今日共有25篇文稿更新,涉及5个area里的17个WG

ART

dmarc

  1. I-D: draft-ietf-dmarc-aggregate-reporting-20
  • Title: Domain-based Message Authentication, Reporting, and Conformance (DMARC) Aggregate Reporting
  • Authors: Alex Brotman(alex_brotman@comcast.com)
  • Summary: 这篇文档是关于DMARC(域名基于消息认证、报告和一致性)(draft-ietf-dmarc-aggregate-reporting-20)的一个标准文档。它主要介绍了以下内容: 1. DMARC反馈:提供了接收者对域主发布的DMARC政策的反馈,帮助他们了解邮件的发送情况,并据此调整他们的政策。 2. DMARC聚合报告:提供了定期汇总的信息,用于域主查看邮件流的情况,以便于他们在实施和维护DMARC时做出决策。 3. DMARC协议配置:提供了一种在一天或更长时间内进行监控的方法,以获取与特定域相关的数据。 4. DMARC报文格式:定义了如何存储这些信息,以及如何使用不同的编码方式(如gzip)来压缩它们。 5. DMARC扩展报告:允许在将来添加其他注册的URS,但必须符合XML结构并被正确地格式化。 6.隐私考虑:讨论了暴露给DMARC聚合报告的问题,比如可能的数据泄露,比如DMARC策略执行失败等。 7.安全考虑:强调了如何防止资源消耗攻击和XML炸弹等。 总的来说,这篇文稿详细描述了如何通过DMARC聚合报告提高DMARC的可用性和可靠性,同时也提醒用户注意DMARC报告中的隐私问题和潜在的安全风险。

INT

6lo

  1. I-D: draft-choi-6lo-owc-security-00
  • Title: Security considerations for IPv6 Packets over Short-Range Optical Wireless Communications
  • Authors: Munhwan Choi(mhchoi@etri.re.kr), Younghwan Choi(yhc@etri.re.kr)
  • Summary: 本文主要介绍了在短距离光学无线通信(OWC)系统上使用IPv6协议时的安全考虑。文稿首先讨论了由于光学信号可能受到环境因素的影响,所以需要采用定向传输、加密数据和限制发射功率来防止干扰的情况。然后详细阐述了数据完整性、拒绝服务攻击、认证与访问控制、密钥管理以及能源效率和安全之间的权衡等关键安全问题。 接下来,IANA考虑了一个没有提及的事项,即无此文档中的安全性考量的讨论。最后,本文引用了一些参考文献,包括RFC2119和RFC8174,以支持本文所述的主题。

6man

  1. I-D: draft-templin-6man-dhcpv6nd-01
  • Title: DHCPv6 Option for IPv6 ND (DHCPv6ND)
  • Authors: Fred Templin(fltemplin@acm.org)
  • Summary: 这篇文稿主要讨论了在一些IPV6网络中,客户可能有合理期望路由器能够支持DHCPv6地址和前缀代发服务而不需要先查看M/O位的消息。这种情况下,如果客户已经意识到某些路由器可能会提供DHCPv6服务,那么可以仅通过发送一个包含DHCPv6ND选项的邻居请求(NS)消息来请求代理服务,从而减少信息交换量,并降低攻击面。 该文稿定义了一个名为DHCPv6ND的IPv6ND选项,其格式如下: +---+---------------------------+---------------+------------+ | | Type | Length | msg-type | +---+---------------------------+---------------+------------+ | | Transaction-ID (1-2) | | +---+---------------------------+---------------+------------+ | | ... | +---+---------------------------+---------------+------------+ 这个选项用于承载DHCPv6服务参数,如地址或前缀分配、快速提交等。当一个客户发出一个包含DHCPv6ND选项的邻居请求时,路由器可以在接收到请求后将对应的DHCPv6响应封装到一个路由通告(RA)消息中,然后将此RA发送给客户端。 此外,根据使用场景的不同,客户也可以选择在收到DHCPv6回应之后立即发起新的邻居请求(NS)消息或者使用NUD过程准备新的邻居请求(NS)。当路由器收到NS消息时,可以根据DHCPv6ND选项返回相应的响应。 总之,本文详细介绍了如何在一个单一的信息交换过程中同时实现DHCPv6服务和状态管理操作,从而降低了信息交换量并减少了攻击面。这一功能对于提高网络安全性和效率具有重要意义。

