Internet Key Exchange (IKE) เป็นชุดของโปรโตคอลสนับสนุนที่สร้างขึ้นโดย Internet Engineering Task Force (IETF) และใช้กับมาตรฐานความปลอดภัยอินเทอร์เน็ตโปรโตคอล (IPSec) เพื่อให้การสื่อสารที่ปลอดภัยระหว่างอุปกรณ์สองเครื่องหรือเครือข่ายเดียวกันผ่านเครือข่าย ในฐานะที่เป็นโปรโตคอล, IKE สามารถนำมาใช้ในจำนวนของการใช้งานซอฟต์แวร์ ตัวอย่างทั่วไปหนึ่งตัวอย่างคือการตั้งค่าเครือข่ายส่วนตัวเสมือนที่ปลอดภัย (VPN) ในขณะที่มาตรฐานบนระบบปฏิบัติการคอมพิวเตอร์และอุปกรณ์เครือข่ายที่ทันสมัยเกือบทั้งหมดสิ่งที่ Internet Key Exchange ไม่สามารถซ่อนได้จากมุมมองของผู้ใช้โดยเฉลี่ย
โพรโทคอลใน IKE สร้างสิ่งที่เรียกว่าการเชื่อมโยงความปลอดภัย (SA) ระหว่างสองหรือมากกว่าเพียร์ผ่าน IPSec ซึ่งจำเป็นสำหรับการสื่อสารที่ปลอดภัยใด ๆ ผ่าน IPSec SA กำหนดอัลกอริทึมการเข้ารหัสที่ใช้ในการสื่อสารคีย์การเข้ารหัสและวันที่หมดอายุ ทั้งหมดนี้จะเข้าสู่ฐานข้อมูลความปลอดภัยของสมาคม (SAD) ในขณะที่ IPSec สามารถกำหนดค่า SA ด้วยตนเองได้ Internet Key Exchange จะเจรจาและกำหนดความสัมพันธ์ด้านความปลอดภัยในหมู่เพื่อนโดยอัตโนมัติรวมถึงความสามารถในการสร้างของตนเอง
การแลกเปลี่ยนคีย์อินเทอร์เน็ตนั้นรู้จักกันในนามของโปรโตคอลไฮบริด IKE ใช้กรอบงานโพรโทคอลที่รู้จักกันในชื่อ Internet Security Association และ Key Management Protocol (ISAKMP) ISAKMP ให้ IKE กับความสามารถในการสร้าง SA และทำงานของการกำหนดรูปแบบของ data payload และตัดสินใจเกี่ยวกับโปรโตคอลการแลกเปลี่ยนคีย์ที่จะใช้ ISAKMP สามารถใช้หลายวิธีในการแลกเปลี่ยนคีย์ แต่การนำไปใช้ใน IKE นั้นใช้สองด้าน กระบวนการแลกเปลี่ยนคีย์ส่วนใหญ่ใช้วิธีการ OAKLEY Key Determination Protocol (OAKLEY) ซึ่งกำหนดโหมดต่าง ๆ แต่ IKE ยังใช้วิธี Source Key Exchange Mechanism (SKEME) บางส่วนซึ่งช่วยให้การเข้ารหัสคีย์สาธารณะและมีความสามารถในการ รีเฟรชคีย์อย่างรวดเร็ว
เมื่อเพื่อนร่วมงานต้องการสื่อสารอย่างปลอดภัยพวกเขาจะส่งสิ่งที่เรียกว่า "การรับส่งข้อมูลที่น่าสนใจ" ซึ่งกันและกัน ทราฟฟิกที่น่าสนใจคือข้อความที่เป็นไปตามนโยบาย IPSec ที่ได้รับการกำหนดขึ้นจากเพื่อน ตัวอย่างหนึ่งของนโยบายนี้ที่พบในไฟร์วอลล์และเราเตอร์เรียกว่ารายการการเข้าถึง รายการการเข้าถึงจะได้รับนโยบายการเข้ารหัสซึ่งคำสั่งบางอย่างภายในนโยบายจะกำหนดว่าข้อมูลเฉพาะที่ส่งผ่านการเชื่อมต่อควรได้รับการเข้ารหัสหรือไม่ เมื่อเพื่อนที่สนใจในการสื่อสารที่ปลอดภัยได้จับคู่กับนโยบายความปลอดภัย IPSec ซึ่งกันและกันกระบวนการแลกเปลี่ยนคีย์อินเทอร์เน็ตจะเริ่มต้นขึ้น
