L'Internet Key Exchange (IKE) est un ensemble de protocoles de soutien créés par l'Internet Engineering Task force (IETF) et sont utilisés avec Internet Protocol Security (IP Sec) des normes pour sécuriser les communications entre deux périphériques, ou des pairs, sur un réseau. Comme un protocole, IKE peut être utilisé dans de nombreuses applications logicielles. Un exemple courant est la mise en place d'un réseau privé virtuel sécurisé (VPN). Bien standard sur pratiquement tous les systèmes d'exploitation modernes et d'équipements informatiques en réseau, une grande partie de ce que l'Internet Key Exchange ne se cache à la vue de l'utilisateur moyen.
Les protocoles IKE établir ce qu'on appelle une association de sécurité (SA) entre deux ou plusieurs pairs sur IP Sec, ce qui est nécessaire pour toutes les communications sécurisées via IP Sec. La SA définit l'algorithme de chiffrement utilisé dans la communication, les clés de chiffrement et leur date de péremption, ce qui va dans tous alors la base de données de chaque pair d'association de sécurité (SAD). Alors que IP Sec peut avoir son SA configuré manuellement, l'échange de clés Internet négocie et établit les associations de sécurité entre pairs automatiquement, y compris la possibilité de créer ses propres.
L'échange de clé Internet est un protocole connu sous le nom hybride. IKE utilise un cadre de protocole connu sous le nom de l'Association Internet Security and Key Management Protocol (ISAKMP). ISAKMP IKE fournit la possibilité d'établir la SA, et ne les emplois de définir le format de la charge utile de données et de décider sur le protocole d'échange de clés sera utilisée. ISAKMP est capable d'utiliser plusieurs méthodes pour échanger des clés, mais sa mise en œuvre IKE utilise les aspects de deux. La plupart des processus d'échange de clés utilise la clé OAKLEY Protocole de détermination (OAKLEY) méthode, qui définit les différents modes, mais IKE utilise également une partie du mécanisme d'échange source clé (SKEME) méthode, qui permet de chiffrement à clé publique et a la capacité de touches de rafraîchissement rapide.
Lorsque les pairs souhaitent communiquer en toute sécurité, ils envoient ce qu'on appelle «le trafic intéressant" les uns aux autres. Trafic intéressant est des messages qui adhèrent à une stratégie IP Sec qui a été mis en place sur les pairs. Un exemple de cette politique dans les pare-feu et des routeurs est appelé une liste d'accès. La liste d'accès est donné une politique de cryptographie par laquelle certains énoncés dans la politique de déterminer si des données spécifiques envoyées sur la connexion doivent être cryptées ou non. Une fois les pairs intéressés par une communication sécurisée ont identifié une politique de sécurité IP Sec avec l'autre, le processus d’Internet Key Exchange commence.
Le processus IKE se déroule en plusieurs phases. De nombreuses connexions sécurisées commencer dans un état non garanti, de sorte que la première phase négocie la façon dont les deux pairs vont poursuivre le processus de communication sécurisée. IKE première authentifie l'identité des pairs, puis assure leur identité en déterminant quels algorithmes de sécurité les pairs vont utiliser. En utilisant le Diffie-Hellman cryptographie à clé publique de protocole, qui est capable de créer des clés correspondantes par l'intermédiaire d'un réseau non protégé, l'échange de clés Internet crée des clés de session. IKE phase 1 se termine par la création d'une connexion sécurisée, un tunnel, entre les pairs qui seront utilisés dans la phase 2.
Lorsque IKE entre dans la phase 2, les pairs utilisent le nouveau protocole IKE SA pour la mise en place des protocoles IP Sec qu'ils utiliseront pendant le reste de leur connexion. Un en-tête d'authentification (AH) est établi qui vérifie que les messages envoyés sont reçus intact. Les paquets doivent également être cryptés, IP Sec utilise ensuite le protocole de sécurité d'encapsulation (ESP) pour crypter les paquets, en les gardant à l'abri des regards indiscrets. L'AH est calculé sur la base du contenu du paquet, et le paquet est crypté, de sorte que les paquets sont fixés de toute personne qui tente de remplacer les paquets avec les faux ou lire le contenu d'un paquet.
IKE peut également les échanges noms occasionnels cryptographiques durant la Phase 2. Un nonce est un nombre ou une chaîne qui ne sert qu'une fois. Le nonce est ensuite utilisé par un pair si elle a besoin de créer une nouvelle clé secrète ou à empêcher un attaquant de générer des faux SA, empêchant ce qu'on appelle une attaque par rejet.
Les avantages d'une approche en plusieurs étapes pour IKE est qu'en utilisant la Phase 1 SA, que ce soit par les pairs peut entamer la phase 2, à tout moment de renégocier une nouvelle SA pour assurer la communication reste sécurisé. Après l'échange de clé Internet termine ses phases, d'un tunnel IP Sec est créée pour l'échange d'informations. Les paquets envoyés par le tunnel sont cryptées et décryptées en fonction de la SA établi au cours de la phase 2. Lorsque vous avez terminé, le tunnel se termine, soit en expirant basé sur une limite de temps prédéterminée, ou après une certaine quantité de données a été transféré. Bien sûr, d'autres négociations IKE phase 2 peut tenir le tunnel ouvert ou, à défaut, lancer une nouvelle phase 1 et la phase 2 des négociations pour établir un nouveau tunnel sécurisé.