因特网密钥交换协议（IKE），用作分配这些对话用密钥的一种方法，而且在 VPN 端点间，规定了如何保护数据的方法。IKE 主要有三项任务：为端点间的认证提供方法；建立新的 IPsec 连接（创建一对SA）；管理现有连接。IKE 跟踪连接的方法是给每个连接分配一组安全联盟（SA）。SA 描述与特殊连接相关的所有参数，包括使用的 Ipsec 协议（ESP/AH/ 二者兼有），加密/解密和认证/确认传输数据使用的对话密钥。SA 本身是单向的，每个连接需要一个以上的 SA。大多数情况下，只使用 ESP 或 AH，每个连接要创建 2 个 SA，一个描述入站数据流，另一个描述出站数据流。同时使用 ESP 和 AH 的情况中就要创建 4 个 SA。

类别：IETF

来源：RFC 2409