Internetska razmjena ključeva (IKE) skup je protokola podrške koje je kreirala Radna skupina za internet inženjering (IETF) i koristi se sa standardima sigurnosti internetskog protokola (IPSec) za pružanje sigurne komunikacije između dva uređaja ili ravnopravnih uređaja preko mreže. Kao protokol, IKE se može koristiti u brojnim softverskim aplikacijama. Jedan uobičajeni primjer je postavljanje sigurne virtualne privatne mreže (VPN). Iako je standardan na gotovo svim modernim računalnim operativnim sustavima i mrežnoj opremi, većina onoga što Internet Key Exchange radi skriveno je od pogleda prosječnog korisnika.
Protokoli u IKE-u uspostavljaju ono što se naziva sigurnosna asocijacija (SA) između dva ili više peer-a preko IPSec-a, što je potrebno za svaku sigurnu komunikaciju putem IPSec-a. SA definira kriptografski algoritam koji se koristi u komunikaciji, ključeve za šifriranje i njihove datume isteka; sve to onda ide u bazu podataka sigurnosnih asocijacija (SAD) svakog ravnopravnog korisnika. Dok IPSec može imati svoj SA konfiguriran ručno, Internet Key Exchange automatski pregovara i uspostavlja sigurnosne asocijacije među kolegama, uključujući mogućnost stvaranja vlastitih.
Internetska razmjena ključeva poznata je kao hibridni protokol. IKE koristi okvir protokola poznat kao Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP pruža IKE-u mogućnost uspostavljanja SA i obavlja poslove definiranja formata korisnog opterećenja podataka i odlučivanja o protokolu razmjene ključeva koji će se koristiti. ISAKMP je sposoban koristiti nekoliko metoda za razmjenu ključeva, ali njegova implementacija u IKE koristi aspekte dva. Većina procesa razmjene ključeva koristi metodu OAKLEY Key Determination Protocol (OAKLEY), koja definira različite načine rada, ali IKE također koristi neke od metode Source Key Exchange Mechanism (SKEME), koja omogućuje šifriranje javnog ključa i ima mogućnost brzo osvježite tipke.
Kada vršnjaci žele sigurnu komunikaciju, jedni drugima šalju ono što se zove “zanimljiv promet”. Zanimljiv promet su poruke koje se pridržavaju IPSec politike koja je uspostavljena na ravnopravnim korisnicima. Jedan primjer ove politike koji se nalazi u vatrozidima i usmjerivačima naziva se pristupna lista. Popis pristupa dobiva kriptografsku politiku kojom određene izjave unutar politike određuju trebaju li određeni podaci poslani putem veze biti šifrirani ili ne. Nakon što kolege zainteresirani za sigurnu komunikaciju međusobno upare IPSec sigurnosnu politiku, počinje proces razmjene internetskih ključeva.
IKE proces se odvija u fazama. Mnoge sigurne veze započinju u nezaštićenom stanju, pa se u prvoj fazi pregovara o tome kako će dva ravnopravna partnera nastaviti proces sigurne komunikacije. IKE prvo provjerava autentičnost istovrsnika, a zatim osigurava njihove identitete određujući koje će sigurnosne algoritme koristiti oba ravnopravna računala. Koristeći Diffie-Hellmanov protokol za kriptografiju javnog ključa, koji je sposoban stvoriti odgovarajuće ključeve putem nezaštićene mreže, Internet Key Exchange stvara ključeve sesije. IKE završava fazu 1 stvaranjem sigurne veze, tunela, između vršnjaka koji će se koristiti u fazi 2.
Kada IKE uđe u fazu 2, ravnopravni korisnici koriste novi IKE SA za postavljanje IPSec protokola koje će koristiti tijekom ostatka svoje veze. Uspostavljeno je zaglavlje provjere autentičnosti (AH) koje će potvrditi da su poslane poruke primljene netaknute. Paketi također moraju biti šifrirani, tako da IPSec zatim koristi enkapsulirajući sigurnosni protokol (ESP) za šifriranje paketa, čuvajući ih od znatiželjnih očiju. AH se izračunava na temelju sadržaja paketa, a paket je šifriran, tako da su paketi zaštićeni od svakoga tko pokušava zamijeniti pakete lažnim ili čita sadržaj paketa.
IKE također razmjenjuje kriptografske jednokratne oznake tijekom faze 2. Jednokratna oznaka je broj ili niz koji se koristi samo jednom. Nonce zatim koristi ravnopravni partner ako treba stvoriti novi tajni ključ ili spriječiti napadača da generira lažne SA-ove, čime se sprječava ono što se naziva ponovnim napadom.
Prednosti višefaznog pristupa za IKE su da korištenjem Faze 1 SA, bilo koji ravnopravni partner može pokrenuti Fazu 2 u bilo kojem trenutku kako bi ponovno pregovarao o novom SA kako bi osigurao da komunikacija ostane sigurna. Nakon što razmjena internetskih ključeva završi svoje faze, stvara se IPSec tunel za razmjenu informacija. Paketi poslani kroz tunel se šifriraju i dešifriraju u skladu sa SA uspostavljenim tijekom Faze 2. Kada se završi, tunel se završava, ili istekom na temelju unaprijed određenog vremenskog ograničenja, ili nakon što je određena količina podataka prenesena. Naravno, dodatni IKE pregovori u fazi 2 mogu zadržati tunel otvorenim ili, alternativno, pokrenuti nove pregovore faze 1 i faze 2 kako bi se uspostavio novi, siguran tunel.