Cỏc dịch vụ nhận thực, toàn vẹn và bớ mật IPSec thường dựa trờn mật mó hoỏ đối xứng sử dụng một khoỏ chung bớ mật. Điều này ngụ ý rằng kiến trỳc IPSec cần phải được hỗ trợ một vài cơ chế phõn phối khoỏ song song.
Để nhắm tới cỏc yờu cầu này, tiờu chuẩn IPSec xem xột 2 phương phỏp tiếp cận khỏc nhau cú thể lựa chọn tuỳ thuộc vào cỏc đặc tớnh và sự ỏp đặt của hệ thống.:
Phõn phối khoỏ thủ cụng: một nhà quản trị định hỡnh một cỏch thủ cụng
tất cả cỏc thiết bị cú trong hệ thống IPSec và cung cấp số liệu quản lý SA thớch hợ cựng với cỏc khoỏ bớ mật. Mặt hạn chế của phương phỏp này là thiếu tớnh mềm dẻo, nhưng nú cú thể hữu ớch trong cỏc hệ thống bất biến nhỏ.
Quản lý khoỏ và SA tự động: Đối với cỏc hệ thống lớn cần phải cú một
cơ chế để phõn phối cỏc khoỏ một cỏch tự động và để thớch ứng với yờu cầu tạo cỏc SA. Cơ chế mặc định được sử dụng với IPSec, dựa trờn khoỏ cụng cộng, là giao thức IKE. IETF đang cải tiến IKE thành IKEv2.
IKE hoạt động trong hai pha. Trong pha thứ nhất nú thực hiện nhận thực thủ cụng và thiết lập một liờn kết an ninh IKE mà liờn kết này cú thể được sử
Chương I: Tổng quan về thụng tin di động
hiệu quả. Cỏc bờn IKE nhận thực lẫn nhau bằng cỏch sử dụng một khoỏ bớ mật chung, cỏc khoỏ cụng cộng và cỏc chữ ký số. Hai phương phỏp sau yờu cầu phải cú sự tin tưởng vào cỏc khoỏ cụng cộng của cả hai phớa, điều này yờu cầu phải cú một cơ sở hạ tầng khoỏ cụng cộng (PKI). Trong pha thứ hai, IKE thực hiện thoả thuận thực tế về cỏc IPSec SA. Cỏc bờn thoả hiệp đồng ý sử dụng cỏc thuật toỏn nhận thực và mật mó hoỏ, cỏc tài liệu tạo khoỏ và thời hạn tồn tại của cỏc SA mới.