【每日文稿】2024-10-14
今日共有54篇文稿更新,涉及7个area里的25个WG
ART
ecrit
- Title: Validation of Locations Around a Planned Change
- Authors: Brian Rosen(br@brianrosen.net)
- Summary: 本文主要定义了一个扩展到位置服务翻译协议(LoST)中的“丢失计划变更”功能,允许一个LoST服务器通知客户端有关位置数据更改的消息。这个扩展只有在验证服务的功能下才有用,因为它对验证客户有帮助,因为它们可以提前知道可能发生的变更,并且可以做好准备。 具体来说: 1. 定义了一个新的接口到LoST服务器:规划变化查询接口。 2. 提供了一个新的元素“asOf”,用于请求地点的服务验证,其包含日期和时间,在指定日期之前将验证地点作为最新状态。 3. 定义了一个新的属性“validUntil”来提供建议的时间间隔给客户端,以重新验证受影响的位置。 4. 规定了如何使用这些特性,以及与LoST规范的关系。 总之,本文介绍了LoST的一个新功能——规划变更查询,它有助于确保位置信息的准确性并避免不必要的重验证工作。
regext
- Title: Extensible Provisioning Protocol (EPP) mapping for DNS Time-To-Live (TTL) values
- Authors: Gavin Brown(gavin.brown@icann.org)
- Summary: 《关于时间戳(TTL)值的EPP扩展》是互联网协议(Extensible Provisioning Protocol, EPP)标准的一个补充。它允许赞助商修改域名和主机对象的TTL值,以减少DNS查询流量,并在必要时对操作或安全要求进行更改。EPP服务器应按照自己的政策调整TTL值,同时通知赞助者这些变更。 该文档描述了EPP客户端如何通过发送包含新TTL值的命令来管理TTL值,以及服务器处理、影响及变化机制等。此外,还讨论了可能的安全性考虑(如快流DNS)和IANA注册流程。总体而言,这是一个提供一种灵活机制,以便用户能够在不影响正常运行的情况下快速改变域名和主机对象中的TTL值的技术性补充。
INT
6man
- Title: Entering IPv6 Zone Identifiers in User Interfaces
- Authors: Brian E. Carpenter(brian.e.carpenter@gmail.com), Bob Hinden(bob.hinden@gmail.com)
- Summary: 本文是关于如何在用户界面(UI)中输入IPv6地址及其区标识符的。主要讨论了以下几点: 1. 在当前的技术环境下,实现完整的IPv6链路本地地址和多播地址需要解决一些困难,比如可能无法将完整的IPv6地址直接输入到用户界面。 2. 目前有几种解决方案,包括使用ASCII字符表示、使用特殊字符(如“-”)代替“%”,或者提供两个独立的输入框等。 3. 对于大多数操作系统来说,可以使用接口索引作为IPv6链路本地地址和多播地址的替代方案。但需要注意的是,如果操作系统的限制导致接口名称长度不支持,则应考虑其他解决方案。 4. 根据目前的规范和标准,网络设备应当避免信任通过UI获取的非全局地址数据。 5. 针对浏览器,建议遵循RFC 6454中的规定,即不应信任包含非全局地址的数据。 6. 同时提出了一些安全性和实施上的要求。 总的来说,本文提出了一个通用的用户界面需求,强调了在不同场景下应该采取哪些措施来实现这一目标。同时,也指出了当前技术环境下的挑战,并提供了相应的解决方案。
deleg
- Title: Resolvers and Servers for DELEG
- Authors: Paul E. Hoffman(paul.hoffman@icann.org)
- Summary: 本文主要讨论了DELEG协议中解析器和服务器的角色。DNS解析器将是DELEG信息的主要用户,而其他用户如研究人员和自动DNS记录跟踪者可能会使用DELEG信息以了解解析器的行为。目前,三种模式被描述为谁将发布DELEG信息:直接、间接和混合。这三种模式是互斥的。在选择协议时,DELEG工作组必须选择其中一种模型。具体来说: - 直接模式:在该模式下,来自父节点的信息中有DELEG记录,但在子节点上没有。 - 间接模式:在该模式下,有提示记录指向子节点,并且子节点有DELEG记录。解析器跟随父节点的提示找到子节点,并使用子节点上的DELEG记录。解析器对从父节点看到的非提示DELEG记录视作可报告错误。 - 混合模式:在该模式下,父节点可能包含DELEG记录、提示记录或两者;子节点也可能具有DELEG记录。如果解析器看到提示记录,则它将这些提示用于获取子节点上的DELEG记录。解析器根据其配置结合从父节点或子节点收到的所有DELEG记录。 文稿总结指出,在制定DELEG协议时,DELEG工作组需要决定采用哪种模式来发布DELEG信息。此外,还需要考虑如何处理不同类型的信息,例如DELEG、提示和混合模式下的信息。总的来说,这篇文档旨在提供DELEG协议中解析器和服务器角色的详细说明,帮助相关参与者理解协议的运作方式。
dmm
- Title: Computing Aware Traffic Steering Consideration for Mobile User Plane Architecture
- Authors: Trần Minh Ngọc(mipearlska1307@dcn.ssu.ac.kr), Younghan Kim(younghak@ssu.ac.kr)
- Summary: 本文主要讨论了分布式移动管理(DMM)架构中的一个新功能——计算感知流量引导(CATS),以及它如何应用于5G移动用户平面(MUP)来优化用户连接。文稿提出了一种解决方案,通过考虑服务和网络信息,MUP控制器可以将会话信息转换为最优的数据平面路由。 具体来说: 1. 提出了3个需要在MUP中添加的功能: - 识别服务及其候选服务实例。 - 广告服务部署信息到其组件。 - 广告与每个服务实例相关的计算和网络指标。 2. 讨论了两种部署方式:集中式部署和分布式部署。集中式部署仅在集中式部署选项中提供以下关键特性: - 直接段发现路由(DSD)广告服务和服务实例标识符(CS-ID和CIS-ID)从服务站点PE到RANPE。 - 遗传树路径选择路由(CMU)定期发布针对每个服务实例的CATS性能指标更新,这些性能指标由服务站点PE发布到CATS-MUP-C。 3. 分布式部署提供了以下新增功能: - 广告服务和服务实例标识符(CS-ID和CIS-ID)和CATS性能指标更新(如遗传树路径选择路由)到RANPE。 - 基于当前CATS性能指标更新的CATS-MUP-C确定每个UE会话的最佳服务实例,并使用相应的路径选择路由转发数据包。 总结起来,本文提出了一个将CATS能力整合到MUP架构中的解决方案,以解决集中化部署下最优化服务实例的选择问题,同时支持SRv6移动用户平面的优势。这一方案通过综合服务和网络信息,使MUP控制器能够将会话信息转换为最优的数据平面路由。
OPS
green
- Title: Energy Metrics For Data Networks
- Authors: Dean Bogdanović(ivandean@gmail.com), Tony Li(tony.li@tony.li)
- Summary: 本文提出了一套用于评估和优化数据网络能源效率的指标。这些指标包括功率消耗每比特率(PCDR)、功率使用效率(PUE)以及网络设备能耗效率(NEEE)。PDR通过测量实际数据传输速率与平均功耗来计算,而PUE则表示设备能耗与网络基础设施能耗的比例。NEEE则反映了设备转发数据的能力与其电力消耗之间的关系。此外,还提到了能量比例系数(EPC),它反映了一个设备在不同负载水平下的表现。 本文讨论了标准化测试条件的重要性,并指出了环境因素对于测量结果的影响。标准化的测试条件确保了结果的公平性和客观性,同时也支持了测试的有效性和可靠性。本文建议采用ISO 13443或NIST/EPA标准作为测试条件,以确保测量数据的真实性和准确性。同时,本文也讨论了安全考虑、IANA考虑、感谢信和其他引用文献等内容。
ippm
- Title: On-Path Telemetry for Active Performance Measurements
- Authors: Giuseppe Fioccola(giuseppe.fioccola@huawei.com)