intarea

  1. I-D: draft-bonica-intarea-icmp-exten-hdr-len-00
  • Title: ICMP Extension Header Length Field
  • Authors: Ron Bonica(rbonica@juniper.net), hexiaoming(hexm4@chinatelecom.cn), Xiao Min(xiao.min2@zte.com.cn), Tal Mizrahi(tal.mizrahi.phd@gmail.com)
  • Summary: 本文主要讨论了ICMP扩展头部长度字段(EHLEN)的问题。ICMP协议在处理多部分消息时,需要扩展头部来容纳更多的数据。然而,ICMP协议本身并不提供长度信息,因此,如果接收方无法从其他数据中推断出扩展头部的长度,那么这个扩展头部就必须是整个ICMP消息中的最后一个元素。 为了解决这个问题,本文定义了一个新的长度字段,并提出了一种方法,即当长度信息被提供时,接收者可以通过该信息来解析ICMP消息。具体来说,接收者可以使用长度信息确定扩展头部之后的消息开始位置。 此外,还提到了IANA对ICMP扩展头部长度字段的考虑和可能的接口安全性问题。总的来说,本文为实现ICMP扩展头部的正常工作提供了必要的规范和指导。

OPS

green

  1. I-D: draft-bclp-green-terminology-00
  • Title: Terminology for Energy Efficiency Network Management
  • Authors: Peter Chunchi Liu(liuchunchi@huawei.com), Mohamed Boucadair(mohamed.boucadair@orange.com), Qin Wu(bill.wu@huawei.com), Luis M. Contreras(luismiguel.contrerasmurillo@telefonica.com), Marisol Palmero(mpalmero@cisco.com)
  • Summary: 本文主要介绍了能源效率网络管理领域的术语定义。它包括了电力、能源管理、能源监控和能源控制等概念,并对这些概念进行了详细的解释,比如什么是能源效率、什么是能源监测、什么是能源控制等。此外,还列举了一些具体的指标,如DSLAM设备的能耗、无线接入技术的能量效率、路由器和交换机的能量效率等。 文稿指出,能源效率是提高网络性能的重要手段,有助于降低运营成本并实现环保目标。因此,需要在设计阶段就考虑能源效率问题,通过使用高效设备和技术来优化网络资源分配,以达到节能减排的效果。

netconf

  1. I-D: draft-ietf-netconf-privcand-05
  • Title: NETCONF Private Candidates
  • Authors: James Cumming(james@cumming.org), Robert Wills(rowills@cisco.com)
  • Summary: 本文主要介绍了在网络配置协议(NETCONF)和RESTCONF协议上使用私有候选人的机制。通过这种方式,多个客户端可以同时修改共享候选者的配置而不互相影响,从而提高操作效率并降低阻塞其他用户的可能性。此外,本文还讨论了如何检测和解决冲突,并对不同的系统处理方式进行了说明。 总结起来,本文为NETCONF和RESTCONF提供了新的支持,以允许多个用户同时进行配置更改,并确保这些更改不会互相覆盖或抵消,从而提高了系统的稳定性和安全性。

netmod

  1. I-D: draft-ietf-netmod-schedule-yang-03
  • Title: A Common YANG Data Model for Scheduling
  • Authors: Qiufang Ma(maqiufang1@huawei.com), Qin Wu(bill.wu@huawei.com), Mohamed Boucadair(mohamed.boucadair@orange.com), Daniel King(d.king@lancaster.ac.uk)
  • Summary: 本文主要定义了一个适用于时间调度的各种组群的数据模型,包括基本和高级格式的时钟规则。这些组群可以应用于事件、政策、服务或资源的日期和时间安排。它包含一个模块化架构来允许不同选项,并且定义了频率类型、周期性属性等基本元素。 本文还介绍了如何使用这些组群以及与管理对象在RFC3231文档中的映射关系。最后给出了两个示例,说明了如何使用这些组群来实现某些场景下的应用。

