今日共有30篇文稿更新,涉及7个area里的22个WG

ART

regext

  1. I-D: draft-ietf-regext-rdap-x-media-type-02
  • Title: An RDAP With Extensions Media Type
  • Authors: Andy Newton(andy@hxr.us), Jasdip Singh(jasdips@arin.net)
  • Summary: 本文主要讨论了在RADIUS协议中如何使用不同的媒体类型来描述不同类型的资源。首先,介绍了“application/x-rda”媒体类型和“application/x-rda+json”媒体类型,并详细解释了它们的不同之处。然后,指出了如何在RADIUS服务器上使用这些媒体类型,并分析了这种媒体类型可以实现的功能。最后,总结了使用这些媒体类型的优点、缺点以及潜在的风险。总的来说,该文档提供了一个详细的指南,帮助开发者了解如何在RADIUS服务器上正确地使用不同的媒体类型来描述不同的资源。 总的来说,本文提供了关于如何在RADIUS服务器上正确使用不同的媒体类型的指导,有助于提高服务的安全性和可靠性。

satp

  1. I-D: draft-ietf-satp-usecases-04
  • Title: Secure Asset Transfer (SAT) Use Cases
  • Authors: Venkatraman Ramakrishna(vramakr2@in.ibm.com), Thomas Hardjono(hardjono@mit.edu)
  • Summary: 《Secure Asset Transfer Protocol在企业系统和网络中的应用》这篇文稿主要讨论了数字资产跨网转移、数据共享和交换等场景。文稿指出,这些场景是企业进行国际贸易、供应链管理、食品跟踪和其他相关业务过程中面临的挑战。在此背景下,本文介绍了基于安全资产传输协议(SATP)的解决方案,这是一种适用于跨平台交易的新型协议。文稿还提出了实现SATP需要考虑的数据安全性、可靠性、健壮性等问题,并强调了该协议对解决上述问题的重要性。总的来说,文稿通过详细分析各种应用场景,展示了如何利用SATP来解决数字资产跨网转移的问题,从而提高企业的业务效率和竞争力。

INT

6lo

  1. I-D: draft-ietf-6lo-nd-gaao-00
  • Title: Generic Address Assignment Option for 6LowPAN Neighbor Discovery
  • Authors: Luigi Iannone(ggx@gigix.net), Zhe Lou(zhe.lou@huawei.com), Adnan Rashid(adnanrashidpk@gmail.com)
  • Summary: 本文讨论了6LowPAN节点请求分配地址或前缀的新机制——通用地址分配选项(GAAO),该机制允许节点直接向邻居路由器发出地址或前缀请求。该机制通过使用新的IPv6 ND Option格式,与现有的ND Option格式相结合,扩展了IPv6邻居发现协议的功能。在处理过程中,它优化了消息交换,并定义了一些新错误条件和安全要求。 总的来说,本文提出了一种用于自动配置的替代方案,为低功耗、丢包网络中的应用提供了一个灵活且可扩展的解决方案。通过这种方式,可以更好地管理和利用有限的资源,从而实现更高效的数据传输和能源节约。

6man

  1. I-D: draft-ietf-6man-rfc6724-update-12
  • Title: Prioritizing known-local IPv6 ULAs through address selection policy
  • Authors: Nick Buraglio(buraglio@forwardingplane.net), Tim Chown(tim.chown@jisc.ac.uk), Jeremy Duncan(jduncan@tachyondynamics.com)
  • Summary: 本文档主要更新了关于IPv6地址选择的RFC 6724标准,以支持使用本地化(ULAs)地址来替代默认的GUA地址。具体来说: 1. 修改了默认策略表中的优先级和标签规则,将ULAs的优先级提高到高于所有IPv4地址。 2. 强制要求在地址选择策略表中插入已知的本地化的ULAs,即使它们不是全局IPv4地址。 3. 增加了对Ula标识符、其预后等级和优先级的说明,并讨论了一些特殊情况下的行为调整,如Ula和远程ULA的通信等。 4. 提高了对于ULAs与GUAs的优先级差异的认识,使其更加符合实际网络部署需求。 5. 对于需要手动配置或自定义设置的特殊场景,提供了建议的方法。 总的来说,该更新旨在改善特定场景下IP地址选择的默认处理,以支持更广泛的应用需求,并逐步减少对IPv4的支持。