- Summary: 本文讨论了在混合方法的背景下使用主动测试包进行在线路性能测量的方法。文稿首先介绍了如何使用ICMP、ICMPv6、OWAMP、TWAMP和STAMP等协议进行在线路性能测量,以及这些协议是如何与被动测试方法结合使用的。然后,它详细描述了两种主要的方法:Alternate Marking(AL)和In Situ Operations,Administration,Maintenance(IOAM)。AL通过携带AltMark数据字段来扩展主动测量方法,使其能够在边到边和点对点之间同时测量性能指标,而IOAM则通过携带相关操作数据字段来实现在线路两端同时测量性能指标。此外,还提到了如何利用YANG、IPFIX或YANG通知等方式报告AL和IOAM测量结果给收集器。 最后,文稿指出了如何根据需要配置和管理这些测试套件,并讨论了一些安全考虑因素,包括对于不同类型的网络设备来说,如何处理不同的主动和被动测量方法的问题。总的来说,该文档提供了关于如何使用主动测试方法进行在线路性能测量的一般指导原则,为未来的研究工作提供了一定的基础。
v6ops
- Title: 464XLAT Customer-side Translator (CLAT): Node Recommendations
- Authors: Jen Linkova(furry13@gmail.com), Tommy Jensen(tojens.ietf@gmail.com)
- Summary: 本文主要对IPv6环境下的一种网络架构进行了描述,该架构利用节点实现IPv4到IPv6之间的转换功能,称为464XLAT。文档首先介绍了该架构的基本原理和设计思路,并分析了不同场景下如何使用464XLAT进行IPv4与IPv6之间的转换。 接着,文稿详细阐述了在IPv6环境下的464XLAT部署方式,包括选择合适的节点、配置适当的参数以及防止网络攻击等措施。特别强调了在发现并启用464XLAT时需要考虑的问题,如发现PLAT(即提供IPv6地址转换功能的节点)的方法,以及是否等待DHCP选项108或超时消息来确认IPv4连接可用性等问题。 此外,文稿还讨论了在IPv6环境中如何配置IPv4地址以支持多点连接的需求,以及在特定情况下如何避免产生冲突等问题。 最后,文档总结了相关安全性和隐私性的建议,提醒管理员在实际应用中要注意防范各种攻击威胁,同时要合理配置节点参数以保证网络的安全稳定运行。总的来说,本文为IPv6环境下464XLAT的部署提供了详细的指导和建议。
RTG
ccamp
- Title: A YANG Data Model for Client-layer Tunnel
- Authors: Chaode Yu(yuchaode@huawei.com), Haomian Zheng(zhenghaomian@huawei.com), Aihua Guo(aihuaguo.ietf@gmail.com), Italo Busi(italo.busi@gmail.com), Yunbin Xu(xuyunbin@caict.ac.cn), Yang Zhao(zhaoyangyjy@chinamobile.com), Xufeng Liu(xufeng.liu.ietf@gmail.com)
- Summary: 本文主要介绍了对客户端层隧道的数据模型。该模型基于YANG语言,定义了网络控制器能够访问的模块和接口。同时,还讨论了模型在使用过程中可能面临的安全性和管理性问题,并提出了相应的解决策略。此外,文中也提到了模型的一些潜在应用场景以及未来需要改进的地方。总体来说,文稿旨在为应用开发者提供一个标准的框架,便于构建复杂的客户端层隧道模型。
- Title: A YANG Data Model for Ethernet TE Topology
- Authors: Chaode Yu(yuchaode@huawei.com), Haomian Zheng(zhenghaomian@huawei.com), Aihua Guo(aihuaguo.ietf@gmail.com), Italo Busi(italo.busi@gmail.com), Yunbin Xu(xuyunbin@caict.ac.cn), Yang Zhao(zhaoyangyjy@chinamobile.com), Xufeng Liu(xufeng.liu.ietf@gmail.com)
- Summary: 本文主要介绍了YANG数据模型在描述Ethernet网络中的应用。它使用了ETRAN-TYPE模块来定义Ethernet传输层拓扑,提供了对Ethernet运输网络类型的标识、带宽配额、标签限制等信息。该模型完全遵循Network Management Datastore Architecture (NMDA),并符合BGP 14和RFC 2119规范。 此外,文中还详细描述了如何在YANG树结构上进行增强,以适应Ethernet网络的应用场景。例如,在标签限制信息分组中,可以提供不同类型标签的列表;在带宽配额选择器中,可以根据需求指定不同的入口和出口带宽配额。 总结而言,本文为Ethernet网络设计了一个完整的YANG数据模型,能够准确地反映网络的拓扑结构,并支持多种技术特性的扩展,从而满足不同应用场景的需求。
detnet
- Title: PREOF IOAM Method for Deterministic Network Service Sub-layer
- Authors: Xiaocong Qian(qian.xiaocong@zte.com.cn), Quan Xiong(xiong.quan@zte.com.cn), Fenlin Zhou(zhou.fenlin@zte.com.cn)
- Summary: 本文提出了一种用于预部署操作维护(PreOAM)方法,用于监控和诊断Deterministic Networking(DetNet)服务子层中的预先排序功能(Packet Replication Function - PRF)、消除功能(Packet Elimination Function - PEF)和排序功能(Packet Ordering Function - POF)。这种预部署操作维护(PreOAM)方法设计了PREOF-TRACE消息,它将目标流的PREOF实体收集的信息以包的形式封装在PREOF-TRACE消息中,并通过PREOF-RESPONSE消息返回给头部节点。该方法帮助DetNet监测和维护PREOF实体对流量流的控制。 总结:本文提出了针对DetNet服务子层的一种主动IOAM方法,利用特定的PREOF-TRACE消息来收集并记录多个类型的信息,以及从源流的PREOF实体处发送PREOF-RESPONSE消息反馈这些信息。这种方法有助于DetNet监测和管理PREOF实体状态,从而实现精确的操作和维护。
- Title: Cycle Mapping Learning Method for Scaling DetNet
- Authors: Xiangyang Zhu(zhu.xiangyang@zte.com.cn), Yu jinghai(yu.jinghai@zte.com.cn), Chenqiang Gao(gao.chenqiang@zte.com.cn), Quan Xiong(xiong.quan@zte.com.cn)
- Summary: 本文提出了一种在扩缩分组网络(Scaling Deterministic Networking, SDN)中解决可扩展性问题的方法。该方法基于周期排队和调度机制,以确保端到端的确定转发,并且可以准确地获取相邻节点之间的循环映射关系。通过发送学习消息,节点可以从上游节点接收学习信息并根据这些信息学习循环映射关系。 总结: 本文提出了一种在扩缩分组网络(Scaling Deterministic Networking, SDN)中解决可扩展性问题的方法。该方法基于周期排队和调度机制,以确保端到端的确定转发,并且可以准确地获取相邻节点之间的循环映射关系。通过发送学习消息,节点可以从上游节点接收学习信息并根据这些信息学习循环映射关系。
idr
- Title: BGP Flow Specification Version 2 - More IP Filters
- Authors: Susan Hares(skh@ndzh.com)
