今日共有20篇文稿更新,涉及6个area里的15个WG

ART

wimse

1. draft-ietf-wimse-workload-identity-practices-00

  • Title: Workload Identity Practices
  • Authors: Arndt Schwenkschuster(arndts.ietf@gmail.com), Benedikt Hofmann(hofmann.benedikt@siemens.com), Hannes Tschofenig(Hannes.Tschofenig@gmx.net), Edoardo Giordano(edoardo.giordano@nokia.com), Yaroslav Rosomakho(yrosomakho@zscaler.com)
  • Summary: 本文主要讲述了工作负载在多系统环境中使用OAuth 2.0框架时面临的挑战。这些挑战包括复杂且容易出错的客户ID和客户端密钥,以及这些问题带来的安全风险。为了解决这个问题,行业正在转向联邦化架构,其中工作负载平台上的工作负载凭据被用于作为对不同授权服务器的身份认证凭证,利用Assertion Framework for OAuth 2.0 Client Authentication([RFC7521])的JWT模式。本文提供了关于如何实现这一过程的一些详细信息,并讨论了验证、类型、上下文、有效期、生命周期管理和无效性等问题。 此外,还介绍了与联邦化架构相关的各种实践,如Kubernetes、Secure Production Identity Framework For Everyone(SPIFFE)、云提供商和持续集成/部署系统等。最后,提出了对于实施此架构的建议和可能的改进之处。总之,该文稿总结了联邦化架构的优势及其在实际应用中的重要性和适用性。

INT

6man

1. draft-ietf-6man-snac-router-ra-flag-03

  • Title: SNAC Router Flag in ICMPv6 Router Advertisement Messages
  • Authors: Jonathan Hui(jonhui@google.com)
  • Summary: 本文提出了一种新的IPv6路由器广告(Router Advertisement)标识符,称为“SNAC路由器”标识符。这种标识符仅用于识别来自SNAC路由器的路由信息,而基础设施路由器将忽略它。该标识符由Internet Engineering Task Force (IETF)分配给其成员,以区别于其他设备发送的配置信息。 此外,文稿还讨论了SNAC路由器如何处理这些标识符以及它们的安全性考虑。在实施RA-Guard的情况下,基础设施网络上的设备不会收到带有SNAC路由器标识符的路由消息。 总结:本文定义了一个新的IPv6路由器广告标识符,用于识别来自SNAC路由器的信息,并规定了其使用规则和安全要求。此标识符仅限于SNAC路由器使用,基础设施路由器将忽略它,从而避免安全风险。
  • Diff: 上述新版本的英文标准文稿主要在以下几方面进行了更新和改进: 1. 新增了SNAC路由器标识位(SNAC Router Flag)的概念,并详细解释了其用途。 2. 增加了对SNAC路由器使用的说明和环境限制,强调了使用该标识位的重要性和必要性。 3. 修改了安全性考虑部分,以明确说明SNAC路由器标识位不改变IPv6ND的安全特性。 总体来说,新版本的文档更加完整、清晰地定义了SNAC路由器标识位的概念及其作用,并通过修改和补充增加了新的安全考虑。这使得文档对于网络工程师和其他相关技术人员更有价值和指导意义。

madinas

1. draft-ietf-madinas-use-cases-16

  • Title: Randomized and Changing MAC Address: Context, Network Impacts, and Use Cases for Wi-Fi Network
  • Authors: Jerome Henry(jhenry@ieee.org), Yiu Lee(yiu_lee@cable.comcast.com)
  • Summary: 本文主要讨论了在无线网络中使用MAC地址作为身份标识的问题。首先,它介绍了MAC地址作为身份标识的基本概念,以及如何利用这个机制来跟踪用户活动和地理位置。接着,文稿详细分析了不同的环境因素和网络服务类型,探讨了MAC地址随机化可能带来的影响和问题。 然后,文稿讨论了一些现有的框架,如802.1X与WPA2/WPA3、OpenRoaming、和一些私有解决方案等,以维持用户的隐私保护同时保持网络效率。最后,文稿提出了对MAC地址随机化的建议,并给出了参考文献列表。总的来说,文稿提供了关于如何管理和维护基于MAC地址的身份标识的有效策略。
  • Diff: 该文档为一个关于无线网络中随机化MAC地址及其影响的标准化文件,提供了以下的主要内容: 1. 简介:讨论了使用MAC地址作为身份标识的重要性以及其隐私风险。 2. MAC地址的身份:用户和设备之间的区别。强调了在无线网络中识别MAC地址与用户的关联性,并提出了一些解决方案来保护用户的隐私。 3. 活动者:讨论了不同类型的网络功能实体(如接入点、控制器)以及人类相关的实体如何受到影响。 4. 权力等级:分析了个人设备如何与其他环境中的实体建立信任关系,并确定了他们可以共享的持续ID类型。 5. 环境:描述了可能受到随机化影响的不同网络环境。 6. 网络服务:讨论了现有网络服务可能会受到影响的服务,包括AAA认证等。 7. 临时措施:提供了一种保持用户隐私并维护用户体验的同时进行随机化的方法。 总的来说,本文旨在评估不同的随机化机制及其对网络服务质量的影响,并提出一些改进策略以提高用户隐私保护水平。

