Parece certo. Tanto o EAP-PEAP quanto o EAP-TLS são tecnicamente TLS, mas o último implica autenticação de certificado de cliente, que no TLS não oculta esse certificado de nenhuma maneira. Assim, o aninhamento de EAP-TLS dentro de uma segunda camada TLS (seja dentro de EAP-PEAP ou EAP-TLB) pode ser feito para garantir a privacidade dos clientes, especialmente quando estiver em roaming. Uma abordagem semelhante é usada pelo IPSec IKEv1.