今日共有23篇文稿更新,涉及7个area里的16个WG

ART

cbor

1. draft-ietf-cbor-edn-literals-16

  • Title: CBOR Extended Diagnostic Notation (EDN)
  • Authors: Carsten Bormann(cabo@tzi.org)
  • Summary: 这篇文档是关于扩展诊断注释(EDN)的,它补充了标准化的诊断注释(Diagnostic Notation)在实际数据交换中的应用。它定义了新的编码指示符、字符串格式、简单值表示法和数组与映射语法,并支持了特定语言环境下的自动识别技术。此外,它还规定了一个注册机制以用于管理诊断注释的应用扩展标识符。 主要目标是提供一个通用的人读取接口,允许人们轻松地将诊断注释应用于文本格式的任何地方,从而简化了对数据的分析和比较。该文档也更新了旧版本的诊断注释规范,并保留了原有的文档标题“Extended Diagnostic Notation”。
  • Diff: 本文档是关于CBOR(concise binary object representation)的扩展诊断注记(EDN)的新版本规范性文件。与旧版相比,本文档的主要区别在于: 1. 文档结构:更新了文档结构和部分描述。 2. 基本定义:更新了基本定义,包括编码指示符、数值、字符串等。 3. 实施指南:新增了一个应用方向扩展注记(application-oriented extension literals),增加了两个新的扩展点——一个用于支持附加编码指示符,另一个用于添加应用方向的简写形式。这些都旨在简化交互并提供可靠的转换到或从CBOR的数据。 4. 定义语境:文档使用了更广泛的应用场景来讨论EDN的概念,例如文本交流、诊断工具间通信以及文档生成系统等。这有助于提升通用性和可操作性。 5. 特定语法:提供了ABNF定义的总体框架和具体子语法,以统一数据表示方式。 总的来说,本文档通过整合现有知识和经验,更新和完善了EDN的基本定义和实现方法,使其成为更灵活、可扩展且易于使用的工具接口。这将使开发者能够更好地利用EDN进行诊断、测试和其他目的。

mailmaint

1. draft-ietf-mailmaint-oauth-public-00

  • Title: OAuth Profile for Open Public Clients
  • Authors: Neil Jenkins(neilj@fastmailteam.com)
  • Summary: 本文主要阐述了OAuth公有客户端认证协议,它允许不同类型的现代协议(如JMAP、IMAP、SMTP、POP、CalDAV和CardDAV)之间的兼容性。通过使用OAuth 2.0授权框架,该协议可以确保这些服务之间能进行无缝连接。同时,文稿还讨论了在安全方面的一些考虑,例如如何防止恶意用户获取其他用户的权限。总之,本文为实现跨平台、开放协议下的客户端到服务器间的认证提供了一种规范化的方案。 总的来说,这篇文稿的核心思想是通过OAuth 2.0协议来解决客户端与服务器间无法直接交互的问题,从而实现在开放环境中实现多种协议兼容性的目标。此外,文稿也指出了在安全方面的挑战,并提出了一些解决方案以提高系统的安全性。

INT

deleg

1. draft-homburg-deleg-incremental-deleg-01

  • Title: Incrementally Deployable Extensible Delegation for DNS
  • Authors: Philip Homburg(philip@nlnetlabs.nl), Tim Wicinski(tjw.ietf@gmail.com), Jesse van Zutphen(jesse.vanzutphen@os3.nl), Willem Toorop(willem@nlnetlabs.nl)
  • Summary: 本文提出了一种增量授权递归递归授权机制,用于支持增量授权。这种机制通过在顶下层保留一个特定的子域名称来实现,然后将该名称作为递归查询的目标域名。 增量授权递归递归授权允许使用多个代理代理授权点,从而实现了代理授权。同时,可以确保在无响应情况下,递归查询不会发送额外的递归查询请求,并且对于没有递归授权的信息,递归查询会忽略代理代理授权点。 增量授权递归递归授权也允许设置默认值和空值,以减少递归查询的次数。此外,增量授权递归递归授权还考虑了递归授权点上的代理代理授权,以优化递归授权行为。
  • Diff: 本文档详细介绍了增量可扩展代理(Incremental Extensible Delegate,IED)机制,这是一种在DNS中实现可扩展分层和分布式代理的方法。相比于旧版文档,新版本的主要区别在于: 1. 新增了DELEG资源记录类型,基于SVCB协议,并继承了其相关特性。 2. 支持不同类型的授权服务器操作,如通过CNAME或DNAME进行授权。 3. DNSSEC保护增强了递归解析器行为,包括支持DNSSEC验证。 4. 在不改变现有DNS软件的情况下,确保授权信息存储在一个权威区域中。 5. 优化了递归解析器的行为,减少了查询数量以提高性能。 6. 提供了一个更简洁的操作模式来处理递归查询,使客户端不需要额外修改就可执行递归解析。 7. 包含了对其他代理方法的比较分析,如传统代理、Name DNS查询名称最小化以及ID.dnsop.deleg等。 总的来说,新版本文档提供了更多关于增量可扩展代理机制的技术细节和功能增强,使其更加成熟和实用。