- Summary: 《BGP流规格版本2 - 更多IP过滤》 本文主要介绍了BGP流规格版本2(FSv2)的基本概念和结构。FSv2是一种用户自定义的过滤器,可以用于传输流量匹配规则和动作。它由一系列基础过滤器、扩展IP滤波器和其他组件组成。 其中,FSv2NLRI格式包含一个依赖链字段,用于标识一组支持的过滤器。此外,FSv2还定义了多个组件类型,如IP基本过滤器、SRV6头部(SRH)过滤器等,并允许添加新的组件和过滤器组。 验证和错误处理部分详细说明了如何正确解析和处理FSv2滤波器NLRI。管理性部分提供了关于FSv2与扩展IP滤波器的关系以及如何在单个自治系统内使用流规格信息的安全措施。 最后,该文档总结了需要关注的一些重要事项,包括IAAI建议、安全性考虑和可选的管理方案。
- Title: BGP Flow Specification Version 2 - for Basic IP
- Authors: Susan Hares(skh@ndzh.com), Donald E. Eastlake 3rd(d3e3e3@gmail.com), Jie Dong(jie.dong@huawei.com), Chaitanya Yadlapalli(cy098d@att.com), Sven Maduschke(sven.maduschke@de.verizon.com)
- Summary: 《BGP流量规格规范版本2——基本IP流》 定义了基于IPv4和IPv6的流规版本2(BGP FSv2),作为流规版本1的扩展,用于在BGP路由协议中传递用户自定义的IP流量匹配规则(filter rules)以及关联到这些规则的动作。该文档主要分为以下几个部分: 1. 引言:介绍了为什么需要FSv2,以及FSv1在处理IP流规时存在的问题。 2. 流规规范版本2简介:描述了FSv2的基本概念、工作原理及与FSv1的区别。 3. FSv2 NLRI格式及其动作编码:详细说明了FSv2流规的结构、类型、动作等信息。 4. 定义和定义术语:对相关术语进行定义,并解释其含义。 5. 安全性考虑:讨论了FSv2的安全性特性,如BGP FSv2和BGPSEC。 6. 标准化建议:提出了一些建议来简化FSv2的部署和操作。 7. 转发地址族:概述了FSv2是如何支持IPv4、IPv6和其它特定流量规应用的。 8. 可靠性和排序规则:介绍如何确保FSv2流规在网络中的正确传输和有序排列。 9. 缺陷修复措施:提出了一些缺陷修复的建议,以解决FSv1中存在的问题。 10. 格式和行动序列:定义了流规规范版本2的NLRI格式和具体行动的序列。 11. 普通语句翻译:提供了一个标准的翻译工具,用于将普通语言文本转换为技术术语。 12. 通用参考文献:列出了一定数量的参考文献,包括BGP流量规格规范版本1的相关文档。 总结:本文主要从流规规范版本2的概念、特点、结构、安全性等方面进行了详细的分析和阐述,旨在帮助网络管理员和开发者更好地理解和使用这个新的流规规范版本,以便在复杂的网络环境中实现更加灵活和高效的信息流控制。
- Title: BGP Community Container Attribute
- Authors: Susan Hares(skh@ndzh.com)
- Summary: 本文主要讨论了在BGP协议中的一个新特性——BGP社区容器。该特性的定义是新的BGP路径属性,允许将一组BGP社区类型放入单个BGP路径属性中,为未来的社区特性提供了一个层次结构。这种特性允许实施者无需了解特定社区容器的具体格式来定位并配置这些社区。 此外,它还提供了如何通过简单的扩展BGP社区路径属性的方式来增强当前网络政策和简化BGP策略管理的功能。该文档提出了一个新的BGP社区容器类型的注册计划,并请求IANA分配一个新的值以表示这个新的社区容器属性。 总的来说,本文提出了一种更灵活、通用的方式,使得运营商能够轻松地在内部网络之间传递各种附加信息,同时保持其操作的统一性和一致性。该特性对于实现BGP路由标签机制的重要角色以及与其他现有工具(如BGP扩展社区路径属性)的有效结合具有重要意义。
- Title: BGP Extension for 5G Edge Service Metadata
- Authors: Linda Dunbar(dunbar.ll@gmail.com), Kausik Majumdar(kausikm.ietf@gmail.com), Cheng Li(c.l@huawei.com), Gyan Mishra(gyan.s.mishra@verizon.com), Zongpeng Du(duzongpeng@foxmail.com)
- Summary: 本文主要讨论了边缘服务的元数据路径属性,这是一个新的BGP属性,用于在边缘路由器之间传播关于5G低延迟边缘服务的信息。这些信息可以用来优化路由选择,包括基于网络距离和边界的运行环境。 该元数据路径属性允许边缘路由器将特定服务的性能指标(如计算能力、状态等)传递给入站路由器。入站路由器可以根据这些信息来选择最优的转发路径,并考虑传统路由因素以及额外的元数据信息。 此外,本文还讨论了如何处理这些元数据,例如如何使用它们来预测服务延迟、资源可用性等。它还强调了在传输过程中如何避免循环,并保持一致的路由决策。 最后,本文总结了此元数据属性的优点,包括降低延迟、提高性能等方面,并提出了一些实现它的方法。
- Title: BGP UPDATE for SD-WAN Edge Discovery
- Authors: Linda Dunbar(dunbar.ll@gmail.com), Kausik Majumdar(kausikm.ietf@gmail.com), Susan Hares(skh@ndzh.com), Robert Raszuk(robert@raszuk.net), Venkit Kasiviswanathan(venkit@arista.com)
- Summary: 本文主要介绍了在SD-WAN边缘节点上发布其属性以实现SD-WAN网络中边界的发现和管理。文中提出了一种新的BGP UPDATE格式,用于携带关于SD-WAN边缘节点的信息,包括其连接到指定RR的认证信息、客户路由信息以及隧道扩展社区(E-C)等附加信息。 该更新消息包含两种形式的隧道封装特征:一种是使用Encapsulation Extended Community(E-C),另一种是通过Tunnel Encapsulation Attribute(TEA)进行封装。文稿还讨论了如何在不同类型的网络设备之间建立可靠的加密通道,并将这些信息传递给授权的边缘节点。此外,还讨论了如何根据不同的业务需求调整SD-WAN网络中的安全性和可靠性策略。 总的来说,本文旨在提供一个简便的方法来构建并管理基于BGP的SD-WAN网络,其中安全性和可管理性得到了优化。
lsr
- Title: IGP Unreachable Prefix Announcement
- Authors: Peter Psenak(ppsenak@cisco.com), Clarence Filsfils(cfilsfil@cisco.com), Stephane Litkowski(slitkows.ietf@gmail.com), Daniel Voyer(daniel.voyer@bell.ca), Amit Dhamija(amitd@arrcus.com), Shraddha Hegde(shraddha@juniper.net), Gunter Van de Velde(gunter@vandevelde.cc), Gyan Mishra(gyan.s.mishra@verizon.com)
- Summary: 本文讨论了在存在汇总的情况下需要向特定前缀发布可达性丢失的通知来支持快速收敛的功能。这种功能可以通过现有的协议机制(IS-IS和OSPF)与两个新的标志一起实现,这些标志与已定义的路由计算无关,并且可以由未升级到支持该功能的所有节点使用。 具体来说: 1. 在IS-IS中,通过修改IPv4和IPv6可达性属性标识符(Flags)子TLV,允许将带超限路径指标(MAX_PATH_METRIC)的前缀信息发送出去而不影响正常SPF计算。当一个前缀的可达性被取消时,其超限路径指标值会被标记为U-Flag或UP-Flag,并且其超限路径指标值大于0xFE000000。 2. 在OSPF中,通过修改前缀扩展TLV中的NU比特字段,允许前缀信息发送出去,表示计划维护或由于其他原因导致的不可达。例如,在OSPFv2中,当一个前缀的可达性被取消时,其可达性等级可选地设置为LSInfinity。 3. 随着网络规模的增长,汇总前缀成为必要,以减轻对每个节点进行额外计算的压力。然而,这会导致无法感知到的不可达前缀扩散,从而影响路由收敛。 综上所述,本文提出了一种新的机制——Unreachable Prefix Annunciation(UPA),用于在出现不可达通知时告知整个网络中所有路由器,以便加快路由收敛速度。这一机制不需要改变现有IS-IS和OSPF的结构,而是利用当前标准来扩展它们的能力,使其能够识别并处理这种不可达信息。