ntp

1. draft-ietf-ntp-roughtime-12

  • Title: Roughtime
  • Authors: Watson Ladd(watsonbladd@gmail.com), Marcus Dansarie(marcus@dansarie.se)
  • Summary: 本文讨论了Roughtime协议,这是一种用于时间同步的安全解决方案。它允许客户端在没有明确知道当前时间的情况下获得粗略的时间,并报告任何与时间服务器不一致的情况。该协议使用签名来证明响应是否符合服务器的时间承诺。 Roughtime有单机和多机模式两种模式,支持多种版本的Roughtime协议。此外,该协议还定义了一个Merkle树结构,以验证响应中的时间戳。 对于如何实施Roughtime协议,客户端需要定期更新其可信列表,以及向服务提供者报告可疑行为。为了防止网络攻击,服务器必须限制返回的响应大小,并且在检查响应时要小心。 总体而言,Roughtime提供了时间和认证保护,同时减少了信息泄露的风险,但同时也存在一些安全问题,如隐私保护、私钥管理和量子计算等。这些都要求进一步的研究和发展。
  • Diff: 本文档是关于网络时间协议(NTP)中的Roughtime协议的一个规范性文件。它描述了Roughtime协议的核心机制和工作原理,以及其在时间同步方面的应用。与旧版相比,新版增加了对量子计算的考虑,并讨论了Roughtime协议的安全性问题。此外,新版还引入了一个新的标签“INDX”来表示Roughtime响应中非同源请求的消息索引。 总的来说,新版比旧版更加关注安全性和可靠性,特别是在时间和认证方面进行了改进,以适应未来的网络安全需求。

RTG

bess

1. draft-ietf-bess-evpn-vpws-fxc-10

  • Title: EVPN VPWS Flexible Cross-Connect Service
  • Authors: Ali Sajassi(sajassi@gmail.com), Patrice Brissette(pbrisset@cisco.com), Jim Uttaro(juttaro@ieee.org), John Drake(jdrake@juniper.net), Sami Boutros(sboutros@ciena.com), Jorge Rabadan(jorge.rabadan@nokia.com)
  • Summary: 本文主要介绍了在多段物理接口上使用EVPN VPWS服务隧道来实现多个AC(如VLAN)跨段连接的一种解决方案。这个新的服务类型被称为灵活交叉连接服务,它可以将这些AC汇聚到一个单一的EVPN VPWS服务隧道,并保持单个活动和全部活动的多归属能力,同时减少报文发送的数量以降低网络资源消耗。 文稿首先定义了相关概念和术语,然后详细描述了这种服务的工作原理、数据包处理流程以及如何进行故障检测和恢复。最后,指出了该服务可能面临的安全风险,并提出了相应的解决措施。 总的来说,本文提供了基于EVPN VPWS技术的一个创新性解决方案,旨在提高多段连接的效率并降低对网络资源的需求。
  • Diff: 新的EVPN VPWS服务类型是Flexible Cross-Connect,它允许多段Ethernet Segment之间的多路复用,并在单个EVPN VPWS服务隧道上传输多个Attachment Circuits(AC)(例如VLAN)。这种解决方案通过将多个AC捆绑到一个或多个Ethernet Segment上以减少需要的VPWS服务标签和OAM监控量,同时降低了VPWS报文的数量,减少了报文交换次数。 关键区别: 1. Flexiive Cross-Connect:允许多个AC捆绑到同一个EVPN VPWS服务隧道上,可以使用单个VC标识符进行多点跨段通信。 2. VLAN Signaling:在Flexiive Cross-Connect模式下,每个AC对应于一个单独的EVI,而不是像RFC8214那样,每个AC都是一个独立的VC。 3. Service Instantiation:对于单点接入的AC,无需在控制平面发送单个AC的标示符,而是分配给特定的EVI。 4. Single-Tag Operation:如果单个VC的标示符被用于控制平面,那么不需要进行双标签转换来识别内层和外层标签。 5. VLAN-Based Services:支持基于VLAN的VPWS服务,允许在相同的EVI上配置多个AC,而不需要重新创建单个VC标识符。 与旧版的主要区别在于引入了更多的功能特性,如VLAN捆绑、基于VLAN的服务以及支持基于MAC的查找,使多AC的传输更加灵活高效。