OPS

green

  1. I-D: draft-li-green-power-00
  • Title: A YANG model for Power Management
  • Authors: Tony Li(tony.li@tony.li), Ron Bonica(rbonica@juniper.net)
  • Summary: 本文提出了一个用于网络管理的YANG模型,该模型旨在优化网络设备的电力效率。它描述了网络中的组件和它们之间的依赖关系,并提供了用于调节电力消耗的能力。此外,还定义了一个自动电力节省功能,以便在必要时使网络设备进入节能模式。 这个模型还包括了流量规划的概念,包括预期输入和输出带宽的信息。这些信息将有助于网络管理员根据预计的负载调整设备配置。 最后,文稿也提到了一些安全性考虑,强调了在网络管理和通信方面如何使用YANG数据模型来控制访问路径,以及可能需要与其他安全机制结合的情况。

ivy

  1. I-D: draft-wzwb-ivy-network-inventory-software-03
  • Title: A YANG Network Data Model of Network Inventory Software Extensions
  • Authors: Bo Wu(lana.wubo@huawei.com), Cheng Zhou(zhouchengyjy@chinamobile.com), Qin Wu(bill.wu@huawei.com), Mohamed Boucadair(mohamed.boucadair@orange.com)
  • Summary: 本文提出了一种网络资产模型,用于描述网络设备、硬件组件和软件组件。它支持非物理网络元素(如控制器、虚拟路由器、虚拟防火墙等)以及软件组件的信息,并定义了一些新的软件属性,如软件状态、安装时间等。此外,还定义了安全考虑因素、IANA注册信息、参考文献和作者地址。 该文档主要分为五个部分: 1. 引言:介绍了网络资产管理的概念及其在管理非物理网络元素时的重要性。 2. 要求语言:概述了要求的语言标准。 3. 关系到其他Yang数据模型:解释了与现有Yang数据模型的关系。 4. 模型概述:提供了关于新扩展模型的详细说明。 5. 非物理网络元素:讨论了如何使用Yang数据模型来描述这些实体。 6. 软件组件:阐述了如何将此类属性添加到软件组件上以进行管理和监控。 总的来说,本文提供了一个基于Yang的数据模型,可以用来描述网络中的各种资产,包括非物理网络元素和软件组件。它为网络安全管理和维护提供了一个统一的框架。