OPS

anima

1. draft-ietf-anima-constrained-voucher-26

  • Title: Constrained Bootstrapping Remote Secure Key Infrastructure (cBRSKI)
  • Authors: Michael Richardson(mcr+ietf@sandelman.ca), Peter Van der Stok(stokcons@kpnmail.nl), Panos Kampanakis(kpanos@amazon.com), Esko Dijk(esko.dijk@iotconsultancy.nl)
  • Summary: 本文主要介绍了Constrained Bootstrapping Remote Secure Key Infrastructure(cBRSKI)协议,这是一种用于在受限网络环境中为物联网设备提供安全零接触接入的解决方案。本文更新了RFC 8995和RFC 9148这两个相关的文档,并对BRSKI-EST(基于EST的BRSKI协议)和BRSKI-MASA(基于EST的BRSKI协作代理服务)进行了扩展。 cBRSKI协议引入了新的Voucher数据格式和加密方式,使用CBOR而不是JSON来编码Voucher数据,并使用COSE签名技术。它还定义了更小的Voucher大小和更灵活的Voucher请求响应格式。此外,它还添加了对CoAP的支持以及对DTLS(CoAP)和HTTPS的进一步支持。 该协议定义了两种不同的Voucher类型:Proximity Voucher(证明物理接近性的凭证)和Regular Voucher(普通凭证)。Proximity Voucher由制造商签发并附有物理证据以证明其与目标设备之间的物理接近性,而Regular Voucher则仅包含身份信息和授权信息。 总的来说,cBRSKI协议是一种适用于物联网受限环境的安全零接触接入方案,旨在解决物联网设备在网络部署中的安全挑战。它通过采用新的Voucher数据格式和加密方式,提高了安全性并减少了网络开销。
  • Diff: 该文档定义了Constrained Bootstrapping Remote Secure Key Infrastructure(cBRSKI)协议,这是一种用于在受限网络中的设备进行安全零触点上线的新解决方案。与旧版标准文稿相比,新增加了以下主要内容: 1. 引入了使用CBOR格式编码的Voucher和Voucher请求,优化了小设备和受限网络的验证过程。 2. 改进了DTLS连接,为低资源网络提供更好的性能支持。 3. 对EST-Coaps协议进行了更新,引入了新的媒体类型应用/voucher+cose,并改进了对证书的处理流程。 4. 添加了新的认证方法,针对受限网络提供了更高效的签名方案。 5. 针对受限网络的部署实施了考虑因素,如如何选择Voucher数据中使用的信任锚等。 总的来说,新版标准文稿针对受限网络的特性进行了深入研究,并提出了相应的优化措施,以确保其高效性和安全性。

dnsop

1. draft-ietf-dnsop-ns-revalidation-08

  • Title: Delegation Revalidation by DNS Resolvers
  • Authors: Shumon Huque(shuque@gmail.com), Paul A. Vixie(paul@redbarn.org), Willem Toorop(willem@nlnetlabs.nl)
  • Summary: 本文讨论了DNS解析器在迭代查询过程中处理名称服务器(NS)资源记录集(RRset)的行为,特别是在对子区发起的请求后。建议解析器在接收到权威NS RRset响应时,应直接向子区的顶级NS RRset发出验证查询,并将结果缓存起来,以替代其非权威版本。此外,还建议定期重验子区域的委托,以便确保父域的授权NS RRset没有被合法地重新委派给其他命名服务器,或甚至移除委托。 文稿提到了DNSSEC保护基础设施数据和避免cache poisoning攻击的重要性。提出使用代理的权威NS RRset作为首选,而不是依赖非权威的父NS RRset。同时,文稿也指出了对这些措施的实施细节,如如何处理未正确回答明确查询的情况。 总的来说,该文档旨在为DNS协议提供更一致、可预测的行为,并通过改进DNS解析行为来改善安全性。它提出了标准化的做法,以更好地管理DNS命名服务的委托过程。
  • Diff: 摘要:本文推荐了改进的DNS解析行为,以改善迭代解析时处理名称服务器(NS)资源记录集(RRset)的行为。当遵循来自权威服务器到子区的响应时,DNS解析器应该在子区的顶点查询权威NS RRset,并将其作为首选存储。对于来自该请求的附加信息部分或权威NS回答中的NS RRset的“粘合”地址RRset,同样应强制性要求这些非权威性的数据,并将它们替换为较低信誉度的缓存。同时,定期验证子区域的授权委托通过从父域到期的权威NS RRset TTL的重新验证。 关键区别: 1. 在新的版本中,DNS解析器会强制性地从子区的顶点获取权威NS RRset,而不是默认地使用父区的授权委托。 2. 新的版本建议定期验证子区域的授权委托,以便及时更新和删除任何未经授权的授权委托。 3. 新的版本增加了对根区和顶级域等特定区域的特殊处理,以确保其权限管理的完整性。 4. 对于一些特定情况下的安全性和隐私保护措施进行了扩展讨论。 总的来说,新的版本提供了一种更一致、可预测和更有效的方法来管理和维护DNS资源记录集。它旨在改善DNS安全性并增强解析器行为的一致性。

ippm

1. draft-ietf-ippm-alt-mark-yang-00

  • Title: A YANG Data Model for the Alternate Marking Method
  • Authors: Thomas Graf(thomas.graf@swisscom.com), Minxue Wang(wangminxue@chinamobile.com), Giuseppe Fioccola(giuseppe.fioccola@huawei.com), Tianran Zhou(zhoutianran@huawei.com), Xiao Min(xiao.min2@zte.com.cn)
  • Summary: 本文主要介绍了IPv6环境下的一种技术——Alternate-Marking Method (AltMark),它是一种用于在飞行中的包进行丢包、延迟和抖动测量的技术。本文定义了AltMark数据模型,为流量监控系统提供了关于如何解释AltMark数据的信息。 AltMark使用树形结构来表示网络上的流,每个节点都关联着一个AltMark信息。这种结构使得监测系统能够从多个角度对流进行观测,并且可以追踪到相同流的不同部分。 本文还讨论了安全方面的考虑,以及IANA分配了一个新的URI来支持这个YANG模块。同时,也提到了一些参考文献和贡献者名单。总体来说,本文是关于一种新的网络性能指标采集方法的描述性文档,旨在帮助用户更好地理解和利用该技术。

