今日共有8篇文稿更新,涉及5个area里的8个WG

ART

regext

1. draft-ietf-regext-epp-delete-bcp-09

  • Title: Best Practices for Deletion of Domain and Host Objects in the Extensible Provisioning Protocol (EPP)
  • Authors: Scott Hollenbeck(shollenbeck@verisign.com), William Carroll(wicarroll@verisign.com), Gautam Akiwate(gautam.akiwate@gmail.com)
  • Summary: 本文讨论了删除域名和主机对象在扩展性提供协议(EPP)中的最佳实践。主要关注的是避免DNS解析中断,以及维护数据一致性的问题。一些EPP客户端已经发展出了操作规程来清理那些会导致DNS解析失败或安全问题的对象。然而,这些做法有时会带来风险,比如恶意实体可能注册一个与目标域名关联的子域,或者恶意实体可能利用这个子域进行恶意活动。 为了避免这些问题,本文提出了新的建议:一是使用“应不应该删除”的文本;二是采用新方法命名用于删除的主机对象,如使用外部域名、特殊用途顶级域名等;三是允许客户端请求明确删除与受影响的主机对象相关联的主机会导致更大的数据混乱;四是允许客户端向客户提供更多关于被删除主机对象的信息,以便更好地评估其潜在的影响;五是允许客户端提出对受影响客户端的通知,并通知其他客户端改变。总之,这些改进可以减少因删除域名和主机对象而产生的潜在风险。
  • Diff: 上述新版本的英文标准文稿主要在以下方面进行了重大改进: 1. 更清晰地阐述了“SHOULD NOT be deleted”这一指导原则的含义和作用。 2. 提出了针对删除域名和主机对象的具体实践建议,包括使用“牺牲性主机”来防止破坏DNS解析功能等措施。 3. 描述了客户-服务器一致性、关系数据库依赖以及删除操作可能带来的潜在风险,并提出了相应的缓解措施。 相比于旧版本,新版本的主要区别在于更加详细地分析了删除操作对客户端-服务器数据一致性的影响,提出了更多针对性的实践建议,从而降低了删除操作的风险,同时提供了更详细的实施步骤和考虑因素。这些变化使得该文档成为了更好的指南,能够帮助EPP客户端和服务器更好地处理域名和主机对象的删除操作。

RTG

lsvr

1. draft-ietf-lsvr-bgp-spf-40

  • Title: BGP Link-State Shortest Path First (SPF) Routing
  • Authors: Keyur Patel(keyur@arrcus.com), Acee Lindem(acee.ietf@gmail.com), Shawn Zandi(szandi@linkedin.com), Wim Henderickx(wim.henderickx@gmail.com)
  • Summary: 本文主要讨论了BGP协议和BGP Link-State Shortest Path First (BGP-LS SPF)协议的关系。文中详细介绍了BGP协议、BGP Link-State(BGP-LS)扩展、BGP SPF协议,以及它们如何与BGP-LS SPF协议相关联。 文稿首先定义了关键术语,并概述了BGP SPF算法的概念。接着,讨论了BGP单跳直连模型、BGP多跳直接连接模型、BGP路由反射器或控制器模型等不同的BGP SPF部署模型,强调这些模型的选择由运营商决定,并且是文档范围之外的。 随后,文稿对BGP SPF计算进行了详细说明,包括选择最佳路径的方法、SPF算法的基本原理等。同时,也提到了BGP SPF的一些优势,如TCP可靠的传输机制、快速收敛能力、Loop-Free Alternative支持等。 最后,文稿讨论了BGP SPF协议在各种部署模型中的实施问题,包括错误处理、流量控制、端口隔离等问题。文稿还讨论了BGP SPF协议的安全性和管理方面的问题,包括错误代码分配、链路状态信息同步等。 总的来说,本文全面介绍了BGP SPF协议及其部署模型,为实现高效、灵活的BGP SPF部署提供了基础。
  • Diff: 新的文档比原来的文档多了以下几方面的改进: 1. 增加了BGP SPF路由域的概念和定义,将原有的单一路径选择(SPF)协议扩展为BGP SPF协议。 2. 在决定过程阶段,从基于距离向量的选择转变为使用Dijkstra算法,以支持快速收敛和计算Loop-Free Alternatives(LFA)等优点。 3. 新增了BGP-LS-SPF安全功能,包括节点属性、链接属性、链路地址族描述符等信息,并且允许BGP-LS-SPF在路由表中进行数据库同步。 4. 管理和配置方面新增了更多的选项,如端口标记和延迟时间等。 5. 改进了错误处理机制,增加了通知码分配,提高了数据安全性。 总的来说,新的文档对BGP SPF协议进行了全面升级,使得它能够在复杂的数据中心网络环境中更加高效地工作。

