I meccanismi differiscono per IKEv1 e IKEv2 e se viene creata la Fase 2 iniziale (CHILD_SA) o se viene creata / rekeyata in seguito.
Con IKEv1 / ISAKMP ogni IPSec SA viene creato con uno scambio Quick Mode, che contiene i payload SA, Proposal e Transform utilizzati per negoziare gli algoritmi (vedere RFC 2408, sezione 4.2 ). Questi algoritmi non devono essere uguali a quelli utilizzati per ISAKMP SA. Il PRF è abilitato negoziando un gruppo DH e stabilendo un segreto condiviso con uno scambio di DH. Pertanto, già la prima Phase 2 SA può negoziare materiale chiave indipendente dalla Phase 1 SA.
Con IKEv2 un CHILD_SA iniziale viene creato già con lo scambio IKE_AUTH. Gli algoritmi sono negoziati con payload SA che contengono proposte e trasformano sottostrutture (non payload completi). Come con IKEv1, gli algoritmi negoziati non devono essere gli stessi di IKE_SA. Tuttavia, poiché il materiale chiave per questo SA iniziale è derivato dalle chiavi IKE, negoziato con uno scambio DH durante lo scambio IKE_SA_INIT, non ci sarà mai un gruppo DH negoziato per questo SA (vedi RFC 7296, fine della sezione 1.2 ). Per stabilire CHILD_SA aggiuntivi o per ridefinire quelli esistenti, vengono utilizzati gli scambi CREATE_CHILD_SA. Il carico utile utilizzato per trasportare le proposte / algoritmi è lo stesso carico utile di SA utilizzato durante gli scambi iniziali. In questi scambi è possibile negoziare un gruppo DH e utilizzare uno scambio DH per creare materiale chiave indipendente dalle chiavi IKE.