nmop

  1. I-D: draft-ietf-nmop-network-incident-yang-02
  • Title: A YANG Data Model for Network Incident Management
  • Authors: Tong Hu(hutong@cmhi.chinamobile.com), Luis M. Contreras(luismiguel.contrerasmurillo@telefonica.com), Qin Wu(bill.wu@huawei.com), Nigel Davis(ndavis@ciena.com), Chong Feng(fengchonglly@gmail.com)
  • Summary: 本文主要阐述了网络故障管理(NMF)领域的一个新需求,即对网络服务中断、服务质量下降或健康状况不佳的情况进行统一的生命周期管理和处理。通过数据关联分析和服务影响分析,可以将不同的数据源汇总为一些网络事件,并对其进行分类和分析。对于特定的服务或设备故障,可能会引发多个网络事件。 本文还提出了一种新的架构来支持这种事件管理体系:一个包含网络事件管理模块的框架,该模块负责事件识别、报告、诊断和解决等关键功能。这个框架还可以与其他系统如监控平台或控制器集成,以提供更有效的自动化解决方案。 最后,本文总结了这个框架的三大核心功能:事件识别、事件诊断和事件解决。它强调了AI/ML在大型数据集上的应用潜力,以及如何利用这些技术提高事件检测效率和准确性。此外,本文也提到了与其他标准框架如RFC8969的关系,以及如何与分布式追踪机制相结合,实现多层网络故障的精确定位和快速故障排除。 总的来说,本文提供了一个新的视角来改进传统故障管理流程,通过引入网络事件管理和AI技术,提高了对网络服务中断的响应速度和准确性。

RTG

bfd

  1. I-D: draft-ietf-bfd-unaffiliated-echo-12
  • Title: Unaffiliated Bidirectional Forwarding Detection (BFD) Echo
  • Authors: Weiqiang Cheng(chengweiqiang@chinamobile.com), Ruixue Wang(wangruixue@chinamobile.com), Xiao Min(xiao.min2@zte.com.cn), Reshad Rahman(reshad@yahoo.com), Raj Chetan Boddireddy(rchetan@juniper.net)
  • Summary: 本文主要讨论了无归属BFD回声协议(BFD Echo)的概念。文中详细解释了无归属BFD回声的作用,包括它如何减少对本地系统的依赖,并且可以跨越单个网络设备进行通信。同时,也讨论了无归属BFD回声在实际部署中的操作和安全性考虑。 总的来说,本文强调了无归属BFD回声对于提高网络故障检测效率以及保障服务连续性的重要性。同时,通过明确指出其不支持全功能BFD协议这一特性,为开发者提供了更灵活的选择空间。此外,还提出了相关建议,以确保该技术的安全性和实用性。

bier

  1. I-D: draft-chen-bier-idr-bier-te-bgp-03
  • Title: BGP extensions for BIER-TE
  • Authors: Ran Chen(chen.ran@zte.com.cn), BenChong Xu(xu.benchong@zte.com.cn), Zheng Zhang(zhang.zheng@zte.com.cn)
  • Summary: 本文主要讨论了BGP协议中的一个新的扩展,即BGP Path属性。这个属性用于在BGP网络中传播BIER-TE(树工程比特索引明确复制)信息。文中详细描述了这种新属性的结构、类型和用途,并给出了具体的例子来说明其工作原理。 该文档还提出了对IANA进行的一些变更请求,包括分配新的代码点到BGP路径属性类型和BGP路径属性类型子TLV类型。此外,它还提出了一些安全考虑,强调了现有的安全性规范并不需要额外的安全措施。 最后,作者总结了整个文档的主题,并指出了未来的研究方向和可能的应用场景。

