(2) 802.1X認證階段

802.11i使用802.1X協議來實現用戶認證和密鑰管理。.802.1X本身只是一個框架，采用IETF制定的可擴展認證協議(Extensihle Authentication Protocol，EAP)作為核心協議，EAP 屬于一種框架協議，可適用于不同的鏈路層類型，如EAP over LAN、EAP over PPP等，并允許設計人員制定自己的EAP認證方式，常用的EAP認證方式有TLS、AKA/SIM、1VID5等，可擴展和靈活性是EAP的最大優點。

802.1X基于端口實現網絡訪問控制，定義了三個組件：申請訪問者(supplicant)、認證者( authenticator)和認證服務器(Authentication Server，AS)。申請者是指請求訪問網絡資源的客戶端，網絡訪問由認證者控制，認證者只負責鏈路層的認證交互過程，并不維護任何用戶信息，任何認證請求均會被轉送至認證服務器（如Radius服務器）進行處理，

整個認證交換過程在邏輯上是通過認證服務器和申請者的交互完成，認證者只是扮演中介的角色。申請者與認證者之間使用EAP over LAN（簡稱EAPoL）協議，認證者與認證服務器之間通過網絡協議（如RADIUS協議）封包來傳遞EAP協議報文(如RADIUS稱之為EAP overRADIUS)。

AS通常是有線網絡中的獨立設備，但也可以在AP中實現。根據802.1X協議框架，申請訪問者(STA)向認證者( AP)發送EAP認證請求，AP通過RADIUS消息驗證用戶合法性。

一旦STA通過了802.1X身份驗證之后，AS會產生一個主會話密鑰(MSK)，也稱被作AAA key，將它傳送給STA。以后STA和AP的通信的所有加密密鑰都由此MSK生成。