Trao đổi khóa Internet (IKE) là một bộ giao thức hỗ trợ được tạo bởi Lực lượng đặc nhiệm kỹ thuật Internet (IETF) và được sử dụng với các tiêu chuẩn bảo mật giao thức Internet (IPSEC) để cung cấp thông tin liên lạc an toàn giữa hai thiết bị hoặc đồng nghiệp qua mạng.Là một giao thức, IKE có thể được sử dụng trong một số ứng dụng phần mềm.Một ví dụ phổ biến là thiết lập một mạng riêng ảo (VPN) an toàn.Mặc dù tiêu chuẩn trên hầu hết tất cả các hệ điều hành máy tính hiện đại và thiết bị kết nốiCác đồng nghiệp qua IPSEC, được yêu cầu cho bất kỳ thông tin liên lạc an toàn nào thông qua IPSEC.SA xác định thuật toán mật mã đang được sử dụng trong giao tiếp, các khóa mã hóa và ngày hết hạn của chúng;Tất cả điều này sau đó đi vào mỗi cơ sở dữ liệu của Hiệp hội bảo mật đồng nghiệp (SAD).Mặc dù IPSEC có thể được cấu hình SA theo cách thủ công, Trao đổi khóa Internet sẽ tự động đàm phán và thiết lập các hiệp hội bảo mật giữa các đồng nghiệp, bao gồm khả năng tạo riêng.

Trao đổi khóa Internet được gọi là giao thức lai.IKE sử dụng khung giao thức được gọi là Hiệp hội bảo mật Internet và Giao thức quản lý chính (ISAKMP).ISAKMP cung cấp cho IKE khả năng thiết lập SA và thực hiện các công việc xác định định dạng của tải trọng dữ liệu và quyết định giao thức trao đổi chính sẽ được sử dụng.ISAKMP có khả năng sử dụng một số phương thức để trao đổi các khóa, nhưng việc triển khai của nó trong IKE sử dụng các khía cạnh của hai.Hầu hết các quy trình trao đổi chính đều sử dụng phương pháp Xác định chính Oakley (Oakley), xác định các chế độ khác nhau, nhưng IKE cũng sử dụng một số phương thức cơ chế trao đổi khóa (SKEME) nguồn, cho phép mã hóa khóa công khai và có khả năngLàm mới các khóa nhanh chóng. Khi các đồng nghiệp muốn giao tiếp an toàn, họ gửi những gì được gọi là lưu lượng truy cập thú vị cho nhau.Lưu lượng truy cập thú vị là các thông điệp tuân thủ chính sách IPSEC đã được thiết lập trên các đồng nghiệp.Một ví dụ về chính sách này được tìm thấy trong tường lửa và bộ định tuyến được gọi là danh sách truy cập.Danh sách truy cập được đưa ra chính sách mật mã theo đó một số tuyên bố nhất định trong chính sách xác định xem dữ liệu cụ thể được gửi qua kết nối có nên được mã hóa hay không.Khi các đồng nghiệp quan tâm đến giao tiếp an toàn đã phù hợp với chính sách bảo mật của IPSEC với nhau, quá trình trao đổi khóa Internet bắt đầu. Quá trình IKE diễn ra theo từng giai đoạn.Nhiều kết nối an toàn bắt đầu ở một trạng thái không có bảo đảm, vì vậy giai đoạn đầu tiên đàm phán làm thế nào hai đồng nghiệp sẽ tiếp tục quá trình giao tiếp an toàn.IKE đầu tiên xác thực danh tính của các đồng nghiệp và sau đó đảm bảo danh tính của họ bằng cách xác định thuật toán bảo mật nào mà cả hai đồng nghiệp sẽ sử dụng.Sử dụng giao thức mật mã khóa công khai Diffie-Hellman, có khả năng tạo các khóa phù hợp thông qua một mạng không được bảo vệ, khóa trao đổi internet tạo ra các khóa phiên.IKE kết thúc Giai đoạn 1 bằng cách tạo kết nối an toàn, đường hầm, giữa các đồng nghiệp sẽ được sử dụng trong Giai đoạn 2. Khi IKE vào Giai đoạn 2, các đồng nghiệp sử dụng IKE SA mới để thiết lập các giao thức IPSEC mà họ sẽ sử dụng trong thời gianphần còn lại của kết nối của họ.Một tiêu đề xác thực (AH) được thiết lập sẽ xác minh rằng các tin nhắn được gửi được nhận nguyên vẹn.Các gói cũng cần được mã hóa, vì vậy IPSEC sau đó sử dụng giao thức bảo mật đóng gói (ESP) để mã hóa các gói, giữ cho chúng an toàn khỏi mắt.AH được tính toán dựa trên nội dung của gói và gói được mã hóa, do đó các gói được bảo đảm từ bất kỳ ai cố gắng thay thế các gói bằng giả mạo hoặc đọc nội dung của gói.. Một người không phải là một số hoặc chuỗi chỉ được sử dụng một lần.Người không phải làSau đó, được sử dụng bởi một người ngang hàng nếu nó cần tạo một khóa bí mật mới hoặc để ngăn chặn kẻ tấn công tạo ra SAS giả, ngăn chặn những gì được gọi là một cuộc tấn công phát lại.SA, ngang hàng có thể bắt đầu Giai đoạn 2 bất cứ lúc nào để đàm phán lại SA mới để đảm bảo giao tiếp vẫn an toàn.Sau khi trao đổi khóa Internet hoàn thành các giai đoạn của nó, một đường hầm IPSEC được tạo để trao đổi thông tin.Các gói được gửi qua đường hầm được mã hóa và giải mã theo SAS được thiết lập trong Giai đoạn 2. Khi hoàn thành, đường hầm chấm dứt, bằng cách hết hạn dựa trên giới hạn thời gian được xác định trước hoặc sau khi một lượng dữ liệu nhất định đã được chuyển.Tất nhiên, các cuộc đàm phán bổ sung IKE giai đoạn 2 có thể giữ cho đường hầm mở hoặc, thay vào đó, hãy bắt đầu một cuộc đàm phán giai đoạn 1 và giai đoạn 2 mới để thiết lập một đường hầm an toàn, mới.