pce
- Title: Path Computation Element Communication Protocol (PCEP) Extension for Path Segment in Segment Routing (SR)
- Authors: Cheng Li(c.l@huawei.com), Mach Chen(mach.chen@outlook.com), Weiqiang Cheng(chengweiqiang@chinamobile.com), Rakesh Gandhi(rgandhi.ietf@gmail.com), Quan Xiong(xiong.quan@zte.com.cn)
- Summary: 《PCEP for SR Path Segment》是关于在Multiprotocol Label Switching(MPLS)和Generalized MPLS(GMPLS)网络中的源路径路由协议(SPRING)架构中,如何使用源路由模式在IPv6或MPLS网络中引导分组通过的扩展。它主要讨论了如何在PCEP协议中支持请求、响应和报告以及更新路径段标识信息的概念。它还介绍了相关的对象、TLV、操作等,并提出了一些管理要求。 总结而言,《PCEP for SR Path Segment》文档旨在为源路径路由协议(SPRING)在网络中提供一个更高效、灵活的方式来控制路径流,从而满足性能测量的需求。它可以支持路径识别,例如在SR网络中进行性能测量。
- Title: Path Computation Element Communication Protocol (PCEP) Extensions for Segment Routing (SR) Policy Candidate Paths
- Authors: Mike Koldychev(mkoldych@proton.me), Siva Sivabalan(msiva282@gmail.com), Colby Barth(cbarth@juniper.net), Shuping Peng(pengshuping@huawei.com), Hooman Bidgoli(hooman.bidgoli@nokia.com)
- Summary: 本文讨论了PCEP协议中的路径计算元素通信协议(PCEP)扩展,用于在SR策略(Segment Routing)网络中标识和引导流量。主要更新了以下两个方面的内容: 1. 增加了一个新的协议类型:SR政策关联(SR Policy Association)。这个新类型的PCEP对象承载着与SR策略相关的候选路径信息。 2. 更新了PCEP协议,使其允许状态全量提升SR标签交换路径(LSP),而无需使用路径计算请求回复消息。这对建立SR策略关联至关重要。 这些扩展为SR策略的管理和操作提供了更灵活和强大的工具。它将SR策略视为一个整体,而不是一个个单独的SR路径,从而改善了整个网络的操作效率和稳定性。
savnet
- Title: Intra-domain Source Address Validation (SAVNET) Architecture
- Authors: Dan Li(tolidan@tsinghua.edu.cn), Jianping Wu(jianping@cernet.edu.cn), Lancheng Qin(qinlc@mail.zgclab.edu.cn), Nan Geng(gengnan@huawei.com), Li Chen(lichen@zgclab.edu.cn)
- Summary: 本文提出了一种名为Intra-domain SAVNET的架构,以实现准确的源地址验证(SAV)。它通过自动方式从路由器之间交换SAV特定信息来达到这一目的。与依赖于单个路由器本地路由信息的传统机制相比,这种新架构可以产生更准确的SAV规则。 此外,在动态网络环境中,传统的ACL式进境过滤器要求手动调整配置以适应网络变化,导致高运营开销。而Intra-domain SAVNET则允许SAV网络中的路由器自动根据拓扑或前缀的变化更新SAV规则。 该架构还支持增量/部分部署场景,在这种情况下,仅部分路由器支持Intra-domain SAVNET,但可以利用最近收到的SAV特定信息进行增量改进。同时,该架构也提供了监控和故障排除功能,有助于高效运行。 总之,Intra-domain SAVNET为解决现有内域SAV机制中存在的问题提供了一个新的解决方案,并能有效提高源地址验证的效果。
spring
- Title: Segment Routing in Two Dimensional IP Routing
- Authors: Mingwei Xu(xmw@csnet1.cs.tsinghua.edu.cn), Bo Wang(wangbo2019@tsinghua.edu.cn), Tingfeng Wang(wangtingfeng@bupt.edu.cn), Shu Yang(yang.shu@szu.edu.cn), Jianping Wu(jianping@cernet.edu.cn)
- Summary: 本文主要讨论了如何将分段路由技术(Segment Routing)扩展到支持二维IP(TwoD-IP)路由。首先,介绍了一些分段路由技术可以实现多点连接(Multi-Homing)和源相关策略路由(Source Related Policy Routing)的场景。然后,阐述了如何在数据平面和控制平面结合两个维度的IP地址进行分段路由操作。 文稿指出,在现有的分段路由架构中,需要为每条路径分配特定的SID(segment identifier),以指示分段路由决策。然而,随着更高维数路由需求的增长,仅根据目的地字段匹配SID已无法满足这些要求。因此,提出了使用二维IP(TwoD-IP)来实现更复杂的多维度路由。 通过数据平面设计,可以创建一个专门用于存储目标和来源地址信息的二进制表(BITABLE),同时,控制平面通过发布配置信息和计算最佳转发路径来协作,从而实现基于目的地址和来源地址的分段路由操作。最后,还探讨了与分段路由相关的安全性和IANA考虑。 总之,该文介绍了如何在现有分段路由架构的基础上扩展到支持二维IP路由,并描述了这种组合如何协同工作以实现复杂维度的路由操作。
SEC
cose
- Title: COSE Receipts Profile and Tree Algorithm for the Confidential Consortium Framework
- Authors: Henk Birkholz(henk.birkholz@ietf.contact), Antoine Delignat-Lavaud(antdl@microsoft.com), Cedric Fournet(fournet@microsoft.com), Amaury Chamayou(amaury.chamayou@microsoft.com)
- Summary: 本文是关于一种用于可信执行环境(Technology)生产交易记录的可信数据结构(COSE Receipts Profile for Confidential Consortium Framework),旨在提供更强的证明保证。它定义了一个新的验证数据结构类型,专门设计用于Cose交易记录账本(CCF),以提供更强大的可证明性保证。 该文档定义了CCF中的包含证明(CCF Inclusion Proof)算法,包括签名和验证过程。此外,还讨论了隐私和安全考虑,以及在IANA注册表上的添加规则。 总结而言,本文为使用可信执行环境生产的CCF交易记录提供了新的可信数据结构类型,并定义了其包含证明算法,以确保更高的证明强度和可靠性。
ipsecme
- Title: Enhanced Encapsulating Security Payload (EESP)
- Authors: Steffen Klassert(steffen.klassert@secunet.com), Antony Antony(antony.antony@secunet.com), Christian Hopps(chopps@chopps.org)
