实施零信任架构以防止横向移动，XACML最不可能进行身份验证

-示例 XACML 实现
XACML 旨在支持授权，而不是身份验证。
XACML 代表“可扩展访问控制标记语言”。该标准定义了一种声明性细粒度、基於属性的访问控制策略语言、架构和处理模型，描述了如何根据策略中定义的规则评估访问请求。
-资料来源：维基百科

缩写 学期 描述
PAP 政策管理点 管理访问授权策略的点
PDP 政策决策点 在发布访问决定之前根据授权策略评估访问请求的点
PEP 政策执行点 拦截用户对资源的访问请求，向PDP发出决策请求以获得访问决策
（即对资源的访问被批准或拒绝），并根据收到的决策采取行动的点
PIP 政策信息点 充当属性值来源的系统实体（即资源、主题、环境）
PRP 策略检索点 XACML 访问授权策略的存储点，通常是数据库或文件系统。
-资料来源：维基百科

端口敲门和单包授权 (Port Knocking and Single Packet Authorization
:SPA)
802.1X是为认证而设计的，用於网络访问控制，而端口敲门是传输层的一种认证机制。连接尝试的正确顺序可以被视为身份验证的秘密。只有当端口敲门序列正确时，防火墙才会动态地允许连接。
在 计算机联网， 端口碰撞 是从外部打开方法 的端口 上的 防火墙 通过产生一组预先指定关闭的端口的连接尝试。一旦接收到正确的连接尝试序列，防火墙规则就会动态修改以允许发送连接尝试的主机通过特定端口进行连接。存在一种称为单包授权 (SPA) 的变体 ，其中只需要一次“敲门”，由加密 包组成 。
资料来源：维基百科

PKI 和 802.1X
公钥基础设施 (PKI) 和 802.1X 通常用於在 VPN、LAN 或无线网络环境中进行身份验证。

-VPN 和 EAP

参考
. 敲端口

资料来源： Wentz Wu QOTD-20210910
My Blog: https://choson.lifenet.com.tw/