netconf

  1. I-D: draft-ietf-netconf-udp-notif-15
  • Title: UDP-based Transport for Configured Subscriptions
  • Authors: Guangying Zheng(zhengguangying@huawei.com), Tianran Zhou(zhoutianran@huawei.com), Thomas Graf(thomas.graf@swisscom.com), Pierre Francois(pierre.francois@insa-lyon.fr), Alex Huang Feng(alex.huang-feng@insa-lyon.fr), Paolo Lucente(paolo@ntt.net)
  • Summary: 本文主要讨论了UDP作为通知传输机制在订阅机制中的应用。它首先描述了一种基于UDP的通知运输机制,其设计目的是为了支持网络节点的数据流收集和更新订阅。然后,详细介绍了该机制的控制方式、通知消息格式、选项设置以及适用性等。最后,指出了其可能的安全性和实施情况。 总的来说,文稿重点强调了UDP在数据流收集方面的优势,并提出了一个轻量级的方法来提供高频率和性能影响较少的通知机制。它的优点包括减少TCP连接数量,提高数据传输效率,允许直接从网络处理器发送数据到接收器,以及提供更多元化的数据分析能力等。然而,目前UDP仍然存在一些限制,如最大传输单元(MTU)限制和数据分段问题,需要进一步的研究和改进。
  1. I-D: draft-ietf-netconf-udp-client-server-05
  • Title: YANG Groupings for UDP Clients and UDP Servers
  • Authors: Alex Huang Feng(alex.huang-feng@insa-lyon.fr), Pierre Francois(pierre.francois@insa-lyon.fr), Kent Watsen(kent+ietf@watsen.net)
  • Summary: 本文主要讨论了两个用于UDP客户端和服务器配置的YANG模块,名为“ietf-udp-client”和“ietf-udp-server”。这些模块定义了一个通用的组群,可以用于配置UDP客户端或服务器。YANG模型包括数据模型、示例使用场景以及相应的YANG模块描述。 文稿指出,这两个模块的目的在于提供一个抽象的框架,使用户能够轻松地将特定的UDP应用与网络管理协议集成在一起。同时,它们还为用户提供了一种方法来实现跨平台的统一管理和控制。 安全性方面,文稿强调了在使用这些模块时需要遵循的安全要求,并且提到了如何通过引入新的YANG模块名称来进行注册和管理。此外,文稿也包含了对IANA的相关建议,以确保正确的URI分配和命名规则。 总的来说,本文提供了关于如何利用YANG模进行UDP客户端和服务端配置的一般性指导,同时也给出了相关的安全性和注册方面的建议。
  1. I-D: draft-netana-netconf-yp-transport-capabilities-00
  • Title: YANG Notification Transport Capabilities
  • Authors: Qin Wu(bill.wu@huawei.com), Qiufang Ma(maqiufang1@huawei.com), Alex Huang Feng(alex.huang-feng@insa-lyon.fr), Thomas Graf(thomas.graf@swisscom.com)
  • Summary: 本文提出了一种用于通知传输能力的YANG模块,该模块扩展了"ietf-system-capabilities" YANG模块,并提供了与通知相关的系统和数据集更新的通知传输能力。该模块可以被客户端在运行时或在部署期间从服务器处获取通知传输能力信息,通过使用YANG实例数据文件格式。 主要功能包括: 1. 提供支持的订阅周期,最大对象数量,以及支持的数据存储或节点的数据集更新通知。 2. 支持可选的SSL/HTTPS配置的运输协议(如HTTPS)和UDP配置的运输协议(如UDP)。 3. 支持选择性的加密标准,例如AES、DES等,以及支持对称密钥交换的选项。 4. 提供支持的数据格式转换,如JSON、XML等。 总的来说,本文为网络配置管理协议(NETCONF)提供了一个附加的能力模型,使得客户端能够了解并利用服务器提供的各种通知传输能力。这对于提高通知处理效率和安全性具有重要意义。

nmop

  1. I-D: draft-ietf-nmop-terminology-06
  • Title: Some Key Terms for Network Fault and Problem Management
  • Authors: Nigel Davis(ndavis@ciena.com), Adrian Farrel(adrian@olddog.co.uk), Thomas Graf(thomas.graf@swisscom.com), Qin Wu(bill.wu@huawei.com), Chaode Yu(yuchaode@huawei.com)
  • Summary: 本文主要对网络故障和问题管理中的核心术语进行了定义,包括系统、资源、特性、状态、症状、原因等概念。文中还讨论了这些术语在处理网络故障时的重要性,并强调了安全性和隐私方面的考虑,以及在实施过程中需要遵守的指南和标准。 总结起来,本文是关于网络故障管理和控制解决方案中的一些基础术语的概述和解释,旨在为相关领域的研究者提供一个清晰的框架来理解和应用这些术语。同时,它也提醒读者注意在使用这些术语时可能遇到的安全和隐私方面的问题。总之,本文提供了网络故障管理领域中一些基本概念的介绍,有助于提高专业人员在此领域的知识水平。