bier

1. draft-ietf-bier-php-15

  • Title: BIER Penultimate Hop Popping
  • Authors: Zhaohui (Jeffrey) Zhang(zzhang@juniper.net)
  • Summary: 本文档详细描述了在Bit Index Explicit Replication(BIER)架构中的Penultimate Hop Popping(PHP)机制,这是一种在特定情况下允许边缘路由器从最后一个路由器删除BIER头部并直接传输数据的方法。这种机制有助于优化包转发过程,在需要的情况下能够减少处理负担。 主要安全考虑和操作方面的建议也给出了详细的说明,同时提出了一些IANA注册的新TLV类型以支持这个机制。总之,PHP是一种有效的解决方案,特别是在边缘路由器仅需接收多播流量而不需要发送时。然而,对于边缘路由器需要同时接收和发送多播流量的情况,则可能需要通过其他方法来实现。
  • Diff: 新的版本详细规定了在Bit Index Explicit Replication(BIER)架构下,通过最后路由节点将比特位指数前缀扩展到最后一跳路由器的功能。这一机制减少了最后一跳路由器的处理负担,并提升了网络效率。新的版本增加了对多协议标签交换(MPLS)和非MPLS封装、IPv4/IPv6多播包等特定情况的支持。 主要区别在于: 1. 支持多种类型的MPLS编码和非MPLS编码。 2. 增加了对IPv4/IPv6多播包和特定BFSL支持的条件。 3. 提供了一种方法来减少最终路由节点的处理负担。

ccamp

1. draft-ietf-ccamp-rfc9093-bis-12

  • Title: Common YANG Data Types for Layer 0 Networks
  • Authors: Sergio Belotti(sergio.belotti@nokia.com), Italo Busi(italo.busi@gmail.com), Dieter Beller(dieter.beller@nokia.com), Esther Le Rouzic(esther.lerouzic@orange.com), Aihua Guo(aihuaguo.ietf@gmail.com)
  • Summary: 本文定义了一些通用的层0类型数据,用于模型WSON和flexi-grid密集波分多路复用网络(DWDM)。这些类型的定义来源于YANG模块中的基本YANG类型、标识符和组合,旨在为模型这些网络之外的数据提供公共类型。例如,它们包括了WDM标签和标签范围等关键概念,以及与网络管理相关的组织模式等信息。本文还定义了附加的YANG数据类型、标识符和组合,以支持特定的应用场景。此外,它还定义了相关的组织识别符,如供应商或组织识别符,以便在不同的应用环境中使用。
  • Diff: 本文档定义了一个新的层0类型数据模型,它包含了YANG模块中的所有前几版文档所包含的数据类型、标识和组群,包括Wavelength Switched Optical Networks (WSONs) 和 flexi-grid Dense Wavelength Division Multiplexing (DWDM) 网络。这些新增的数据类型、标识和组群被设计为可以用来描述用于流量工程(TE)功能以及非TE功能(如物理网络配置特性)的层0光网络在模型之外定义的拓扑信息。 相比于旧版文档,新版本引入了以下主要内容上的区别: 1. 新增了WDM Label和Label Range数据类型,它们定义了频率槽位的分配规则,以支持光网络设备能够设置不同类型的WDM路径; 2. 增加了WDM Grid Type等基础YANG标识和组群,用于描述不同的网格类型; 3. 增加了wson-label-start-end、wson-label-hop等特定于WSON的标签范围和跳转信息组群,用于描述WSON网络的标签范围和跳转信息; 4. 增加了flexi-grid频宽范围、频宽步长、频率范围等特定于flexi-grid的频率信息组群,用于描述flexi-grid网络的频宽范围和步长; 5. 增加了Transceiver Capabilities标识和组群,用于描述确定光学信号兼容性的所需通信用途能力; 6. 增加了Standard Modes、Organizational Modes等标识和组群,用于描述各种组织或供应商的运营模式,以及相关的限制属性; 7. 增加了Explicit Mode等标识和组群,用于描述针对特定操作模式的相关属性。

lsr

1. draft-ietf-lsr-flex-algo-bw-con-17

  • Title: Flexible Algorithms: Bandwidth, Delay, Metrics and Constraints
  • Authors: Shraddha Hegde(shraddha@juniper.net), William Britto(bwilliam@juniper.net), Rajesh Shetty(mrajesh@juniper.net), Bruno Decraene(bruno.decraene@orange.com), Peter Psenak(ppsenak@cisco.com), Tony Li(tony.li@tony.li)
  • Summary: 这篇文档定义了一个通用的带宽指标类型,可以与Flex算法和其他应用一起使用。这个新的带宽指标类型可以用于衡量网络中的带宽要求,帮助运营商控制流量路由策略。通过定义一系列约束条件,该算法可以避免在高带宽情况下将流量导向低带宽链接,在低带宽情况下将流量导向高带宽链接。 另外,还定义了一些附加的FAD子TLV,允许网络管理员预设不希望使用的带宽或延迟限制条件。这些子TLV可以在IS-IS和OSPF等IGP中使用,从而支持更多类型的带宽约束,并为不同的应用场景提供更灵活的选择。 总之,这篇文档提供了基于带宽的路径计算的新机制,有助于优化网络设计并确保流量安全可靠地流过网络。
  • Diff: 该文档定义了新的通用带宽、延迟和指标类型,为Flex算法提供了额外的控制能力。主要区别在于: 1. 定义了一个新的通用带宽类型,并在其他应用中使用。 2. 提出了更多的FAD约束子TLV,允许网络管理员预设低带宽或高延迟链路不被使用。 3. 描述了自动计算链接性能的方法,无需实际流量监控即可分配到总带宽和根据参数定义的限制。 4. 对于跨域/多区域网络,规定了如何使用这些类型的指标来实现对特定Flex算法路径的专有设置。 总体来说,新版本增加了对更广泛的指标类型的支持,以及更加灵活的拓扑约束机制,从而增强了Flex算法的能力。

