今日共有14篇文稿更新,涉及4个area里的9个WG

INT

schc

1. draft-toutain-schc-universal-option-00

  • Title: Options representation in SCHC YANG Data Models
  • Authors: Ana Minaburo(anaminaburo@gmail.com), Marco Tiloca(marco.tiloca@ri.se), Laurent Toutain(laurent.toutain@imt-atlantique.fr)
  • Summary: 这篇文稿提出了一种在静态上下文压缩(SCHC)规则中保留协议标识符的方法,以简化和优化SCHC压缩。这种做法可以避免在新选项引入时出现兼容性问题。通过定义一个标识符,该标识符与指定的CoAP选项相关联,并且包含可选的值,从而能够保持选项之间的关系。 此外,文稿还讨论了如何在现有的标准中扩展YANG数据模型,以便包含选项标识符,这将有助于解决兼容性和更新的问题。具体来说,文稿提出了一个新的列表结构来描述这些选项,使得它们能够在不同的应用中具有唯一性。这样,即使协议之间有冲突,也能够实现更好的兼容性。 总的来说,这篇文稿提出的方案为SCHC在动态环境下的使用提供了一个解决方案,同时保证了协议间的兼容性和灵活性。

OPS

anima

1. draft-ietf-anima-constrained-join-proxy-16

  • Title: Join Proxy for Bootstrapping of Constrained Network Elements
  • Authors: Michael Richardson(mcr+ietf@sandelman.ca), Peter Van der Stok(stokcons@kpnmail.nl), Panos Kampanakis(kpanos@amazon.com), Esko Dijk(esko.dijk@iotconsultancy.nl)
  • Summary: 《Anima Working Group》是关于一个名为"Anima"的工作组,它旨在研究和开发一种新的网络功能,称为"constrained Join Proxy"。该协议允许新设备(称为"Pledge")通过代理服务器安全地连接到一个IP网络。 这个代理服务器可以存储与特定Pledge相关联的UDP连接状态,并将其路由回给Pledge。这样,即使Pledge未直接访问网络,也可以使用代理服务器的安全通道进行通信。 此外,这种机制还可以支持其他UDP或TCP/IP协议,只要这些协议不改变IP和UDP头部即可。因此,它可以用于自动配置和管理复杂的网络环境,如低功耗无线个人区域网(6LoWPAN)。 总的来说,《Anima Working Group》提供了一种解决方案,使新设备能够安全、可靠地加入到网络环境中,并且可以在未来扩展其功能,以支持更多不同的网络连接协议。
  • Diff: 这个文档是一个关于改进Bootstrapping Remote Secure Key Infrastructure(BRSKI)协议的方式,即在受限网络环境中使用约束代理(Join Proxy)的概念。主要内容包括: 1. 增加了新的网络功能:约束代理(Join Proxy)。它可以在受限网络环境中帮助新设备安全地加入到一个新的IP网络。 2. 约束代理可以实现以下功能: a. 路由UDP包。 b. 将消息封装为约束代理数据帧(JPY),以便通过TCP/IP网络传递。 3. 提供两种不同的模式:状态全和状态全。 4. 在状态全模式下,约束代理本地存储了连接状态以转发返回UDP包。 5. 状态全模式的优点是减少了代码空间和测试工作量,但需要更多的资源和复杂的架构设计。 6. 在状态全模式下,约束代理不需要存储连接状态,而是将这些信息封装在消息头中。 总的来说,约束代理允许受限网络环境中的新设备安全地加入网络,并且可以动态地选择是否启用状态全或状态全模式。

grow

1. draft-ietf-grow-bmp-loc-peer-00

  • Title: BMP Loc-RIB: Peer address
  • Authors: Pierre Francois(pierre.francois@insa-lyon.fr), Maxence Younsi(maxence.younsi@insa-lyon.fr), Paolo Lucente(paolo@ntt.net)
  • Summary: 本文是关于BGP MPLS的最新标准规范之一,即BGP路由监视协议(BMP)中的本地路由信息块(Loc-RIB)。该规范引入了新的TLV类型,用于描述从一个BGP邻居接收路径时使用的地址。此外,还定义了一些相关的TLV类型,例如Origin VRF TLV、Previous VRF TLV和Previous VRF Sequence TLV等,以描述路径来源和导入的整个VRF链路。 这些TLV将帮助提高BGP网络设备之间的通信效率,减少不必要的信息传输,并为用户提供更清晰的信息来跟踪路径的来源和目的地。同时,这也增强了BGP的扩展性,使其能够支持更多的路径选择策略和管理模型。