- Summary: 本文描述了增强封装安全协议(EESP)协议,这是一种现代版本的IP安全封装协议。它为特定用途提供了一些新的功能,例如流标识符、加密偏移量和流标识符选项。EESP与现有的IP安全封装协议ESP兼容,并遵循IP安全架构RFC4301的设计原则。 本文还讨论了EESP在数据中心部署中的性能瓶颈问题,以及如何通过使用流标识符等技术来减轻这些问题。此外,文稿还提供了关于EESP的一些参考文献,包括RFC4301、RFC4303和其他相关文档。 总的来说,EESP是一种现代且改进的IP安全封装协议,旨在解决当前协议的一些限制,并为未来的扩展预留空间。
jose
- Title: PQ/T Hybrid Composite Signatures for JOSE and COSE
- Authors: Lucas Prabel(lucas.prabel@huawei.com), Sun Shuzhou(sunshuzhou@huawei.com)
- Summary: 这篇文稿是关于一种用于结合量子安全性和传统安全性的后量子安全签名方案。它详细描述了两种不同的签名算法:ML-DSA和ECDSA,以及它们如何组合在一起以创建一个复合签名算法。这种新的方法可以在不改变现有的协议设计的情况下提供更高的安全性,并且可以通过使用传统的安全机制来保护用户数据免受可能的量子攻击。 此外,文稿还讨论了在实际应用中的各种安全考虑因素,包括对用户的私钥进行保护、防止各种攻击以及遵守相关的标准等。最后,它提出了建议给与IANA组织的注册请求,以便将这些新签名算法添加到相关标准中。 总的来说,这篇文稿提出了一种新的复合签名方案,旨在提供量子安全性和传统安全性的有机结合,从而提高整体的安全性水平。
lamps
- Title: X.509 Certificate Extended Key Usage (EKU) for Instant Messaging URIs
- Authors: Rohan Mahy(rohan.ietf@gmail.com)
- Summary: 本文主要讨论了Instant Messaging (IM)身份认证中的扩展密钥使用标识(Extended Key Usage, EKU),以及在X.509 v3证书中如何定义这种新的密钥使用目的。该文档详细介绍了IM身份认证协议中IM URI的密钥使用标识,并提供了相应的安全考虑和IANA注册建议。它还指出了如何为这个新的密钥使用标识进行登记,包括在SMI Security for PKIX Extended Key Purpose和SMI Security for PKIX Module Identifier两个区域中。此外,文档还提到了对相关文献和工作文件的参考列表。 总结来说,本文为IM身份认证系统中引入的新密钥使用标识提供了一个详细的介绍和注册指南,旨在减少可能的安全风险,并确保IM客户端的验证过程更加可靠。
- Title: Use of Password-Based Message Authentication Code 1 (PBMAC1) in PKCS #12 Syntax
- Authors: Alicja Kario(hkario@redhat.com)
- Summary: 本文主要讨论了如何使用密码验证码1 (PBMAC1)在PKCS#12格式中的应用。PBMAC1是一种新的密码验证机制,它允许更现代的密码生成函数(如PBKDF2)用于密钥保护,并允许更灵活的安全配置。 文稿提出将PBMAC1嵌入到PKCS#12文件中以支持不同的密钥生成函数,并定义了不同情况下的PBMAC1参数。此外,还给出了两种测试示例来演示该标准的正确性。 本文总结指出,虽然使用PBMAC1和PBKDF2可以提供更多的安全性和可扩展性,但仍然需要遵守当前的安全考虑,比如限制对SHA-1等输出大小为160位或以下的哈希函数的使用。 总的来说,本文通过引入PBMAC1和PBKDF2的新机制,提高了PKCS#12文件的完整性保护能力,同时保持了其原有的加密功能。
- Title: Use of the ML-DSA Signature Algorithm in the Cryptographic Message Syntax (CMS)
- Authors: Ben S(ben.s3@ncsc.gov.uk), Adam R(adam.r@ncsc.gov.uk), Daniel Van Geest(daniel.vangeest.ietf@gmail.com)
- Summary: 本文主要介绍了ML-DSA标准,这是一种用于加密的消息传递协议。它是一种基于模块化逻辑图结构的数字签名算法,旨在抵抗量子计算机对传统密码学攻击的能力。本文详细阐述了ML-DSA的定义、参数设置、签名生成和验证过程以及安全性考虑。此外,还讨论了IANA分配对象标识符ID-MOD-ML-DSA-2024的问题。全文深入浅出,易于理解。 总结:本文概述了ML-DSA的定义及其安全特性,并对其编码格式进行了详细的描述。同时,也分析了其潜在的安全问题并提出了相应的解决措施。最后,文中还提到了一个与ML-DSA相关的对象标识符问题,并指出了后续工作的方向。总的来说,本文提供了对ML-DSA这一新型加密技术的基础介绍和关键信息。
- Title: Internet X.509 Public Key Infrastructure: Algorithm Identifiers for SLH-DSA
- Authors: Kaveh Bashiri(kaveh.bashiri.ietf@gmail.com), Scott Fluhrer(sfluhrer@cisco.com), Stefan-Lukas Gazdag(ietf@gazdag.de), Daniel Van Geest(daniel.vangeest.ietf@gmail.com), Stavros Kousidis(kousidis.ietf@gmail.com)
- Summary: 这篇英文文档主要讨论了SLH-DSA算法在X.509公钥基础设施中的应用。它定义了SLH-DSA的算法标识符、签名模式、公共和私钥格式,以及相关的安全性考虑。SLH-DSA是一种基于哈希函数的安全数字签名标准,具有较强的抗量子计算能力。它包括三个安全级别:小参数集(SLH-DSA)的SPHINCS+算法、快参数集(SLH-DSA)的SHA-256和SHAKE256。本文还描述了如何使用SLH-DSA的签名、公开密钥和私钥来创建证书。它讨论了SLH-DSA的安全性概念,并提到了一些潜在的攻击威胁,如Grafting树攻击。此外,它指出了SLH-DSA树的最大签发次数为2的64次方。最后,它提供了SLH-DSA算法的编号定义和一个用于编码SLH-DSA公钥的模块。
privacypass
- Title: Privacy Pass Issuance Protocols with Public Metadata
- Authors: Scott Hendrickson(scott@shendrickson.com), Christopher A. Wood(caw@heapingbits.net)
- Summary: 本文主要介绍了两种基于公开和私有密钥的隐私保护通行证(Privacy Pass)的发布协议,它们都支持公钥相关的元数据。一种是使用PRG(部分非对称公钥加密)的OPPRF(Oblivious Pseudorandom Function)构建的;另一种是使用RSA公钥签名算法的PBRSA(Partially Blind RSA)。这些元数据可以用来区分不同部署中的信息,如应用程序发布的状态等,并在分布式系统中提供额外的安全性。本文还讨论了安全考虑,包括如何处理和验证元数据,以及可能的改进点。 总的来说,本文为隐私保护通行证提供了新的技术框架,使得不同类型的元数据能够以安全的方式传输并被用于不同的目的。它不仅有助于提高系统的可靠性和可扩展性,还能增强系统的安全性。
WIT
cdni
- Title: CDNI Capacity Capability Advertisement Extensions
- Authors: Andrew Ryan(andrew@andrewnryan.com), Ben Rosenblum(ben@rosenblum.dev), Nir Baruch Sopher(nir@apache.org)
- Summary: 本文是关于内容分发网络连接(CDNI)能力能力广告扩展的一个规范性文档。主要定义了两个新的能力对象:Telemetry能力和CapacityLimits,以及一个新的Telemetry源类型Registry,该类型将用于支持CDNI中的Telemetry源。 这个标准有助于CDNI组件之间更好地协作,并为流量分配提供透明度和可见性。它允许uCDN和dCDN之间的流量协商过程更加清晰和明确,从而提高端到端服务质量。 总的来说,这是在CDNI中添加新能力对象的重要步骤,旨在改进CDNI的性能并增强其整体功能。