RTG

lsvr

1. draft-ietf-lsvr-bgp-spf-44

  • Title: BGP Link-State Shortest Path First (SPF) Routing
  • Authors: Keyur Patel(keyur@arrcus.com), Acee Lindem(acee.ietf@gmail.com), Shawn Zandi(szandi@linkedin.com), Wim Henderickx(wim.henderickx@gmail.com)
  • Summary: 是关于在大规模数据中心(MSDC)中使用简化三层路由的一种解决方案。文稿介绍了这种方案的好处,包括TCP传输控制、无周期链路状态刷新和完全增量NLRI广告。此外,它还利用了BGP协议,可以支持快速收敛和计算循环免路径(LFAs)。该文档提供了定义BGP-LS、BGP SPF和协议关系的相关信息,并详细描述了如何使用BGP-LS和BGP SPF来实现SDC的简化三层路由。 总结: 这篇文稿讨论了在大规模数据中心中使用简化三层路由的策略,特别是通过引入BGP Link-State(BGP-LS)和Shortest Path First(SPF)算法。它概述了这些改进带来的优势,如减少NLRI广播量、增强路由收敛能力以及提高可靠性等。同时,也提到了当前技术框架下的限制,强调了未来工作的重要性。最后,该文档指出了需要解决的问题和未来的扩展方向。
  • Diff: 该文档重新定义了BGP协议中的BGP Link-State (BGP-LS)安全功能和BGP SPF算法,并对BGP协议进行了相应的扩展。主要区别在于: 1. 使用BGP-LS安全功能替代传统的BGP距离向量路由(Dijkstra算法)。 2. 改变了BGP选择最佳路径的方法,由基于BGP SPF的Dijkstra算法决定最优路径。 3. 提供了更多的BGP-LS信息,用于支持BGP SPF计算。例如,提供了IPv4和IPv6前缀、节点、链路等信息。 4. 对于IPv6和IPv4混合拓扑的支持,可以使用相同的BGP-LS和BGP-LS SPF信息。 5. 支持多路径收敛,缩短了收敛时间。 6. 实现了更好的错误处理机制,提高了网络的健壮性。 总的来说,新版文档更加强调了BGP-LS的安全性和高效性,为构建高可靠性的网络架构提供了一种新的解决方案。

SEC

ace

1. draft-ietf-ace-oscore-gm-admin-coral-03

  • Title: Using the Constrained RESTful Application Language (CoRAL) with the Admin Interface for the OSCORE Group Manager
  • Authors: Marco Tiloca(marco.tiloca@ri.se), Rikard Höglund(rikard.hoglund@ri.se)
  • Summary: 是一个关于在CoAP上进行组通信的安全性协议(OSCORE)的文档。主要讨论了如何使用CoRAL语言与集团管理器(Group Manager)交互,以及如何通过该接口创建、删除和更新组配置信息。文中强调了使用ACE框架来确保认证和授权,以及实现安全连接、证明拥有性和服务器认证的过程。此外,还讨论了支持的传输特性,并对草案版本进行了说明。总的来说,文稿详细介绍了CoRAL如何提供给管理员一个REST API访问界面,以管理和控制组通信,并使用ACE框架保证安全性。
  • Diff: 在本文档中,对使用Constrained RESTful Application Language(CoRAL)与组管理器的授权接口进行概述。 新的文档引入了新的资源模型和操作,包括通过CoRAL表达统一资源标识符(URI),并为每个组配置提供一组参数和状态参数。同时,管理员可以通过POST请求创建或修改组配置,并从组集合资源获取列表、列表过滤和组配置详情等信息。 此外,新的文档还支持跨协议通信安全性和认证,以及服务器认证,并定义了组成员身份资源。这些变化使新版本更适合现代的安全性需求,同时也增强了交互功能。


2. draft-ietf-ace-oscore-gm-admin-13

  • Title: Admin Interface for the OSCORE Group Manager
  • Authors: Marco Tiloca(marco.tiloca@ri.se), Rikard Höglund(rikard.hoglund@ri.se), Peter Van der Stok(stokcons@kpnmail.nl), Francesca Palombini(francesca.palombini@ericsson.com)
  • Summary: 本文提出了一种新的RESTful API用于管理CoAP组。在这样的环境下,由于组通信可以使用Group OSCORE(Group OSCORE for Constrained RESTful Environments)来保护,节点需要明确加入到指定的OSCORE组中,并且他们之间的消息可以通过Group OSCORE进行安全交换。 为了实现这一点,一个组管理者(GM)实体负责处理新成员的加入,以及管理和分发组密钥化材料。然而,这种部署方式可能不适合所有应用或应用程序,因为它们必须直接控制组管理器的应用程序接口。在这种情况下,一个独立的管理员实体,如授权工具,可以专门创建和配置OSCORE组,同时维护这些组的整个生命周期直到删除。 本文定义了一个新的RESTful管理API,允许单独的管理员作为外部与组管理者无关的实体。该API可以用来创建、删除OSCORE组,以及更新其配置。此外,它还提供了获取组列表的功能,以及通过过滤条件检索特定组的功能。同时,还可以通过修改部分组配置或者从组中移除组来改变组的状态。 本文还定义了如何使用组名称模式,以方便查找并操作组集合资源。例如,可以在组名称模式中包含正则表达式来匹配多个组名。 本文指出,在使用组名称模式时,一组组名模式应遵循相同的数据模式,以便于协调支持一致的数据模型。这有助于确保数据的有效性和一致性。
  • Diff: 上述新版本的英文标准文稿是关于CoAP协议和组通信中使用对象安全约束环境(Group OSCORE)的安全机制的。它定义了一个RESTful管理接口,允许管理员创建、删除和配置OSCORE组,并检索和更新其配置。 与旧版本的主要区别在于: 1. 新版文档详细说明了在组管理器处实现管理员功能的必要性。 2. 它提供了一个更灵活的方法来组织和处理管理员访问权限信息,如创建、删除和更新组配置等操作。 3. 使用了扩展后的授权信息格式(AIF-OSCORE-GROUPCOMM)来表示管理员的权限请求,以及用于验证这些权限的信息。 4. 通过认证和授权框架(ACE),确保了管理员在组管理器处的权限访问和通信安全性。 综上所述,新版文档提供了更全面的实现方法,以满足组通信场景中的安全管理需求。

