今日共有18篇文稿更新,涉及6个area里的14个WG

ART

emailcore

1. draft-ietf-emailcore-as-14

  • Title: Applicability Statement for IETF Core Email Protocols
  • Authors: Dr. John C. Klensin(john-ietf@jck.com), Kenneth Murchison(murch@fastmail.com)
  • Summary: 本文主要阐述了关于电子邮件协议核心文档的适用性。讨论了SMTP协议、IMF以及一些扩展的功能,如加密、认证等,并指出了在不同场景下可能需要或不需要特定功能的情况。文稿还强调了邮件地址和密钥的相关概念,例如本地化、非ASCII字符使用、HTML处理等方面。 总之,该文旨在为用户、发送者、接收者提供指南,指导他们在通信过程中正确使用这些协议及其扩展,以确保电子邮件系统的安全性和可靠性。
  • Diff: 本文件是关于国际电信联盟技术工作小组(IETF)核心电子邮件协议适用性的Applicability Statement,即指导文档。它讨论了电子邮件协议的一些关键规定和扩展,如处理域名到Ehlo命令的参数、使用地址注解符等,以及这些规定的适用范围。 与旧版相比,新版本的主要区别在于: 1. 更加详细地描述了不同情况下的对SMTP的规定和建议。 2. 谈到了一些新的邮件格式规定,例如空断行字符串、收到头字段的消费等。 3. 强调了在某些情况下应避免的行为,比如使用单字符顶级域或不支持的非ASCII字符等。 4. 指出了对多用途互联网邮件扩展(MIME)的支持和推荐使用方式。 5. 讨论了对于SMTP认证的一些新机制,包括可选加密和必选加密。 总的来说,这个新版比旧版更加全面和具体,提供了更具体的指南来确保应用程序的正确性。

INT

6man

1. draft-templin-6man-aero3-26

  • Title: Automatic Extended Route Optimization (AERO)
  • Authors: Fred Templin(fltemplin@acm.org)
  • Summary: (Automatic Extended Route Optimization Service)是为航空网络、智能交通系统等提供的一种安全的国际互连和移动管理服务。它使用Overlay Multilink Network Interface(OMNI)技术,支持多路径选择、多网跨域通信、多播转发、多跳操作以及路由优化等功能。文中详细描述了AERO协议的实现细节,包括如何通过IPv6 Neighbor Discovery(IPv6 ND)控制节点间的邻居关系、如何分配地址以支持移动节点的接入、如何建立和维护OMNI接口的数据源、目的地和中间节点,以及如何进行流量控制和数据压缩等关键功能。 总的来说,《自动扩展路由优化服务》是一种面向移动节点的全球性服务,它能够有效解决多段多路径问题,并支持多种移动应用,如空地海太空移动、航空网络、智能交通、物联网等领域的需求。
  • Diff: 新的标准文档对自动扩展路由优化(AERO)服务进行了详细描述,它支持在多网络域上的链路聚合和分布式移动管理,适用于航空、智能交通系统等空中陆地水下空间领域的移动应用。 与旧版的不同之处: 1. 更清晰定义了术语,如多路径(multilink)、多网(multinet)、移动节点(mobile node)等,并引入了多网多路径、多路径跨域等概念。 2. 新版增加了关于OMNI接口初始化过程和多路径拓扑结构的详细说明,包括地址配置、邻居发现机制等内容。 3. 引入了用于控制多路径操作的协议消息类型,如Multilink Initiate、Multilink Respond和Multilink Confirm,以简化多路径管理和维护流程。 4. 提供了更全面的多路径优化算法,包括客户转发算法、代理服务器转发算法、端到端和端点之间的路由优化算法等,满足多种通信需求。 5. 对多播通信做了详细介绍,包括源特定多播(SSM)、任何源多播(ASM)和双向PIM(BIDIR-PIM)等多种场景下的优化策略。 6. 增加了关于多路径故障检测的讨论,强调了多路径拓扑的安全性考虑。 7. 描述了多播路由过境和优化技术,包括移动回程路由优化、代理服务器至代理服务器的路由优化以及客户端之间路由优化等。 总的来说,新版文档提供了更深入的技术细节和完整的多路径服务架构,适用于各种空中陆地水下空间领域的移动应用。


