Bei WLANs nach IEEE 802.11i wird aus dem Master Key ( MK), der nur dem Authentifikations-Server ( AS) und der WLAN-Komponente bekannt ist, der Pairwise Master Key (PMK) abgeleitet. Dieser wird vom Authentifikations-Server an den Zugangspunkt ( AP) übermittelt.
Der PMK ist ein symmetrischer Schlüssel für den WLAN-Zugriff, der nur für die Sitzung zwischen Zugangspunkt (AP) und dem Authentifikations-Server benutzt wird. Aus dem PMK-Schlüssel wird in einem Vier-Wege-Handshake zwischen dem WLAN- Endgerät und dem Authentifikations-Server der Pairwise Transient Key ( PTK) für die Verschlüsselung der Kommunikation abgeleitet. Bei dem PTK-Schlüssel handelt es sich um mehrere Betriebs-Schlüssel: den Key Confirmation Key ( KCK), den Key Encryption Key ( KEK) und die Temporal Keys ( TK).
Der Key Confirmation Key (KCK) wird für die Prüfung des PMK-Schlüssels benutzt und bindet den PMK an den Zugangspunkt. Der Key Encryption Key (KEK) dient der Verteilung der Group Transient Keys ( GTK).