cose

1. draft-ietf-cose-cbor-encoded-cert-12

  • Title: CBOR Encoded X.509 Certificates (C509 Certificates)
  • Authors: John Preuß Mattsson(john.mattsson@gmail.com), Göran Selander(goran.selander@ericsson.com), Shahid Raza(shahid.raza@ri.se), Joel Höglund(joel.hoglund@gmail.com), Martin Furuhed(martin.furuhed@nexusgroup.com)
  • Summary: 本文讨论了如何使用一种新的编码方式来压缩和格式化X.509证书。这个新的编码方式称为C509(Concise Binary Object Representation)。它在保证RFC 5280规范的基础上,通过去除冗余字段、优化字段编码等方式,使得X.509证书的大小显著减少。 具体来说: 1. 定义了C509证书的结构和编码规则,包括版本、序列号、签名算法等信息。 2. 提供了COSE头部参数、C509证书请求和处理流程等。 3. 建议对C509证书进行Natively Signed处理,即直接计算签名,无需重新编码。同时提供了一个非签C509证书的表示方式。 4. 引入了C509文件格式,并定义了一些相关结构和属性。 总之,本文提出了一个高效的C509证书格式,旨在使X.509证书更小,且兼容更多协议特性。这对于网络设备来说是一个积极的变化,有助于提高其部署效率和安全性。
  • Diff: 本文提供了CBOR编码用于X.509证书(C509证书)的实现,支持RFC 5280和所有兼容RFC 7925、IEEE 802.1AR等协议的证书类型,包括CAB Baseline等。相比于旧版,主要有以下几个特点: 1. 引入了C509证书的概念,并给出了定义。 2. 压缩了椭圆曲线公钥和时间戳字段。 3. 支持扩展性,如主题密钥标识符(Subject Key Identifier)、关键使用(Key Usage)、政策映射(Policy Mapping)、基本约束(Basic Constraints)、扩展密钥使用(Extended Key Usage)等。 4. 在某些情况下,可以不使用ASN.1解析来计算签名值。 5. 使用诊断注释表示数据结构,便于理解。 总的来说,C509证书比传统DER格式更紧凑,降低了证书的大小,同时也减少了代码复杂度和内存消耗。


2. draft-ochkas-cose-ascon-00

  • Title: Ascon-AEAD128 for JOSE and COSE
  • Authors: Dmytro Ochkas(dmytro.ochkas@imt-atlantique.fr), Hélène Le Bouder(helene.le-bouder@imt-atlantique.fr), Alexander Pelov(alexander.pelov@imt-atlantique.fr)
  • Summary: 本文主要讨论了基于Ascon算法的新版本加密协议,其中重点是将Ascon与JOSE和COSE标准相结合。文稿详细介绍了Ascon-AEAD128的参数、安全考虑、注册要求以及可能的应用示例。 首先,它定义了Ascon-AEAD128的基本概念,包括其算法参数、初始化向量(IV)和非同质性元(N)。接着,它对Ascon-AEAD128进行了安全性分析,并指出虽然没有发现任何已知的安全漏洞,但最大攻击目标仅在Ascon的第7个减少轮数时达到7,这意味着Ascon具有大约5个完整的加密循环的安全余地。 然后,文稿指出了Ascon-AEAD128在COSE和JOSE中的应用,强调了这两种标准的使用必须符合相关的API规范,并且在使用时应验证密钥类型、长度和算法是否适用于实体之间的关系。 最后,文稿建议在有关COSE和JOSE的标准中加入新的Ascon-AEAD128项,以便支持这些标准中涉及的加密功能。这有助于进一步促进Ascon算法的应用,特别是在受限设备上提供可靠的加密解决方案。

