【每日文稿】2024-12-28
今日共有3篇文稿更新,涉及2个area里的2个WG
OPS
green
- Title: ICMP Extensions for Environmental Information
- Authors: Carlos Pignataro(cpignata@gmail.com), Jainam Parikh(jainam@parikhgroup.net), Ron Bonica(rbonica@juniper.net), Michael Welzl(michawe@ifi.uio.no)
- Summary: 本文主要讨论了在互联网控制消息协议(ICMP)中添加环境信息扩展以提供网络设备对可持续性信息的支持。通过定义一个数据结构,可以在选择的消息类型上附加环境信息,如电力消耗、当前和历史负载等。此外,还讨论了使用该扩展的可能应用场景,以及安全性考虑和未来可扩展性的问题。本文提出了一种新的协议,可以实现对网络环境中环境影响的实时监测,并为用户提供更全面的信息。 总结:本文介绍了在互联网控制消息协议中附加环境信息扩展的概念及其应用,强调了这种扩展如何增强网络环境中的可持续性信息的可见性和可用性,同时探讨了其安全性、扩展性和实施的可能性等问题。
- Diff: 上述新版本的英文标准文稿定义了一个在ICMP消息中附加环境信息扩展对象,可以用来提供环境可持续性信息,并且可以在交易型或定时自动化模式下传输这些信息。与旧版不同的是,新的定义了两种不同的子对象格式,一种是用于较小负载的“短”32位子对象,另一种是用于较大负载的“宽”64位子对象,以适应网络密度的变化。此外,还讨论了如何根据需要选择使用哪种格式的问题。 总的来说,新的标准文稿提供了更多关于如何利用环境信息扩展对象的信息,使其更加灵活和适应当前的技术趋势。它也更加强调了环境信息扩展对象的安全性和可扩展性,以便用户可以根据自己的需求来定制这种技术。
SEC
ipsecme
- Title: Group Key Management using IKEv2
- Authors: Valery Smyslov(valery@smyslov.net), Brian Weis(bew.stds@gmail.com)
- Summary: 本文提出了一种扩展至IKEv2协议的组密钥管理(G-IKEv2)机制,用于在多播网络中提供授权、安全策略和密钥下载到组成员(GMs)。G-IKEv2遵循Multicast Group Security Architecture [RFC3740]、Multicast Extensions to the Security Architecture for the Internet Protocol [RFC5374] 和Multicast Security (MSEC) Group Key Management Architecture [RFC4046] 的架构。G-IKEv2替换掉了GDOI [RFC6407],后者定义了类似组密钥管理协议,使用IKEv1 (RFC2409)。 G-IKEv2包含两个阶段:注册和重键。在注册阶段,一个GM联系一组控制器/密钥服务器(GCKS)来注册加入一个组,并接收必要的政策和密钥以与其他组成员以及GCKS通信,以及重新键。在重键阶段,GCKS定期为所有组成员之间以及与GCKS之间的密钥进行更新。 G-IKEv2使用两种方式来执行注册。当一个GM第一次联系GCKS时,它将使用GSA_AUTH交换(Section 2.3.1)来注册加入一个组。这个交换类似于IKE_SA_INIT交换(如IKE_AUTH交换),结果建立了一个IKE SA(Section 2.2)。在这个交换期间,GCKS验证并授权GM,然后推送到GM密钥和使用该组的密钥给定给组成员。 重键阶段允许GCKS定期刷新密钥给定给组成员之间以及与GCKS之间的密钥。有两种方法可以在IP层上实现:通过单播方式(如通过特定的IKE SA)或多播方式(如GSA_REKEY伪交换)。大和小组可以使用不同的方法。当大组中有多个设备时,GCKS可能更倾向于使用GSA_REKEY方式以提高效率。而小组可以直接使用GSA_AUTH或GSA_REGISTRATION作为注册协议,GCKS仅基于该组分配新密钥。 G-IKEv2支持的加密变换类型有AES、CAST、RC4、RSA和SHA1,其中AES、RC4和SHA1是可选的。此外,还支持双向身份验证和数字签名等附加功能。G-IKEv2使用LKH分组技术,在不改变现有IKEv2协议的情况下提供了增强的安全性。
- Diff: 这个新的标准文档是为扩展IPSec协议而设计的一种组管理协议(Group Key Management Protocol),用于分配IPsec安全联盟(Security Association)和密钥给分组控制中心/密钥服务器(Group Controller/Key Server)。它的核心思想是在多播安全性架构(Multicast Security Architecture)的基础上,引入组成员注册、组重新认证和更新等机制,以实现组内成员的安全通信。 与之前的版本不同的是,它包含了几个新的组件:一组员身份标识(Identifier)、一组成员组安全协会(Group Security Association)、一组密钥下载(Key Download)、一个组重新认证请求和响应过程(Group Authentication and Authorization Process)、以及对多播数据加密安全协议(Data-Security Multiplexed Security Association)的支持等。 在技术实现方面,该协议遵循了IKEv2协议,并支持一些新的特性,如反重放保护、多播数据加密安全协议中的隐式初始向量(Implicit IV)等。 总的来说,《G-IKEv2》是对现有IKEv2协议的一个重要扩展,提供了更完善的组管理功能,可以更好地满足实际应用的需求。
- Title: Renaming Extended Sequence Number (ESN) Transform Type in the Internet Key Exchange Protocol Version 2 (IKEv2)
- Authors: Valery Smyslov(valery@smyslov.net)
- Summary: 本文主要讨论了在IPsec协议版本2(IKEv2)中,关于扩展序列数(ESN)变体类型5的问题。文稿指出,虽然ESN可以用于协议中的抗重放保护,但其当前定义过于狭窄,仅限于ESN的使用。因此,文稿提出将ESN变体类型的名称从“Extended Sequence Numbers(ESN)”更改为“Sequence Numbers Properties(SNP)”,以反映新的含义。此外,文稿还讨论了如何在未来的协议中使用新的ESN变体类型,并提供了相应的描述。总体来说,本文旨在通过更新和扩展现有协议来解决实际问题并提供更多的选择,同时保持协议的安全性。
- Diff: 该文档对IPSec协议中的IKEv2版本中的扩展序列编号(ESN)定义进行修改,将其从"Extended Sequence Numbers (ESN)"更改为"S/N Properties (SNP)",并更新了两个相关的值和一个相关描述。主要内容包括: 1. 对IKEv2中的ESN定义进行了明确,使其更加清晰。 2. 将"Extended Sequence Numbers (ESN)"变更为"S/N Properties (SNP)",以反映新的含义。 3. 修改了两个现有值的名称,并在相关文档中更新这些名称。 4. 对ESN定义进行了广义解释,说明其适用于所有IPsec SA包以及不完全依赖于发送者的操作情况。 5. 确定了新的ESN值定义为32位连续序列数(No Extended Sequence Numbers),以及64位连续序列数(Extended Sequence Numbers)。 6. 将原来的"Extended Sequence Numbers (ESN)"转义到"S/N Properties (SNP)",并在相关文档中注明这个转换。 7. 在新的"Transform Type Values"中将"Extended Sequence Numbers (ESN)"更名为"S/N Properties (SNP)"。 8. 在新的"Transform Type 5 - Extended Sequence Numbers Transform IDs"中将"Extended Sequence Numbers"更名为"Partially Transmitted 64-bit Sequential Numbers"。 总的来说,该文档扩大了ESN的含义,使得它不仅仅局限于使用ESN协议,还包含了一系列其他类型的序列数,如32位连续序列数、64位连续序列数等。同时,也引入了一些新的术语和概念,以更好地支持IPsec的安全机制。