core
- Title: Constrained Application Protocol (CoAP): Corrections and Clarifications
- Authors: Carsten Bormann(cabo@tzi.org)
- Summary: 本文主要对CoAP协议的相关文档进行修订和补充,纠正了一些不准确或存在错误的信息,并提供了一些关于CoAP在其他标准中的使用情况的澄清。此外,还对与CoAP相关的其他文档进行了参考。 文稿首先简要介绍了CoAP协议及其相关文档的基本结构和功能,然后对这些文档进行了校正和修正,以确保它们在实际应用中的正确性和互操作性。最后,文稿还提供了关于CoAP与其他标准之间的关系以及相关规范的情况说明。 总的来说,本文主要是一个对CoAP协议的修订文档,旨在提高其可理解性和兼容性,使其能够更好地满足实际需求。
tcpm
- Title: Improve TCP Handling of Out-of-Window Packets to Mitigate Ghost ACKs
- Authors: Yepeng Pan(yepeng.pan@cispa.de)
- Summary: 本文提出了一种新的方法来改善TCP对Out-of-Window(OOT)包的有效处理,以防止Ghost ACKs(旧ACK值)攻击。目前,[RFC9293]是最新主要文档,它替代了[RFC0793]并包含了[RFC5961]提出的ACK验证作为可选实现选择。然而,端点可能仍然接受包含无效ACK值确认已经发送的数据的新数据段,这些数据段可能会被客户端从未发送过。 为了解决这个问题,本文提出了两种解决方案:一种通用解决方案和一种假设[RFC4898]支持的情况下的解决方案。在通用方案中,TCP堆栈需要一个额外的状态变量ISS_CHECK_NOT_REQUIRED,并在验证接收的任何新数据段的ACK值时添加一个新的输入检查。当满足条件SND.UNA - MAX.SND.WND <= SEG.ACK <= SND.NEXT时,该状态变量设置为false;否则,将设置为true。当当前发送窗口满足上述条件时,如果新的ACK值在ISS之后,则不接受Ghost ACKs。另一种解决方案要求TCP堆栈在验证接收的所有新数据段的ACK值时,添加另一个输入检查。如果满足条件SND.UNA - MIN(MAX.SND.WND, tcpEStatsAppHCThruOctetsAcked) <= SEG.ACK,则接受新的ACK值,否则丢弃该数据段并返回挑战ACK。这两种解决方案都可以用于不同类型的连接,包括无数据传输的连接。
tsvwg
- Title: Requirements for Host-to-Network Collaboration Signaling
- Authors: John Kaippallimalil(john.kaippallimalil@futurewei.com), Dan Wing(danwing@gmail.com), Sri Gundavelli(sgundave@cisco.com), Sridharan Rajagopalan(sridharan.girish@gmail.com), Spencer Dawkins(spencerdawkins.ietf@gmail.com), Mohamed Boucadair(mohamed.boucadair@orange.com)
- Summary: 本文提出了对网络协同信号的要求, 包括基于包的元数据、针对客户端到网络的协同信号以及API框架。文稿强调了协同信号的重要性以优化用户体验和缓解无线网络中的复杂性。另外,它讨论了使用路径上的元数据需求,并详细描述了如何满足这些要求。 总的来说,这篇文稿提出了一套完整的方案来处理网络协同问题,旨在提高用户体验并减轻网络中的复杂性。它为解决这些问题提供了具体的指导原则和建议。
IRTF
cfrg
- Title: ML-KEM for HPKE
- Authors: Deirdre Connolly(durumcrustulum@gmail.com)
- Summary: 这篇文稿是关于模块-拉链式密钥封装机制(ML-KEM)在混合公钥加密(HPKE)协议中的应用。它定义了用于混合公钥加密的安全性标准,以确保ML-KEM在对抗具有量子计算机的攻击时保持安全。文稿还讨论了其使用场景,并提出了一个建议的名称“ML-KEM”。此外,还介绍了对本文的参考文献和作者的信息。总的来说,本文提供了一个新的角度来考虑ML-KEM在HPKE中的应用,旨在为未来的研究和实践提供指导。 请注意,由于文本没有直接引用或提及任何个人或机构的名字,因此无法在此处添加姓名。
- Title: The AEGIS Family of Authenticated Encryption Algorithms
- Authors: Frank Denis(fde@00f.net), Samuel Lucas(samuel-lucas6@pm.me)
- Summary: 《The AEGIS Family of Authenticated Encryption Algorithms》这篇文档描述了AEGIS家族的增强型认证加密算法,包括AEGIS-128L、AEGIS-256和AEGIS-128X。这些算法分别支持高性能应用,并提供128位和256位的安全性。AEGIS具有独特的特性,如不依赖于密钥后验状态,可以消除冷启动攻击的风险。 总的来说,本文总结了AEGIS家族的认证加密算法,它们是高安全性加密方案的理想选择,特别适合在需要高性能计算的应用场景中使用。
Unknown
Unknown
- Title: ISP Dual Queue Networking Deployment Recommendations
- Authors: Jason Livingood(Jason_Livingood@comcast.com)
- Summary: 《ISP双队列网络部署推荐》(Draft-J.Livingood-Low-latency-deployment-06)是关于低延迟、低丢包、可扩展吞吐量(L4S)和新非排队(NQB)一跳行为的一系列实验性RFC。这些文档描述了一种新的架构和协议,用于部署低延迟网络。由于决策最终留给实施者,本文探讨了关键决策的影响,并提出了有助于推动采纳的建议。 主要观点包括: 1. 应用程序标记流量以指示其对低延迟队列的需求,而不是网络根据自身决定这种选择。 2. 每个应用程序提供商都可以标记其流量到低延迟队列,无需先决条件或公开公认的合理技术指导。 3. 支持多种终端用户设备,如客户自有和ISP管理的客户机前置设备(CPE),当适用时。 4. 考虑队列保护功能,如防止误标(即使不必要的情况下)。 5. 避免内部标记差分服务值(DSVC)值,如果可能的话。 6. 在用户的家庭Wi-Fi局域网(WLAN)配置中,所有包都应按同一最佳努力优先级处理。然而,在用户的家庭无线访问点(CPE)上,情况更加复杂,因为不存在精确的IETF包标记映射与IEEE 802.11标记之间的映射。
- Title: Mathematical Mesh: Platform Configuration
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文主要讨论了在Windows、Linux和MacOS平台上配置数学网格平台配置的方法。文稿详细介绍了目录布局,包括目录结构、容器锁定等,并提出了相应的平台特定绑定。此外,还讨论了IANA考虑事项,以及对相关参考文献的引用。总的来说,本文提供了关于如何将数学网格应用部署到不同操作系统的具体指导,旨在确保其安全性和互操作性。
- Title: Mathematical Mesh: Reference Implementation
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文是关于数学网格(Mesh)开发者的文档,它是用于构建和验证安全基础设施的端到端解决方案。它涵盖了从安装和使用到平台特定配置数据等各个方面。 为了实现这一点,本文提供了一个参考代码和构建工具,并介绍了如何编译和运行这些代码。此外,还提供了服务器、连接管理器和用户界面的例子。 在架构方面,本文概述了数学网格的设计,包括其相关的规范和标准以及与之相关的要求语言。它还列出了与该文档相关的其他规格文件。 实施状态部分总结了Mesh开发者的最新实现情况,强调了存在的局限性,如不支持RSA密钥对等。它还提到了编码和测试结果,表明可以在Windows和Linux上进行编译,并且已通过兼容性测试。 最后,本文讨论了安全性考虑,引用了与之相关的参考资料,并指出了需要进一步研究的问题。
