EAP-TLS身份验证协议最能支持零信任原则

-零信任网路安全范式
EAP-TLS、EAP-TTLS 和 PEAP 是 WPA2 中使用的合法身份验证协议。EAP-TLS 需要基於服务器和客户端的证书进行相互身份验证，并在三者中呈现最高的安全级别。EAP-TTLS 和 PEAP 支持相互认证，无需在客户端安装证书以减轻系统管理开销。由於零信任强调验证和细粒度访问控制，因此 EAP-TLS 比 EAP-TTLS 或 PEAP 更适合。

EAP 传输层安全 (EAP Transport Layer Security ：EAP-TLS)
EAP 传输层安全 (EAP-TLS) 在 RFC 5216 中定义，是使用传输层安全 (TLS) 协议的 IETF 开放标准，并在无线供应商中得到很好的支持。EAP-TLS 是原始的标准无线局域网 EAP 身份验证协议。
EAP-TLS 仍然被认为是最安全的 EAP 标准之一，尽管 TLS 仅在用户了解有关虚假凭据的潜在警告时才提供强大的安全性，并且得到所有无线 LAN 硬件和软件制造商的普遍支持。直到 2005 年 4 月，EAP-TLS 是唯一需要认证 WPA 或 WPA2 徽标的 EAP 类型供应商。
客户端证书的要求，无论它多麽不受欢迎，都赋予了 EAP-TLS 其身份验证强度，并说明了经典的便利性与安全性的权衡。使用客户端证书，破解密码不足以入侵启用 EAP-TLS 的系统，因为入侵者仍然需要拥有客户端证书；实际上，甚至不需要密码，因为它仅用於加密客户端证书以进行存储。最高的安全性是客户端证书的“私钥”存放在智能卡中。
资料来源：维基百科

EAP 隧道传输层安全 (EAP Tunneled Transport Layer Security：EAP-TTLS)
EAP 隧道传输层安全 (EAP-TTLS) 是一种扩展 TLS 的 EAP 协议。它由 Funk Software 和 Certicom 共同开发，并得到了跨平台的广泛支持。
客户端可以但不必通过 CA 签署的 PKI 证书向服务器进行身份验证。这极大地简化了设置过程，因为并非每个客户端都需要证书。
资料来源：维基百科

受保护的可扩展身份验证协议 (Protected Extensible Authentication Protocol:PEAP)
受保护的可扩展身份验证协议，也称为受保护的 EAP 或简称为 PEAP，是一种将 EAP 封装在潜在加密和身份验证的传输层安全 (TLS) 隧道中的协议。目的是纠正 EAP 中的缺陷；EAP 假设了一个受保护的通信通道，例如由物理安全提供的通道，因此没有提供保护 EAP 对话的设施。
资料来源：维基百科

轻量级可扩展身份验证协议 (Lightweight Extensible Authentication Protocol :LEAP)
Cisco LEAP 是 802.1X 在无线网路中使用的基於 EAP 的身份验证协议。它支持相互认证并在遗留的破解 WEP 中工作。

NIST：零信任原则(Tenets of Zero Trust)

1. 所有数据源和计算服务都被视为资源。
2. 无论网路位置如何，所有通信都是安全的。
3. 按会话授予对单个企业资源的访问权限。
4. 对资源的访问由动态策略决定——包括客户端身份、应用程序/服务和请求资产的可观察状态——并且可能包括其他行为和环境属性。
5. 企业监控和衡量所有自有资产和相关资产的完整性和安全状况。
6. 所有资源认证和授权都是动态的，并且在允许访问之前严格执行。
7. 企业尽可能多地收集有关资产、网路基础设施和通信的当前状态的信息，并使用这些信息来改善其安全状况。

NIST：网路的零信任视图(A Zero Trust View of a Network)

1. 整个企业专用网路不被视为隐式信任区域。
2. 网路上的设备可能不由企业拥有或配置。
3. 没有资源是天生可信的。
4. 并非所有企业资源都位於企业拥有的基础架构上。
5. 远程企业主体和资产无法完全信任其本地网路连接。
6. 在企业和非企业基础设施之间移动的资产和工作流应该具有一致的安全策略和状态。

参考
. WPA2-企业认证协议比较
. 了解更新的 WPA 和 WPA2 标准
. 转向 WPA/WPA2-企业 Wi-Fi 加密
. 802.1X 概述和 EAP 类型
. 思科LEAP
资料来源： Wentz Wu QOTD-202104012
My Blog: https://choson.lifenet.com.tw/