Diffie-Hellman là giao thức đồng ý khóa cho phép 2 bên trao đổi một khóa bí mật không cần bất kì ưu tiên bí mật nào. Giao thức này là một ví dụ về xử lí trao đổi khóa đối xứng, trong đó các bên trao đổi khóa công cộng khác nhau để sinh ra khóa riêng giống nhau.
Giao thức Diffie-Hellman được sử dụng trong IPSec VPN, nhưng bạn rất khó để tìm ra nó. Nó được sử dụng trong xử lí thiết lập kênh an toàn giữa các bên IPSec. Dấu hiệu của nó như sau:
* IPSec sử dụng giao thức liên kết an ninh Internet và quản lí khóa (Internet Security Association and Key Management Protocol: ISAKMP) để cung cấp một khung cho nhận thực và trao đổi khóa.
* ISAKMP sử dụng giao thức IKE để thương lượng an toàn và cung cấp nguyên liệu tạo khóa cho liên kết an ninh.
* IKE sử dụng một giao thức được gọi là OAKLEY, nó sẽ đưa ra một loạt các trao đổi khóa và chi tiết dịch vụ được cung cấp cho mỗi trao đổi.
* OAKLEY sử dụng Diffie-Hellman để thiết lập một khóa bí mật chia sẻ giữa các bên.
Xử lý mật mã khóa đối xứng sau đó sử dụng khóa bí mật chia sẻ cho mật mã và nhận thực kết nối. Các bên sử dụng giao thức mật mã khóa đối xứng phải chia sẻ với nhau cùng một khóa bí mật. Diffie-Hellman cung cấp một giải pháp để cung cấp mỗi bên một khóa bí mật chia sẻ không cần giữ dấu vết các khóa sử dụng.
Xử lí mật mã khóa đối xứng quá chậm cho yêu cầu mật mã khối lượng lớn trong kênh IP-VPN tốc độ cao. Các bên IPSec sử dụng giao thức Diffie-Helman để thương lượng khóa bí mật chia sử dụng cho AH hoặc ESP để tạo dữ liệu nhận thực hay mật mã gói tin IP. Bên thu sử dụng khóa đó để nhận thực gói tin và giải mã phần tải tin. Chi tiết về các bước của thuật toán Diffie-Helman được trình bày trong chương 4.