2. draft-templin-6man-omni3-29

  • Title: Transmission of IP Packets over Overlay Multilink Network (OMNI) Interfaces
  • Authors: Fred Templin(fltemplin@acm.org)
  • Summary: 本文主要讨论了IPv6网络中的多链路虚拟接口(OMNI)模型。它介绍了OMNI接口的结构和工作原理,包括不同的下层接口、适应层服务以及在不同情况下如何选择下层接口的方法。同时,还讨论了OMNI接口与IPv4/IPv6之间的兼容性,并对未来的使用场景进行了展望。 总结而言,本文详细阐述了OMNI接口的工作机制,为实现IPv6网络中各种通信需求提供了技术支持。
  • Diff: 该文档是关于IPv6下多接口网络(OMNI)的详细设计文档。主要区别在于: 1. 增加了对新的地址类型、协议和选项的支持。 2. 对于扩展的端到端流量,提供了更灵活的重定向机制。 3. 提供了用于安全连接的额外考虑因素。 4. 在控制面定义了完整的多层模型,包括多链路、多网段和多业务流。 总体而言,增加了更多的功能,并进一步完善了现有的多接口网络架构。它为未来的IPv6互联网应用提供了更好的支持。

dprive

1. draft-denis-dprive-dnscrypt-05

  • Title: The DNSCrypt protocol
  • Authors: Frank Denis(fde@00f.net)
  • Summary: 文档定义了DNS加密和认证协议,它通过在DNS查询和响应之间进行加密来提高安全性。协议设计简单、轻量级且扩展性强,可以在现有DNS客户端、服务器或代理上实现。 DNSCrypt的工作流程如下:首先,客户发送一个DNS查询请求给DNSCrypt服务端获取服务器公钥;然后,客户自动生成密钥对,并使用服务器公钥加密未修改的DNS查询数据,填充必要的客户端公钥作为密钥交换的密钥,最后将加密后的数据包传输到服务器。服务器接收并验证查询后,利用客户的公钥解密回应,再次加密回复以满足长度要求,并根据需要添加额外的填充。最终,客户确认回应的完整性,并解密得到原始回应。 总的来说,DNSCrypt旨在保护用户的隐私和安全,通过改进现有的DNS协议,为用户提供更强大的安全性和可靠性。
  • Diff: DNSCrypt是一个加密和认证的DNS协议,用于保护DNS查询和响应的安全性。与传统的DNS协议不同,它使用了多个层的加密机制来保证数据的完整性和隐私。 主要区别在于: 1. 原始DNS协议不支持加密或身份验证,而DNSCrypt提供了这两种功能。 2. DNSCrypt使用多个层的加密算法,包括XChaCha20-Poly1305、Box-XChaChaPoly等,以增强安全性。 3. DNSCrypt在传输过程中可以被代理,使得客户端的IP地址可以隐藏起来。 4. DNSCrypt可以同时处理多组不同的DNS协议版本,支持多个服务器解析同一套域名。 5. DNSCrypt能够抵御DNS反射攻击(Amplification Attack)、分片攻击(Fragmentation Attack)等常见的安全威胁。 总的来说,DNSCrypt是一种新型的DNS加密协议,提供了一种更加安全可靠的解决方案,适用于需要提高数据保护级别的应用场合。

drip

1. draft-ietf-drip-registries-22

  • Title: DRIP Entity Tags (DET) in the Domain Name System (DNS)
  • Authors: Adam Wiethuechter(adam.wiethuechter@axenterprize.com), Jim Reid(jim@rfc1035.com)
  • Summary: 本文主要讨论了在DNS体系结构中如何管理和注册用于无人机系统远程识别(UAS RID)的实体标签(DET)。作者详细介绍了DET的层次结构、资源记录格式等,强调了其作为安全标识符的重要性,并提出了一些安全性方面的考虑。此外,还讨论了与DNS相关的一些其他概念和技术,如DRIP前缀分层、IANA RI分配、以及与DRIP相关的安全实践。最后,提出了几个未来工作方向,包括可能的应用场景和扩展的可能性。 总的来说,本文提供了关于如何使用DNS来管理和注册用于UAS RID的DET的全面指南,为未来的应用奠定了基础。它对了解和设计类似的网络服务提供了一个很好的框架。
  • Diff: 本文档描述了在域名系统(DNS)中发现和管理DRIP实体标签(DET)的方法。通过权威名称服务器(Authoritative Name Servers),与基于DRIP特定的DNS结构和标准DNS方法相结合,公信息注册中心是DET及其相关元数据的公共信息登记处。 相比于旧版的文档,新版本的主要区别在于: 1. 覆盖范围:新版本扩展到2001:30::/28的IPv6前缀和其关联的反向域。而旧版仅限于IPv4地址空间。 2. 模型融合:新版本使用了现有的DNS模型,如注册者-注册商-数据库(Registrar-Registry-Database)模型,从而简化了部署过程。 3. 针对UAS RID的更新:新增了一个新的资源记录类型——广播端点标识(Broadcast Endorsement),用于存储静态的广播认证信息。此外,新增了两个新的资源记录类型:一个用于HHIT元数据,另一个用于UAS广播RID信息。 4. 注册政策:对于注册和更新过程,包括定价、续订、代理合同等细节都做了详细讨论。 总的来说,新版本引入了更多的技术细节,更加注重实用性和可操作性,以适应未来可能的使用场景。