opsawg

  1. I-D: draft-liu-opsawg-cco-cm-requirement-02
  • Title: Requirements from Control and Management Viewpoint for Collective Communication Optimization
  • Authors: Liu Chang(liuchangjc@chinamobile.com), Xu Shiping(xushiping@chinamobile.com)
  • Summary: 本文提出了对集体通信优化的需求,包括内存管理、拓扑管理、接口管理和数据管理等。这些需求是基于网络控制和管理视角提出的,并结合了集体通信解耦、多播替代单点传播、认知图谱路径规划以及语义差距桥梁等优化方案。此外,文稿还指出了在进行集体通信优化时需要考虑的安全性和IANA注册的问题。总的来说,该文为集体通信优化提供了必要的规范指导。

RTG

cats

  1. I-D: draft-ietf-cats-framework-04
  • Title: A Framework for Computing-Aware Traffic Steering (CATS)
  • Authors: Cheng Li(c.l@huawei.com), Zongpeng Du(duzongpeng@foxmail.com), Mohamed Boucadair(mohamed.boucadair@orange.com), Luis M. Contreras(luismiguel.contrerasmurillo@telefonica.com), John Drake(jdrake@juniper.net)
  • Summary: 《Computing-Aware Traffic Steering (CATS) Framework》(计算感知流量引导(CATS框架))是一项旨在提供网络服务时对计算资源和网络状态进行动态考虑的技术。它基于服务识别、服务接触实例、计算代理等概念,支持更智能的服务请求转发决策。文中提出了一种新型架构,即计算感知路由(CATS)框架,用于在多站点网络环境中实现高效的服务调度。 该框架包括几个主要组件:服务标识、服务接触实例、服务联系点实例、计算代理、网络代理、分类器以及Overlay CATS-Forwarders。其中,计算代理负责收集服务能力和服务状态信息,并将这些信息通告给相关的路径选择器(路径规划元素)。网络代理则收集网络能力和状态信息,并将其传递给路径选择器以决定最优的出口节点。分类器确定哪些数据包属于特定的服务流,并通过一个路径选择器来指定向哪个服务联系点发送。 该框架提供了三种部署模型:集中式、分布式的混合模式,以及分布式模式。其中,分布式模式适合于分散式的网络环境;集中式模式适合于需要集中控制的地方;而混合模式则是在这两种模式之间的一种折衷方案。 总的来说,《Computing-Aware Traffic Steering (CATS) Framework》是一种用于在网络环境下优化服务调度的新技术,它为用户提供了一个有效的服务调度系统,提高了服务质量并减少了网络拥堵。

idr

  1. I-D: draft-hares-idr-fsv2-more-ip-actions-03
  • Title: BGP Flow Specification Version 2 - More IP Actions
  • Authors: Susan Hares(skh@ndzh.com)
  • Summary: 这篇《BGP流规格版本2(FSv2)更多IP动作》的文档是关于BGP流量规格版本2(FSv2)的一部分,它定义了用户自定义排序的动作在基本IP规则中的功能。FSv2允许使用Extended Community路径属性来编码这些动作,并且可以被用户指定顺序。此外,FSv2还提供了两种扩展社区类型:FSv2 Extended Community(FSv2 EC),用于基本IP规则,和FSv2 Community Path Attribute(FSv2 CPA),用于传递用户自定义的过滤器。 FSv2定义了各种类型的FSv2 Extended Community动作,包括ACO(Action Chain Order)、TAIS(Interface Set)、TRB(Traffic Rate Limit)、RA(Redirect IPv4)、TM(Traffic Marking)、SFCC(SFC Classifier)等。这些动作可以根据不同的优先级、用户定义的顺序和类型进行排序。同时,FSv2还规定了如何验证和处理这些动作,例如当一个动作失败时,应遵循默认流程或根据配置继续执行其他动作。对于不同的应用场景,还可以选择将FSv2 EC中的某些行为转换为FSv2 CPA中的相同的行为。 总的来说,FSv2通过提供了一种更灵活的方式来管理BGP路由的选择,允许用户按照自己的需求对流量规格进行定制化处理,同时也确保了所有FSv2动作之间逻辑上的正确性和一致性的维护。