detnet

  1. I-D: draft-tan-detnet-cap-discovery-02
  • Title: Echo Request/Reply for DetNet Capability Discovery
  • Authors: Li Zhang(zhangli344@huawei.com), Hongyi Huang(hongyi.huang@huawei.com), Tianran Zhou(zhoutianran@huawei.com), wei gao(gaowei@caict.ac.cn)
  • Summary: 本文主要讨论了在IP、MPLS或其他确定性网络数据层环境中使用Echo请求/回复机制,以发现DetNet服务子层节点的能力。该扩展允许ping发起者通过逐个发送Echo请求消息来探索DetNet服务子层中的每个服务节点能力,包括收集服务子层特定信息(如配置/状态)以及检测PREOF功能的位置。 主要提出了几个关键概念和步骤: - Echo请求/回复机制用于在DetNet数据层中探索服务子层节点的能力。 - 使用不同类型的DetNet数据层头格式表示不同的类型的信息。 - 提出了一个抽象的头部结构,根据DetNet数据层的不同类型进行调整。 - 描述了DetNet能力对象的具体格式,以及如何根据其类型填充相应的数据。 - 针对MPLS数据层进行了详细说明,包括Node ID、OP等字段;对于IPv4数据层,则涉及IP地址、Prefix Length等字段;而对于IPv6数据层,涉及到IPv6地址、Prefix Length等字段。 - 对于服务保护功能对象,定义了flags字段,指定了序列号长度、协议、DSCP等。 - 对于Replication、Elimination和Ordering功能对象,未给出具体格式和用途。 - 在IPv4和IPv6流标识符对象中,分别包含了Source Address、Destination Address、Source Port、Destination Port、Protocol、DSCP和IPv4流标识符字段。 - 提出了多个流标识符对象格式,展示了各个字段的作用和适用场景。 - 最后,介绍了关于安全性考虑,并且提到了IANA和RFC文档引用。
  1. I-D: draft-huang-detnet-rdi-02
  • Title: BFD Extension for DetNet Remote Defect Indication (RDI)
  • Authors: Hongyi Huang(hongyi.huang@huawei.com), Li Zhang(zhangli344@huawei.com), Tianran Zhou(zhoutianran@huawei.com), Jing Gao(gaojing1@caict.ac.cn)
  • Summary: 本文主要讨论了如何在DetNet网络中实现远程缺陷指示(Remote Defect Indication,简称RDI)。文稿首先介绍了RDI的需求语言和术语。然后详细描述了RDI对于DetNet的重要性,包括通过BFD协议来实现远程缺陷通知的方法。文中还指出了实现RDI的具体步骤,包括定义特定的RDI指标、编码这些指标以用于BFD控制包,并对这些指标进行相应的处理。最后,提出了IANA为BFD诊断代码添加新值的请求,以便更好地支持DetNet的RDI需求。 总的来说,本文提供了一种通用方法来实现基于BFD协议的远程缺陷通知,在保证低延迟的同时,能够准确地检测和报告DetNet网络中的缺陷情况。这对于确保网络服务质量至关重要。

lsvr

  1. I-D: draft-ietf-lsvr-bgp-spf-38
  • Title: BGP Link-State Shortest Path First (SPF) Routing
  • Authors: Keyur Patel(keyur@arrcus.com), Acee Lindem(acee.ietf@gmail.com), Shawn Zandi(szandi@linkedin.com), Wim Henderickx(wim.henderickx@gmail.com)
  • Summary: 本文是关于在大型数据中心(DCDCs)中使用简化三层路由(L3R)的一种解决方案。该方案将BGP和IGP(IgP)结合起来,为DCDC提供单一的路由协议,同时支持快速收敛和Loop-Free Alternative (LFA)计算。 本文讨论了BGP与BGP Link-State(基础BGP协议)的关系,以及两种协议之间的关系。然后,它定义了BGP SPF协议的基础和扩展部分,并对BGP SPF算法进行了修改。 BGP SPF的决定过程被简化,以避免BGP的周期性更新链接状态信息。新的决策过程用于选择后续广告的路由。此外,Dijkstra算法(Dijkstra算法)替代了传统的BGP距离矢量路由。 最后,本文讨论了错误处理问题,包括如何处理BGP-LS-SPF标签、路径属性和属性等。

mpls

  1. I-D: draft-ietf-mpls-rfc6374-sr-13
  • Title: Performance Measurement for Segment Routing Networks with MPLS Data Plane
  • Authors: Rakesh Gandhi(rgandhi.ietf@gmail.com), Clarence Filsfils(cfilsfil@cisco.com), Daniel Voyer(daniel.voyer@bell.ca), Stefano Salsano(stefano.salsano@uniroma2.it), Mach Chen(mach.chen@outlook.com)
  • Summary: 《Segment Routing Network 中 MPLS 数据平面的性能测量》这一标准文档详细描述了在使用 MPLS 数据平面的 Segment Routing 网络中应用 MPLS 损失和延迟测量技术。它定义了使用 RFC6374、RFC7876 和 RFC9341 定义的方法来实现端到端 SR-MPLS 路径上的准确的损失和延迟测量。此外,它还扩展了相关测量的协议机制,包括在 SR-MPLS 环境中的延时和丢失测量。 文档还定义了返回路径(Return Path)和块数(Block Number)TLV 扩展,用于计算不同路径上分段路由列表(SL)之间的延长的 TE 运维指标,如流量工程(Traffic Engineering)指标。这些指标可以被网络运营商有效地衡量并维持其 SR 基于 MPLS 的网络服务级别协定(SLAs)。此外,文档还讨论了管理性和安全性方面的考虑。

