Một khóa được sinh ra bằng một cơ chế ngoài cũng được sử dụng để xác thực trao đổi.
Bên khởi tạo Bên đáp ứng
HDR, SA HDR, SA HDR, KE, Ni HDR, KE, Nr HDR*, IDii, HASH_I HDR*, IDir, HASH_R
Ban đầu bên khởi tạo gửi bên đáp ứng một thông báo gồm một ISAKMP header và một SA payload. Trong ISAKMP header chứa cookie của bên khởi tạo, kiểu trao đổi và các thông tin có liên quan khác. Trong SA payload chứa các DOI, tình huống, một số các đề nghị. Trong mỗi đề nghị lại chứa một mẫu dùng để thỏa thuận về thuật toán mã hóa, hàm HASH, thời gian tồn tại liên kết an toàn, nhóm để thực hiện trao đổi Diffie – Hellman. Khi nhận được thông báo của bên khởi tạo, bên đáp ứng gửi lại bên khởi tạo một thông báo cũng gồm một ISAKMP header và một SA payload. Trong ISAKMP header chứa cả cookie của bên khởi tạo và bên đáp ứng. Trong SA payload chứa DOI, tình huống và một mẫu đã được chấp nhận.
Sau khi đã thỏa thuận được các thuộc tính cần thiết, bên khởi tạo gửi cho bên đáp ứng một thông báo gồm một ISAKMP header, một KE payload chứa thông tin công khai của trao đổi Diffie – Hellman và một giá trị nonce của bên khởi tạo. Tiếp đó bên đáp ứng cũng gửi lại bên khởi tạo một thông báo gồm một ISAKMP header, một KE payload chứa thông tin công khai của trao đổi Diffie – Hellman của bên đáp ứng, một giá trị nonce của bên đáp ứng.
Khi nhận được thông báo bên khởi tạo tiếp tục gửi bên đáp ứng một thông báo gồm một ISAKMP header, định danh của bên khởi tạo và HASH_I; thông báo này được mã hóa bằng khóa chia sẻ trước. Khi nhận được thông báo bên đáp ứng sẽ giải mã thông báo để nhận được định
danh của bên khởi tạo (IDii) và dựa vào giá trị Ni trước đó tính hàm băm để so sánh với HASH_I. Sau đó bên đáp ứng cũng gửi lại bên khởi tạo một thông báo gồm một ISAKMP header, định danh của bên đáp ứng (IDir) và HASH_R. Thông báo này được mã hóa bằng khóa chia sẻ trước, khi nhận được thông báo này, bên khởi tạo cũng giải mã thông báo để nhận được IDir và HASH_R. Bên khởi tạo dựa vào IDir và giá trị Nr để tính hàm băm rồi đem so sánh với HASH_R để xác thực bên đáp ứng.
Khi sử dụng xác thực bằng khóa chia sẻ trước trong main mode thì khóa chỉ có thể được nhận dạng bằng địa chỉ IP của các bên do HASH_I phải được tính trước khi bên khởi tạo xử lý xong IDir. Aggressive mode cho phép khả năng nhận dạng rộng hơn. Hơn nữa, Aggressive cho phép 2 bên giữ nhiều khóa (được chia sẻ trước) khác nhau và nhận dạng được một khóa đúng cho từng trao đổi cụ thể.