Các giao thức IPSec AH và ESP yêu cầu là các chia sẻ bí mật được biết với tất cả các nhóm tham gia có yêu cầu khoá một cách thủ công hoặc phân phối khoá. Vấn đề đặt ra là các khoá có thể bị mất, bị tổn hại hoặc đơn giản là bị hết hạn. Kỹ thuật thủ công không mềm dẻo khi có nhiều liên kết an toàn được quản lý. Một cơ chế trao đổi khoá tinh vi cho IPSec phải đáp ứng các yêu cầu sau:
- Độc lập với các thuật toán mật mã cụ thể - Độc lập với các giao thức trao đổi khoá cụ thể - Xác thực các thực thể quản lý khoá
- Thiết lập SA qua tầng vận tải “không đảm bảo” - Sử dụng hiệu quả các tài nguyên
- Cung cấp khả năng tạo yêu cầu của host và các phiên SA
Giao thức IKE được thiết kế để đáp ứng các yêu cầu đó. Nó dựa trên các liên kết bảo mật Internet và cấu trúc của giao thức quản lý khoá và giao thức phân phối khoá Oakley. IKE có các đặc trưng sau:
- Tự động làm tươi khoá
- Giải quyết bải toán “khoá đầu tiên”
- Mỗi giao thức bảo mật có không gian các SPI riêng của nó - Có các tính năng bảo vệ được xây dựng sẵn
+ Chống được các tấn công từ chối dịch vụ
+ Chống được tấn công chiếm quyền điều khiển phiên và kết nối - Bảo mật toàn diện
- Cách tiếp cận dựa trên 2 pha
+ Pha 1 - Thiết lập các khoá và SA cho trao đổi khoá + Pha 2 - Thiết lấp các SA cho truyền dữ liệu
- Được thực thi như ứng dụng qua UDP, cổng 500 - Hỗ trợ các chứng chỉ cho Host và người dùng - Sử dụng xác thực mạnh với trao đổi khoá ISAKMP
+ Chia sẻ trước các khoá
+ Các khoá không thực sự được chia sẻ, chỉ một thẻ bài được dùng cho việc tạo khoá cần thiết
+ Các chữ ký số
+ Hệ mật khoá công khai
Như đã đề cập, IKE yêu cầu 2 pha phải được hoàn tất trước khi luồng dữ liệu được bảo vệ với AH và ESP