intarea

1. draft-jags-intarea-icmp-ext-underlay-info-01

  • Title: ICMP extension to include underlay information
  • Authors: Jaganbabu Rajamanickam(jrajaman@cisco.com), Darren Dukes(ddukesietf@gmail.com), Madhan Sankaranarayanan(viji.madhan@gmail.com)
  • Summary: 该文档主要讨论了在IP网络中如何利用ICMP扩展消息来携带下层信息,以帮助用户诊断和跟踪下层网络问题。这个扩展消息(UIO)可以包含关于错误源的信息,从而有助于用户了解路由路径。另外,文档还介绍了如何配置此扩展消息,以及如何对它进行安全考虑。最后,给出了一个示例编码格式,展示了如何使用UIO传输IPv6和IPv4地址到目标主机。 总的来说,这篇文档提供了一个详细的解释和指南,以便网络管理员能够正确地处理和使用ICMP下层信息扩展消息。通过这种方式,他们可以在不干扰正常通信的情况下轻松追踪和诊断网络故障。
  • Diff: 该文档是关于在IP网络中添加下层信息扩展到ICMP的消息。它定义了一个新的ICMP扩展消息对象,称为Underlay Information Object(UIO),用于携带下层错误信息,并将其编码为ICMP扩展消息中的一个部分。 与旧版本相比,主要区别在于: 1. 增加了下层信息对象的定义。 2. 对于下层信息对象的格式进行了详细描述,包括其长度、类别编号、子类别编号以及可变长度的数据结构。 3. 描述了下层信息对象的编码过程,说明了如何将下层信息对象封装到ICMP扩展消息中。 4. 提出了安全性考虑和IANA注册要求。 5. 添加了一些示例来展示如何编码下层信息对象。

OPS

bmwg

1. draft-cprjgf-bmwg-powerbench-04

  • Title: Characterization and Benchmarking Methodology for Power in Networking Devices
  • Authors: Carlos Pignataro(cpignata@gmail.com), Romain Jacob(jacobr@ethz.ch), Giuseppe Fioccola(giuseppe.fioccola@huawei.com), Qin Wu(bill.wu@huawei.com)
  • Summary: 本文定义了一套标准方法来测量、报告和比较不同网络设备的电力消耗。这个标准旨在评估不同设备的能耗效率,以及在不同网络配置和条件下的电力消耗差异。 主要目标是实现能源高效性的改进,并通过对比多个测试结果,为未来一代设备提供更准确的能量需求信息。文稿提出了一个简单但相对开放的基准框架,允许参与者根据实际情况进行调整,以获得更多的测试结果,从而提供一个更全面的设备能耗分析图。它强调了在设计优化时对节能技术的有效性进行研究的重要性,如近似计算或路由。同时,文中也讨论了可能的挑战和问题,例如如何在实际环境中控制温度等参数。总的来说,该基准提供了衡量和比较不同网络设备能耗的方法,有助于促进能源效率的提高。
  • Diff: 这篇新的英文标准文档定义了一个用于网络设备电力使用测量、报告和比较的标准机制。该机制旨在准确地衡量不同网络设备的电力消耗,并在不同的网络配置和条件下进行比较。 主要区别在于: 1. 更加关注于电力需求和效率评估而非单一系统性能优化。 2. 在定义测试条件时更注重可控性,如温度控制等。 3. 考虑到电力是多因素影响的结果,强调了对多种因素的综合考虑而不是过分精确的设定值。 相较于旧版文档,新版本更加贴近实际需求,提供了更多的可执行性和对比机会,有助于推动未来设备技术的发展。