opsawg

1. draft-ietf-opsawg-ac-lxsm-lxnm-glue-14

  • Title: A YANG Data Model for Augmenting VPN Service and Network Models with Attachment Circuits
  • Authors: Mohamed Boucadair(mohamed.boucadair@orange.com), Richard Roberts(rroberts@juniper.net), Samier Barguil(samir.barguil@gmail.com), Oscar Gonzalez de Dios(oscar.gonzalezdedios@telefonica.com)
  • Summary: 这篇文档主要定义了一个名为“AC粘合”模型的数据模型,用于在层2/3服务和网络模型(L2/3 SM/L2/3 NM)中为附带电路(ACs)增加对参考点边缘(CEs)的引用。这种做法可以分离AC配置与实际VPN服务配置,使得AC管理和网络管理更加统一。 文档更新了L2/3服务模型、L3/3服务模型以及它们的服务和网络模型中的相关数据节点来支持ACaaS服务,从而提供标准化机制以使AC与服务请求之间的配置保持一致。同时,它也通过AC网络模型对L2/3网络模型进行补充,增加了AC的参考信息。 文档中还详细介绍了AC粘合模型的具体应用示例,并指出了可能遇到的安全风险和建议的保护措施。最后,提供了相关的规范性引用文件作为参考资料。 总的来说,《使用附加的附件电路增强虚拟私有网络(VPN)模型和服务模型》定义了一个新的数据模型,旨在简化运营商在服务提供商网络上的AC配置过程,促进更安全、灵活地部署网络服务。
  • Diff: 新的文档是针对虚拟私有网络(VPN)服务和网络模型的一个补充模型,它通过增加对附加电路(AC)信息的引用来增强现有服务(如L2服务模型、L3服务模型)和网络模块(如L2网络模型和L3网络模型)。主要包括以下几个方面: 1. 增加了对AC的服务引用,使运营商能够将特定的VPN服务与基于AC的基础设施关联起来。 2. 对AC和实际的VPN服务进行分离管理,避免服务之间的干扰。 3. 为ACaaS提供了一个标准化的方法,以更好地协调AC与实际服务需求之间的关系。 4. 提供了一个统一的数据模型,简化了ACaaS的使用,并且允许用户根据需要在不同的位置管理和配置AC。 对比于旧版文档,新增了更多的数据节点和引用,增加了关于AC接入点的描述,改进了ACaaS的定义,并引入了一些安全性和互操作性的考虑。总体来说,新文档在增强VPN模型和网络模型的同时,也提供了更好的管理和服务灵活性。


2. draft-ietf-opsawg-ntw-attachment-circuit-16

  • Title: A Network YANG Data Model for Attachment Circuits
  • Authors: Mohamed Boucadair(mohamed.boucadair@orange.com), Richard Roberts(rroberts@juniper.net), Oscar Gonzalez de Dios(oscar.gonzalezdedios@telefonica.com), Samier Barguil(samir.barguil@gmail.com), Bo Wu(lana.wubo@huawei.com)
  • Summary: 本文档详细介绍了网络模型对于附件电路(Attachment Circuit)的支持。附件电路是一种连接客户节点和运营商网络的服务,主要应用于提供网络服务如虚拟私有网络(Virtual Private Network, VPLS)、三层VPN等。 该模型支持在运营商网络侧管理附件电路,并能够根据需要配置不同的服务(如L2层、L3层),并支持多种路由协议、操作维护和安全功能等。此外,还提供了服务相关的数据结构,以便于在客户和运营商之间进行沟通。 总的来说,本文提出了一种基于YANG的数据模型,用于管理和提供附件电路,为运营商网络的建设和运营提供了有效的支撑。
  • Diff: 该文档是关于网络模型的最新更新版,它为服务提供商提供了一个通用的数据模型来管理连接到其网络的附加电路(AC)。该模型可以用于在服务提供商网络中提前或在服务部署期间为AC分配配置,以及提供保护方案以决定AC在服务提供商网络中的终止位置。 与之前的版本相比,新的文档引入了一些改进,以支持其他部署环境和不同的服务提供商网络架构,例如云网络。此外,还增加了对虚拟私有网络(VPN)和其他高级网络服务的扩展支持。虽然没有直接提到安全措施和分层服务的概念,但提供了广泛的AC服务和配置选项。 总的来说,最新的文档旨在简化服务提供商网络中AC配置和维护的过程,并确保服务提供商能够根据需要灵活地调整AC部署方式。它将帮助提高整体的服务交付效率和质量。