pce

  1. I-D: draft-fizgeer-pce-pcep-bfd-parameters-03
  • Title: PCEP Extensions to support BFD parameters
  • Authors: Orly Bachar(orly.bachar@rbbn.com), Marina Fizgeer(marina.fizgeer@rbbn.com)
  • Summary: 本文提出了在PCEP协议中扩展以支持Bandwidth-Over-Label-Switching (BLS)防护参数的功能。该功能允许在SR网络中使用S-BFD协议来检测和修复不同路径上的故障,同时也支持SR网络中的状态机控制器(PCE)进行集中控制。 本文定义了两种类型的TLV(标签交换防护能力TLV、标签交换防护TLV),并提出了一种新的S-BFD参数配置方式,允许通过PCEP协议实现。当两个PCE(Path Computation Element)之间协商S-BFD参数时,可以共享这些信息,从而改善网络的健壮性和效率。
  1. I-D: draft-ietf-pce-bier-te-01
  • Title: PCEP Extensions for Tree Engineering for Bit Index Explicit Replication (BIER-TE)
  • Authors: Ran Chen(chen.ran@zte.com.cn), Zheng Zhang(zhang.zheng@zte.com.cn), Huaimo Chen(huaimo.chen@futurewei.com), Senthil Dhanaraj(senthil.dhanaraj@gmail.com), Fengwei Qin(qinfengwei@chinamobile.com), Aijun Wang(wangaj3@chinatelecom.cn)
  • Summary: 本文讨论了如何在点到多点标签交换路径(LSP)上使用树工程比特位索引显式复制(BIER-TE)技术来构建路径。它定义了一个新的PCEP协议扩展,用于支持这种工作方式,并详细描述了如何实现这一点。此外,还定义了一些对象和TLV类型,以支持计算和推荐网络路径。总的来说,该文稿提供了关于如何将BIER-TE技术应用于点到多点LSP的见解和方法。

SEC

ppm

  1. I-D: draft-ietf-ppm-dap-12
  • Title: Distributed Aggregation Protocol for Privacy Preserving Measurement
  • Authors: Tim Geoghegan(timgeog+ietf@gmail.com), Christopher Patton(chrispatton+ietf@gmail.com), Brandon Pitman(bran@bran.land), Eric Rescorla(ekr@rtfm.com), Christopher A. Wood(caw@heapingbits.net)
  • Summary: 本文为分布式聚合协议(Distributed Aggregation Protocol, DAP)的草案。它定义了一个多客户端分发的协议,用于隐私保护测量(Privacy Preserving Measurement, PPM)。 该协议由两个分发服务器和多个客户端组成。每个客户端向协议发送一个测量报告,并将报告发送给其中一个分发服务器。分发服务器将收到的报告打包成一个批次,并将其发送到另一个分发服务器。这两个分发服务器一起计算批次的总结果,而不会泄露任何单个客户端的数据。 在接收报告时,客户端必须使用随机数生成器确保其报告的随机性。此外,客户端必须验证其报告是否有效,即报告中的值是否在其预期范围内。 在处理报告时,客户端首先使用VDAF算法对报告进行分组,然后将每份报告封装在密钥化结构中。这样做的目的是为了防止数据泄露和避免恶意攻击者通过重放攻击获取更多关于原始报告的信息。 总结来说,DAP是一个用于保护个人敏感数据的多客户端分发协议,可以有效地收集并汇总用户的匿名统计信息。