netmod

1. draft-ietf-netmod-acl-extensions-14

  • Title: Extensions to the Access Control Lists (ACLs) YANG Model
  • Authors: Oscar Gonzalez de Dios(oscar.gonzalezdedios@telefonica.com), Samier Barguil(samir.barguil@gmail.com), Mohamed Boucadair(mohamed.boucadair@orange.com), Qin Wu(bill.wu@huawei.com)
  • Summary: 本文是关于增强的访问控制列表(ACL)模型的扩展。它讨论了现有模型的局限性,并提出了增强ACL结构,引入了对原始模型进行扩展以提升其功能和可应用性的诸多增补措施。 主要特点包括: - 提供了定义集容器来管理预定义的元素组,这些元素可以在一个ACL条目上匹配。 - 增加了一个新的节点“flags-bitmask”用于更好的处理TCP标志位。 - 支持分片(fragments)过滤。 - 提供了基于数据包负载模式的匹配操作。 - 允许通过代理服务器来映射到配置规则的消息触发过滤器。 - 提供了支持率限制的行动。 - 定义了与网络管理员相关的模块,如ICMP类型、IPv6扩展头等。 - 指定了IA-NA维持的模块,如ICMPv4类型、IPv6扩展头等。 - 引入了新的动作:日志(log-action)、计数器(counter-action)。
  • Diff: 本文是关于网络模型工作组(NetMod)的工作组会议笔记,主要是讨论了增强ACL(Access Control List)结构的问题。与最初定义的ACL模型相比,它引入了一系列的扩展功能,比如使用用户命名的集合来减少规则数量、支持绑定到设备而不是仅绑定到接口等。 与旧版标准文稿的主要区别在于: 1. 引入了增强ACL模块,提供了新的树形结构和定义集,以及IPv6、TCP标识符处理等新的特性。 2. 新增了对ICMP类型和IPv6扩展头的支持。 3. 提供了新的YANG模块注册服务,包括IPv4、IPv6和IPv6扩展头部类型的IA-NA注册服务。 4. 提出了考虑IA-NA维护模块的建议,包括对于ICMPV4、ICMPV6和IPv6扩展头部类型的注册。 5. 定义了一个新的认证类型,以解决管理器无法引用定义集的问题。 总的来说,这个更新的版本提供了一种更通用、更灵活的方式来管理ACL,并增加了更多的协议支持,使得ACL在不同网络元素之间的可重用性得到了提高。这些改进使ACL能够更好地满足现代网络需求。

RTG

bess

1. draft-ietf-bess-evpn-redundant-mcast-source-14

  • Title: Multicast Source Redundancy in EVPN Networks
  • Authors: Jorge Rabadan(jorge.rabadan@nokia.com), Jayant Kotalwar(jayant.kotalwar@alcatel-lucent.com), Senthil Sathappan(senthil.sathappan@alcatel-lucent.com), Zhaohui (Jeffrey) Zhang(zzhang@juniper.net), Wen Lin(wlin@juniper.net)
  • Summary: 在IPv4和IPv6网络中,Ethernet Virtual Private Networks(EVPN)支持Intra-subnet和Inter-subnet IP多播转发。然而,在具有多源或多接收者的情况下,没有提供解决机制以防止两个或多个源发送相同流的IP多播流量。 在此基础上,本文档扩展了[RFC9251]和[RFC9625]中的相关定义来支持EVPN环境中IP多播冗余源解决方案。具体而言,它定义了以下几种解决方案: 1. 热备援解决方案:通过使用热备援PE,将上游PE从单一源转发的IP多播流量向前台PE转发,并确保仅一个流量被转发到感兴趣的附属接收器。 2. 冷备援解决方案:通过使用冷备援PE,上游PE可以处理冗余源发送的IP多播流量而不影响下游PE的正常运行。这种方式适用于没有需要访问单个IP地址或不同来源之间的多源系统的情况。 这两种解决方案都旨在提高EVPN网络的可靠性和效率,同时满足对高可用性和操作灵活性的需求。此外,它们还考虑了IP多播应用的重要性和可靠性,为运营商提供了必要的冗余度。
  • Diff: 本文档针对在EVPN网络中实现多源IP多播流复制和分发的技术需求进行了扩展,并提出了一种新的解决方案。主要内容包括: 1. 增加了对IP多播组(S-G)的描述,将S-G与IP地址进行关联。 2. 对于多源IP多播流,提供了两种不同的冗余机制:温备和热备。 3. 提出了一个基于单个流组(SFG)的方案,当两个或多个源发送相同IP多播流量时,只允许其中一个源向相关的下游PE转发该流。这种方案适用于不同EVPN部署场景,为确保一致性和可预测性提供了指南。 总的来说,本文档增加了对多源IP多播流的支持,丰富了现有的解决方案,并提供了一个通用的框架来支持高效地处理多种来源的多播流。

