Tại phía nhận, khi nhận được khung tin, q trình giải mã và kiểm tra diễn ra như sau:
Khung tin nhận được bởi tầng MAC sẽ được kiểm tra giá trị FCS trước khi chuyển xuống cho CCMP xử lý.
Trường AAD được tạo ra từ khung tin nhận được.
Giá trị CCMP nonce được tính tốn.
Phía nhận giải mã dữ liệu sử dụng khóa phiên và CCMP nonce.
Giá trị MIC được tính tốn trên trường AAD và dữ liệu đã giải mã rồi so sánh với giá trị MIC trong khung tin nhận được. Nếu 2 giá trị này khác nhau,
quá trình xử lý dừng.
Giá trị số thứ tự gói được kiểm tra để chống lại hình thức tấn cơng replay. Khung tin nguyên thuỷ được hình thành.
2.2.3. RSN
Bên cạnh TKIP và CCMP, chuẩn 802.11i định nghĩa một kiểu mạng không dây mới gọi là mạng an toàn ổn định (RSN – Robust Security Network) – về bản chất là định nghĩa cây phân cấp khóa và tập các thủ tục sinh khóa (bên cạnh các phương pháp mã hóa đã được lựa chọn). Như vậy, về khía cạnh nào đó, RSN cũng tương tự như mạng không dây sử dụng WEP.
Ở một mạng RSN thực sự, điểm truy cập chỉ cho phép các thiết bị có khả năng hoạt động với RSN được truy cập vào mạng, đồng thời áp dụng các ràng buộc an ninh chặt chẽ trong quá trình truyền thơng. Tuy vậy, với cùng u cầu giống như ở TKIP, rất nhiều thiết bị phần cứng cũ cần được hỗ trợ trong một thời gian trước khi được chuyển hoàn tồn sang RSN. Do đó, 802.11i định nghĩa kiểu mạng an toàn quá độ (TSN – Transition Security Network), cho phép RSN và WEP có thể hoạt động đồng thời. Đó là trường hợp của TKIP đã được trình bày ở trên.
2.2.3.1. Cây phân cấp khóa
Trong kiến trúc RSN, có hai loại khóa được sử dụng cho việc mã hóa ở tầng liên kết dữ liệu. Loại thứ nhất được gọi là khóa cặp (pairwise key) được sử dụng để mã hóa luồng thơng tin unicast giữa điểm truy cập và thiết bị sau khi đã kết nối. Loại thứ hai được gọi là khóa nhóm (group key) được sử dụng để mã hóa luồng thơng tin broadcast và multicast giữa điểm truy cập và thiết bị.
a. Cây phân cấp khóa cặp
Cây phân cấp khóa được xây dựng bắt đầu bởi khóa cặp chính (PMK – Pairwise Master Key). Chuẩn 802.11i cho phép khóa cặp chính có thể được tạo ra theo hai cách. Một là nhờ quá trình xác thực giữa điểm truy cập và thiết bị, PMK được tạo ra bởi máy chủ xác thực, sau đó được phân phối tới điểm truy cập và thiết bị. Cách thứ hai là PMK có thể được cấu hình sẵn ở cả điểm truy cập và thiết bị dưới dạng khóa chia sẻ trước (PreShared Key - PSK).
Khóa chia sẻ là một mật khẩu có độ dài 20 đến 63 byte được cấu hình sẵn trong thiết bị và điểm truy cập. Khóa chia sẻ có thể được cấu hình theo từng thiết bị hoặc cấu hình tồn cục cho cả mạng khơng dây. Từ PSK này, PMK được sinh ra ra. Tuy vậy, chuẩn 802.11i không đặc tả cách thức sinh PMK từ PSK mà để mở cho các nhà sản xuất phần cứng. Theo đó, phần lớn các nhà sản xuất thiết bị (tuân theo quy định của hiệp hội WiFi) sử dụng hàm PBKDFv2 [30] để sinh ra khóa PMK có độ dài 256 bit từ PSK.
Cả hai giao thức mã hóa TKIP và CCMP đều hoạt động theo cùng một nguyên tắc: sử dụng khóa bí mật chính này để tạo ra các khóa khác nhau sử dụng trong q trình mã hóa khung tin. Theo cách này, các thiết bị có thể thay đổi khóa sử dụng khóa bí mật chính mà khơng cần thực hiện lại quá trình xác thực với điểm truy cập.
Khóa cặp chính có độ lớn 256-bit, được giữ ở cả điểm truy cập và thiết bị. Khóa cặp chính này là duy nhất giữa các luồng truyền thông từ điểm truy cập tới thiết bị. Từ khóa cặp chính này, thơng qua hàm sinh số giả ngẫu nhiên PRF (phụ lục 3) được định nghĩa sẵn, cây phân cấp khóa cặp được hình thành.