mpls

  1. I-D: draft-ietf-mpls-rfc6374-sr-17
  • Title: Performance Measurement for Segment Routing Networks with MPLS Data Plane
  • Authors: Rakesh Gandhi(rgandhi.ietf@gmail.com), Clarence Filsfils(cfilsfil@cisco.com), Daniel Voyer(daniel.voyer@bell.ca), Stefano Salsano(stefano.salsano@uniroma2.it), Mach Chen(mach.chen@outlook.com)
  • Summary: 本文主要讨论了在使用多协议标签交换(MPLS)数据平面(SR-MPLS)网络中的段路由(SR)中,可以应用的性能测量技术。本文定义了在SR-MPLS环境中进行准确的延迟和丢失测量的必要步骤和扩展,以确保运营商能够有效地测量和维护基于SR的MPLS网络的质量服务。这些包括对链路以及端到端的SR-MPLS路径覆盖,以及SR策略的SR政策。 文稿详细介绍了用于分段路由(SR)MPLS网络的带宽利用率、要求语言、缩略语等标准文档的一般规定,并给出了参考文档列表。此外,它还提供了一个简要介绍,解释了如何使用RFC6374、RFC7876和RFC9341来实施分段路由性能测量的技术,特别是在SR-MPLS环境中。 总的来说,本文为实现SR-MPLS环境下的流量测量提供了一个详细的框架,帮助运营商建立有效的质量服务水平协议。

rtgwg

  1. I-D: draft-zhang-rtgwg-collaboration-app-net-01
  • Title: Deep Collaboration between Application and Network
  • Authors: Naihan Zhang(zhangnh12@chinaunicom.cn), Shuai Zhang(zhangs366@chinaunicom.cn), Xinxin Yi(yixx3@chinaunicom.cn), Xuesong Geng(gengxuesong@huawei.com), Hang Shi(shihang9@huawei.com)
  • Summary: 本文分析了应用和网络之间需要深度合作的重要性。文稿讨论了双向意识在应用程序和网络之间的必要性,以及高带宽、低延迟的数据传输场景中的应用和网络之间的问题和需求。 文中还提出了几个应用场景:高速IoV、大规模数据传输、工业互联网和数据共享与流通。这些应用场景对网络和计算资源的需求各不相同,因此应用和网络之间的深度合作是必要的,以实现高效的资源配置和服务保证。 此外,文稿还提到了一些可能的安全和认证问题,并提出了相应的解决方案。然而,由于该文档是一个草案,具体的实施细节还需要进一步的研究和发展。

spring

  1. I-D: draft-lin-spring-srv6-aware-context-indicator-03
  • Title: SRv6 Context Indicator SIDs for SR-Aware Services
  • Authors: Changwang Lin(linchangwang.04414@h3c.com), Jiaming Ye(yejiaming@chinamobile.com), Dongjie Lu(ludongjie@chinamobile.com), Mengxiao Chen(mengxiao.ietf@outlook.com), Meiling Chen(chenmeiling@chinamobile.com)
  • Summary: 本文提出了一种新的段落标识符(SID)作为服务节点处理分组的上下文指示器。该文档详细描述了如何使用SRv6 SID作为服务节点的上下文指示器,用于服务网络中的SR-Aware服务。通过定义端点行为(End.AN),可以实现对特定虚拟防火墙实例进行动态关联和识别,从而支持不同的安全资源池服务需求。 本文还讨论了使用SRv6 SID来扩展传统的政策控制机制的必要性,并提供了相应的端点行为实现方式。这种新的SID设计为SR-Aware服务提供了一个灵活的上下文指示工具,允许在不同场景下根据实际需要配置和管理服务流。 总的来说,本文提出的SRv6 SID作为服务节点上下文指示器的设计对于增强SR-Aware服务的灵活性和可扩展性具有重要意义。它为传统服务网络中的策略管理带来了新的视角,并有望促进未来的网络架构演进。