idr

1. draft-ietf-idr-bgp-car-11

  • Title: BGP Color-Aware Routing (CAR)
  • Authors: Dhananjaya Rao(dhrao@cisco.com), Swadesh Agrawal(swaagraw@cisco.com)
  • Summary: 本文档描述了一个基于BGP的路由解决方案,用于在多域运输网络中建立具有意图意识路径。这种解决方案可以实现不同客户和提供商网络之间的意图感知路径。 这个方案定义了两个新的BGP SAFIs(BGP CAR SAFI和VPN CAR SAFI)来支持IPv4和IPv6,以及一个扩展NLRI模型来支持不同的使用场景。每个类型NLRI都包含关键和TLV类型的非关键字段以高效编码不同前缀信息。 该文档还定义了一个新的本地颜色映射(LCM)扩展社区,用于表示意图相关的颜色值。此外,还定义了另一个BGP色值,用于标识BGP CAR下一跳路由器的意图。 总结来说,本文主要介绍了BGP CAR方案的概念、数据模型、协议处理流程以及未来的发展方向,旨在为实现跨域运输网络中的意图感知路径提供一种有效的方法。
  • Diff: 新的文档对BGP CAR解决方案进行了详细描述和规范,包括以下主要内容: 1. 引言:定义了BGP CAR作为多域网络中的运输网络边缘节点设置色码路径的概念。 2. BGP CAR安全功能:定义了BGP CAR路由原生能力、验证机制以及颜色映射扩展社区使用方式。 3. BGP CAR路径类型:定义了两种BGP CAR路由类型,一种是通过特定颜色标识的色码路径(Type-1),另一种是基于唯一IP地址分配的色码路径(Type-2)。这两种路径都适用于IPv4和IPv6。 4. 色码服务导向:将BGP CAR用于指定意图的服务流转发,例如在核心域运行IS-IS Flex-Algo时,通过色码路径实现服务流仅指向低延迟场景;或是在隧道网中通过SRv6 LOCATOR分发服务到多个客户网络等。 5. 扩展模型:支持不同拓扑结构下多种业务流通过色码路径,如跨域Flex-Algo、SR Policy、IP协议栈等,并允许定义不同的非关键字段来进一步丰富色码信息。 6. 立场和要求:定义了色码路径的自动选择和配置流程,同时强调控制平面不需为所有色码路径安装路径。 7. 可伸缩性分析:讨论了多域网络的色码路径扩展性问题,说明如何利用统一的路由设计简化部署。 8. 安全考虑:涉及了安全性、隐私保护、数据完整性等方面。 总体来说,新的文档更加强调了色码概念的应用,以及如何有效地管理色码路径与传统路径之间的关系,以满足多域运输网络的需求。此外,还提供了一些关于如何利用色码路径进行灵活配置和服务导向的具体指导。

pim

1. draft-ietf-pim-multicast-lessons-learned-05

  • Title: Multicast Lessons Learned from Decades of Deployment Experience
  • Authors: Dino Farinacci(farinacci@gmail.com), Lenny Giuliano(lenny@juniper.net), Mike McBride(mmcbride7@gmail.com), Nils Warnke(nils.warnke@telekom.de)
  • Summary: 这篇文稿主要讲述了IP多播从1980年代至今的发展历程。作者讨论了多种多播路由协议,如DVMRP、PIM-DM、PIM-SM、PIM-BIDIR等在部署和使用过程中的问题和挑战。文稿总结到:PIM-SM作为最常用的多播路由协议,在支持大规模应用时容易出现流量过载问题;而共享树与源树的概念引入后,可以更有效地利用网络资源,并减少对路由器的操作;但共享树的维护带来了数据驱动状态创建及RPF等问题,这些问题需要解决才能提高系统效率。 最后,文稿指出ASM(自动共享树)方案虽然能提供一些解决方案,但仍然存在很多局限性,例如无法满足所有应用的需求,且与其他技术结合使用的成本较高。相比之下,源发现应由应用程序层来处理,以避免过多的协议复杂性和成本。文稿还探讨了如何通过改进应用程序设计和编程来实现这些目标,以及如何通过标准化和创新来推动多播技术的发展。
  • Diff: 这个文档是关于多播路由协议设计和部署历史的回顾性分析。它详细描述了自20世纪80年代以来多播协议的发展历程,包括距离向量多播(DVMRP)、OSPF、共享树源点发现(SDR)等。 相比于旧版的英文标准文稿,本文的主要区别在于: 1. 介绍新的多播技术:本文引入了多个新的多播协议和技术,如DVMRP、PIM-SM、PIM-SSM、MPLS MVPNs、SDR等,并对它们进行了详细的讨论和分析。 2. 研究历史教训:本文深入探讨了多播发展过程中的各种挑战和困难,例如数据驱动状态创建和RPF问题、源发现的复杂性和成本、多播服务模型与网络之间的关系等等。 3. 提供实用建议:本文提供了许多实用性的建议和洞见,如如何避免或解决特定的问题,以及如何在实践中实施这些建议。 4. 解释当前和未来状态:通过回顾多播发展的历史,本文解释了目前和未来的多播状况,为多播研究者和开发者提供了一种视角来理解多播协议的设计和部署。

