第二階段交換的目的是為其他協議生成SA，這一階段是通過快速模式來實現的。在單獨的一個IKE SA保護下，可以併發執行多個快速模式交換。 快速模式需要從SKEYID_d中衍生出IPsec SA的金鑰，並與nonce,spi一起做hash計算出金鑰。 快速模式提供一個PFS選項，可以保證金鑰的無關性。如果啟用PFS，則需要一次額外的DH交換，並把共享金鑰在生成金鑰的過程中使用，完成後，共享金鑰被釋放，則各SAi的金鑰之間沒有衍生關係。 此處在PFS啟用後才使用Xa’與Xb’，ID負載是可選的，如果接收方不支援ID負載，則會回一個INVALID-ID-INFORMATION的Notify錯誤。HASH用於交換認證。          HASH1 = prf ( SKEYID_a，M-ID | N/D )          N/D為Notification承載或Delete承載，M-ID為訊息號         KEYMAT = prf ( SKEYID_D, protocol | SPI | Ni’ | Nr’ )         啟用PFS, KEYMAT=prf ( SKEYID_d, gxy | protocol | spi | Ni’ | Nr’ )