mpls

1. draft-ietf-mpls-stamp-pw-00

  • Title: Encapsulation of Simple Two-Way Active Measurement Protocol for Pseudowires and LSPs in MPLS Networks
  • Authors: Rakesh Gandhi(rgandhi.ietf@gmail.com), Patrice Brissette(pbrisset@cisco.com), Eddie Leyton(edward.leyton@verizonwireless.com), Xiao Min(xiao.min2@zte.com.cn)
  • Summary: 本文主要讨论了在多协议标签交换(MPLS)网络中封装简单两向活动测量协议(STAMP)和其扩展。它描述了如何将STAMP定义在RFC 8762中的简单两向活动测量协议(SIMPLE TWO-WAY ACTIVE MEASUREMENT PROTOCOL)和其可选扩展定义为点到点(PW)和LSP上的STAMP在MPLS网络中的操作。文稿还讨论了如何使用通用关联通道(Generic Associated Channel)来封装STAMP测试包,并且使用IP或UDP头部。 总结来说,本文提供了一种方法,在MPLS网络中封装STAMP测试包,并使用通用关联通道(G-ACh)来传输这些包。这种方法允许在不同类型的管道上使用相同的流量控制行为,同时保持相同的路径。此外,该文档也讨论了安全考虑和IANA注册表更新的问题,以及可能需要进一步的研究工作。

SEC

lamps

1. draft-liu-lamps-mechanism-updates-to-rfc-5280-05

  • Title: Certificate Status Information Mechanism Description Updates to RFC 5280
  • Authors: Penghui Liu(liuph@pcl.ac.cn), Xiang Liu(liux15@pcl.ac.cn), Rongwei Yang(yangrw@pcl.ac.cn), Yu Zhang(zhangy08@pcl.ac.cn)
  • Summary: 本文主要更新了RFC 5280的相关文档,使其与X.509互联网公钥基础设施在线证书状态协议-OCSP(RFC 6960)的规定保持一致。更新包括对操作规程、CRL和CRL扩展、基本证书处理等方面进行调整,以提供对ICAP-OCSP服务的支持。此外,还提供了针对国际化名称在Distinguished Names(DN)中的引用,以及对国际化的电子邮件地址的补充说明。 该文档提出了几个方面的更新:1. 提供了对ICAP-OCSP服务支持的参考;2. 对涉及国际化的证书、CRL等信息进行了补充;3. 提出了对于认证授权中心CA的信任链管理和验证的方法建议;4. 提出了基于SSL/TLS的通信方式。这些更新旨在为用户提供更好的信息安全保护,并促进浏览器厂商的安全审查机制的发展。
  • Diff: 这篇新的标准文稿更新了RFC 5280文档,提供了与最新的X.509 Internet Public Key Infrastructure Online Certificate Status Protocol-OCSP 2013规格相一致的证书状态信息机制描述更新。 主要内容包括: 1. 操作层协议(第3.4节):要求提供对客户系统的证书和撤销列表的交付,增加了基于LDAP、HTTP、FTP和X.500的多种证书和撤销列表交付方式的支持,并详细说明了支持这些环境的定义或参考消息格式。 2. CRL和CRL扩展表(第5节):增加对在线证书状态协议OCSP的支持。 3. 基本证书处理(第6.1.3节):更新了认证请求字段(Section 6.3),允许在认证请求中包含国际化名称。 4. 国际化域名通用命名(第7.1节):新增了dNSName域选择,用于存储域名,并且解释了如何将国际化的域名转换为ASCII表示。 5. 国际化电子邮件地址(第7.5节):允许在身份验证请求字段中包含电子邮箱地址,并解释了如何将使用当前结构的国际化域名转换为ASCII表示。 6. IANA考虑因素:没有提及需要向IANA提出请求。 7. 安全性考量:提供了针对依赖于Web PKI中的证书路径构建和验证的安全审查流程质量以及实施此类证书所影响的信任度保证程度。路径验证算法依赖于信任CA信息的完整性,特别是与证书相关的状态信息的完整性的完整性。通过提供多个检查机制,攻击者无法诱使用户接受虚假证书。 8. 引用部分:提供了关于最近版本的RFC5280更新以符合现有实践的证书状态信息机制描述的引用,以作为互联网浏览器制造商的安全参考。 总的来说,新版本的主要区别在于提供了与最新X.509规范相一致的信息,以增强安全性和一致性。