SEC

kitten

1. draft-schmaus-kitten-sasl-ht-10

  • Title: The Hashed Token SASL Mechanism
  • Authors: Florian Schmaus(flo@geekplace.eu), Christoph Egger(christoph.egger@chalmers.se)
  • Summary: 本文提出了一种新的认证技术,称为Hashed Token(HT)简单认证和安全层(SASL)。它通过证明拥有者身份来实现一种基于拥有的认证协议,并允许快速、一次往返的身份重认证。HT机制使用短寿命的独家无状态令牌,如SASL-HT令牌,支持多个参与者间进行一次往返的身份验证。 该文档概述了HT机制及其子机制,包括发起者消息、响应者消息、成功响应和失败响应等;并描述了如何在启动过程中验证发起者的身份,以及如何处理未正确响应的情况。此外,还讨论了与SASL机制的要求相符合的兼容性问题,以及应用协议扩展的需求。 安全性考虑方面,HT机制要求使用的通道必须加密以保护数据传输,且应定期采用强SASL机制进行身份验证。同时,HT机制不提供任何安全层,仅支持通道绑定。由于HT机制可以用于保护敏感信息,因此应确保其只在受信任的信道上运行。
  • Diff: 是关于一个证明拥有机制的一种认证协议,它设计用于快速重认证之前的会话,并且只使用短时效的、独有密钥的令牌。这个机制在客户端请求从服务端获取令牌后,发送给服务端的一个消息进行验证;然后服务器根据这个令牌进行身份验证。此机制支持链路绑定,并且可以使用扩展的消息层。 和旧版不同的是: 1. 使用了新的安全措施,如加密和完整性保护。 2. 支持使用SSL/TLS来传输信息,而不是传统的HTTP/HTTPS。 3. 通过扩展的应用程序协议定义了一个新的消息交换模式。 总体来说,它的目标是在需要快速重新认证之前已存在的会话的同时,提供对会话的身份验证,以及更安全地管理用户凭据。

lamps

1. draft-ietf-lamps-rfc4210bis-18

  • Title: Internet X.509 Public Key Infrastructure -- Certificate Management Protocol (CMP)
  • Authors: Hendrik Brockhaus(hendrik.brockhaus@siemens.com), David von Oheimb(david.von.oheimb@siemens.com), Mike Ounsworth(mike.ounsworth@entrust.com), John Gray(john.gray@entrust.com)
  • Summary: 本文讨论了互联网公共密钥基础设施(Public Key Infrastructure, PKI)证书管理协议(Certificate Management Protocol, CMP)的定义和功能。它描述了如何通过通信来创建和管理证书的过程,以及如何在不同环境中使用不同的通信机制。 文稿指出,PKI需要能够与各种实体进行交互,并且支持定期更新任何密钥对而不影响其他密钥对。此外,应确保安全地保护通信,避免过度的保密性可能导致监管问题。同时,应允许使用不同的行业标准加密算法,以满足不同CA(认证机构)的要求。最后,PKI管理协议必须支持发布证书、生产证书撤销列表(Certificate Revocation List,CRL)、跨认证请求响应等操作。 总的来说,CMP旨在为PKI提供一个通用的协议框架,以便各实体之间能够有效交流和协作。它的目标是使PKI更加可靠和灵活,并有助于实现更安全的通信。
  • Diff: 该文档是关于Internet X.509 Public Key Infrastructure (PKI) Certificate Management Protocol (CMP) 的最新更新版。主要内容包括: 1. 新增了支持管理包含Key Encapsulation Mechanism(KEM)公钥和使用EnvelopedData代替EncryptedValue的功能。 2. 增加了根CA初始化、根CA证书更新等新功能。 3. 对其他相关消息结构进行了调整,比如删除了一些不必要的消息类型。 4. 改进了协议消息确认机制,减少了信息交换次数。 5. 添加了新的扩展密钥使用,用于识别特殊类型的PKI服务器授权。 6. 支持了CMS EnvelopedData的多种证明持有方法。 7. 限制了RootCaKeyUpdateContent在RFC9480中的使用,并移除了一些不必要的消息验证字段。 8. 修改了消息验证过程,使得验证过程更简单高效。 总的来说,这个更新版增加了更多的功能,以提高协议的安全性与可扩展性,同时简化了协议交互流程。


