互聯網密鑰交換(IKE)是用來創建輸入安全關聯與輸出安全關聯的協議。IKE是一個混合協議,它使用到了三個不同協議的相關部分,即Internet安全關聯和密鑰交換協議、Oakley密鑰確定協議和SKEME協議。

IKE分成兩個階段,即階段1與階段2。階段1為階段2創建SA;階段2為與IPsec一樣的數字交換協議創建SA。同時,IKE定義了幾種模式,階段1有兩種模式,即主模式與野蠻模式階段2僅有一種模式,即快速模式在這兩個交換階段，階段2交換是在階段1建立的IKE SA的保護下進行的,而階段2沒有任何安全保護,所以IKE為階段1给予了4種認證方法,分別是預共享密鑰方法、源公鑰方法、修正的公鑰方法和數字簽名方法。

1.主模式

在主模式中,發起者和應答者通常要交換6條信息在前兩條信息中,雙方要協商好IKE SA所需的各項參數。在第3,4條信息中,雙方交換半密鑰(即Diffie-Hellman方法的gi和gr)和一些輔助參數生成共享密鑰，然後雙方各自將Diffie-Hellman交換的公開數字、SA和自己的身份ID作為輸入生成一個Hash值。在第5,6條信息中,連同自己的ID一起發送給對方,如果雙方能夠重構預期的Hash值,則表明Hash計算中涉及的各個信息在傳輸中是完整的。

2.野蠻模式

野蠻模式相當於是主模式的壓縮版,在這種模式下只交換三條信息第1條信息,發起者SA參數,Diffie-Hellman公開值和一些身份認證的數據給應答者第2條消息,如果應答者接收發起者的建議,則它回應選擇好的SA,Diffie-Hellman公開值和一些身份認證的數據給發起者。第3條信息擁有認證發起者的身份。

3.快速模式

快速模式應用在階段2中,這種模式是在由階段1協商好的SA的保護下進行的,即IPsec SA的建立過程受到IKE SA的機密性和完整性保護,快速模式下交換的數據均是加密的。第一时间發起者按本地策略,發送一個或多個安全協議(AH或ESP),並給出其相應的安全參數。然後響應者從建議的一個或多個安全協議中選擇一種,形成選擇後的SA,發送給發起者。最後一條消息認證前面的交換。