3. draft-ietf-opsawg-teas-attachment-circuit-20

  • Title: YANG Data Models for Bearers and 'Attachment Circuits'-as-a-Service (ACaaS)
  • Authors: Mohamed Boucadair(mohamed.boucadair@orange.com), Richard Roberts(rroberts@juniper.net), Oscar Gonzalez de Dios(oscar.gonzalezdedios@telefonica.com), Samier Barguil(samir.barguil@gmail.com), Bo Wu(lana.wubo@huawei.com)
  • Summary: 本文主要讨论了网络服务提供者如何为客户提供连接到其网络的服务。在这些连接中,客户可能需要通过特定的节点(如边缘节点或网络边界路由器)与服务提供商建立附加电路(AC)。然而,通常情况下,附加电路是通过一个基础的链路(如物理链路)来提供的。本文提出了一种新的数据模型,称为“ACaaS”,用于描述这种连接。 这种模型可以用来为新服务提供附加电路之前或之后。它还可以用来管理已存在的附加电路,并允许服务提供商选择要绑定到哪个附加电路的设备(如PE)。此外,它可以使用各种协议(如Netconf/RESTCONF)与客户进行交互,而无需依赖于专门的数据模型。 总的来说,“ACaaS”模型简化了对附加电路和其连接点的管理,使升级更易于执行。它可以支持各种不同的部署场景,例如创建附加电路以连接多个站点、根据客户要求创建附加电路等。该模型还支持多种扩展性功能,如自动配置附加电路、增强的安全性和管理能力等。 总之,“ACaaS”模型提供了一个简单、灵活的方式来管理网络服务中的附加电路,使其能够更好地适应不同类型的网络连接和服务需求。
  • Diff: 以上新版本的英文标准文稿(以下简称“ACaaS”)相对于旧版本的英文标准文稿《Delivery of network services assumes that appropriate setup is provisioned over the links that connect customer termination points and a provider network》来说,有以下几点主要区别: 1. 更换了文档标题,从“Delivery of network services assumes that appropriate setup is provisioned over the links that connect customer termination points and a provider network”更改为“Bearers and 'Attachment Circuits'-as-a-Service (ACaaS)”。 2. 对于ACaaS定义和使用范围有了更明确的定位:ACaaS是网络服务提供商为特定客户提供的连接电路服务(Attachment Circuits-as-a-Service)。它简化了对服务提供者端到端网络模型与AC之间的映射工作。 3. 引入了一个新的模块“ietf-bearer-svc”,用于管理客户侧设备(CE),这些设备通过AC连接到PE或共享CE与PE之间。 4. 提供了一种在不依赖特定设备模型的情况下描述AC服务的方法,使得服务提供商能够更加灵活地部署AC服务。 5. 描述了如何在不同场景下使用ACaaS,包括但不限于创建AC、请求AC等。 总的来说,新版本的主要变化在于将ACaaS定义为一种新的服务模式,使网络服务提供商可以以一种通用的方式管理他们的接入电路,并且可以按照需要扩展这种服务。此外,新版本还引入了一个新的模块来管理和控制这些接入电路。