กระบวนการ IKE เกิดขึ้นในเฟส การเชื่อมต่อที่ปลอดภัยจำนวนมากเริ่มต้นในสถานะที่ไม่ปลอดภัยดังนั้นในระยะแรกจะเจรจาว่าเพื่อนทั้งสองจะดำเนินการต่อกระบวนการสื่อสารที่ปลอดภัยได้อย่างไร IKE ตรวจสอบความถูกต้องของข้อมูลประจำตัวของเพื่อนก่อนแล้วจึงทำการตรวจสอบตัวตนของพวกเขาโดยกำหนดอัลกอริธึมความปลอดภัยที่เพื่อนทั้งสองจะใช้ ใช้โปรโตคอลการเข้ารหัสคีย์สาธารณะ Diffie-Hellman ซึ่งสามารถสร้างคีย์การจับคู่ผ่านเครือข่ายที่ไม่มีการป้องกัน Internet Key Exchange จะสร้างคีย์เซสชัน IKE เสร็จสิ้นขั้นตอนที่ 1 โดยสร้างการเชื่อมต่อที่ปลอดภัยอุโมงค์ระหว่างเพื่อนที่จะใช้ในระยะที่ 2
เมื่อ IKE เข้าสู่เฟส 2 เพียร์จะใช้ IKE SA ใหม่สำหรับการตั้งค่าโปรโตคอล IPSec ที่จะใช้ในช่วงเวลาที่เหลือของการเชื่อมต่อ มีการสร้างส่วนหัวการรับรองความถูกต้อง (AH) ที่จะตรวจสอบว่าข้อความที่ส่งได้รับครบถ้วน แพคเก็ตจำเป็นต้องเข้ารหัสดังนั้น IPSec จึงใช้ encapsulating security protocol (ESP) เพื่อเข้ารหัสแพ็กเก็ตทำให้พวกเขาปลอดภัยจากการสอดส่อง AH คำนวณจากเนื้อหาของแพ็คเก็ตและแพ็คเก็ตได้รับการเข้ารหัสดังนั้นแพ็คเก็ตจึงปลอดภัยจากใครก็ตามที่พยายามแทนที่แพ็กเก็ตด้วยปลอมหรืออ่านเนื้อหาของแพ็คเก็ต
IKE ยังแลกเปลี่ยน nonces การเข้ารหัสลับในระหว่างระยะที่ 2 nonce คือตัวเลขหรือสตริงที่ใช้เพียงครั้งเดียว จากนั้นเพียร์จะใช้ nonce หากต้องการสร้างคีย์ลับใหม่หรือเพื่อป้องกันผู้โจมตีจากการสร้าง SA ปลอมป้องกันสิ่งที่เรียกว่าการโจมตีซ้ำ
ประโยชน์ของวิธีการหลายเฟสสำหรับ IKE คือการใช้ Phase 1 SA เพียร์อาจเริ่มขั้นตอนที่ 2 ได้ตลอดเวลาเพื่อเจรจา SA ใหม่อีกครั้งเพื่อให้แน่ใจว่าการสื่อสารยังคงปลอดภัย หลังจากการแลกเปลี่ยนคีย์อินเทอร์เน็ตเสร็จสิ้นเฟสของตนอุโมงค์ IPSec จะถูกสร้างขึ้นสำหรับการแลกเปลี่ยนข้อมูล แพ็กเก็ตที่ส่งผ่านช่องสัญญาณจะถูกเข้ารหัสและถอดรหัสตาม SAs ที่สร้างขึ้นในช่วงระยะที่ 2 เมื่อเสร็จสิ้นอุโมงค์จะสิ้นสุดลงโดยการหมดอายุตามการ จำกัด เวลาที่กำหนดไว้ล่วงหน้าหรือหลังจากถ่ายโอนข้อมูลจำนวนหนึ่ง แน่นอนว่าการเจรจา IKE ระยะที่ 2 เพิ่มเติมสามารถเปิดอุโมงค์หรือเปิดการเจรจาเฟส 1 และเฟส 2 ใหม่เพื่อสร้างอุโมงค์ใหม่ที่ปลอดภัย