2. draft-ietf-lamps-csr-attestation-15

  • Title: Use of Remote Attestation with Certification Signing Requests
  • Authors: Mike Ounsworth(mike.ounsworth@entrust.com), Hannes Tschofenig(Hannes.Tschofenig@gmx.net), Henk Birkholz(henk.birkholz@ietf.contact), Monty Wiseman(monty.wiseman@beyondidentity.com), Ned Smith(ned.smith@intel.com)
  • Summary: 本文讨论了如何使用远程认证技术在证书申请中传输证据和验证结果。文稿首先介绍了远程认证技术的基础概念,包括证明模型、证据和验证结果的概念以及它们之间的关系。然后,它定义了用于传输证据和验证结果的两个不同通信模式:背景检查模型和护照模型。背景检查模型涉及直接与验证者交互以评估收到的证据,而护照模型则要求验证者通过验证者服务获得验证结果并将其传递给依赖实体。最后,文稿指出了这两种模型各自的优缺点,并讨论了它们对认证体系的影响。 总结: 本文讨论了如何使用远程认证技术在证书申请中传输证据和验证结果。它概述了远程认证技术的基础概念,包括证明模型、证据和验证结果的概念以及它们之间的关系。它定义了两种不同的通信模式:背景检查模型和护照模型。背景检查模型涉及直接与验证者交互以评估收到的证据,而护照模型则要求验证者通过验证者服务获得验证结果并将其传递给依赖实体。最后,它指出了这两种模型各自的优缺点,并讨论了它们对认证体系的影响。
  • Diff: 本文档是关于使用远程验证来认证证书请求消息(CSR)的新的标准化草案。主要内容包括: 1. 定义了两个通信模式:背景检查模型和护照模型。 2. 描述了如何通过CSR将证据和验证结果传递给认证机构(CA)。提供了两种可能的数据流示例。 3. 规定了证据属性和扩展字段,用于在CSR中包含证据、验证结果等信息。这些属性可以用于评估私钥的安全性,并帮助认证机构评估是否满足要求的证书类型。 4. 强调了不同安全性和隐私方面的考虑,例如证据需要保护免受重放攻击等。 5. 提供了一个ASN.1模块示例,展示了如何定义特定类型的证据声明对象。 主要区别在于: 1. 新版文档更注重于如何通过CSR携带证据和验证结果,以及如何利用已有的CSR格式支持这一需求。 2. 新版文档强调了证据传输过程中的安全性问题,如防止证据被重放和暴露持久标识等。 3. 在数据结构方面,新版文档简化了证据和验证结果的表示方式,以减少不必要的复杂度。

openpgp

1. draft-ietf-openpgp-persistent-symmetric-keys-01

  • Title: Persistent Symmetric Keys in OpenPGP
  • Authors: Daniel Huigens(daniel.huigens@proton.ch)
  • Summary: 本文主要介绍了使用持久性对称密钥在OpenPGP标准中的实现。文稿提出了一种新的算法,用于存储和加密持久性对称密钥(如AES或DES)。此外,还定义了两种新类型的密钥类型,分别是AES-Digest-Hash-Metric(AEAD)和哈希摘要(HMAC),分别用于存储和验证消息的真实性。这些算法可以支持持久性对称加密、认证以及数字签名,为数据安全提供了新的解决方案。 此外,还讨论了实施过程中可能遇到的安全性和兼容性的挑战,并提出了相应的解决措施。最后,给出了几个测试案例,帮助开发者进行实际应用。 总的来说,本文提供了一个关于如何使用持久性对称密钥来增强OpenPGP安全性及性能的新视角。它有助于提高系统整体的安全性和可靠性,适用于各种需要持久性数据加密的应用场景。
  • Diff: 本文是关于OpenPGP标准的新版文档,引入了新的持久性加密密钥算法来支持在OpenPGP中存储和使用持久性加密密钥。这些密钥可以用于长期存储和归档消息,并且可以提供对量子计算机攻击的保护。相比旧版本的文档,该新版引入了以下主要变化: 1. 增加了持久性加密密钥算法:提供了两种新的算法,扩展了现有算法表。 2. 更新了公钥算法和包描述:更新了公共密钥算法注册表为“持久性密钥算法”,并添加了表中的新算法。 3. 使用AES-GCM进行持久性加密:建议使用AES-GCM模式对持久性加密密钥进行加密以确保安全。 4. 确保持久性加密密钥与指纹绑定:实施强制要求必须使用AES-GCM模式对持久性加密密钥进行加密,以确保其安全地绑定到指纹。 总的来说,本版文档是对原有标准的补充和完善,增加了更多针对持久性加密密钥的支持,有助于提高OpenPGP的安全性和实用性。