4. draft-ietf-opsawg-teas-common-ac-15

  • Title: A Common YANG Data Model for Attachment Circuits
  • Authors: Mohamed Boucadair(mohamed.boucadair@orange.com), Richard Roberts(rroberts@juniper.net), Oscar Gonzalez de Dios(oscar.gonzalezdedios@telefonica.com), Samier Barguil(samir.barguil@gmail.com), Bo Wu(lana.wubo@huawei.com)
  • Summary: 本文主要介绍了一个用于管理网络连接服务(如虚拟专用网)的通用附加电路模型(AC模型)。该模型旨在提供一个可重用的基础,以确保不同模型在处理附加电路时具有一致的结构。文稿讨论了与现有AC数据模型的关系,并详细描述了模块的功能、特性、身份定义和组态等。它还概述了支持的特性、类型和组态,以及如何使用这些特性来创建和管理附加电路。总之,这个通用模型为构建附加电路提供了统一性和灵活性,使得不同的模型可以共享和继承这些功能。
  • Diff: 这篇新的中文标准文稿提供了关于通用附件电路(YANG模型)的详细描述和规范。 主要区别在于: 1. 新版本文档包含一个完整的树图,展示了模块的所有组成部分和关联关系。 2. 模块定义了附加电路支持的层2和层3属性以及服务器生成引用等特性。 3. 提供了一系列可重用分组,包括服务状态、协议配置参数、操作指令等。 4. 比较注重一致性原则,确保不同模型之间AC结构的一致性。 总的来说,新的文档提供了一个更加标准化和可扩展性的通用YANG模型,使得不同领域的应用可以更好地融合在一起。

RTG

lsvr

1. draft-ietf-lsvr-applicability-22

  • Title: Usage and Applicability of BGP Link-State Shortest Path Routing (BGP-SPF) in Data Centers
  • Authors: Keyur Patel(keyur@arrcus.com), Acee Lindem(acee.ietf@gmail.com), Shawn Zandi(szandi@linkedin.com), Gaurav Dawra(gdawra.ietf@gmail.com), Jie Dong(jie.dong@huawei.com)
  • Summary: 本文讨论了在数据中心网络中使用BGP Link-State Shortest Path Routing(BGP-SPF)协议时的一些应用和适用性。主要观点如下: 1. BGP-SPF可以在非阻塞的数据中心网络中部署,如Clos或Fat-F树。 2. BGP-SPF可以提供简化L3路由计算、改善收敛速度等优点。 3. BGP-SPF可以通过BGP LS(链路状态)格式发布节点、链接和前缀信息,用于进行SPF计算。 4. 数据中心控制器通常需要访问BGP拓扑以计算流量工程路径。他们可以从BGP LS地址族独立学习这些信息。 5. BGP-SPF也可以与IP多播安全信息(IMSI)一起使用,提高安全性。 6. 在密集型图中,建立BGP多跳连接是可能的,因为它们往往通过LAG来实现。 7. 可以选择配置BGP会话的hop-by-hop模式,该模式允许快速确定链路的可用性和维护一个包含所有必要的邻居的环形图。 8. 由于所有的路由器都拥有完整的拓扑视图,运营商可以选择使用控制中心模型,并结合BFD来防止序列化BGP最佳路径算法。这有助于整体网络收敛。 9. 然而,目前只支持单个跳步的会话,对于多跳连接来说,动态发现机制可能无法完全满足需求。 总的来说,BGP-SPF为数据中心提供了新的工具,使网络规划更加灵活,同时也提高了网络收敛的速度和可靠性。
  • Diff: 本文是关于BGP Link-State Shortest Path First(BGP-SPF)协议在数据中心网络中的应用和适用性的讨论。与旧版相比,新版文档增加了以下内容: 1. 引言:概述了该文档的目的,即提供简化的数据中心网络部署指南。 2. 推荐阅读:列举了一些相关的参考资料,包括现有数据中心网络、数据中心网络拓扑以及相关路由协议等。 3. 常见部署场景:描述了数据中心使用Clos或Fat-F树拓扑进行网络连接的典型情况。 4. BGP-SPF扩展的原因分析:解释了为何需要引入这些修改以改善BGP下的数据收敛速度。 5. BGP-SPF扩展对Clos网络的支持:介绍BGP-SPF协议对Clos网络的具体支持,如链路状态计算和路由计算的变化。 6. 非CLOS/FAT树拓扑的应用性:说明BGP-SPF可以应用于其他类型的网络拓扑,如服务提供商背靠背协议(SP骨干网),并且有多种部署策略可供选择。 7. 非转接节点能力:指出一些特定场景下,BGP路由器可能具有参与BGP-SPF网络而无需参与转发流量的能力。 8. BGP策略的适用性:介绍了如何将BGP策略与其他BGP-SPF属性结合使用。 9. 互联网名称解析系统(IANA)考虑:没有涉及具体的IANA更新请求。 10. 安全性:简要地提到了安全性方面的考虑,但未详细阐述。 总的来说,新版文档提供了更多关于BGP-SPF协议在数据中心网络中具体实施和适用性的信息,并补充了更多细节和背景知识。


