在最简单的情况下，IPSP用手工来配置密钥。然而，当IPSP大规模发展的时候，就需要在Internet上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP安全条例的要求，指定管理密钥的方法。

　　因此，IPSEC工作组也负责进行Internet密钥管理协议(IKMP)，其他若干协议的标准化工作也已经提上日程。其中最重要的有：

    提出的“标准密钥管理协议(MKMP)” 
    SUN 提出的“Internet协议的简单密钥管理(SKIP)” 
    Phil Karn 提出的“Photuris密钥管理协议” 
    Hugo Krawczik 提出的“安全密钥机制(SKEME)” 
    NSA 提出的“Internet安全条例及密钥管理协议” 
    Hilarie Orman 提出的“OAKLEY密钥决定协议”

　　在这里需要再次强调指出，这些协议草案的相似点多于不同点。除MKMP外，它们都要求一个既存的、完全可操作的公钥基础设施(PKI)。MKMP没有这个要求，因为它假定双方已经共同知道一个主密钥(MasterKey)，可能是事先手工发布的。SK IP要求Diffie-Hellman证书，其他协议则要求RSA证书。

　　1996年9月，IPSEC决定采用OAKLEY作为ISAKMP框架下强制推行的密钥管理手段，采用SKIP作为IPv4和IPv6实现时的优先选择。目前已经有一些厂商实现了合成的 ISAKMP/OAKLEY方案。

　　Photuris以及类Photuris的协议的基本想法是对每一个会话密钥都采用Diffie-Hellman密钥交换机制，并随后采用签名交换来确认Diffie--Hellman参数，确保没有“中间人”进行攻击。这种组合最初是由Diffie、Ooschot和Wiener在一个“站对站(STS)”的协议中提出的。Photuris里面又添加了一种所谓的“cookie”交换，它可以提供“清障(anti-logging)”功能，即防范对 服务攻击的否认。
Photuris以及类Photuris的协议由于对每一个会话密钥都采用Diffie-Hellman密 钥交换机制，故可提供回传保护(back-traffic
protection，BTP)和完整转发安 全性(perfect-forward secrecy，PFS)。实质上，这意味着一旦某个攻击者破解了长效私钥，比如Photuris中的RSA密钥或SKIP中的Diffie-Hellman密钥，所有其他攻击者就可以冒充被破解的密码的拥有者。但是，攻击者却不一定有本事破解 该拥有者过去或未来收发的信息。

　　值得注意的是，SKIP并不提供BTP和PFS。尽管它采用Diffie-Hellman密钥交换机制，但交换的进行是隐含的，也就是说，两个实体以证书形式彼此知道对方长效 Diffie--Hellman 公钥，从而隐含地共享一个主密钥。该主密钥可以导出对分组密钥进行加密的密钥，而分组密钥才真正用来对IP包加密。一旦长效Diffie-Hel lman密钥泄露，，则任何在该密钥保护下的密钥所保护的相应通信都将被破解。而且SKIP是无状态的，它不以安全条例为基础。每个IP包可能是个别地进行加密 和解密的，归根到底用的是不同的密钥。

　　SKIP不提供BTP和PFS这件事曾经引起IPSEC工作组内部的批评，该协议也曾进行过扩充，试图提供BTP和PFS。但是，扩充后的SKIP协议版本其实是在BTP和PFS功能的提供该协议的无状态性之间的某种折衷。实际上，增加了BTP和PFS功能的SKIP非常类似于Photuris以及类Photuris的协议，唯一的主要区别是SKIP(仍然)需要原来的Diffie-Hellman证书。这一点必须注意:目前在Internet上，RSA证书比其 他证书更容易实现和开展业务。

21/212>