SEC

acme

  1. I-D: draft-aaron-acme-profiles-00
  • Title: Automated Certificate Management Environment (ACME) Profiles Extension
  • Authors: Aaron Gable(aaron@letsencrypt.org)
  • Summary: 本文提出了一种新的扩展协议,允许认证中心(ACME)服务器向ACME客户端提供多种证书类型,并使客户端能够选择一个特定的证书类型。这种新协议将证书管理流程从复杂的CSR请求简化为简单的新订单请求和最终确认请求。此外,它还解决了与证书颁发相关的潜在安全问题,如CA可能在证书颁发过程中错误地使用CSR中的某些字段并将其直接复制到证书中。 该协议通过引入一个新的“profile”字段来表示不同的证书类型,以及添加一个新字段“profile”到Order对象中来标识证书类型的发布方式,使得ACME客户端可以更轻松地选择他们想要的证书类型。此外,通过将证书类型的选择从finalization请求中的CSR移至Order对象本身,大大减少了解析和处理x509 ASN.1的需要,从而增加了整个WebPKI的安全性和稳定性。 总之,本文提出的扩展协议是一种简洁、有效的方法,以减轻ACME客户端和服务器之间的通信负担,并减少证书颁发过程中的错误和潜在风险。
  1. I-D: draft-ietf-acme-ari-06
  • Title: Automated Certificate Management Environment (ACME) Renewal Information (ARI) Extension
  • Authors: Aaron Gable(aaron@letsencrypt.org)
  • Summary: 《ACME ARI》是IETF的一个文档,主要讨论了如何通过自动证书管理环境(ACME)协议提供建议给ACME客户端何时应该重新申请证书的方法。它允许CA们向他们的客户提出在某些时间段重新申请证书的建议,以减少不必要的负载和提高响应能力。 该文档还详细说明了如何获取建议的信息、如何使用新的资源类型“renewalInfo”以及如何处理这些信息。此外,还介绍了ACME订单对象中的新字段“replaces”,表示以前的证书编号。文档强调了安全性考虑,并提供了相关的参考文献。

cose

  1. I-D: draft-ietf-cose-merkle-tree-proofs-07
  • Title: COSE Receipts
  • Authors: Orie Steele(orie@transmute.industries), Henk Birkholz(henk.birkholz@ietf.contact), Antoine Delignat-Lavaud(antdl@microsoft.com), Cedric Fournet(fournet@microsoft.com)
  • Summary: 《COSE Receipts》是关于一个名为COSE的通信协议及其组成部分。该协议定义了用于证明数据结构状态的接收凭证,以确保透明性、非等效性和可验证性。COSE Receipts由两个部分组成:一个是COSE的签名对象,用于传达Verifiable Data Structure(VDS)和其参数;另一个是未加密的头部,包含必要的VDS和VDP信息。在文中提到了两种不同的Verifiable Data Structure(VDS),它们分别支持Inclusion Proof和Consistency Proof。COSE Receipts的安全性和可靠性得到了保证。 总的来说,《COSE Receipts》是一个为COSE协议添加新功能并改进其安全性的扩展草案。它强调了通过使用CBOR和COSE来表示和传递VDS及其参数的重要性,并提供了几种验证VDS的状态的方法。文稿还讨论了如何保护和存储这些信息以及如何防止潜在的攻击。