2. draft-ietf-lsvr-bgp-spf-51

  • Title: BGP Link-State Shortest Path First (SPF) Routing
  • Authors: Keyur Patel(keyur@arrcus.com), Acee Lindem(acee.ietf@gmail.com), Shawn Zandi(szandi@linkedin.com), Wim Henderickx(wim.henderickx@gmail.com)
  • Summary: 本文是关于在Massively Scaled Data Centers(MSDC)中使用简化三层路由(L3)和改进的内部网关协议(IGP)之间的解决方案。主要目标是在单一的路由协议BGP上实现所有这些需求。 文稿首先介绍了术语,包括BGP最短路径优先算法(SPF)、BGP SPF路由域(BGP SPF RD)以及BGP Link-State (BGP-LS)关系等。接下来讨论了BGP与BGP-LS关系,定义了BGP SPF路由决策过程,描述了如何扩展BGP-LS以支持BGP SPF计算,以及定义了BGP SPF NLRI序列化和验证机制。 最后,总结了这个标准文档的作用,并讨论了可能需要进一步工作的领域,例如错误处理、安全性和管理考虑等。
  • Diff: 该文档是关于在BGP(内部网关协议)和BGP链接状态分发(BGP-LS)之间进行扩展的工作说明书。主要区别在于: 1. 使用了BGP链接状态分发(BGP-LS)来描述网络层可达信息,并定义了一个新的BGP-LS-SPF安全信息标识符(SAFI),用于支持BGP SPF计算。 2. 在BGP SPF决策过程中,直接使用Dijkstra算法,而不再等待路由选择过程完成后再发布路由。 3. 支持多种BGP SPF部署模型,如单个节点连接、直接相连的节点之间的BGP单跳连接等,以适应不同的网络结构和需求。 4. 规定了BGP SPF路由域内的所有BGP路由器必须遵循同一套规范,包括多协议能力交换、路由选择算法等。 总体来说,本文档是在现有BGP和BGP-LS的基础上对BGP SPF进行了拓展,引入了新的安全信息标识符,改变了部分决策流程,支持了多种BGP SPF部署模型,从而实现了BGP SPF与BGP-LS的集成。

pce

1. draft-ietf-pce-pcep-color-08

  • Title: Path Computation Element Protocol(PCEP) Extension for Color
  • Authors: Balaji Rajagopalan(balajir@juniper.net), Vishnu Pavan Beeram(vbeeram@juniper.net), Shaofu Peng(peng.shaofu@zte.com.cn), Mike Koldychev(mkoldych@proton.me), Gyan Mishra(gyan.s.mishra@verizon.com)
  • Summary: 本文是关于IPv6地址分配的一篇文稿。文稿首先概述了IPv6地址分配的相关概念,包括IPv6地址的结构、不同类型的IPv6地址以及它们在互联网中的作用。接着,文稿详细介绍了IPv6地址分配的过程,从IPv6地址生成到分配给各个网络设备的过程进行了详细的描述。此外,还讨论了IPv6地址分配过程中的安全问题,并提出了相应的解决方案。最后,文稿总结了IPv6地址分配的现状和未来的发展趋势。 总的来说,本文主要讲述了IPv6地址分配的基本知识,包括其组成、使用情况以及其中的安全问题和解决方案。
  • Diff: 本文档是关于PCEP协议的一个扩展,引入了颜色属性来标识一个传输工程(Traffic Engineering)隧道或政策,并将其与意图或者目标相关联(如低延迟)。这个颜色属性用于映射服务到标签交换路径(Label Switched Paths, LSPs),也可以用来映射到其他类型的网络路径。在使用 RSVP-TE 或者 Segment Routing 等路径设置类型时,可以使用这些扩展来将颜色关联到对应的路径。 相较于旧版标准文稿,本文档的主要区别在于: 1. 引入了新的TLV和TLV标志位,以便于描述颜色能力以及状态化PCE模型中的控制流。 2. 对于SR路径,虽然可以使用这部分的扩展,但仅当它和其他能力一起使用时才有效,比如SR Policy Association(SR Policy Associations)。 3. 颜色值在LSP对象中被忽略的情况,除非该LSP属于相同的TE隧道并且颜色属性一致。 4. 虽然颜色属性可能会影响到SR路径的颜色值,但是在这种情况下,SR Policy Association的色彩会优先考虑。 总的来说,这是对PCEP协议的一种增强,使其能够更好地支持不同类型的路径设置,并提供更多的灵活性和可配置性。