2. draft-liu-lamps-browser-webpki-cert-preservation-01

  • Title: Simple Local Web PKI Certificate Resource Preservation Management for Internet Browser
  • Authors: Penghui Liu(liuph@pcl.ac.cn), Xiang Liu(liux15@pcl.ac.cn), Rongwei Yang(yangrw@pcl.ac.cn), Yu Zhang(zhangy08@pcl.ac.cn)
  • Summary: 本文提出了一种机制,允许互联网浏览器创建本地自定义Web PKI证书资源管理视图,以在需要时替代某些认证权威机构(CA)发布的验证结果。这种机制旨在解决由于集中化的大型证书实体控制过多而导致的关键基础设施稳定性降低和身份验证系统完整性受到影响的问题。它还解决了组织可以自行评估证书的有效性并保留其关键证书以避免恶意撤销或过期证书失效的风险问题。用户可以在不依赖其他竞争组织的情况下独立检查证书的有效性,从而确保网络系统的稳定运行,并提升整个行业的网络安全。 该机制通过JSON格式文件格式来实现,其中包含两个主要部分:白名单证书过滤器“LocalCertWhiteFilters”和黑名单证书声明“LocalCertBlackAssertions”。这些组件根据基本证书验证逻辑验证目标证书序列号、主题名称或其他扩展名是否存在。如果基本证书验证过程中找到特定错误代码,如证书被撤销或过期,则当前的目标叶子证书应被视为有效。此外,也可以配置黑名单证书声明中的相关注释字段,以便解释相关的匹配信息,便于用户理解。 对于实际应用来说,多份基于JSON格式的本地证书保存库文件是支持同时使用的,以确保一致性。例如,在一个目录下有多个本地证书保存库文件,每个文件都应保证没有冲突的配置项。此外,所有支持的成员类型和值都可以从常见的浏览器中看到。
  • Diff: 以上新的英文标准文稿提出了一种机制,允许互联网浏览器创建一个本地化的证书资源保存管理视图,以实现对Web PKI证书资源的自主管理。这一机制通过在证书验证过程中利用浏览器内置的功能来满足用户的需求。该机制解决了由于证书所有权与管理权不一致而引发的风险问题,并为用户提供了一个可信任和稳定的网络环境。 主要区别在于: 1. 原文使用了 "Certificate Preservation for Internet Browser" 的标题,而本文改为了 "Simple Local Web PKI Certificate Resource Preservation Management for Internet Browser",说明了这种机制主要是针对互联网浏览器设计的。 2. 在原文中,对于错误类型的定义是基于 RFC5280 中的基本证书错误类型定义;而在本文中,定义错误类型的算法可以被扩展和定义自己的错误类型。 3. 文本更注重强调了该机制的安全性、兼容性和灵活性特点,例如它可以支持多文件格式的证书保存库,确保不同浏览器之间的互操作性等。


3. draft-liu-lamps-certification-path-validation-04

  • Title: Technical guidelines of Web server certification path validation for Interent browser
  • Authors: Penghui Liu(liuph@pcl.ac.cn), Xiang Liu(liux15@pcl.ac.cn), Rongwei Yang(yangrw@pcl.ac.cn), Yu Zhang(zhangy08@pcl.ac.cn)
  • Summary: 本文主要阐述了Web服务器证书认证路径验证的相关要求和流程。文稿首先概述了Web PKI中的证书路径构建和验证过程的重要性,以及目前全球范围内互联网浏览器制造商对这一过程的处理情况。然后详细介绍了如何进行基本的证书验证过程,并提供了使用路径验证算法的具体方法。 对于实施者来说,该文档提供了一个统一的过程验证指导,包括基础路径验证、使用路径验证算法的方法、CRL验证方法、OCSP验证方法等。此外,还讨论了CT(证书透明性)机制验证的步骤,以保证用户的证书安全性和信任度。最后,该文档提出了一些关于证书状态信息机制描述更新的建议,以满足现有实践的需求。
  • Diff: 该文档提供了Web服务器证书在SSL/TLS协议通信中的认证路径验证指南,包括基本路径验证过程、参考程序和建议等内容。 主要内容区别: 1. 与旧版相比,新增了关于CT(Certificate Transparency)和OCSP(Online Certificate Status Protocol)等新技术的信息,并对这些技术进行了详细描述和说明。 2. 在认证路径验证算法方面,提出了新的方法和技术,如使用安全弱密钥、支持HTTPS、部署配置安全等因素来提高安全性。 3. 对认证路径验证流程进行了一定程度的改进,使流程更加规范和清晰,同时增加了更多的输入参数和步骤以满足不同应用场景的需求。 4. 增加了对国际标准化组织ISO/IEC 14888-3/AMD1 SM2公钥加密算法的支持,以及对HAProxy代理机制的支持,进一步提高了浏览器的安全性和性能。 总的来说,新版本文档不仅涵盖了传统的X.509证书认证路径验证过程,还引入了新的技术和实践,提升了整个网络浏览器的安全性。

