Tại phía nhận, khi nhận được khung tin, quá trình giải mã và kiểm tra diễn ra như sau: Khung tin nhận được bởi tầng MAC sẽ được kiểm tra giá trị FCS trước khi
chuyển xuống cho CCMP xử lý.
Trường AAD được tạo ra từ khung tin nhận được. Giá trị CCMP nonce được tính toán.
Phía nhận giải mã dữ liệu sử dụng khóa phiên và CCMP nonce.
Giá trị MIC được tính toán trên trường AAD và dữ liệu đã giải mã rồi so sánh với giá trị MIC trong khung tin nhận được. Nếu 2 giá trị này khác nhau, quá trình xử lý dừng.
Giá trị số thứ tự gói được kiểm tra để chống lại hình thức tấn công replay. Khung tin nguyên thuỷ được hình thành.
2.2.3. RSN
Bên cạnh TKIP và CCMP, chuẩn 802.11i định nghĩa một kiểu mạng không dây mới gọi là mạng an toàn ổn định (RSN – Robust Security Network) – về bản chất là định nghĩa cây phân cấp khóa và tập các thủ tục sinh khóa (bên cạnh các phương pháp mã
hóa đã được lựa chọn). Như vậy, về khía cạnh nào đó, RSN cũng tương tự như mạng không dây sử dụng WEP.
Ở một mạng RSN thực sự, điểm truy cập chỉ cho phép các thiết bị có khả năng hoạt động với RSN được truy cập vào mạng, đồng thời áp dụng các ràng buộc an ninh chặt chẽ trong quá trình truyền thông. Tuy vậy, với cùng yêu cầu giống như ở TKIP, rất nhiều thiết bị phần cứng cũ cần được hỗ trợ trong một thời gian trước khi được chuyển hoàn toàn sang RSN. Do đó, 802.11i định nghĩa kiểu mạng an toàn quá độ (TSN – Transition Security Network), cho phép RSN và WEP có thể hoạt động đồng thời. Đó là trường hợp của TKIP đã được trình bày ở trên.
2.2.3.1. Cây phân cấp khóa
Trong kiến trúc RSN, có hai loại khóa được sử dụng cho việc mã hóa ở tầng liên kết dữ liệu. Loại thứ nhất được gọi là khóa cặp (pairwise key) được sử dụng để mã hóa luồng thông tin unicast giữa điểm truy cập và thiết bị sau khi đã kết nối. Loại thứ hai được gọi là khóa nhóm (group key) được sử dụng để mã hóa luồng thông tin broadcast và multicast giữa điểm truy cập và thiết bị.
Cây phân cấp khóa cặp
Cây phân cấp khóa được xây dựng bắt đầu bởi khóa cặp chính (PMK – Pairwise Master Key). Chuẩn 802.11i cho phép khóa cặp chính có thể được tạo ra theo hai cách. Một là nhờ quá trình xác thực giữa điểm truy cập và thiết bị, PMK được tạo ra bởi máy chủ xác thực, sau đó được phân phối tới điểm truy cập và thiết bị. Cách thứ hai là PMK có thể được cấu hình sẵn ở cả điểm truy cập và thiết bị dưới dạng khóa chia sẻ trước (PreShared Key - PSK).
Khóa chia sẻ là một mật khẩu có độ dài từ 20 đến 63 byte được cấu hình sẵn trong thiết bị và điểm truy cập. Khóa chia sẻ có thể được cấu hình theo từng thiết bị hoặc cấu hình toàn cục cho cả mạng không dây. Từ PSK này, PMK được sinh ra ra. Tuy vậy, chuẩn 802.11i không đặc tả cách thức sinh PMK từ PSK mà để mở cho các nhà sản xuất phần cứng. Theo đó, phần lớn các nhà sản xuất thiết bị (tuân theo quy định của hiệp hội Wifi) sử dụng hàm PBKDFv2 để sinh ra khóa PMK có độ dài 256 bit từ PSK. Cả hai giao thức mã hóa TKIP và CCMP đều hoạt động theo cùng một nguyên tắc: sử dụng khóa bí mật chính này để tạo ra các khóa khác nhau sử dụng trong quá trình mã hóa khung tin. Theo cách này, các thiết bị có thể thay đổi khóa, sử dụng khóa bí mật chính mà không cần thực hiện lại quá trình xác thực với điểm truy cập. Khóa cặp chính có độ lớn 256-bit, được giữ ở cả điểm truy cập và thiết bị. Khóa cặp chính này là duy nhất giữa các luồng truyền thông từ điểm truy cập tới thiết bị. Từ khóa cặp chính này, thông qua hàm sinh số giả ngẫu nhiên PRF được định nghĩa sẵn, cây phân cấp khóa cặp được hình thành.