SEC

cose

1. draft-sipos-cose-gmac-00

  • Title: AES-GMAC for COSE
  • Authors: Brian Sipos(brian.sipos+ietf@gmail.com)
  • Summary: 本文定义了新的AES-GMAC算法,用于使用AES在GCM模式下生成消息认证码。它还提供了关于安全考虑和IANA注册的相关信息。 1. 主要内容摘要: 该文档定义了新的AES-GMAC算法,用于使用AES在GCM模式下生成消息认证码。它还提供了一些关于安全性考虑的信息,并给出了IANA对相关代码点进行注册的指导。此外,文档也指出了相关的参考文献。 2. 重要术语解释: 本文档使用的术语包括:COSE(Message Authentication Code),AES(Advanced Encryption Standard), GCM(Galois Counter Mode),GMAC(Galois Message Authentication Code),IV(Initialization Vector)。这些术语在这里被定义为描述和解释协议工作原理的重要概念。

emu

1. draft-ra-emu-pqc-eapaka-02

  • Title: Post-Quantum Key Encapsulation Mechanisms (PQ KEMs) in EAP-AKA prime
  • Authors: Tirumaleswar Reddy.K(kondtir@gmail.com), Aritra Banerjee(aritra.banerjee@nokia.com)
  • Summary: 这篇文稿是关于为增强后量子安全的扩展身份认证协议方法(EAP-AKA')添加量子安全性。它提出了一个名为“Post-Quantum Key Encapsulation Mechanisms”(PQ-KEMs)的安全封装机制,以抵抗未来的量子计算机威胁。该文稿详细介绍了PQ-KEMs的设计、实现和应用。 PQ-KEMs利用模块学习错误(ML-KEMs)作为其核心算法,这是一种一阶段(一次性发送)的加密机制,可以在两个参与者之间进行安全地传递密钥。ML-KEMs由三个参数集定义,包括不同级别的安全性设置。 通过使用这些PQ-KEMs,可以提供EAP-AKA'在传统的公钥加密技术被破坏的情况下仍然保持完美前向保密性的解决方案。然而,由于传统的公钥加密算法可能在面对未来量子计算机时变得无效或不可信,因此需要考虑其他方案来保护用户数据的安全性。 总的来说,PQ-KEMs是一种新型的安全封装机制,能够有效抵御未来的量子计算攻击,同时还能满足传统公钥加密技术的应用需求。
  • Diff: 这是一篇关于后向安全和量子计算安全的新版英文标准文档。与旧版相比,新版的主要区别在于: 1. 新增了PQC KEM算法来实现完美前向安全。 2. 增加了新的扩展AT_PUB_KEM和AT_KEM_CT属性,用于指示PQC KEM和传统的加密函数。 3. 改变了传统算法在新版本中的使用方式,使它们能够更好地适应量子计算机的安全需求。 4. 在安全性考虑部分,增加了对PQC KEM的详细描述,并指出了其使用的具体参数设置。 总的来说,新版文档为实现基于PQC KEM的完美前向安全提供了更全面的技术支持。


