„Internet Key Exchange“ (IKE) yra palaikymo protokolų rinkinys, kurį sukūrė Interneto inžinerijos darbo grupė (IETF) ir naudojamas su interneto protokolo saugos (IPSec) standartais, siekiant užtikrinti saugų ryšį tarp dviejų įrenginių arba lygiaverčių tinkle. Kaip protokolas, IKE gali būti naudojamas daugelyje programinės įrangos. Vienas iš dažniausių pavyzdžių yra saugaus virtualaus privataus tinklo (VPN) nustatymas. Nors beveik visose šiuolaikinėse kompiuterių operacinėse sistemose ir tinklo įrangoje yra standartinė, didžioji dalis interneto raktų mainų veiklos yra paslėpta nuo paprasto vartotojo.
IKE protokolai sukuria vadinamąją saugos asociaciją (SA) tarp dviejų ar daugiau lygiaverčių per IPSec, kuris reikalingas bet kokiam saugiam ryšiui per IPSec. SA apibrėžia ryšiui naudojamą kriptografinį algoritmą, šifravimo raktus ir jų galiojimo datas; Tada visa tai patenka į kiekvieno partnerio saugumo asociacijos duomenų bazę (SAD). Nors „IPSec“ SA gali būti sukonfigūruotas rankiniu būdu, „Internet Key Exchange“ automatiškai derasi ir nustato saugumo asociacijas tarp lygiaverčių programų, įskaitant galimybę sukurti savo.
Interneto raktų mainai yra žinomi kaip hibridinis protokolas. IKE naudoja protokolų sistemą, žinomą kaip Internet Security Association ir Key Management Protocol (ISAKMP). ISAKMP suteikia IKE galimybę sukurti SA ir atlieka duomenų naudingojo apkrovos formato apibrėžimo bei naudojamo raktų mainų protokolo sprendimus. ISAKMP gali naudoti kelis raktų mainų metodus, tačiau jo įgyvendinimas IKE naudoja du aspektus. Daugumai raktų mainų proceso naudojamas OAKLEY raktų nustatymo protokolo (OAKLEY) metodas, kuris apibrėžia įvairius režimus, tačiau IKE taip pat naudoja kai kuriuos šaltinio raktų mainų mechanizmo (SKEME) metodus, kurie leidžia šifruoti viešąjį raktą ir turi galimybę greitai atnaujinkite klavišus.
Kai bendraamžiai nori saugiai bendrauti, jie vieni kitiems siunčia vadinamąjį „įdomų srautą“. Įdomus srautas yra pranešimai, kurie atitinka IPSec politiką, kuri buvo nustatyta bendraamžiams. Vienas šios politikos pavyzdys, randamas ugniasienėse ir maršruto parinktuvuose, vadinamas prieigos sąrašu. Prieigos sąrašui suteikiama kriptografijos politika, pagal kurią tam tikri politikos teiginiai nustato, ar konkretūs ryšiu siunčiami duomenys turi būti užšifruoti, ar ne. Kai saugiu ryšiu besidomintys bendraamžiai suderina IPSec saugos politiką, prasideda interneto raktų mainų procesas.
IKE procesas vyksta etapais. Daugelis saugių ryšių prasideda nesaugioje būsenoje, todėl pirmajame etape deramasi, kaip du bendraamžiai tęs saugaus ryšio procesą. IKE pirmiausia patvirtina bendraamžių tapatybę, o tada užtikrina jų tapatybę nustatydama, kuriuos saugos algoritmus naudos abu lygiaverčiai partneriai. Naudodamas Diffie-Hellman viešojo rakto kriptografijos protokolą, kuris gali sukurti atitinkančius raktus per neapsaugotą tinklą, Interneto raktų mainai sukuria seanso raktus. IKE užbaigia 1 etapą sukurdama saugų ryšį, tunelį, tarp lygiaverčių, kuris bus naudojamas 2 fazėje.
Kai IKE pereina į 2 fazę, bendraamžiai naudoja naują IKE SA, kad nustatytų IPSec protokolus, kuriuos naudos per likusį ryšį. Sukurta autentifikavimo antraštė (AH), kuri patikrins, ar išsiųsti pranešimai gauti nepažeisti. Paketai taip pat turi būti užšifruoti, todėl „IPSec“ paketams užšifruoti naudoja inkapsuliacinį saugos protokolą (ESP), kad apsaugotų juos nuo smalsių akių. AH apskaičiuojamas pagal paketo turinį, o paketas yra užšifruotas, todėl paketai yra apsaugoti nuo bet kurio žmogaus, kuris bando pakeisti paketus netikrais arba nuskaito paketo turinį.
IKE 2 fazės metu taip pat keičiasi kriptografiniais neįvykiais. Nenonce yra skaičius arba eilutė, kuri naudojama tik vieną kartą. Tada „nonce“ naudoja bendraamžis, jei jam reikia sukurti naują slaptą raktą arba neleisti užpuolikui sukurti netikrų SA, užkertant kelią vadinamajai pakartojimo atakai.
Kelių etapų IKE metodo pranašumai yra tai, kad naudojant 1 fazės SA, bet kuris partneris bet kuriuo metu gali inicijuoti 2 fazę, kad iš naujo derėtųsi dėl naujos SA, kad ryšys išliktų saugus. Kai interneto raktų mainai baigia savo etapus, sukuriamas IPSec tunelis, skirtas keistis informacija. Tuneliu siunčiami paketai yra užšifruojami ir iššifruojami pagal SA nustatytas 2 fazės metu. Pasibaigus tuneliui, tunelis baigiasi arba pasibaigia pagal iš anksto nustatytą laiko limitą, arba po tam tikro duomenų kiekio perdavimo. Žinoma, papildomos IKE 2 etapo derybos gali išlaikyti tunelį atvirą arba, kaip alternatyvą, pradėti naujas 1 ir 2 etapo derybas, kad būtų sukurtas naujas saugus tunelis.