rats

  1. I-D: draft-ietf-rats-eat-measured-component-00
  • Title: EAT Measured Component
  • Authors: Simon Frost(simon.frost@arm.com), Thomas Fossati(thomas.fossati@linaro.org), Hannes Tschofenig(Hannes.Tschofenig@gmx.net)
  • Summary: 本文主要讨论了“测量组件”这一概念,它是一种可以被测验的对象,其状态可以通过采样和解析来表示。该文档定义了一种“测量组件”的格式,它可以与EAT测量声明一起使用。 测量组件是一种可以被测验的对象,其状态可以通过采样和解析来表示。本文定义了一种测量组件的格式,并探讨了如何使用这种格式与EAT测量声明一起使用。此外,还讨论了一些安全和隐私考虑因素以及可能的注册和建议等。
  1. I-D: draft-ietf-rats-epoch-markers-00
  • Title: Epoch Markers
  • Authors: Henk Birkholz(henk.birkholz@ietf.contact), Thomas Fossati(thomas.fossati@linaro.org), Wei Pan(william.panwei@huawei.com), Carsten Bormann(cabo@tzi.org)
  • Summary: 《RATS工作组》这篇英文标准文档主要定义了Epoch Markers作为分布式系统中建立一个对不同参与者理解时间(如本地实时时钟)共识的新的起点。它与传统的时间戳技术类似,是通过一个专门系统的Epoch Bell来产生的,并且在接收Epoch Marker后,所有参与者共享这个新的开始点。这种机制有助于避免由于系统分布不均而引起的差异性延迟,为系统中的信任模型提供了更可靠的基础。 文中还详细描述了Epoch ID类型的定义、使用场景以及相应的编码格式。此外,还讨论了安全方面的考虑和一些可能的修改建议。最后,给出了相关的参考文献列表,包括了相关组织和机构的研究成果。总的来说,《RATS工作组》是一个重要的文档,对于构建更加健壮的分布式系统具有重要意义。
  1. I-D: draft-ietf-rats-eat-media-type-11
  • Title: EAT Media Types
  • Authors: Laurence Lundblade(lgl@island-resort.com), Henk Birkholz(henk.birkholz@ietf.contact), Thomas Fossati(thomas.fossati@linaro.org)
  • Summary: 本文定义了一些用于实体验证令牌(EAT)的媒体类型,以帮助在远程验证协议中进行数据传输。这些媒体类型允许API和应用设计者使用一组预先准备好的媒体类型来集成EAT消息流,例如通过HTTP或CoAP等运输协议。 EAT是一种开放且灵活的数据格式,为了提高互操作性,[EAT]定义了EAT的profile概念。这些约束参数允许生产者和消费者根据特定的EAT profile需求理解并交互。此外,可以暴露EAT profile信息到API层,这样API路由器可以直接将EAT消息传递给特定的处理程序而无需检测请求体中的实际数据。这种设计为增强的类型系统提供了更好的灵活性,该系统可以根据EAT的内在扩展性自动获得基于OID或URL的媒体类型。 本文还讨论了安全考虑,如媒体类型的使用仅需验证接收的数据是否符合预期格式,而不是依赖于显示媒体类型的广告。如果未正确执行此步骤,则可能会面临网络安全风险,如特权提升和跨协议攻击。因此,对于任何需要将EAT消息传输到HTTP/S、CoAP等运输协议上的应用程序来说,了解媒体类型的重要性不容忽视。 总的来说,本文提供了一组通用的媒体类型,用于封装和携带EAT消息,并详细解释了如何使用这些类型来实现端点验证过程。这些媒体类型有助于促进不同技术平台之间的互操作性,同时为开发人员提供了一个更加一致和高效的编码方法。

