Như trên hình vẽ, cả TKIP và CCMP đều sử dụng hàm sinh số giả ngẫu nhiên tạo ra các khóa cặp quá độ (TKIP PTK và CCMP PTK). Cả TKIP PTK và CCMP PTK sử dụng hai khóa 128 bit (KCK và KEK) để mã hóa dữ liệu thông điệp khóa được truyền giữa điểm truy cập và thiết bị. Khóa đầu tiên, KCK (Key Confirmation Key), được sử dụng để tính mã kiểm tra toàn vẹn của thông điệp khóa. Còn khóa KEK (Key Encryption Key) được sử dụng để mã hóa thông điệp khóa. Khóa thứ 2 có độ rộng 128 bit chính là khóa phiên được sử dụng trong cả hai phương pháp mã hóa. Khác với CCMP PTK, TKIP PTK có độ dài 512 bit, trong đó 128 bit cuối cùng được sử dụng để tính toán mã toàn vẹn MIC trong quá trình hoạt động của TKIP.
Các thông điệp khóa được mã hóa bởi khóa EAP-KEK sử dụng một trong hai thuật toán mã hóa là RC4 và thuật toán mã hóa khóa AES. Còn phương pháp đảm bảo tính toàn vẹn cho thông điệp khóa được chuẩn 802.11i chỉ định một trong hai hàm băm là HMAC-MD5 và HMAC-SHA-1.
Cây phân cấp khóa nhóm
Giống như cây phân cấp khóa cặp, cây phân cấp khóa nhóm cũng được xây dựng bắt đầu từ đỉnh với khóa nhóm chính (GMK – Group Master Key). GMK có độ lớn 128 bit được tạo ra và duy trì bởi điểm truy cập. Điểm truy cập sẽ tạo ra và duy trì GMK (có độ lớn 128 bit). Từ GMK, điểm truy cập sử dụng hàm sinh số giả ngẫu nhiên PRF để sinh ra khóa quá độ GTK. Với TKIP, GTK có độ lớn 256 bit bao gồm 128 bit khóa phiên và 128 bit khóa toàn vẹn (MIC key). Với CCMP, GTK có độ lớn 128 bit – chính là khóa phiên được sử dụng để mã hóa luồng dữ liệu broadcast và multicast.