spice

1. draft-ietf-spice-sd-cwt-02

  • Title: SPICE SD-CWT
  • Authors: Michael Prorock(mprorock@mesur.io), Orie Steele(orie@transmute.industries), Henk Birkholz(henk.birkholz@ietf.contact), Rohan Mahy(rohan.ietf@gmail.com)
  • Summary: 本文是关于使用选择披露JSON Web Token(SD-JWT)技术,允许持有者在保留某些数据隐私的同时,可以向不同的验证者公开部分或全部数据。文稿详细介绍了如何生成和展示一个Selectively Disclosure JSON Web Token(SD-CWT),以及如何将SD-CWT与Verifying Certificate(证书)结合在一起,形成一个新的认证方式。 其中最重要的新功能是:Holder可以在不泄露敏感信息的情况下,向不同验证者证明自己拥有某些特定的确认方法。这是基于SD-JWT技术,但同时引入了新的数据保护机制,使得持有人可以向特定验证者发送选择性披露的数据,而无需泄露敏感信息。
  • Diff: 新的文档更新了CBOR Web Token(CWT)的规范,使得持有者可以在CWT的基础上进行选择性披露。这种技术允许持有人向不同的验证者显示或隐藏某些特定属性,以证明他们对一个主体在某个时间段内的某次检查结果、最新检查日期以及国家等信息的知情权。 这个新版本的主要区别在于: 1. 允许持有人使用自定义盐和散列来生成密封消息; 2. 可以使用自定义散列密钥和散列值; 3. 持有人可以将选择性披露的消息绑定到一个证书凭证中,从而保护自己的私钥安全; 4. 可以展示和控制所选公开信息; 5. 系统为不同类型的凭证提供了类型定义,并且有具体的例子展示了如何使用这些类型。

suit

1. draft-ietf-suit-manifest-31

  • Title: A Concise Binary Object Representation (CBOR)-based Serialization Format for the Software Updates for Internet of Things (SUIT) Manifest
  • Authors: Brendan Moran(brendan.moran.ietf@gmail.com), Hannes Tschofenig(Hannes.Tschofenig@gmx.net), Henk Birkholz(henk.birkholz@ietf.contact), Koen Zandberg(koen@bergzand.net), Øyvind Rønningstad(oyvind.ronningstad@gmail.com)
  • Summary: 本文主要讲述了软件更新(SUIT)manifest格式,它是一种基于压缩二进制对象表示法(CBOR)的序列化格式。该格式主要用于存储和传输包含代码、数据以及加密信息的软件更新包。在物联网(IoT)设备上使用时,它可以用于管理软件升级的生命周期,并提供安全性保护措施。该标准定义了SUIT manifest格式,支持多种应用场景,如网络运营商对兼容性检查、设备运营商对影响分析等。 本文还讨论了SUIT manifest结构的基本概念,包括版本控制、密钥验证、依赖关系管理和授权机制等内容。此外,还介绍了如何创建和处理SUIT manifest文件,以及相关的安全考虑和注意事项。总的来说,本文为实现软件更新过程中的安全性提供了详细的指导和支持。
  • Diff: 该文档主要介绍了软件更新(Software Updates for the Internet of Things,简称SUIT)的管理格式及其在物联网设备上的应用。它描述了SUIT Manifest(软件包元数据)的结构、功能以及如何使用。与之前的版本相比,主要区别在于: 1. 更详细的描述了SUIT Manifest的结构和内容。 2. 提供了更多关于SUIT Manifest使用场景的信息,包括其应用场景、用户故事等。 3. 强调了SUIT Manifest的扩展性,并提供了实现这些扩展性的方法。 总的来说,该文档为SUIT Manifest的定义和实现提供了一个详细的技术指南。


2. draft-ietf-suit-trust-domains-09

  • Title: SUIT Manifest Extensions for Multiple Trust Domains
  • Authors: Brendan Moran(brendan.moran.ietf@gmail.com), Ken Takayama(11kenterada@gmail.com)
  • Summary: 本文主要描述了在多个信任域部署软件更新时,SUIT Manifest格式所提出的扩展,包括修改了Manifest结构、依赖关系和依赖处理流程等。文中详细介绍了新的指令和参数定义,如Set Parameters、Process Dependency、Is Dependency等,并讨论了如何解决一些可能的安全问题。此外,还对相关技术进行了详细的介绍,如SUIT Envelope元素、SUIT Manifest元素、SUIT Common元素以及SUIT Commands等。 总的来说,本文提出了一系列针对多信任域部署的解决方案,旨在简化复杂部署过程,提高安全性和效率。这些改进将有助于更有效地管理软件升级的过程。
  • Diff: 摘要: 本文件描述了在部署多信任域环境中的SUITManifest格式扩展。 关键区别: 1. 在SUITWorkflowModel中增加了对依赖关系的要求:所有依赖关系的Manifest必须在任何Payload之前存在。 2. 在manifest结构中添加了一个新的元素:integratedDependencies,该元素用于标识一个可以处理依赖关系的组件。每个Component都可被标记为具有多个integratedDependencies,表示它需要处理多个Dependency。 3. 在abstractMachineDescription中引入了五种新的命令:SetParameter、ProcessDependency、IsDependency、DependencyIntegrity和Unlink。这些命令允许在不支持Dependency的情况下使用。 4. 修改了Dependency的处理方式。每一步Dependency都要执行DependencyResolution步骤,然后才能进行PayloadFetch。 5. 当有多个独立的Components时,它们可能会共享一些依赖关系。在这种情况下,这些依赖关系可以通过引用计数管理。 6. 通过reference-counting机制,当多个Components相互引用时,不会出现资源泄露问题。 7. 增加了关于依赖关系处理的注释,以帮助用户理解其作用。