lamps

1. draft-ietf-lamps-rfc7030-csrattrs-15

  • Title: Clarification and enhancement of RFC7030 CSR Attributes definition
  • Authors: Michael Richardson(mcr+ietf@sandelman.ca), Owen Friel(ofriel@cisco.com), David von Oheimb(david.von.oheimb@siemens.com), Dan Harkins(dharkins@lounge.org)
  • Summary: 本文是关于对RFC7030标准进行修订和扩展的内容。主要更新了以下几个方面: 1. 修改了CSR属性响应定义,使其能同时指定CSR属性的OID和值,如X.509扩展信息。 2. 对CSR模板进行了扩展,允许部分字段填写,并且提供了新的编码方式来支持这部分使用。 3. 提供了几个具体例子来说明如何在实际环境中正确地应用这些修改后的功能。 总结来看,本文主要是针对RFC7030标准的一个补充性改进,旨在提高其灵活性和实用价值,使不同环境下的实现更加统一和高效。
  • Diff: 该文档更新了RFC7030(EST)的相关定义,明确了CSR属性处理方式,增加了新的方便和简洁的方法来指定证书请求信息模板中的部分CSR属性。它还澄清了使用ASN.1语法(X.680/X.690)的新特性。这些更新使得在EST服务器和客户端之间进行交互时更简单明了,提高了协议的安全性和可扩展性。 与旧版本相比,新版本的主要区别在于: 1. 定义了新的Certificate Request Information Template用于存储部分填充好的PKCS#10 CSR,并提供了对部分扩展属性值的明确要求。 2. 增加了支持使用特定公钥大小、椭圆曲线或哈希算法的约束条件。 3. 支持使用特定的X.509v3扩展值。 4. 强化了对于某些特殊属性如subjectAltName的描述,例如指定了NULL-DN类型。 5. 对于某些属性(如keyUsage和extKeyUsage),不再强制提供具体值,而是允许客户填写空值。 6. 对于某些属性(如rsaEncryption和ecdsaWithSHA384),不再强制提供具体的加密密钥长度,而是允许使用默认值。 总的来说,新版本简化了CSR属性的定义和处理流程,使得服务端能够更灵活地利用和解析这些属性,同时也为客户提供了一个更丰富的定制选项。


2. draft-ietf-lamps-e2e-mail-guidance-17

  • Title: Guidance on End-to-End E-mail Security
  • Authors: Daniel Kahn Gillmor(dkg@fifthhorseman.net), Bernie Hoeneisen(bernie@ietf.hoeneisen.ch), Alexey Melnikov(alexey.melnikov@isode.com)
  • Summary: 这篇文档主要讨论了电子邮件中的加密和安全保护。它介绍了四种常用的加密层:S/MIME、PGP/MIME、简单结构和多层结构。文档提供了关于如何正确使用这些层以提供更安全和易于理解的通信,以及避免常见的错误策略的建议。此外,还讨论了在处理加密消息时需要注意的问题,如对未验证的消息进行标记,并且不能将非MIME签名或加密视为无效的。 总之,该文档为实现更强大的加密和安全性提供了指导,同时避免了一些常见误解和失败的情况。
  • Diff: 新的英文标准文档对邮件用户代理(MUA)提供电子邮件端到端加密保护进行了指导。主要内容包括: 1. 强调了简单性原则,使得用户理解起来容易。 2. 鼓励使用简单的用户界面来表示和展示加密状态。 3. 提出了三种基本的状态:未加密、已验证(有签名)以及保密(已加密并验证),同时指出了一种可能的情况:加密但未验证,即没有有效的签名来源。 4. 考虑到了不同场景下接收邮件的复杂性,例如某些情况下可以是保密的,而其他情况下可能是公开的。 5. 推荐避免在收到的消息中创建加密仅消息,以保持与原始消息的统一性。 6. 指出了在处理错误状态时如何操作,例如代表未验证状态为未加密状态,以避免泄漏明文信息。 7. 讨论了证书管理的相关问题,强调了从邮件服务器获取证书的重要性,并提出了一些解决方案。 总的来说,新的文档更加注重实用性和易于理解和接受,同时提供了更多的实践建议,以确保用户能够正确地理解和使用加密功能。


3. draft-ietf-lamps-rfc9579bis-04

  • Title: Use of Password-Based Message Authentication Code 1 (PBMAC1) in PKCS #12 Syntax
  • Authors: Alicja Kario(hkario@redhat.com)
  • Summary: 本文是关于如何使用密码学中的PBMAC1在PKCS#12格式中实现完整性保护。它提出了使用PBMAC1来增强PKCS#12结构的安全性,特别是通过引入不同的密码哈希算法和未来可扩展性的支持。此外,还讨论了对一些旧标准的更新,如不建议使用PBKDF2与SHA-1 HMAC,并且也指出了如何在PKCS#12文件中使用新的PBMAC1特性。 总的来说,这篇文稿提出了一种新的方式来实现PKCS#12文件的完整性保护,并强调了这种新方法可以为应用程序提供一种替代方案,以满足法规要求而仍然能保留现有安全性。同时,文稿也提供了相应的测试案例来验证新机制的有效性和兼容性。
  • Diff: 摘要 这个文档对RFC9579进行了修改和补充,定义了使用Password-Based Message Authentication Code 1(PBMAC1)来实现PKCS#12语法中的完整性保护的方法。 修改的主要区别在于: 1. 新版本将密码编码规则从原来的BMP字符串改为UTF8字符串。 2. 针对旧版本使用错误的迭代计数问题,新版本在PBMAC1算法下,必须明确指定参数化PBKDF的密钥长度。 主要变化是在密码编码方式和安全性要求方面做了调整,以适应现代密码学的发展需求,并与政府法规保持一致。 相比于旧版,新版本更加强调了密码学的安全性以及与现有密码技术的兼容性。