- Title: DNS Web Service Discovery
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 《DNS Web Service Discovery》是一个关于如何从域名获取Web服务端点的信息标准文档。它描述了在DNS名称下发现Web服务的方法,使用DNS SRV和TXT记录以及HTTP Well Known Service规范来实现。 该标准定义了一种标准化的方式来发现Web服务端点,主要涉及以下几方面: 1. 通过SRV记录找到提供特定服务的主机IP地址。 2. 根据服务描述信息确定主机上的服务参数,如路径、版本等。 3. 根据这些信息选择合适的主机并进行连接尝试。 4. 在无法获得SRV记录时,采用DNS Fallback策略替代,以确保服务可用性。 5. 对于大规模应用,可以考虑使用服务和主机描述来支持负载均衡和故障恢复功能。 总结来说,《DNS Web Service Discovery》为实现Web服务的高效发现提供了全面的解决方案,特别适合大型网络环境中,尤其是当客户端无法直接访问SRV记录或由于其他原因无法成功建立连接时。
- Title: Mathematical Mesh 3.0 Part X: Everything
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 《Everything》是互联网协议领域的一个文档格式、通知结构和相关服务,旨在提供一种统一且可扩展的人机交互方式。它基于数学网格平台,并支持现有协议和服务。 主要内容包括: 1. 网络工作组讨论了这个文档草案,并在邮件列表上进行讨论。 2. 文档草案定义了内容格式、通知消息以及相关的服务规范。 3. 定义了与现有的通信标准兼容或修改的部分,如WebRTC用于语音视频互动等。 4. 提供了定义、要求语言、实施状态等内容的信息。 5. 涉及到的其他相关规范和标准。 总结来说,《Everything》提供了跨多种通信模式的一致性架构,简化了客户端复杂度,为未来互联网协议的发展奠定了基础。
- Title: Mathematical Mesh 3.0 Part XI: Mesh Presence Service
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文主要讨论了数学网格(MathMesh)中的Mesh Presence服务协议。它是一种基于UDP的发布/订阅协议,用于提供立即通知事件、接收异步消息和更新Mesh目录等用途。Mesh Presence服务使用统一数据指纹(UDF)、数据在位加密(DARE)以及JSON-BCD编码来实现其功能,并且支持NAT穿越能力,如STUN所具有的相同特性。 本文还介绍了定义的术语,包括相关标准和规范引用等内容。此外,它详细描述了Mesh Presence服务的消息格式、协议结构、传输绑定方式以及与IANA考虑的事项。最后,文稿对参考代码基的实施状态进行了总结,并给出了相关的文档链接。总之,本文为理解Mesh Presence服务提供了全面的介绍和指导。
- Title: Mathematical Mesh 3.0 Part IX: Mesh Notarized Signatures
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文主要讨论了Mesh Notarized Signatures的概念和创建、验证方法。它描述了一个不记名签名,其时间是通过一个或多个参与者的认证来证明的,这些参与者是Notarization Mesh中的所有参与者。这种类型的签名旨在确保在特定时间段内创建,如在某个时间之后或之前。此外,还讨论了控制缺省状态的方法,包括受信任的见证者产生的多份不一致的签名交叉证明默认行为提供了一种非抵赖证据。 本文还详细介绍了关于Mesh Notarized Signatures的验证过程以及相关的安全考虑。文稿最后总结了本文档的结构和规范性参考文献。
- Title: Mathematical Mesh 3.0 Part VII: Mesh Callsign Service
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文主要介绍了Mesh Callsign Service架构及其相关标准和规范。首先介绍了Mesh Callsign Registry模型,包括透明性、争议解决机制等。接着定义了相关的术语和要求语言,并详细说明了各部分的功能实现。 此外,还讨论了Mesh Callsign注册接口、解析器、文档验证等问题。最后对安全性进行了考虑,提出了相应的策略和措施。该文档提供了详细的参考代码和示例,便于开发者理解和使用。
- Title: Mathematical Mesh 3.0 Part VIII: Cryptographic Algorithms
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文主要介绍了Mesh网络中的数学网格(Mesh)架构及其加密算法。Mesh是用于在不同设备之间交换配置和凭证数据的基础架构,提供端到端的安全性。本文讨论了使用的加密算法以及多方密钥生成和分发等机制。 文稿首先定义了相关术语,如需求语言、定义的条款、相关的规格文档和实施状态等。然后详细描述了推荐和要求的加密算法,并给出了详细的实施指南。 接着,文稿解释了多方加密和多方密钥生成机制如何使用Diffie-Hellman密钥协议和椭圆曲线变体实现。对于密钥组合法和结果组合法,提出了具体的实现方案。最后,文稿还讨论了安全性和实施考虑。 总的来说,本文为开发者提供了关于Mesh网络加密算法和实施细节的信息,有助于理解和设计Mesh应用程序。
- Title: Mathematical Mesh 3.0 Part VI: Reliable User Datagram
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文主要介绍了数学网格3.0系列之一可靠用户数据传输协议(RUD)的相关概念和设计。RUD是一种轻量级的密钥交换、认证和加密协议,可以与HTTP和UDP运输层结合使用,提供交易型用户数据传输服务。RUD通过组合TCP、TLS、HTTP和Web Sockets等网络协议,实现了功能上相似但复杂度大大降低的效果。 文稿讨论了RUD的设计目标以及它在现代网络应用中的作用。RUD简化了复杂的网络连接实现,并提供了新的通信模式以满足一些关键需求,如网络适应性、连接转移、位置代理、安全策略等。RUD通过分离流(Stream)和端口(Port),支持灵活的连接管理和通信模式,从而增强了网络应用的能力。RUD还提供了一种方式来改善应用程序性能,如实时更新和减少网络负载。总的来说,RUD是现代网络架构中一种重要的解决方案,为用户提供了一个简单的框架来构建更高效、更安全的服务。
- Title: Mathematical Mesh 3.0 Part V: Protocol Reference
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 这篇文稿主要讨论了数学网格(Mathematical Mesh)协议的各个方面。它描述了一个基于端到端安全基础设施的网络架构,用于在多个用户设备之间交换配置和凭据数据。Mesh服务提供者负责管理主持久存储库、同步账户与连接设备之间的目录操作等。 Mesh服务通过Mesh服务协议来支持设备间的交互,以及使用可靠UDP分组进行认证、身份验证、更新、下载等功能。Mesh Messaging协议则提供了对消息的异步处理,允许不同用户设备间发送和接收信息。 文稿还详细介绍了Mesh服务的三种主要功能:服务描述、账户管理、Persistence Store Management(持久存储管理)。这些功能共同构成了Mesh Service的完整体系。其中,服务描述确保了Mesh Service的功能,而账户管理则是实现访问控制的重要部分。 Mesh Messaging协议采用HTTP或UDP作为传输层,并由JSON-BCD应用绑定来定义数据类型。Mesh Messaging还包含加密机制以保护通信免受分析攻击,包括消息PIN交互、接触交换交互、远程交互等。 此外,文稿还提到了Mesh服务的安全性考虑,如数据丢失、完整性风险、消息发布、加密操作等。虽然这些特性可能会限制某些应用程序的能力,但它们有助于保证用户的数据安全性和隐私性。 最后,文稿总结了当前版本Mesh Service协议存在的问题,并指出未来可能需要进一步修订,以便更好地满足实际应用场景的需求。
