Internet密钥交换为IPSec体系结构中的一种关键协议。它是一种混合协议,使用部分Oakley与SKEME,并协助ISAKMP给出密钥生成材料与其他安全关联,比如用于IPSec解释域中的AH和ESP。AH与ESP封装、加/解密、验证IP报文,来实现对IP报文的保护,而IKE与ISAKMP/Oakley/SKEME是通信双方进行协商封装形式、加/解密算法及密钥、密钥的生命期、验证算法的。
ISAKMP/Oakley/SKEME是服务于IKE的协商的,它可达到IKE的框架,及有密钥交换模式与密钥的更新方法。因特网安全关联与密钥管理协议给验证与密钥交换提出了结构框架,用来支持多种不一样的密钥交换。Oakley包括一系列叫做“模式”的密钥交换及每种交换给出的服务。SKEME是一种匿名、否认,密钥快速更新的密钥交换技术。Oakley与SKEME规定了通信双方构建共享的验证密钥肯定会进行的步骤。IKE用ISAKMP对以上步骤和其他信息交换措施来阐述。
IKE可用在协商虚拟专用网,也能用在远程用户访问安全主机或网络,支持客户端协商。它在IPSec通信双方之间,构建共享安全参数和已验证的密钥,即建立安全关联。安全关联指通信双方需对如何保护、交换信息等公用的安全设置形成一致意见,更重要的是,一定要有方法,让两台计算机能交换一套密钥,方便它们连接时用。即使IKE并不是IPSec配置必需的,但它给出了许多益处,其中包括自动协商和认证、抗重放服务、认证机构支持和在IPSec会话中交换加密密钥的功能。归纳起来,IKE主要有集中化管理安全关联与生成和管理密钥2个功能,其中前者可减少连接时间。
IKE建立SA分两个阶段。第一阶段,协商构建1个通信信道,并对其进行认证,向双方继续进行IKE通信给出数据机密性、完整性和源认证服务。第二阶段,IKE用已建立的IKE SA建立IPSec SA。分阶段实现这些服务可加快密钥交换的效率。