rats

1. draft-ietf-rats-network-device-subscription-06

  • Title: Attestation Event Stream Subscription
  • Authors: Henk Birkholz(henk.birkholz@ietf.contact), Eric Voit(evoit@cisco.com), Wei Pan(william.panwei@huawei.com)
  • Summary: 本文主要讨论了如何在远程认证流程(RATS)中订阅和处理概念消息。它描述了一个新的事件流,用于订阅和传递来自网络设备的证据。同时,文稿还定义了如何配置这个新事件流,以及如何对已经发生的PCR扩展事件进行过滤。 文稿总结了以下几点: 1. 定义了一个新的事件流来订阅和处理远程认证流程中的证据。 2. 提供了验证PCR扩展事件的新功能,以确认PCR值是否正确。 3. 规定了如何配置和修改该事件流的参数。 4. 强调了隐私保护和安全考虑,包括如何处理和存储涉及用户的敏感信息。 5. 讨论了IANA注册和参考文献。
  • Diff: 摘要 这份文档定义了如何订阅用于远程认证的操作规程(RATS)YANG事件流。在RATS中,可以订阅概念消息,这些消息可能被订阅。具体来说,本文件将增强用于TPM挑战-响应式远程认证(CHARRA)的YANG模块来允许订阅证据这一概念消息类型。此外,这份文档提供了定义其他类型的事件流订阅的方法和方法,如验证结果、参考值或背书等。通过至少一种方式更新由订阅至事件流所携带的概念消息的新鲜度特征,这将解决由于连续监听导致的时间延迟问题以及依赖于持续刷新的非一致性的问题。 相比旧版文档,主要的区别在于: 1. 新版本引入了新的认证流订阅模型,并基于此增强了原始的YANG模块; 2. 现有订阅到事件流中的概念消息需要从中间商提供新的新鲜密钥,或者定期请求来自平台的新令牌; 3. 新版本解决了由于时间同步性引起的时差问题,即初始订阅或其新鲜度特性; 4. 新版本为概念消息的流订阅提供了更多的灵活性,例如可以通过特定时间段或周期性的外部认证操作请求来获取新的非一致性更新; 5. 对于更复杂的应用场景,可以根据实际需求灵活选择更新新鲜度的方法。 总的来说,新版本的文档为实现更加透明且实时的认证流程提供了有力的支持。

scitt

1. draft-ietf-scitt-scrapi-03

  • Title: SCITT Reference APIs Draft-ietf-scitt-scrapi-03
  • Authors: Henk Birkholz(henk.birkholz@ietf.contact), Jon Geater(jon.geater@datatrails.ai)
  • Summary: 本文主要描述了基于SCITT架构的透明供应链API规范,包括请求和响应格式、隐私保护考虑、安全要求等。这些API支持对SCITT服务进行管理和服务调用,有助于构建更可靠的安全供应链。此外,本文还介绍了与该规范相关的参考文献和作者信息。
  • Diff: 该文档提供了关于SCITT架构的参考API,旨在支持SCITT透明服务的操作,并定义了供这些操作使用的端点。相较于旧版,新版在以下方面有所区别: 1. 增加了更多的细节和例子来解释每个端点的作用。 2. 将一些关键概念进行了简化,如认证、验证等。 3. 对于签名算法错误、无效客户端请求等常见问题给出了详细的描述。 4. 引入了更多关于安全性和隐私的相关信息,包括对用户代理身份的讨论以及如何处理用户的长期凭据。 总体而言,新版更注重实际应用场景中的详细说明和示例,同时增加了更多关于安全性方面的考虑。对于开发者来说,新的版本可能会更加易于理解和使用。

WIT

core

1. draft-ietf-core-oscore-id-update-02

  • Title: Identifier Update for OSCORE
  • Authors: Rikard Höglund(rikard.hoglund@ri.se), Marco Tiloca(marco.tiloca@ri.se)
  • Summary: 本文是关于CoAP协议和OSCORE安全环境中的对象安全更新。它定义了如何通过在两个互信的peer之间更新OSCORE接收者/发送者的标识来保护其通信的安全性。当使用CoAP协议时,这两个peer可以通过共享的OSCORE安全上下文中包含的接收者标识(SID)和发送者标识(RID),来确保他们的消息交换在两端进行。 文稿还详细讨论了如何处理可能失败或中断的ID更新流程,并指出了如何保存观察结果以跨越ID更新过程。此外,它还强调了如何根据Observe [RFC7641]协议来保持当前交互状态,以便于后续观察数据的恢复。 总的来说,该文档提供了实现一个可靠的、跨网络通信机制的方法,即利用OSCORE安全环境中的ID更新机制,以保证通讯的安全性和隐私。
  • Diff: 摘要: 在最新版的RFC文档《,作者详细描述了两种不同身份(Initiator和Responder)通过共享的OSCORE安全上下文更新OSCORE发送器和接收器标识符的方法。 在Forward Message Flow下,Initiator向Responder发送第一个OSCORE ID更新消息,然后Responder将收到的消息回送给Initiator。在Reverse Message Flow下,Responder向Initiator发送第二个OSCORE ID更新消息,而Initiator则将两个消息都转发给Responder以完成更新过程。 在安全考虑部分,该文档强调了保持通信完整性的必要性,并提供了相应的保护措施。此外,还讨论了如何防止未授权的参与者参与更新过程中的问题。 总体来说,与旧版本相比,新版文档在实现OSCORE ID更新方法的同时,也加强了对通信完整性、安全性以及隐私保护的关注,使其更加成熟和完善。


