Der 2004 verabschiedete Standard IEEE 802.11i für die WLAN-Sicherheit löst das WEP-Protokoll ab und behebt dessen Schwachpunkte. Als Verschlüsselungsverfahren schreibt 802.11i den Advanced Encryption Standard ( AES) mit Counter Mode with CBC- MAC Protocol ( CCMP) vor, optional kann auch Wireless Robust Authentication Protocol ( WRAP) benutzt werden. Das CCMP-Protokoll beschreibt wie der AES- Algorithmus auf WLAN- Datenpakete angewendet wird und dient der Authentifizierung.
Als Transportprotokoll für die Authentifizierungsmethoden zwischen den WLAN-Geräten und dem Zugangspunkten benutzt 802.11i das Extensible Authentication Protocol ( EAP), dessen Nachrichten verkapselt werden, und als Authentifizierungsinfrastruktur RADIUS. Die Integrität der Klartext-Header wird mit dem Message Integrity Check ( MIC) gewährleistet.
Der Advanced Encryption Standard (AES) arbeitet mit einem 128 Bit langen Schlüssel und einem 48 Bit langen Initialisierungsvektor ( IV), der sich ständig ändert und bei Wiederholung verworfen wird. Da ältere WLANs noch mit dem Temporal Key Integrity Protocol ( TKIP) und der Wired Equivalent Privacy (WEP) arbeiten, sind diese neben dem WRAP-Protokoll optional zugelassen.
Die Authentifizierung in 802.11i basiert auf einer ausgefeilten Schlüsselhierarchie mit mehreren Hierarchieebenen. Es gibt nur zwei Schlüsselarten: Die Pairwise Keys für Unicast-Übertragungen und die Group Keys für Multicasting. Was die Hierarchieebenen betrifft, so wird bei den Pairwise Keys aus einem Master Key ( MK) ein Pairwise Master Key ( PMK), daraus wiederum ein Pairwise Transient Key ( PTK) abgeleitet. Aus Letzterem werden die Schlüssel für die Verteilung der Chiffrierschlüssel und die Verschlüsselung der Daten gewonnen: Der Key Confirmation Key ( KCK), der Key Encryption Key ( KEK), aus dem wiederum der Group Transient Key ( GTK) abgeleitet wird, und der Temporal Key ( TK).