Bei 802.11i wird aus dem Master Key (MK), der nur dem Authentifikations-Server (AS) und der WLAN-Komponente bekannt ist, der Pairwise Master Key (PMK) abgeleitet. Dieser wird vom Authentifikations-Server an den Zugangspunkt (AP) übermittelt.

Schlüsselhierarchie von 802.11i

Der PMK ist ein symmetrischer Schlüssel für den WLAN-Zugriff, der nur für die Sitzung zwischen Zugangspunkt (AP) und dem Authentifikations-Server benutzt wird. Aus dem PMK-Schlüssel wird in einem Vier-Wege-Handshake zwischen dem WLAN-Endgerät und dem Authentifikations-Server der Pairwise Transient Keys (PTK) für die Verschlüsselung der Kommunikation abgeleitet. Bei dem PTK-Schlüssel handelt es sich um mehrere Betriebs-Schlüssel: den Key Conformation Key (KCK), den Key Encryption Key (KEK) und die Temporal Keys (TK).

Der Key Conformation Key (KCK) wird für die Prüfung des PMK-Schlüssels benutzt und bindet den PMK an den Zugangspunkt.

Der Key Encryption Key (KEK) dient der Verteilung der Group Transient Keys (GTK).