WIT

quic

1. draft-gage-quic-pathmgmt-00

  • Title: QUIC Path Management for Multi-Path Configurations
  • Authors: Bill Gage(billgage.ietf@gmail.com)
  • Summary: 本文讨论了Quic路径管理的相关内容。它定义了一种可以在多条路径上同时传输非探测帧的方式,允许端点之间使用不同的路径进行数据交换,并且在不同路径上传输的数据不受到限制。文稿还介绍了用于处理各种操作的几种新的quic路径管理帧类型,如挑战帧、响应帧、状态帧和弃权帧等。 主要总结如下: 1. 提出了基于mptcp协议的多路径传输概念,可以实现多个连接之间的多路径传输。 2. 描述了如何将这些新特性应用于Quic,包括如何为每个连接分配一个唯一的路径标识符(PathID),如何确定何时激活或移除某个路径以及如何更新该路径的状态。 3. 强调了如何确保在不同路径上传送的数据不受限制,并指出路径管理应该与连接管理相分离。 4. 提到了一些安全性和性能方面的考虑,例如资源使用和数据增益限制。 总的来说,本文讨论了如何利用Quic框架来实现多路径传输,并提供了关于如何管理和维护这些路径的方法。它还讨论了可能影响Quic性能的因素,如路径迁移和路径选择算法。

scone

1. draft-rjt-scone-conformance-signal-00

  • Title: Client Conformance Signal for SCONE
  • Authors: Renjie Tang(rjt.ietf@gmail.com)
  • Summary: 本文提出了一种用于客户端确认其是否能够适应网络元素发送的速率建议,以便服务提供商可以停止对客户端进行控制。这种信号由QUIC客户端通过TRAIN(https://datatracker.ietf.org/doc/draft-thomson-scone-train-protocol/)协议发送给网络元素。如果客户端决定不遵守速率建议,则应立即回送相同的信息,并在接收方被标记为符合后关闭设备。这个过程允许网络元素确定客户端的响应并相应地调整自己的策略。这样既可以减少对客户的干扰,又可以避免不必要的资源消耗。 此外,文中还讨论了网络元素如何处理客户回送的ACK消息以及如何防止短时断流等现象,从而提高服务质量。同时,还提到了如何利用这个机制来确保流量建议的有效性和一致性。最后,文稿给出了相应的安全和管理措施以保护这个系统免受攻击。

IRTF

coinrg

1. draft-irtf-coinrg-use-cases-07

  • Title: Use Cases for In-Network Computing
  • Authors: Ike Kunze(ike.kunze@comsys.rwth-aachen.de), Klaus Wehrle(klaus@comsys.rwth-aachen.de), Dirk Trossen(dirk.trossen@huawei.com), Marie-Jose Montpetit(marie@mjmontpetit.com), Xavier de Foy(x.defoy.ietf@gmail.com), David Griffin(dgriffin@ee.ucl.ac.uk), Miguel Rio(miguel.rio@ucl.ac.uk)
  • Summary: 本文是关于互联网中网络计算的一种新的愿景。主要提出了四类使用场景,分别是为用户提供新用户体验、提供新型COIN系统、改善现有COIN能力以及支持新型COIN能力。其中提到的关键研究问题包括:如何将服务级别组件(如微服务)打包到现有的移动应用包中;如何减少在不同设备间切换服务实例时的延迟;如何确定在特定服务序列中的最佳选择等。 文中还讨论了当前解决方案的一些局限性,并提出了一些可能的研究方向和需要改进的地方。例如,目前的服务部署方法可能无法满足高延迟的需求,而服务路由框架也缺乏灵活性。此外,COIN系统的开发需要考虑多种复杂的约束条件,如安全性和性能。 总的来说,文稿通过总结这些关键点,为推动“在网络中计算”的架构提供了参考思路和研究方向。
  • Diff: 新的英文标准文稿提出了四种维度的应用场景来描述“在网计算”(In-Network Computing, COIN)的能力如何为网络服务和应用程序提供新的用户体验、支持新的网络系统以及改进现有的网络功能。 与旧版不同的是: 1. 新版将COIN应用划分为接收、处理和显示三类,并通过COIN执行环境实现了灵活的分布式执行,从而为用户提供更丰富的用户体验。 2. 新版进一步细化了每个应用场景的特点,如移动应用卸载、增强现实(XR)沉浸体验等。 3. 新版明确了研究问题并提供了相应的开发能力要求,以指导未来的研究工作。 4. 新版提出了一种基于微服务的包装方法,允许将移动应用打包成分布式网络环境中的组件。 总的来说,新版更加注重场景化和可操作性,对现有网络系统的改造更具针对性,同时也增加了对新技术和新型应用的支持。