2. draft-ietf-core-oscore-key-limits-04

  • Title: Key Usage Limits for OSCORE
  • Authors: Rikard Höglund(rikard.hoglund@ri.se), Marco Tiloca(marco.tiloca@ri.se)
  • Summary: 本文主要介绍了在对象安全约束受限REST环境(OSCORE)中,如何限制AES加解密算法使用次数的问题。文中讨论了两种可能的AEAD算法(AEAD_AES_128_CCM和AEAD_AES_128_GCM),并给出了相应的限值计算公式和示例。同时,还提到了OSCORE中使用ACED算法时,应遵守的限制,以及如何确保这些限制被遵循以保护通信的安全性。最后,文稿对相关标准、文档和组织进行了总结。
  • Diff: 该文档详细介绍了在对象安全约束REST环境(OSCORE)中使用AES-GCM算法进行消息保护时,应遵循的加密和解密次数限制。这种限制是基于一个参数q和另一个参数v来确定的。这些值决定了发送方使用特定密钥进行加密或解密的次数以及接收方在收到被解密的消息后进行验证的次数。当这些限制超过时,攻击者可能利用已知的AEAD算法弱点,如消息伪造攻击,从而破坏安全属性。因此,在OSCORE中,需要遵守对q和v值的限制,以保持其使用的AEAD密钥的安全性。 与之前的版本不同的是,新的版本引入了额外的信息存储在OSCORE安全上下文中,并定义了一个方法来估计counter q值的估计值,不需要存储在peer自身的Sender Context中。这种方法依赖于任何时间仅最多使用了ENC次对自身Sender Key进行了加密,其中: - SSN为当前此Peer的Sender Sequence Number。 - SSN*为其他Peer的Sender Sequence Number的过拟合估计值,即未处理的响应没有Partial IV的情况。 当保护发往对方的Outgoing消息(Section 2.3.1)时,如果估计的est_q > limit_q,则舍弃该消息的处理过程,此时Est_q = (SSN + X),X由以下计算决定:如果消息是一个回应,则X为相应请求中的Partial IV;如果消息是一个请求,则X为从对方收到的最大Partial IV加上1,否则X等于0。这种方式可以避免频繁更新Key的情况,从而防止出现Key泄露问题。


3. draft-amsuess-core-cachable-oscore-10

  • Title: Cacheable OSCORE
  • Authors: Christian Amsüss(christian@amsuess.com), Marco Tiloca(marco.tiloca@ri.se)
  • Summary: 本文主要介绍了如何在无源代理上实现对组通信协议(CoAP)中保护好的对象的安全响应的缓存能力。这涉及到引入共识请求的概念,以及如何使用这种概念来实现对分布式环境中的单个客户端发送的相同GET或FETCH请求的可复用性。 共识请求是一个CoAP请求,由多个客户端共享,用于访问同一资源。通过构建相同的Consensus Request,可以使得服务器能够利用这些请求来填充其缓存。这样不仅降低了带宽需求,还使所有成员都可以安全地从各自的缓存中检索数据,从而提高了系统的可用性和效率。 此外,文稿还讨论了如何处理未验证的身份和重新协商等其他问题,以确保系统的安全性。最后,提出了若干未来研究方向,如提高一致性、扩展到其他协议和场景等。
  • Diff: 本文档提出了一种新的机制——“决定性请求”(Determined Request),用于在组通信环境中实现保护响应的端到端安全,并且可以被代理服务器存储并响应来自同一组内服务器的请求。这种机制解决了现有方法中未利用跨代理缓存的问题,同时提供了更强的安全性和可靠性。 与旧版相比,新版的主要区别在于: 1. 增加了决定性请求的概念:决定性请求是一种基于群组模式的共识请求,由一个决定性的客户端发起,允许多个客户使用相同的原始请求构建多个不同的请求,以实现数据的分发和收集。 2. 支持跨代理处理:决定性请求不再依赖于源认证或消息ID等特性,因此可以在不检查源认证的情况下进行处理,从而在代理服务器之间建立可靠的链接。 3. 提供了对请求-哈希的支持:将请求哈希作为决定性请求的一部分,使得请求者不需要自己生成请求哈希,而是在发送请求时就将其封装在决定性请求中。这有助于减少网络开销并提高效率。 4. 引入了决定性客户端概念:决定性客户端是一个虚构的组成员,没有序列号、密钥对和接收者上下文,具有最小权限,仅拥有共享的组成员身份和基本组成员特权。 总的来说,这些变化使决定性请求成为一种更灵活和高效的解决方案,能够满足不同场景的需求,如数据分发和多客户端访问单一资源。

IRTF

cfrg

1. draft-irtf-cfrg-hybrid-kems-00

  • Title: Hybrid PQ/T Key Encapsulation Mechanisms
  • Authors: Deirdre Connolly(durumcrustulum@gmail.com)
  • Summary: 本文讨论了如何通过组合两种或多种算法来构建一个安全的后量子/传统密钥封装机制(KEM)。这种组合方式可以保护KDF、随机数生成器、后量子加密和差分狄利克雷哈里斯组等组件的安全性,同时保持系统的整体安全性。 具体来说,文稿首先概述了密钥封装机制的基本概念,并定义了相关的术语。然后详细描述了各种组件的通用要求和特性,包括使用XOF扩展输出函数、密钥生成器以及标准后的量子加密等。接着,文稿提出了几种具体的混合KEM实例,这些实例分别依赖于不同的组件算法,并满足特定的安全属性要求。最后,文稿还讨论了一些可能的影响因素和设计限制,如可变长度的秘密等。 总的来说,本文为构建安全的后量子/传统密钥封装机制提供了一种通用的方法,并强调了不同组件之间协调的重要性。

