Internet密鑰交換協議是IPSec默認的安全密鑰協商方法。INTERNET密鑰交換協議由一系列報文交換成2個實體實施安全通信派生會話密鑰。INTERNET密鑰交換協議建立在Internet安全關聯與密鑰管理協議(ISAKMP)定義的框架之上。INTERNET密鑰交換協議為IPSec現在正式定了的密鑰交換協議,INTERNET密鑰交換協議為IPSec的AH與ESP協議給出密鑰交換管理與SA管理,同時也向ISAKMP給出密鑰與安全管理。INTERNET密鑰交換協議有2種密鑰管理協議的部分功能,並結合了OAkLEY與SKEME的密鑰交換方案,構成了獨特的被鑑別保護的加密材料生成技術。

INTERNET密鑰交換協議協議主要是管理密鑰交換,它主要有3個功能:協商用的協議、加密算法與密鑰;便捷的密鑰交換機制;追蹤實施如上約定。

INTERNET密鑰交換協議使用了兩個階段的ISAKMP:第一階段,協商構建1個通信信道(INTERNET密鑰交換協議 SA),且驗證此信道,為兩方進一步的INTERNET密鑰交換協議通信給出機密性、消息完整性與源驗證服務;第二階段,用已建立的INTERNET密鑰交換協議 SA構建IPSec SA。INTERNET密鑰交換協議總共規定了五種交換。階段一有2種模式的交換:保護身份的“主模式”交換及由基本ISAKMP文檔定的“野蠻模式”交換。階段二用“快速模式”交換。INTERNET密鑰交換協議定義了2種交換:通信各方間協商新的Diffie-Hellman組類型的“新組模式”交換;在INTERNET密鑰交換協議通信兩方間傳錯誤與狀態消息的ISAKMP信息交換。

(1)主模式交換給出了身份保護機制,經3個步驟共交換了6條消息。3個步驟分別是策略協商交換、Diffie-Hellman共享值、Nonce交換及身份驗證交換。

(2)野蠻模式交換也分成3步,不過僅交換3條消息:前2條消息協商策略,交換Diffie-Hellman公開值一定要的輔助數據與身份信息;第2條消息認證響應方;第3條消息認證發起方,且給發起方給出在場的證據。

(3)快速模式交換由3條消息構建IPSec SA:前2條消息協商IPSec SA的各個參數值,且產生IPSec用的密鑰;第2條消息還給響應方給出在場的證據;第3條消息給發起方給出在場的證據。

(4)新組模式交換通信兩方顺利获得新組模式交換協商新的Diffie-Hellman組。新組模式交換是請求/響應交換其中的一種。發送方發送提出的組的標識符及它的特徵,若響應方可以接收提議,則用全部相同的消息應答。

(5)ISAKMP信息交換參與INTERNET密鑰交換協議通信的兩方都可以對對方發送錯誤與狀態提示消息。這實際上並不是真實意義上的交換,而僅為發單獨一條消息,無需確認。

INTERNET密鑰交換協議協議的基礎是Diffie-Hellman密鑰交換算法,且引入了實體身份認證與消息驗證機制,來實現經認證的可靠的密鑰交換。INTERNET密鑰交換協議可符合4種身份認證方法,均能用在主模式交換與激進模式交換。

INTERNET密鑰交換協議交換的最後結果為經過驗證的密鑰和建立在雙方願意基礎上的安全服務,一個實例即為IPSEC的安全關聯,隨着交換模式與身份認證方式的不一樣,INTERNET密鑰交換協議詳細規定了具體的交換過程。