Với giả thiết máy chủ RADIUS được sử dụng làm máy chủ xác thực, quá trình xác thực trong 802.11i dựa trên 802.1X diễn ra như sau:
1. Thiết bị thực hiện liên kết với điểm truy cập.
2. Thiết bị gửi gói tin EAPOL-Start tới điểm truy cập.
3. Điểm truy cập gửi khung tin EAP-Request/Identity thông báo với thiết bị rằng cần phải xác thực 802.1X.
4. Thiết bị trả lời với khung tin EAP-Response/Identity. Khung tin này sẽ được chuyển tiếp tới máy chủ Radius với vai trò khung tin Radius-Access-Request.
5. Máy chủ Radius gửi gói tin EAP-Request xác định phương pháp xác thực. Gói tin này được bao gói trong khung tin Radius-Access-Challenge gửi tới điểm truy cập. Điểm truy cập sẽ chuyển tiếp khung tin EAP-Request tới thiết bị. Khung tin EAP- Request thông thường được gọi là EAP-Request/Method trong đó Method là phương pháp EAP được sử dụng (chẳng hạn PEAP, EAP-TLS).
6. Thiết bị nhận thông tin trả lời từ người dùng (ví dụ: tên/mật khẩu) và trả lời bằng khung tin EAP-Response. Khung tin này sẽ được điểm truy cập chuyển thành gói tin Radius-Access-Request với nội dung thách thức được kèm trong thân gói tin.
Bước 5 và 6 có thể phải lặp đi lặp lại nhiều lần để hoàn tất quá trình xác thực.
7. Máy chủ RADIUS gửi gói tin RADIUS-Access-Accept thông báo xác thực thành công. Điểm truy cập sẽ chuyển tiếp gói tin này thành gói tin EAP-Success chuyển tới thiết bị đồng thời chuyển trạng thái của cổng sang đã xác thực.
8. Ngay sau khi nhận được gói tin Radius-Access-Accept, điểm truy cập thực hiện việc phân phối khóa tới thiết bị bằng các thông điệp EAPOL-Key.
9. Khi khóa được thiết lập ở thiết bị, quá trình sinh khóa diễn ra ở cả điểm truy cập và thiết bị nhằm tạo ra các cây phân cấp khóa phục vụ việc mã hóa dữ liệu (Bước này có thể không xảy ra khi áp dụng 802.1X cho WEP).
10. Khi muốn ngắt kết nối khỏi mạng, thiết bị gửi gói tin EAPOL-Logoff tới điểm truy cập. Cổng logic tương ứng sẽ được chuyển sang trạng thái chưa xác thực.
Hình 3-7. Quá trình xác thực dựa trên 802.1X