2. draft-ar-emu-pqc-eapaka-03

  • Title: Enhancing Security in EAP-AKA' with Hybrid Post-Quantum Cryptography
  • Authors: Aritra Banerjee(aritra.banerjee@nokia.com), Tirumaleswar Reddy.K(kondtir@gmail.com)
  • Summary: 这篇技术文档是关于如何增强EAP-AKA'的安全性的。主要讨论了两个方面:一种是传统的公钥加密算法在面对量子计算机时的脆弱性,以及另一种是将传统和量子公钥加密算法结合起来以提供双重保护;还提出了新的属性来表示PQC公钥。 文档的核心观点是通过使用HPKE(混合公钥加密)来提供双重保护,并且强调了对未来的量子计算攻击需要考虑的情况。它还指出了两种解决方案:一是使用量子安全的KEM(混合后继者),二是使用传统的ECDH算法并添加HPKE支持。 文档详细地描述了HPKE的工作原理、构造方法以及与传统ECDH的区别。此外,文档还提到了一些安全性考虑和建议的改进措施,如增加一个新的属性AT_PUB_HYBRID用于存储PQC公钥,更新一个属性AT_KDF_FS以指示HPKE的KEM类型等。 总的来说,这篇文档展示了如何利用HPKE来提高EAP-AKA'的安全性和抗量子威胁的能力,同时强调了在实现这种保护的同时需要进行的技术选择和实施策略。
  • Diff: 本文档是关于增强EAP-AKA' FS协议的安全性的新的RFC文档。它定义了使用混合公钥加密(HPKE)来增强EAP-AKA' FS协议以使其能够抵御量子计算机攻击的安全性。 主要内容包括: 1. 引言:介绍了前向保密的概念和其对EAP-AKA' FS协议的重要性。 2. 规范性和定义:定义了用于本文档的术语,并解释了传统的算法和后量子计算算法之间的区别。 3. 基础概念:概述了EAP-AKA' FS协议中的关键组件以及它们如何工作。 4. 混合增强设计:提出了在协议设计中使用的两个重要特性:基于传统算法和基于后量子计算算法的混合共享密钥的实现。 5. 协议构造:详细描述了如何通过使用多个不同的公钥交换算法组合,以及如何确保这些算法的组合安全地提供服务。 6. 扩展到EAP-AKA' FS:提供了有关扩展EAP-AKA' FS协议的新建议,例如增加AT_PUB_HYBRID属性,以便支持混合公钥加密。 7. 安全考虑:讨论了协议的安全性要求,包括对传统算法和后量子计算算法的兼容性要求。 8. IANA考虑:建议将一个新的值分配给AT_PUB_HYBRID属性,以便支持混合公钥加密。 9. 参考文献:列出了与本文相关的参考文献列表。 总体来说,本文档的主要变化在于引入了混合公钥加密技术,以提高EAP-AKA' FS协议的安全性。这使得该协议能够在一定程度上抵御未来的量子计算威胁,从而为用户提供更安全的服务。

rats

1. draft-ietf-rats-reference-interaction-models-12

  • Title: Reference Interaction Models for Remote Attestation Procedures
  • Authors: Henk Birkholz(henk.birkholz@ietf.contact), Michael Eckel(michael.eckel@sit.fraunhofer.de), Wei Pan(william.panwei@huawei.com), Eric Voit(evoit@cisco.com)
  • Summary: 本文主要描述了三个远程认证协议的交互模型,分别是挑战响应远程认证、单向远程认证和流式远程认证。这些模型旨在提供一种安全且隐私保护的方法来传递证据。 在挑战响应远程认证中,验证者向认证实体发送一个认证请求,并在收到认证结果后返回结果。在单向远程认证中,验证者主动提出认证请求,而认证实体被动接收认证请求并生成相应的证据。在流式远程认证中,验证者订阅到消息主题以接收来自认证实体的消息。 这三个模型都强调使用Handle作为证明新鲜度的关键,防止重播攻击。同时,它们还包含了其他相关的概念消息,如认证秘密、验证器身份、参考值等。这些信息元素可以用于定义远程认证协议中的其他消息类型,例如端背书或评估政策。 总的来说,文稿提出了三种不同的远程认证协议的交互模型,强调了Handle在确保认证过程的安全性方面的重要性,并为未来的解决方案提供了基础框架。
  • Diff: 在新的版本中,该文档描述了三种远程验证协议(RATS)的交互模型:挑战响应(Challenge/Response)、单向(Uni-directional)和流式(Streaming)。这些模型被用于远程验证流程中传递证据。 关键区别包括: 1. 挑战响应(Challenge/Response)模型通过一个随机数Nonce来确保证据的新颖性和防止重放攻击。 2. 单向(Uni-directional)模型使用单一的认证密钥ID标识每个Attesting Environment。 3. 流式(Streaming)模型允许Verifying Party从多个Attesting Environs获取证据,并且支持更灵活的请求策略。 此外,新的版本还强调了Handle的作用以及如何处理这种证明新颖性和防止重放攻击的方式。