Internet Key Exchange (IKE) là một phương pháp trao đổi keys với mục đích thiết lập một mối quan hệ giữa các bên tham gia. Mối quan hệ này cho phép xác thực và trao đổi an toàn dữ liệu đã mã hóa. IKE chia thành hai phase riêng biệt.
IKE phase 1: Thiết lập một cách an toàn kênh truyền xác thực. Mặc định router Cisco thực hiện phase này trong chế độ Main mode. Ngoài ra còn có chế độ Aggressive mode kém an toàn hơn nhưng thiết lập nhanh hơn cho chứng thực IKE. Cấu hình IKE phase 1 dùng ISAKMP là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA.
Hình 4.13 Trao đổi IKE Main mode [3].
Trong Phase 1 có sáu gói tin trao đổi, nội dung của gói tin khác nhau nếu sử dụng phương pháp xác thực Pre-shared Keys (PSKs) hoặc Public Key Infrastucture (PKI). Sử dụng PKI khi thỏa thuận thành công thì cả bên gửi và bên nhận sẽ nhận được một chứng nhận từ CA (certificate authority), cả hai có một bản sao của public key của CA. Còn sử dụng PSKs thì hai bên trao đổi cho nhau một secret key.
Chương 4: Giải pháp GET VPN
Hai gói tin đầu tiên thỏa thuận chính sách an ninh (SA) IKE, hai gói tin tiếp theo thiết lập kênh an toàn và hai gói tin cuối cùng xác thực bên tham gia.
Hình 4.14 Phase 1 sử dụng PSKs [3].
Khi sử dụng PKI trong phần trao đổi hai gói tin cuối cùng xác thực thì bên gửi sẽ gửi giấy chứng nhận của họ. Thông điệp này được ký với Private key của bên gửi và xác nhận với Public key của bên nhận. Chứng nhận của bên gửi được xác thực bằng cách sử dụng Public key của CA.
Hình 4.15 Phase 1 sử dụng PKI [3].
IKE phase 2: Thỏa thuận các chính sách an ninh (SA) của mặt phẳng dữ liệu, thỏa thuận về thông số IPsec và được bảo vệ bởi kênh truyền được thiết lập trong Phase 1. Phase 2 sử dụng chế độ Quick mode và định kỳ thay đổi SAs tăng cường an ninh.
Phase 2 trao đổi ba gói tin, hai gói tin đầu trao đổi thông tin về SA, gói tin thứ ba xác nhận và giữ cho thông điệp sống. Mỗi gói tin được bảo vệ bởi kênh an toàn IKE. Các thông số thỏa thuận trong Phase 2 bao gồm: giao thức đóng gói ESP, mode hoạt động, thời gian sống của SAs, trao đổi keys, chứng thực gói tin, chính sách mã hóa nhóm keys, thời gian sống keys.
Chương 4: Giải pháp GET VPN
Hình 4.16 Thỏa thuận IKE Quick mode [3].
Encapsulation Security Payload (ESP): là giao thức bảo mật dùng để mã hóa, xác thực và bảo đảm tính toàn ven dữ liệu. Sau khi đóng gói xong bằng ESP thì mọi thông tin mã hóa và giải mã nằm trong ESP header.