WIT

scone

1. draft-druta-scone-video-session-data-rate-00

  • Title: Video Session Data Rate for SCONE protocol
  • Authors: Dan Druta(dd5826@att.com), Emir Halepovic(emir@research.att.com), Theo Karagioules(theo@research.att.com)
  • Summary: 本文主要讨论了视频流数据速率(VSDR)这一概念,它用于描述网络设备对视频流流量的限制建议。VSDR是通过计算视频流的总流量和持续时间来得出的,以Kbit/s或Mbit/s为单位。这种标准的方法可以提供视频流的真实数据速率,并且易于在CSP(内容服务提供商)和CAP(内容和应用程序提供商)之间比较和测量。此外,它还提供了关于客户体验和网络支持方面的有用信息,因为VSDR值反映了视频流的实际数据传输率。 总结来说,本文旨在定义一个标准化的VSDR公式,以便于CSP和CAP之间进行有效的沟通,同时确保视频服务在遵守网络政策的同时也能有效利用可用带宽。

Unknown

Unknown

1. draft-hoffman-duj-00

  • Title: DNS Update with JSON
  • Authors: Paul E. Hoffman(paul.hoffman@icann.org)
  • Summary: 本文提出了DNS Update with JSON(简称DUJ)的概念,这是一种新的文本格式,用于提供给用户一个可以复制粘贴到DNS运营商处进行精确更新的字符串。这种形式的目标是提高当前常见的服务告诉用户修改他们的DNS区域以证明其拥有这些区域或添加其他功能的服务场景的安全性和可靠性。 DUJ的设计主要考虑了以下几点: 1. 仅针对使用案例中的特定情况:例如,当有人建议你为你的域添加一个SPF记录时,他们可能说“添加一条TXT记录,值为v=spf1 a:mail.yourname.example ip4:192.0.2.49”来说明如何在用户端处理这类指令。 2. 不适合自动化的更新协议:例如,DomainConnect定义了一个自动化流程包含用户确认过程,而DUJ是更有限且不那么雄心勃勃的协议,目的是使部署更容易和可靠。 3. 只适用于终端用户:如果设计者希望将DUJ应用于自动化更新协议中,不应这样做。DUJ专门是为了允许用户通过复制粘贴的方式完成更新操作。 4. 非扩展性:DUJ是一种非可扩展的形式,一旦确定后就不能改变。 本文还讨论了DUJ与目前流行的自动化的DNS更新协议的区别,并给出了使用DUJ的优点,如增加了安全性、可靠性以及减少错误的可能性等。最后,文稿总结了DUJ的优势并提供了详细的文档结构。


2. draft-halen-fed-tls-auth-16

  • Title: Federated TLS Authentication
  • Authors: Jakob Schlyter(jakob@kirei.se), Stefan Halén(stefan.halen@internetstiftelsen.se)
  • Summary: 是关于如何建立一个信任框架,允许不同机构在教育领域进行安全通信。该框架使用联邦身份验证(FedTLS)协议来解决多边SAML联邦中的即时注册问题,并确保在学生首次登录时就可预先配置用户信息。 文稿提出了FedTLS框架的设计理念和关键特性:包括中央化的信任模型、链式信任结构、元数据存储和认证机制等。它还详细介绍了如何维护可信元数据,以及成员如何通过公钥指针(PIN)来验证收到的证书。此外,文稿还讨论了如何处理不成功的验证情况,并规定了证书过期后的更新流程。 总的来说,本文为构建跨机构的身份验证系统提供了一种有效的方案,有助于促进教育领域内的无缝和安全通信。
  • Diff: (联邦级TLS认证)是关于如何通过使用加密连接和公钥来确保机器到机器通信在多边SAML联盟中的安全性的国际标准化文档。该文档详细描述了联邦级TLS协议,以支持跨不同信任域内的多边安全通信。 与旧版相比,新版文档的主要区别在于: 1. 更清晰地定义了术语,包括“Federation”、“Member”、“Operator”、“Metadata Repository”等,并解释了它们之间的关系。 2. 增加了对联邦成员责任的描述,强调他们必须遵守联邦的安全政策和程序,以及合作验证措施的重要性。 3. 强调了联邦信任模型的重要性,即由中心化的信任锚作为可信第三方,用于建立跨域的信任。 4. 提出了公共密钥标识(Public Key Pinning)、预加载、证书验证以及链上的信任机制等关键概念。 5. 阐述了联邦成员提交成员元数据并进行验证的过程,以及如何实现这一过程。 6. 描述了联邦元数据存储于中央库的概念,为跨域协作提供了一种集中式方法。 7. 提出了联邦信任模型设计原则,旨在适应不同的信任环境,同时保持联邦协议的灵活性。 8. 讨论了如何保护联邦元数据签名的有效性,以及如何处理时间同步问题。