananatiling ligtas ang komunikasyon.Matapos makumpleto ng palitan ng internet key ang mga phase nito, isang tunel ng IPsec ay nilikha para sa pagpapalitan ng impormasyon.Ang mga packet na ipinadala sa pamamagitan ng tunel ay naka-encrypt at na-decrypted ayon sa SAS na itinatag sa panahon ng Phase 2. Kapag natapos, natapos ang lagusan, sa pamamagitan ng alinman sa pag-expire batay sa isang paunang natukoy na limitasyon ng oras, o pagkatapos ng isang tiyak na halaga ng data ay inilipat.Siyempre, ang mga karagdagang negosasyong IKE 2 ay maaaring panatilihing bukas ang tunel o, bilang kahalili, magsimula ng isang bagong pag -uusap sa Phase 1 at Phase 2 upang maitaguyod ang isang bago, secure na tunel.