Interneti-võtmevahetus (IKE) on tugiprotokollide komplekt, mille on loonud Internet Engineering Task Force (IETF) ja mida kasutatakse koos Interneti-protokolli turvalisuse (IPSec) standarditega, et pakkuda võrgu kaudu turvalist sidet kahe seadme või kaaslaste vahel. Protokollina saab IKE-d kasutada paljudes tarkvararakendustes. Üks levinud näide on turvalise virtuaalse privaatvõrgu (VPN) seadistamine. Kuigi peaaegu kõigi kaasaegsete arvutioperatsioonisüsteemide ja võrguseadmete standardvarustuses, on suur osa Interneti-võtmevahetuse toimimisest tavakasutaja eest varjatud.
IKE protokollid loovad nn turbeühenduse (SA) kahe või enama eakaaslase vahel IPSec-i kaudu, mis on vajalik mis tahes turvaliseks sidepidamiseks IPSec-i kaudu. SA määratleb suhtluses kasutatava krüptoalgoritmi, krüpteerimisvõtmed ja nende aegumiskuupäevad; see kõik läheb seejärel iga partneri turvaühenduse andmebaasi (SAD). Kuigi IPSec saab lasta oma SA-d käsitsi konfigureerida, peab Interneti-võtmevahetus läbirääkimisi ja loob kaaslaste vahel automaatselt turvaühendused, sealhulgas võimaluse luua oma.
Interneti-võtmevahetust tuntakse hübriidprotokollina. IKE kasutab protokolliraamistikku, mida tuntakse kui Interneti-turbeühendust ja võtmehaldusprotokolli (ISAKMP). ISAKMP annab IKE-le võimaluse luua SA-d ning määrab ära andmekoormuse vormingu ja otsustab kasutatava võtmevahetusprotokolli üle. ISAKMP on võimeline võtmete vahetamiseks kasutama mitut meetodit, kuid selle rakendamine IKE-s kasutab kahte aspekti. Enamik võtmevahetusprotsessidest kasutab OAKLEY võtmemääramisprotokolli (OAKLEY) meetodit, mis määratleb erinevad režiimid, kuid IKE kasutab ka mõnda SKEME (Source Key Exchange Mechanism) meetodit, mis võimaldab avaliku võtme krüptimist ja millel on võimalus värskendage võtmeid kiiresti.
Kui eakaaslased soovivad turvaliselt suhelda, saadavad nad üksteisele nn huvitavat liiklust. Huvitav liiklus on sõnumid, mis järgivad kaaslastel kehtestatud IPSec-poliitikat. Ühte näidet sellest tulemüürides ja ruuterites leiduvast poliitikast nimetatakse juurdepääsuloendiks. Juurdepääsuloendile antakse krüptograafiapoliitika, mille kohaselt teatud poliitika avaldused määravad kindlaks, kas ühenduse kaudu saadetud konkreetsed andmed tuleks krüpteerida või mitte. Kui turvalisest suhtlusest huvitatud partnerid on IPSec-turvapoliitika omavahel sobitanud, algab Interneti-võtmevahetusprotsess.
IKE protsess toimub etapiviisiliselt. Paljud turvalised ühendused algavad turvamata olekus, nii et esimeses etapis peetakse läbirääkimisi selle üle, kuidas kaks partnerit jätkavad turvalise suhtluse protsessi. IKE autentib esmalt kaaslaste identiteedi ja seejärel kindlustab nende identiteedi, määrates kindlaks, milliseid turvaalgoritme mõlemad partnerid kasutavad. Kasutades Diffie-Hellmani avaliku võtme krüptograafiaprotokolli, mis on võimeline looma kaitsmata võrgu kaudu sobivaid võtmeid, loob Interneti-võtmevahetus seansivõtmed. IKE lõpetab 1. faasi, luues turvalise ühenduse ehk tunneli eakaaslaste vahel, mida kasutatakse 2. etapis.
Kui IKE siseneb 2. faasi, kasutavad partnerid uut IKE SA-d, et seadistada IPSec-protokolle, mida nad ülejäänud ühenduse ajal kasutavad. Luuakse autentimispäis (AH), mis kontrollib saadetud sõnumite puutumatust vastuvõtmist. Pakette tuleb ka krüpteerida, nii et IPSec kasutab seejärel pakettide krüptimiseks kapseldavat turbeprotokolli (ESP), hoides neid võõraste pilkude eest kaitstuna. AH arvutatakse paketi sisu põhjal ja pakett on krüptitud, nii et paketid on kaitstud kõigi eest, kes üritavad pakette võltsidega asendada või paketi sisu lugeda.
IKE vahetab 2. faasi ajal ka krüptograafilisi mitteandmisi. Nonce on arv või string, mida kasutatakse ainult üks kord. Nonce’i kasutab seejärel partner, kui tal on vaja luua uus salajane võti või takistada ründajal võlts-SA-de loomist, hoides ära nn kordusrünnaku.
IKE mitmefaasilise lähenemisviisi eelised seisnevad selles, et 1. faasi SA-d kasutades võib kumbki partner igal ajal algatada 2. faasi, et uuesti läbirääkimisi pidada uue SA üle, et tagada side püsimine. Pärast seda, kui Interneti-võtmevahetus on oma etapid lõpetanud, luuakse teabe vahetamiseks IPSec-tunnel. Tunneli kaudu saadetud paketid krüpteeritakse ja dekrüpteeritakse vastavalt 2. faasis kehtestatud SA-dele. Kui tunnel on lõppenud, siis tunnel aegub kas eelnevalt kindlaksmääratud ajapiirangu alusel või pärast teatud hulga andmete edastamist. Muidugi võivad täiendavad IKE 2. faasi läbirääkimised hoida tunneli avatuna või alternatiivina alustada uut 1. ja 2. faasi läbirääkimisi uue turvalise tunneli rajamiseks.