manet

1. draft-dearlove-manet-olsrv2-responsive-01

  • Title: Responsive Use of the Mobile Ad Hoc Network (MANET) Routing Protocol OLSRv2
  • Authors: Christopher Dearlove(christopher.dearlove@gmail.com)
  • Summary: 本文主要讨论了优化链路状态路由协议版本2(OLSRv2)中的响应式使用。在稳定的网络环境中,发送响应式消息(如HELLO和TC)对于加速路由表收敛是必要的,但这些消息不能单独运行。为了解决这个问题,文稿提出了一个建议:当路由器识别新加入或离开网络的路由器时,发送一个包含新邻居信息的TC消息。这个消息可以在一定程度上解决由于通信故障导致的信息丢失问题。 此外,还讨论了如何在一些情况下强制发送TC消息以改善网络性能,特别是当路由器之间有长间隔的消息发送,并且没有定期的消息发送时。这种情况下,额外的TC消息是必需的,因为它可以帮助减少路由收敛的时间。总的来说,本文提出了一种新的方法来提高OLSRv2在网络中的性能,同时保持其原有的功能。 总的来说,本文讨论了在特定条件下,通过增加发送TC消息的方式,可以进一步加速OLSRv2在稳定网络环境下的性能提升。这是对原有协议的一种补充和完善,同时也体现了OLSRv2在处理复杂网络环境中的灵活性。
  • Diff: 本文档是关于移动接入网络(MANET)优化链路状态路由协议(OLSRv2)的修订版。在原版本的基础上增加了对可选Topoology Control(拓扑控制)消息的推荐和要求。主要区别在于: 1. 新增了可选的Topoogy Control(拓扑控制)消息,并定义了其发送情况下的推荐和要求。 2. 修改了原有的定时器参数TC_MIN_INTERVAL,使其在需要时可以被调整为较短的时间间隔。 3. 增加了新的响应式路由器行为分析,说明了这种新型行为对于稳定或不稳定的网络的必要性。 4. 提供了详细的例程来支持这种新的行为方式,包括如何增加定时器以适应不同的网络条件。 总的来说,这是对现有规范的一个重要补充,旨在促进更高效的路由表收敛并适应移动接入网络中的不同情况。

SEC

ace

1. draft-ietf-ace-wg-coap-eap-12

  • Title: EAP-based Authentication Service for CoAP
  • Authors: Rafael Marin-Lopez(rafa@um.es), Dan Garcia-Carrillo(garciadan@uniovi.es)
  • Summary: 本文主要讨论了CoAP作为EAP下层层的一种实现方式。在CoAP中,由于其是应用层协议,它允许使用可靠的传输机制(如CoAP确认消息),以及较低层错误检测机制来支持EAP。此外,由于EAP依赖于较低层的安全性和可靠性,CoAP可以提供这些特性。 CoAP-EAP采用可靠交付机制,以确保认证过程中的正确性。同时,低层也负责对传输数据进行错误检测和重传。为了防止否认服务攻击,CoAP-EAP将EAP交换中的消息序列标识符(例如位置路径选项)用于消息顺序保证,并且确保每次发送新消息时都会创建新的资源。这使得应用程序能够看到其状态已经更新。 CoAP-EAP还支持密钥管理功能,包括生成和验证密钥。密钥管理和认证共享相同的Master Session Key(MSK),这是一种基于时间的新鲜密钥。因此,在使用EAP方法运输密钥时,无需额外密钥生成。 CoAP-EAP还考虑了一些安全性因素,如如何处理授权问题,如何使用新鲜密钥,以及如何确保EAP代理信任EAP认证器等。这些都通过分析EAP需求和评估CoAP特性来完成。
  • Diff: 以上新版本的英文标准文稿详细描述了EAP(Extensible Authentication Protocol)在Constrained Application Protocol(CoAP)上的应用。具体来说: 1. 定义了一个基于CoAP的EAP层,称为CoAP-EAP。 2. 指出了EAP可以用于物联网(IoT)网络,这些网络往往受限于带宽和设备能力。 3. 描述了EAP验证过程中的错误处理机制,包括EAP认证失败、非响应端点丢失消息或初始POST消息到达错误等。 4. 提供了一种方法来保护CoAP协议中的信息,以防止密钥泄漏。 5. 包含了与CoAP-EAP相关的所有引用参考文献。 总的来说,新版本文稿在保留原有基础上,增加了对物联网网络的适用性和EAP方法的支持,提供了更丰富的安全服务。