nmrg

1. draft-irtf-nmrg-green-ps-04

  • Title: Challenges and Opportunities in Management for Green Networking
  • Authors: Alexander Clemm(ludwig@clemm.org), Carlos Pignataro(cpignata@gmail.com), Cedric Westphal(cedric.westphal@futurewei.com), Laurent Ciavaglia(Laurent.Ciavaglia@nokia.com), Jeff Tantsura(jefftant.ietf@gmail.com), Marie-Paule Odini(mp.odini@orange.fr)
  • Summary: 这篇文稿讨论了如何使网络技术更加绿色,减少温室气体排放和环境影响。它首先提出了网络技术面临的挑战,并概述了可能的解决方案。然后,它探讨了设备、协议和架构水平上的改进措施。最后,它总结了这些改进对实现更绿色、更可持续的网络的重要性。文稿还提到了一些尚未解决的问题,并建议在未来的研究中探索这些问题。总的来说,这篇文稿为实现更绿色的网络技术提供了理论基础和策略建议。
  • Diff: 以上新版本的英文标准文稿(绿色网络管理)是关于如何使网络技术本身变得更“绿”、更可持续的一个讨论。它提出了以下几个方面: 1. 网络能源消耗特征及其影响:碳足迹和温室气体排放是由网络能源消耗决定的,需要考虑能源供应来源的可持续性和混合能源利用。 2. 设备层:改善设备性能(硬件和软件)可以减少能源消耗,并通过节能措施来提高设备效率。同时,应提供精细化的能源监测和管理能力以实现更高效的能源使用。 3. 协议层:设计协议时需考虑减少数据传输冗余和浪费,以及降低协议中的通信开销,这些都与节能减排有关。 4. 网络层:优化网络配置,比如在非高峰期减少资源占用,可以在不增加额外成本的情况下提升系统利用率。 5. 架构层:现有的网络架构忽略了对能源效率的关注,但未来可能有其他架构改进方式,如使用CDN等技术可以节约能源。 总的来说,该文档强调了通过技术和管理手段提高网络技术本身的节能减排潜力。其中,设备层面和协议层面的技术创新尤为重要。此外,标准组织也应在架构层面进行改革,以促进节能减排的发展。

pearg

1. draft-irtf-pearg-safe-internet-measurement-11

  • Title: Guidelines for Performing Safe Measurement on the Internet
  • Authors: Iain R. Learmonth(irl@sr2.uk), Mallory Knodel(mallory.knodel@nyu.edu), Gurshabad Grover(gurshabad@cis-india.org)
  • Summary: 本文主要讨论了互联网测量中的安全问题。文稿首先概述了互联网测量的重要性,并指出了在使用互联网进行科学研究时,可能会遇到的风险和影响用户安全的问题。然后提出了几个相关的建议来确保互联网测量活动的安全性: 1. 明确标识您的测量以告知网络上的其他用户。 2. 获取用户的同意,无论是否收集到他们的个人信息。 3. 负责任地共享数据,遵守提供者的数据使用条款。 4. 保持一个“不扫描”列表,仅对您测试流量的目的而扫描特定网络或主机。 5. 尽量减少数据,只收集完成任务所需的最小量。 此外,文稿还提到了一些关于网络安全的考虑因素,包括数据存储和保护、授权和访问控制、透明度和问责制等。最后,文稿强调了实验设计者需要平衡研究目标与用户隐私权之间的关系,并应定期评估其实验的影响和安全性。
  • Diff: 这个新的版本的主要区别在于: 1. 更多的安全考虑:文档详细讨论了互联网测量过程中的安全风险,并提供了减少这些风险的方法。 2. 更加透明和开放的态度:文档提倡更加透明地分享实验数据,同时鼓励研究者在发布结果时寻求用户的同意。 3. 对于可能的风险进行量化:文档提出了各种方法来最小化收集的数据量和提高数据质量,以降低数据泄露的风险。 总的来说,这个新版本不仅关注了互联网安全问题,还强调了研究者需要对实验行为负责、公开他们的研究计划以及尊重用户隐私的原则。

Unknown

Unknown

1. draft-kcrh-hpwan-state-of-art-01

  • Title: Current State of the Art for High Performance Wide Area Networks
  • Authors: Daniel King(d.king@lancaster.ac.uk), Tim Chown(tim.chown@jisc.ac.uk), Chris Rapier(rapier@psc.edu), Daniel Huang(huang.guangping@zte.com.cn)
  • Summary: 这篇文档探讨了高性能宽域网络(HP-WAN)的现状。它首先回顾了HP-WAN的概念和背景,以及它们在支持科学研究和教育中的作用。然后,它讨论了当前用于HP-WAN的技术组件、关键特性及其对研究、数据密集型应用的支持。最后,它概述了未来方向,并提供了对未来技术发展的展望。总的来说,文稿强调了HP-WAN对于全球科学和教育社区的重要性,以及它们如何为未来的科技创新提供基础设施。
  • Diff: 根据您提供的信息,可以总结以下要点: 1. 这篇文档提供了一个关于现有高性能宽域网络(HP-WAN)状态和实践的概述。 2. 文档介绍了现有的术语和技术,以及这些网络的关键组件,包括拓扑、带宽和延迟、数据移动协议、转发优化、可靠性、高可用性、服务质量等。 3. 它探讨了当前用于构建研究、教育、大规模数据分析和协作人工智能训练的高性能宽域网络的未来发展方向,强调它们在支持尖端科学研究、大数据分析、AI培训和大工业数据分析方面的作用。 4. 根据本文档,当前的高性能宽域网络基础设施正在经历技术进步,并且随着新兴技术如量子计算和物联网(IoT)的发展,这些网络的角色将更加重要。 5. 文档提供了对未来方向的一些思考,包括如何应对不断增长的数据需求,以及如何利用这些网络来满足未来的科研和教育需求。 6. 最后,作者提到,虽然这个领域正处于快速发展之中,但许多挑战仍然存在,例如资源管理和服务调度等。 总的来说,与旧版的英文标准文稿相比,新的版本增加了更多关于现有HP-WAN的状态和实践的信息,探讨了未来发展方向,以及当前面临的挑战。