Internet Key Exchange (IKE) on joukko tukiprotokollia, jotka Internet Engineering Task Force (IETF) on luonut ja joita käytetään IPSec -standardien kanssa suojatun tiedonsiirron aikaansaamiseksi kahden laitteen tai vertaisverkon välillä verkon kautta. IKE: tä voidaan käyttää protokollana useissa ohjelmistosovelluksissa. Yksi yleinen esimerkki on suojatun virtuaalisen yksityisen verkon (VPN) määrittäminen. Vaikka se on vakiona käytännöllisesti katsoen kaikissa nykyaikaisissa tietokoneiden käyttöjärjestelmissä ja verkkolaitteissa, suuri osa Internet -avainvaihdon toiminnasta on piilotettu tavalliselle käyttäjälle.
IKE: n protokollat muodostavat niin kutsutun turvallisuusyhdistyksen (SA) kahden tai useamman vertaisverkoston välillä IPSec: n kautta, mikä vaaditaan kaikelle suojatulle viestinnälle IPSec: n kautta. SA määrittelee viestinnässä käytettävän salausalgoritmin, salausavaimet ja niiden viimeiset voimassaolopäivät; kaikki tämä menee sitten kunkin vertaisverkon turvallisuusyhdistystietokantaan (SAD). Vaikka IPSec voi määrittää SA: nsa manuaalisesti, Internet Key Exchange neuvottelee ja muodostaa suojayhteydet vertaisryhmien kesken automaattisesti, mukaan lukien mahdollisuus luoda omat.
Internet -avainvaihto tunnetaan hybridiprotokollana. IKE käyttää protokollakehystä, joka tunnetaan nimellä Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP tarjoaa IKE: lle mahdollisuuden luoda SA, ja määrittelee tietojen hyötykuorman muodon ja päättää käytettävistä avaintenvaihtoprotokollista. ISAKMP pystyy käyttämään useita menetelmiä avainten vaihtamiseen, mutta sen toteutus IKE: ssä käyttää kahden näkökulmaa. Suurin osa avaintenvaihtoprosessista käyttää OAKLEY Key Determination Protocol (OAKLEY) -menetelmää, joka määrittelee eri tilat, mutta IKE käyttää myös joitakin SKEME (Source Key Exchange Mechanism) -menetelmää, joka mahdollistaa julkisen avaimen salauksen ja jolla on mahdollisuus päivittää näppäimet nopeasti.
Kun ikätoverit haluavat kommunikoida turvallisesti, he lähettävät “mielenkiintoista liikennettä” toisilleen. Mielenkiintoinen liikenne on viestejä, jotka noudattavat IPSec -käytäntöä, joka on vahvistettu vertaisryhmille. Yksi esimerkki palomuureista ja reitittimistä löydetystä käytännöstä on nimeltään käyttöoikeusluettelo. Pääsylistalle annetaan salauskäytäntö, jolla tietyt käytännön lausunnot määrittävät, saako tietyt yhteyden kautta lähetetyt tiedot salata vai eivät. Kun suojatusta viestinnästä kiinnostuneet vertaishenkilöt ovat sopineet yhteen IPSec -suojauskäytännön kanssa, Internet -avainvaihtoprosessi alkaa.
IKE -prosessi tapahtuu vaiheittain. Monet suojatut yhteydet alkavat suojaamattomassa tilassa, joten ensimmäisessä vaiheessa neuvotellaan siitä, miten molemmat vertaisryhmät jatkavat suojatun viestinnän prosessia. IKE todentaa ensin vertaistensa henkilöllisyyden ja varmistaa sitten heidän identiteettinsä määrittämällä, mitä suojausalgoritmeja molemmat vertaisryhmät käyttävät. Käyttämällä Diffie-Hellmanin julkisen avaimen salausprotokollaa, joka pystyy luomaan vastaavat avaimet suojaamattoman verkon kautta, Internet-avainvaihto luo istuntoavaimet. IKE päättää vaiheen 1 luomalla suojatun yhteyden, tunnelin, vertaisten välille, joita käytetään vaiheessa 2.
Kun IKE siirtyy vaiheeseen 2, vertaisryhmät käyttävät uutta IKE SA: ta niiden IPSec -protokollien määrittämiseen, joita he käyttävät yhteyden loput aikana. Luodaan todennusotsikko (AH), joka tarkistaa, että lähetetyt viestit vastaanotetaan ehjinä. Paketit on myös salattava, joten IPSec käyttää sitten pakettien suojausprotokollaa (ESP) pakettien salaamiseen ja pitää ne turvassa uteliailta katseilta. AH lasketaan paketin sisällön perusteella ja paketti on salattu, joten paketit on suojattu keneltä tahansa, joka yrittää korvata paketit väärennetyillä tai lukee paketin sisällön.
IKE vaihtaa myös salausmerkintöjä vaiheen 2 aikana. Nonce on numero tai merkkijono, jota käytetään vain kerran. Vertailija käyttää sitten noncea, jos sen on luotava uusi salainen avain tai estettävä hyökkääjää muodostamasta vääriä SA: ita, mikä estää niin kutsutun uusintahyökkäyksen.
Monivaiheisen lähestymistavan etuja IKE: lle on se, että käyttämällä vaiheen 1 SA: ta, kumpikin vertaishenkilö voi milloin tahansa aloittaa vaiheen 2 neuvotellakseen uudesta SA: sta viestinnän pysymisen varmistamiseksi. Internet -avainvaihdon päätyttyä luodaan IPSec -tunneli tietojen vaihtoa varten. Tunnelin kautta lähetetyt paketit salataan ja puretaan toisen vaiheen aikana luotujen SA-standardien mukaisesti. Kun tunneli on valmis, se päättyy joko päättymällä ennalta määrätyn aikarajan perusteella tai tietyn määrän tiedonsiirron jälkeen. Tietysti IKE: n vaiheen 2 lisäneuvottelut voivat pitää tunnelin auki tai vaihtoehtoisesti aloittaa uuden vaiheen 2 ja vaiheen 1 neuvottelut uuden, turvallisen tunnelin luomiseksi.