lamps

1. draft-ietf-lamps-cms-kyber-07

  • Title: Use of ML-KEM in the Cryptographic Message Syntax (CMS)
  • Authors: PRAT Julien(julien.prat@cryptonext-security.com), Mike Ounsworth(mike.ounsworth@entrust.com), Daniel Van Geest(daniel.vangeest@cryptonext-security.com)
  • Summary: 这篇文档是关于在加密消息语法(CMS)中使用模块学习错误密钥封装机制(ML-KEM)的。该算法被NIST标准化为一种量子安全的密钥封装机制(KEM),并且有三种参数集:ML-KEM-512、ML-KEM-768和ML-KEM-1024。 该文档详细介绍了如何使用这些参数集来实现不同的安全性水平,并指出了每个级别的要求,例如ML-KEM-512需要至少128位的安全性、ML-KEM-768需要至少192位的安全性和ML-KEM-1024需要至少256位的安全性。此外,还提供了各种组件(如哈希函数)的建议规格,以及一些安全性考虑,如计算资源需求等。 总的来说,本文旨在详细介绍ML-KEM在加密消息语法中的应用,并提出了一些相关的实施注意事项。
  • Diff: 本文是关于使用模块化学习错误作为底层原理的密钥封装机制(ML-KEM)在加密消息语法(CMS)中的直接应用,特别是在CMS的收件人信息结构(KEMRecipientInfo)中使用ML-KEM算法进行加密数据的安全传输。 与旧版本的不同之处在于: 1. 文档标题从“用模块化学习错误作为底层原理的密钥封装机制(ML-KEM)”更改为“用模块化学习错误作为底层原理的密钥封装机制(ML-KEM)”。 2. 比较了ML-KEM和Kyber之间的兼容性问题,说明两者不是兼容的。 3. 强调了ML-KEM的三种安全级别,并指出了相应的参数集:MK-KEM-512、ML-KEM-768、ML-KEM-1024。这些参数值被选为至少等同于一个通用块密码的128、192或256位安全性水平。 4. 描述了对ML-KEM的三个KEM功能(生成公钥、封装密文和解封装密文)的描述,与传统的密钥封装机制(KEM)一致。 5. 提到了ML-KEM与CMS接收者信息结构的使用时需要考虑不同级别的安全性。 6. 引入了用于处理KEMRecipientInfo结构中各种组件的哈希函数和密钥交换算法。 7. 指出了证书认证模式下支持ML-KEM算法的信息。 8. 定义了标识符的格式,包括对象元组(oid)、国家代码、国家区域代码等。 9. 讨论了使用其他组件替代ML-KEM时的KDF要求。 10. 讨论了对于密钥管理的考虑,包括防止中间信息泄露的风险以及如何保护密钥等。 11. 确定了IASA模块的编号,分配了一个新的OID(TBD1)以指定该模块。 总的来说,新版本明确了ML-KEM在CMS中的直接应用,强调了其不同的安全级别和适用场景,增加了对不同组件特性的详细讨论,同时也引入了新的标识符和组件,提供了详细的文档架构。