tls

  1. I-D: draft-connolly-tls-mlkem-key-agreement-02
  • Title: ML-KEM Post-Quantum Key Agreement for TLS 1.3
  • Authors: Deirdre Connolly(durumcrustulum@gmail.com)
  • Summary: 本文定义了名为ML-KEM-512、ML-KEM-768和ML-KEM-1024的新命名组,用于在TLS 1.3中实现后量子加密协议。这些新命名组可以提供安全的密钥交换方式,并且具有与现有的MD5、SHA-256和SHA-3哈希函数不兼容的长度限制。此外,它们还满足了FIPS 203标准中定义的特定参数集合的安全要求。本文讨论了这些名称组的设计考虑和安全性问题,并提出了一些建议和改进措施。
  1. I-D: draft-beck-tls-trust-anchor-ids-02
  • Title: TLS Trust Anchor Identifiers
  • Authors: Bob Beck(bbe@google.com), David Benjamin(davidben@google.com), Devon O'Brien(asymmetric@google.com)
  • Summary: 本文主要介绍了在TLS协议中引入的信任锚标识符(Trust Anchor Identities)技术,用于简化信任锚的分配过程。信任锚标识符定义了短且唯一的标识符,用于标识一个可信的证书权威实体(Certificate Authority)。它与当前的X.509证书体系相结合,可以实现更加灵活和安全的PKI架构。 具体来说: 1. 定义了两个重要的概念:信任锚标识符(Trust Anchor Identifier)和认证方配置项(Relying Party Configuration)。前者是信任锚标识符的ASCII表示形式,后者是在证书授权列表中的信息。 2. 提出了TLS扩展(Trust Anchor Extensions),用于指示支持的可信锚点列表。该扩展在客户端Hello消息、加密扩展、证书请求和证书消息中使用。如果客户端希望支持特定的可信锚点,则可以在这些扩展中指定。 3. 为ACME(应用程序密码服务迁移)扩展提供了新的媒体类型,允许通过DNS记录来发布可信锚点列表,从而提供给客户端一个可信的初始集合,并避免重试费用。 4. 描述了DNS服务参数(TLS Trust Anchor Identifiers)的概念,允许服务器发布其可用的可信锚点列表,在HTTPS或SVCB DNS记录中。这样,即使某些依赖旧版本可信锚点的客户端无法连接到新发布的锚点列表,也可以利用其他可信锚点列表。 5. 解释了如何处理不同客户端和服务器之间的信任差异,以及如何应对用户需求的变化。这种机制有助于增强PKI的灵活性,同时保护用户的隐私和安全性。

Unknown

Unknown

  1. I-D: draft-rsalz-2418bis-06
  • Title: IETF Working Group Guidelines and Procedures
  • Authors: Rich Salz(rsalz@akamai.com), Scott O. Bradner(sob@sobco.com)
  • Summary: 本文是关于互联网工程任务组(Internet Engineering Task Force, IETF)制定和运作指南。主要介绍了IETF成立工作组、组成人员及角色职责等事宜。指出在成立工作组时,应考虑的问题包括问题明确性、可行性、技术难度、参与者数量、兴趣度以及知识产权等问题。当一个工作组完成其目标后,它应该被解散。如果需要延长工作组的时间或任务,可以申请重新组织。工作小组的文档管理由邮件列表负责,并且应定期更新。此外,还提到对文档进行审查并处理知识产权冲突的过程。 总的来说,本文提供了指导IETF工作组如何运作的方法,包括组建流程、会议安排、文档管理等方面。同时强调了公平讨论和技术选择的重要性。
  1. I-D: draft-rsalz-2026bis-12
  • Title: The Internet Standards Process
  • Authors: Rich Salz(rsalz@akamai.com), Scott O. Bradner(sob@sobco.com)
  • Summary: 本文是关于互联网标准制定流程的文档。它概述了标准化过程的各个阶段,包括知识产权要求、出版流程以及变更处理等。此外,还对不同类型的互联网标准进行了分类,并讨论了标准化的必要性与重要性。最后,它描述了标准变更和退役的规则,以及冲突解决和上诉程序。 总的来说,本文提供了一个全面而清晰的互联网标准制定流程,有助于确保其透明度和公正性。它强调了知识产权保护的重要性,同时也鼓励公众参与并促进开放和公平的讨论。
  1. I-D: draft-davidben-x509-alg-none-00
  • Title: Unsigned X.509 Certificates
  • Authors: David Benjamin(davidben@google.com)
  • Summary: 本文讨论了在一些情况下,X.509证书的签名算法可能不是必要的,因为这些情况下不需要验证证书的有效性。在这种情况下,可以使用id-unsigned算法来表示一个主体的信息而不必包括一个正式的签发者信息。本文提供了一种构造和消费这种类型的证书的方法,并指出了潜在的安全风险和如何避免它们。它还指出了与IANA相关的考虑,并总结了主要的参考文献。总之,本文提供了关于如何处理不必要签名算法的指南。