Pierwszym rozwiązaniem opracowanym przez IEEE, mającym zapewnić sieciom WLAN bezpieczeństwo, był standard WEP (Wired Equivalent Privacy). Rychło okazało się, że sieci radiowe z WEP nie są wcale bezpieczne.

Dlatego pojawił się standard 802.11i, który - przy użyciu zupełnie nowych algorytmów kodowania i technik pozyskiwania kluczy - zwiększył bezpieczeństwo sieci WLAN. Ratyfikowany w 2004 r. standard 802.11i chroni dane przesyłane drogą radiową, wykorzystując do tego celu operacje wykonywane w drugiej warstwie modelu OSI.

Gdy bezprzewodowy klient nawiązuje łączność z punktem dostępu, w pierwszym kroku urządzenia uzgadniają klucz Pairwise Master Key(PMK). W typowej konfiguracji klucz jest generowany przy użyciu protokołu 802.1x, który potwierdza tożsamość klienta, odwołując się do serwera RADIUS lub do innego serwera uwierzytelniania obsługującego protokół EAP (Extensible Authentication Protocol). Obie strony (klient i serwer RADIUS) uzyskują wtedy identyczne klucze, a serwer RADIUS dostarcza ten klucz punktowi dostępu.

Następnie klient i punkt dostępu zaczynają ze sobą "rozmawiać", wymieniając cztery komunikaty, noszące nazwę four-way handshake. Podczas wymiany tych komunikatów dochodzi do utworzenia nowego klucza - Pairwise Transient Key (PTK). Klucz jest budowany na podstawie klucza PMK i świeżo wygenerowanych przypadkowych kluczy, które tworzą obie strony (klient i punkt dostępu). Klucz Pairwise Transient Key jest dzielony na kilka podkluczy: jeden jest używany do podpisywania komunikatów four-way handshake, drugi do ochrony pakietów transmitowanych między klientem i punktem dostępu; oraz trzeci do kodowania klucza grupy (group key), który jest udostępniany klientowi podczas sesji four-way handshake. Klucz grupy pozwala punktowi dostępu generować i rozsyłać do wszystkich klientów jeden pakiet rozgłoszeniowy, zamiast wysyłać taki zakodowany pakiet wiele razy, za każdym razem dostarczając go innemu klientowi.

Podczas sesji four-way handshake klient i punkt dostępu negocjują, jak będą kodować dane. Obie strony negocjują dwa szyfry: szyfr parowania (pairwise; używany dla pakietów unicast - w transmisji typu stacja-stacja - wymienianych między klientem i punktem dostępu); oraz szyfr grupy, używany dla ruchu broadcast/multicast (pakiety rozsyłane w trybie stacja-wszystkie stacje lub stacja-wiele stacji, które z punktu dostępu wysyła do wielu klientów).

O ile szyfr kodowania może być negocjowany, o tyle standard 802.11i używa zawsze 128-bitowego szyfrowania Advanced Encryption Standard (AES). W środowisku opartym wyłącznie na standardzie 802.11i, szyfr AES jest najczęściej używany do kodowania zarówno klucza parowania, jak i klucza grupy. W środowiskach mieszanych punkty dostępu wykorzystują najczęściej do budowania szyfru grupy takie technologie, jak WEP lub Temporal Key Integrity. Jest to konieczne, aby szyfr grupy - wykorzystywany do kodowania ruchu multicast (stacja-wiele stacji) - mogły generować zarówno stacje 802.11i, jak i starsze, które nie obsługują tego protokołu.

Protokół 802.11i przyspiesza roaming, czyli przełączanie klienta z jednego punktu dostępu na następny. Poprzednio klient musiał za każdym razem (przy przełączaniu) powtarzać procedurę uwierzytelniania 802.1x. W sieciach 802.11i jest inaczej - gdy klient wraca do punktu dostępu, na których był już uwierzytelniony, może wykorzystać ponownie klucz PMK ustanowiony przez ten punkt dostępu, po to aby ominąć procedurę uwierzytelniania 802.1x i zainicjować tylko sesję four-way handshake. Dlatego procedura przełączania klienta z jednego punktu dostępu na kolejny przebiega dużo szybciej. Dodatkowo klient może się wstępnie uwierzytelnić na nowym punkcie, na który ma zamiar przełączyć się, wymieniając jednocześnie cały czas dane ze starym punktem dostępu.

Inna technika szybkiego przełączania się między punktami dostępu, możliwa dzięki protokołowi 802.11i, została nieformalnie nazwana Opportunistic Key Caching (inna nazwa to Proactive Key Caching). Jeśli wiele punktów dostępu może przekazywać sobie i współdzielić klucze PMK, klient może się przełączyć na nowy punkt dostępu, z usług którego nie korzystał poprzednio, wykorzystując do tego celu ponownie klucz PMK, który uzgodnił z poprzednim punktem dostępu; dzięki takiemu rozwiązaniu klient może się szybko przełączyć na punkt dostępu, na którym się jeszcze nigdy nie uwierzytelnił, nie inicjując nawet procedury wstępnego uwierzytelnienia się.

O krokach, jakie należy podjąć w celu wdrożenia standardu 802.11i (handlowa nazwa to WPA2) w sieci Wi-Fi, piszemy w dziale "Porady techniczne".