rats

1. draft-kdyxy-rats-tdx-eat-profile-02

  • Title: EAT profile for Intel(r) Trust Domain Extensions (TDX) attestation result
  • Authors: Greg Kostal(gkostal@outlook.com), Sindhuri Dittakavi(sindhuri.dittakavi@microsoft.com), Raghuram Yeluri(raghuram.yeluri@intel.com), Haidong Xia(haidong.xia@intel.com), Jerry Yu(jerry.yu@intel.com)
  • Summary: 本文为一个基于Intel® Trust Domain Extensions (TDX)架构的可信验证平台(EAT)认证结果格式定义。这个标准要求在使用Intel TDX时,需要提供一个经过签名和加密的实体验证令牌(EAT)作为可信证据。 本文主要包含了以下几部分内容: 1. 引言:介绍了该文档的目的、适用范围以及结构。 2. 需求语言:阐述了该文档使用的各种技术规范和协议,包括JSON Web Token(JWT)、Entity Attestation Token(EAT)等。 3. TDX平台声明:详细描述了Intel TDX平台的一些基本特性及其与EAT的关系。 4. EAT声明:定义了EAT的具体声明,如JWT、TDX模块签名、测量数据等。 5. TDX平台声明:定义了TDX平台的一些关键特性,如安全级别、配置信息等。 6. 注册规定:对注册到该文档中的特定JWT和EAT声明进行了登记,并给出了详细的解释。 总的来说,本文是关于如何通过EAT来验证Intel TDX平台的安全性和隔离性的一种方法。它提供了标准化的方法来记录并验证这些可信证明,有助于确保可信度和安全性。
  • Diff: 这篇新的英文标准文稿是关于Intel® Trust Domain Extensions (TDX)安全认证结果的Entity Attestation Token (EAT)规范。相较于之前的版本,主要区别在于: 1. 使用了更广泛的加密算法支持,并推荐使用常见的加密算法。 2. 对于验证过程中的非对称密钥的标识(JWS Key ID),不再要求特定的证书,而是允许接收方使用任何满足JWS协议要求的公钥进行验证。 3. 针对TDX模块签名、测量数据等具体信息进行了扩展和说明。 4. 将EAT token的签署方式从依赖于JWT到使用JWT和JOSE JOSE标准统一。JWT是基于JSON Web标准的签发格式。 5. 对Attester(验证者)提出了更多的建议,包括访问控制策略等。 总的来说,这篇文档在保持基本要求的同时,引入了更多实用性和灵活性的设计元素,以适应不同的市场环境和技术需求。

WIT

scone

1. draft-brw-scone-throughput-advice-blob-02

  • Title: Throughput Advice Object for SCONE
  • Authors: Mohamed Boucadair(mohamed.boucadair@orange.com), Dan Wing(danwing@gmail.com), Tirumaleswar Reddy.K(kondtir@gmail.com), Sridharan Rajagopalan(sridharan.girish@gmail.com), Luis M. Contreras(luismiguel.contrerasmurillo@telefonica.com)
  • Summary: 本文主要讨论了通过网络传输的信息可能会受到速率限制政策的影响。这些信息可以由机制用于发现这些网络速率限制政策,然后传送给应用来调整其行为。本文提出了一种新的对象(称为通透度建议)可以通过协议、API等获取网络连接速率限制策略。它描述了一个整体结构,并定义了一些属性,如流量类别和可靠性类型。 文稿还提出了一个新注册组“SCONE速率限制政策对象”,以及两个相关的元数据注册表:实例标识符和流量分类类型。此外,还定义了几个元数据注册表,例如资源参数和速率参数,以便更好地管理和共享这种建议。 总结起来,本文主要讨论了如何动态发现并使用网络速率限制策略以满足特定需求,同时也提出了有关该主题的一些新技术和概念。
  • Diff: 摘要 这个新的英文标准文档定义了一个通用对象(称为Throughput Advice)用于网络终端点动态发现并共享其网络速率限制政策。这个信息随后可以被应用程序调整行为。设计这一通过率建议对象是独立于发现渠道(协议、API等)。 讨论议题 我们正在删除该文档,并且在GitHub上提供了文档和问题跟踪器地址。 对此文档进行修订并将其发布为RFC之前需要完成的工作包括: 解释为什么这些变化对现有网络连接没有影响。 由于现有文档作为参考材料或引用,它们应该与其他文件保持一致的方式格式化。 现有文档将不再作为参考资料引用。 文档中的代码片段应包含重新发布的BSD许可证文本,以无任何保证地提供。 文档目录 1. 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2. 超出的什么? . . . . . . . . . . . . . . . . . . . . . . . . . 5 3. 概念与定义 . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4. 实例部署案例 . . . . . . . . . . . . . . . . . . . . . . . . . 5 5. 通过率建议对象 . . . . . . . . . . . . . . . . . . . . . . . 6 5.1. 通过率参数 . . . . . . . . . . . . . . . . . . . . . . . . 7 5.2. 总体对象结构 . . . . . . . . . . . . . . . . . . . . . . . . 7 5.3. 通过率建议实例属性 . . . . . . . . . . . . . . . . . . . 9 6. 示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 7. 非常重要的例子 . . . . . . . . . . . . . . . . . . . . . . . 12 8. 安全考虑因素 . . . . . . . . . . . . . . . . . . . . . . . . 13 9. IANA考虑因素 . . . . . . . . . . . . . . . . . . . . . . . . 14 9.1. 网络速率限制政策对象组 . . . . . . . . . . . . . . . . 14 9.2. 可选参数标记集合 . . . . . . . . . . . . . . . . . . . . 14 9.3. 流标示集合 . . . . . . . . . . . . . . . . . . . . . . . . 15 9.4. 传输类别集合 . . . . . . . . . . . . . . . . . . . . . . 16 9.5. 网络速率限制参数集 . . . . . . . . . . . . . . . . . . . 16 10. 引用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 10.1. 正式引用 . . . . . . . . . . . . . . . . . . . . . . . . . 17 10.2. 说明性引用 . . . . . . . . . . . . . . . . . . . . . . . 18 附录 A. 带宽策略对象概述 . . . . . . . . . . . . . . . . . . . 19 致谢 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 编者地址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