2. draft-irtf-coinrg-use-case-analysis-02

  • Title: Use Case Analysis for Computing in the Network
  • Authors: Ike Kunze(ike.kunze@comsys.rwth-aachen.de), Jungha Hong(jhong@etri.re.kr), Klaus Wehrle(klaus@comsys.rwth-aachen.de), Dirk Trossen(dirk.trossen@huawei.com), Marie-Jose Montpetit(marie@mjmontpetit.com), Xavier de Foy(x.defoy.ietf@gmail.com), David Griffin(dgriffin@ee.ucl.ac.uk), Miguel Rio(miguel.rio@ucl.ac.uk)
  • Summary: 本文分析了使用网络计算在互联网上的潜在用途。作者提出了一个分类方法来描述这些用途,分为四个主要类别:愿景、增强技术、分布式计算框架和语言到网络计算、应用设计数据处理路由与转发工业控制。 文稿还讨论了实现这些用途的技术挑战,并提出了一系列研究问题。例如,在应用设计方面,需要考虑如何组合和优化不同的计算能力和通信资源;在数据处理方面,需要解决如何在复杂的数据流中进行有效处理的问题。此外,还需要探讨如何将新功能融入现有系统以及确保安全性的解决方案等。 总的来说,这篇文稿为未来的研究提供了有价值的见解,有助于推动网络计算的发展。
  • Diff: 本文对使用网络计算(COIN)技术在现有服务和应用中的影响以及为新型领域创新提供可能进行了分析。与旧版不同的是,本版增加了更多关于COIN架构、应用设计、数据处理、路由转发、工业控制等方面的研究问题和需求,从而更加全面地探讨了COIN技术的应用场景。此外,还提出了更详细的架构分类,并讨论了一些新的研究方向和挑战。总的来说,本文从多角度深入分析了COIN技术的各种应用场景,为未来的COIN讨论提供了有益的信息和指导。

Unknown

Unknown

1. draft-ietf-ospf-sr-yang-32

  • Title: A YANG Data Model for OSPF Segment Routing for the MPLS Data Plane
  • Authors: Yingzhen Qu(yingzhen.ietf@gmail.com), Acee Lindem(acee.ietf@gmail.com), Zhaohui (Jeffrey) Zhang(zzhang@juniper.net), Ing-Wher (Helen) Chen(ingwherchen@mitre.org)
  • Summary: 是关于OSPF(Open Shortest Path First)段路由扩展的数据模型,用于在MPLS数据平面配置和管理。这个文档定义了一个YANG数据模块,可以用来配置和管理OSPF(版本2)和OSPFv3(版本3)的附加段路由扩展。 主要内容包括: 1. 定义了用于配置和管理OSPF(版本2)和OSPFv3(版本3)段路由扩展的YANG数据模型。 2. 提供了与OSPF协议相关的基本配置信息,如区域、接口等。 3. 提供了与MPLS数据平面相关的信息,如标签空间、接口类型等。 4. 增加了对拓扑独立快速重定向(TI-LFA)的支持。 5. 对于OSPFv2,提供了针对IP-FRR中的TI-LFA计算的扩展。 总之,本文提供了一种统一的框架来管理和配置OSPF(版本2)和OSPFv3(版本3)的段路由扩展,并且支持了拓扑独立快速重定向功能,为MPLS数据平面提供了更丰富的配置选项。
  • Diff: 摘要 本文定义了一个YANG数据模型,可以用来配置和管理OSPF扩展用于段路由(Segment Routing)的MPLS数据平面。 要求语言:本文档使用了网络管理系统数据存储架构(NMDA)中的关键字,当在所有的大写字母形式出现时。 树图:本文使用了树图来表示数据模型定义。 OSPF段路由:本文定义了一个模型,用于OSPFv2和OSPFv3的段路由扩展,包括基于端到端协议的独立全局段路由配置。 安全考虑:本文讨论了针对MPLS数据平面的安全考虑。 感谢词:本文对贡献者进行了感谢。 IANA考虑:本文对IANA进行了考虑。 参考文献:本文列出了规范性引用、信息性引用的参考文献列表。 附件一:配置示例:本文提供了一个配置示例,帮助用户理解如何实现OSPF段路由。 附件二:作者地址:本文列出作者的联系信息,以供后续引用。 注释:本文附有补充资料,如目录索引等。 以上就是本文的主要区别,即它提供了更详细的OSPF段路由模型,并添加了更多的安全性考虑和附加的文件格式说明。