- Title: Mathematical Mesh 3.0 Part IV: Schema Reference
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 本文主要介绍了数学网格(Mesh)框架的架构、定义和实现。Mesh是一种用于安全基础设施的分布式网络,旨在促进用户设备之间的通信。它使用阈值加密技术来保护关键设备免受攻击,并支持多种协议。Mesh服务提供了跨账户访问控制,允许用户根据需要选择不同类型的权限。Mesh架构包括各种目录(如访问目录、应用程序目录等)以及相关的消息交换机制。Mesh架构还设计了用于管理连接到账户的设备的设备预配置功能。此外,Mesh提供了用于存储数据和证书的出版目录。 总的来说,本文概述了数学网格的基本概念和技术,强调其在安全通信领域的应用。它为未来的研究和开发提供了指导方向。
- Title: Mathematical Mesh 3.0 Part III : Data At Rest Encryption (DARE)
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 《Data At Rest Encryption》是一篇关于数据在位加密(DARE)封装和序列化的文档。本文介绍了DARE封装和序列化语法,包括头部、内容和尾部字段,以及它们的功能和应用场景。 文稿首先概述了数据保护的基本概念,并讨论了使用公钥交换建立密钥对以提供单向安全性的方法。然后,它描述了DARE的封装过程,即在一个单独的公共密钥交换基础上为多个数据序列生成一个单一的密钥。接下来,文稿讨论了DARE序列化,包括其格式、编码方式和应用程序支持。 此外,文稿还提出了几个未来工作方向,包括终端完整性检查、延迟索引记录和缓存更新等技术。最后,文稿总结了该规范的优点和挑战,并提供了相应的参考文献。
- Title: Mathematical Mesh 3.0 Part I: Architecture Guide
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 《Mathematical Mesh》文档是关于数学网格的第3版,它是通过阈值密钥基础设施(TKI)来使计算机更容易使用的。它提出了一个原则:如果互联网要安全,则必须让用户使用应用程序变得轻而易举。传统的PKI只提供了有效的工具来管理公钥,但在实现这个目标时遇到了障碍。因此,需要提供每个用户都可以在他们的设备上零努力地管理私钥的能力。 这个文档提供了一个数学网格的架构、协议和用例的概述。它还描述了统一数据指纹(UDF)、数据静止加密(DARE)等组件,并讨论了它们之间的关系。 该文档的核心概念是“零努力安全性”,即只要可能,就不要求用户付出任何努力以保护其安全。它提出了一种新的方法来分配信任,允许用户将信任委托给其他人并部分放弃自己的权限。 文档中的其他主题包括: 1. 网络工作组(MATHMESH) 2. 定义 3. 要求 4. 用户体验 5. 部署考虑 6. 计算机科学 7. 安全性考虑 8. IANA考虑 9. 致谢 10. 参考文献
- Title: Mathematical Mesh 3.0 Part II: Uniform Data Fingerprint.
- Authors: Phillip Hallam-Baker(phill@hallambaker.com)
- Summary: 《统一数据指纹》(Draft-Hallambaker-Mesh-UDF-2024)是关于使用统一数据格式来表示加密密钥、非空值和部分共享密钥的一种草案。文档详细描述了如何创建、比较以及在其他互联网地址方案中的使用。文档还讨论了如何安全地使用这些数据,例如如何将一个域名转换为一个名称形式的UDF URI。 主要特点包括: 1. 提供了一种通用的格式来表示短的二进制序列,用于数据输入或存储。 2. 使用统一的数据格式和编码方式来表达不同的类型的数据,如加密密钥、非空值和部分共享密钥。 3. 包含内容摘要作为指纹值,提供了一个方便的方法来表示消息认证码或消息验证代码。 4. 确保数据的安全传输,防止敏感信息被篡改或泄露。 5. 提供一种机制,使用户能够快速识别和验证加密内容。 文档提供了多种示例,以帮助理解和应用这些概念,并强调了使用这种格式的优势,如紧凑性、可读性和安全性等。
- Title: Clarification to processing Key Usage values during CRL validation
- Authors: Corey Bonnell(corey.bonnell@digicert.com), Tadahiko Ito(tadahiko.ito.public@gmail.com), Tomofumi Okubo(tomofumi.okubo@digicert.com)
- Summary: 本文主要介绍了在使用X.509证书和证书撤销列表(CRL)时出现的安全风险,并提出了一种解决方案来解决这个问题。这种安全问题主要是因为一些认证机构(Authorization Authorities, AAs)签发给被授权实体的CRL证书不包含关键使用扩展(keyUsage extension)中的cRLSign位,导致这些CRL无法验证被授权实体所持有的私钥是否用于验证其他证书或CRL的签名。 为了解决这个问题,本文提出了一个新的步骤,在验证CRL时检查证书中是否有关键使用扩展及其cRLSign位。如果存在关键使用扩展,则需要验证其cRLSign位是否设置。这一更新使得依赖于CRL的系统能够正确地验证由CRL签发者签署的CRL,从而避免了由于某些AAs未能遵循RFC 5280规范而产生的潜在安全问题。 总的来说,本文提出的修正措施旨在提高CRL验证过程的准确性,确保依赖于CRL的系统的安全性,同时也提供了一个可供认证机构参考的建议,即应当在向授权实体发放CRL之前对证书进行适当配置,以防止可能出现的兼容性问题。
- Title: Technical Requirements for Secure Access and Management of IoT Smart Terminals
- Authors: Bin Wang(wbin2006@gmail.com), Song Liu(achelics@gmail.com), Li Wan(dzwanli@126.com), Jun Li(0572222@fudan.edu.cn), Xing (Tony) Wang(xing.wang.email@gmail.com), HaoNan Yan(yanhaonan@hikvision.com), Yinghui Xie(532874282@qq.com)
- Summary: 本文主要探讨了在物联网(IoT)系统中实现安全访问和管理智能终端所面临的挑战。文稿首先分析了当前物联网系统中的网络结构、存在的安全威胁和挑战,如非法连接、人机关系、设备离线以及对设备的管理等问题。接着,文稿介绍了物联网智能终端的安全访问管理和控制框架,包括感知与控制层、接入与管理层、应用和服务层以及用户层。该框架涵盖了设备安全管理、访问控制策略制定、策略管理及审计等多个方面。最后,文稿讨论了对于智能终端安全性的具体要求,如设备身份认证信息需求、设备状态监控、终端资产管理和协议访问权限等。此外,还提到了相关的网络安全标准和指南,并指出了未来可能的发展方向。总之,本文旨在为物联网系统的安全访问和管理提供一个全面的技术参考架构。
- Title: Open Service Access Protocol for IoT Smart Devices
- Authors: Bin Wang(wbin2006@gmail.com), Shaopeng Zhou(zhoushaopeng@hikvision.com), Chao Li(lc96@bupt.edu.cn), Chunming Wu(wuchunming@zju.edu.cn), Zizhao Wang(22021272@zju.edu.cn), HaoNan Yan(yanhaonan@hikvision.com), Yinghui Xie(532874282@qq.com)
- Summary: 本文主要讨论了物联网设备智能通信的要求,包括数据传输、协议接口和认证等方面。提出了开放服务接入协议的需求,并详细介绍了其架构设计、模型构建、框架体系、交互协议结构等。强调了该协议对简化业务复制成本和消除服务障碍的重要意义,旨在推动工业发展。