IRTF

cfrg

1. draft-mattsson-cfrg-aes-gcm-sst-10

  • Title: Galois Counter Mode with Secure Short Tags (GCM-SST)
  • Authors: Matt Campagna(campagna@amazon.com), Alexander Maximov(alexander.maximov@ericsson.com), John Preuß Mattsson(john.mattsson@gmail.com)
  • Summary: 本文定义了基于Nyberg等人的建议的Galois Counter Mode with Secure Short Tags(GCM-SST)认证加密与关联数据(AEAD)算法。GCM-SST是通用接口,可以用于任何密钥流生成器,而不只是128比特块密码。主要差异在于引入了一个额外的子键Q,对每个nonce进行哈希的过程,以及将GHASH函数替换为AES-GCM-SIV中的POLYVAL函数。这些变化使得短标签下近似理想的伪造概率,即使面对多次伪造攻击的情况下也能有效防止。 GCM-SST被设计用于单播安全协议中的安全保护机制,其中其验证标记行为像一个理想MAC。它的性能与GCM相同,但多出来的AES操作补偿了POLYVAL函数的“小端”版本,使其在小端架构上运行速度更快。GCM-SST保留了加性加密特性的特征,使现代处理器架构上的实现效率更高。 本文还注册了几种使用高级加密标准(AES)和Rijndael-256-256的GCM-SST实例。它们的行为就像理想MAC,而并非GCM的行为,因为GCM的可靠性较低。另外,为了提高安全性,3GPP已标准化Rijndael-256-256作为语音包的安全性、生成和关键生成的关键序列的一部分,并计划在未来更新或删除支持GCM-SST的参数,特别是当参数计算时没有考虑到适当的安全级别时。
  • Diff: 这篇新的英文标准文档定义了名为Galois Counter Mode with Secure Short Tags (GCM-SST)的认证加密协议。与之前版本相比,主要区别如下: 1. 使用了一个额外的子密钥Q,取代了GCM中的GHASH函数。 2. 对于每个nonce,使用了新的生成器H和子密钥Q来获得新的subkeys。 3. 改变了验证过程,增加了对H和Q的计算,以改善性能并减少多次成功攻击的可能性。 4. 提供了一种更有效的软件实现方法,利用小端口的AES-GCM-SIV算法。 5. 更大的安全性级别,当tag长度小于128个bit时,可以达到大约2^(-tag_length),远高于GCM的预期值。 6. 支持更长的标签(例如256比特),即使在非零序数的情况下也支持。 7. 将安全性的定义从GCM转移到了GCM-SST,并提高了其与理想MAC的一致性。 总的来说,GCM-SST改进了GCM的安全性、效率和可扩展性,但同时也引入了一些新的复杂性。