lamps

  1. I-D: draft-ietf-lamps-rfc9579bis-03
  • Title: Use of Password-Based Message Authentication Code 1 (PBMAC1) in PKCS #12 Syntax
  • Authors: Alicja Kario(hkario@redhat.com)
  • Summary: 本文讨论了在PKCS#12格式中使用密码增强消息认证码1(PBMAC1)来提供更强的完整性保护。该改进允许使用更现代的密码增强密钥生成函数(PBKDFs)和满足不同政府法规要求,如PBKDF2的限制。 文中定义了新的PBMAC1语法结构,并建议在相关标准中包括相应的编码规则,以便兼容不同的实现方式。另外,还提供了测试用例以验证新语法的有效性。总的来说,这是对现有PKCS#12格式的一个扩展,旨在支持更多的加密和完整性保护功能。
  1. I-D: draft-liu-lamps-browser-webpki-cert-preservation-00
  • Title: Simple Local Web PKI Certificate Resource Preservation Management for Internet Browser
  • Authors: Penghui Liu(liuph@pcl.ac.cn), Xiang Liu(liux15@pcl.ac.cn), Rongwei Yang(yangrw@pcl.ac.cn), Yu Zhang(zhangy08@pcl.ac.cn)
  • Summary: 本文主要讨论了Web PKI证书资源管理问题,尤其是在所有权和控制权不一致时,导致无法验证证书。提出了一种机制来允许互联网浏览器创建本地自定义管理视图来保存证书资源,从而能够自主决定在必要时替换由特定认证权威CA发布的验证结果。这种机制旨在解决由于中央化大型认证机构(CA)控制所面临的挑战而带来的风险,这些中心化的CA可能会受到来自OCSP、CRL和CT系统的外部影响,威胁到关键基础设施的安全性和完整性。该文档还讨论了安全考虑,并指出了如何通过遵循本标准来实现这一目标。

radext

  1. I-D: draft-ietf-radext-tls-psk-11
  • Title: Operational Considerations for RADIUS and TLS-PSK
  • Authors: Alan DeKok(aland@freeradius.org)
  • Summary: 本文是关于使用TLS-PSK与RADIUS(RFC6614)和RADIUS/DTLS(RFC7360)的指南。它为使用TLS-PSK的过渡提供了指导,特别是在从RADIUS/UDP向RADIUS/TLS的转换过程中。文稿讨论了TLS-PSK的安全性和优势,并提出了相应的操作策略。此外,它还提供了有关如何管理TLS-PSK客户端、服务器以及共享秘密的建议。 总的来说,本文提供了在使用TLS-PSK时所需的指导,以确保系统的安全性并简化过渡过程。

tls

  1. I-D: draft-wiggers-tls-authkem-psk-02
  • Title: KEM-based pre-shared-key handshakes for TLS 1.3
  • Authors: Thom Wiggers(thom@thomwiggers.nl), Sofia Celi(cherenkov@riseup.net), Peter Schwabe(peter@cryptojedi.org), Douglas Stebila(dstebila@uwaterloo.ca), Nick Sullivan(nicholas.sullivan+ietf@gmail.com)
  • Summary: 本文主要讨论了在TLS 1.3协议中使用KEM公钥代替传统PSK公钥来建立握手的一种方案。这种方式可以避免因系统使用symmetric-key公钥导致的需要进行额外的安全措施,如要求密钥分散和保护数据安全等问题。 该方案利用了AuthKEM证书公钥作为预共享秘钥,提供了一种实现加密存储并利用早期认证机制的方案。它还可以根据实际需求灵活调整支持的KEM算法和PSK类型。 总结起来,该文稿提出了一种基于KEM公钥的手动式握手方法,这种方案能够减少系统的复杂性,并且提供了更高的安全性。然而,由于该提案尚处于实验阶段,具体实施还需要更多的测试和验证工作。

WIT

ccwg

  1. I-D: draft-ietf-ccwg-bbr-00
  • Title: BBR Congestion Control
  • Authors: Neal Cardwell(ncardwell@google.com), Ian Swett(ianswett@google.com), Joseph Beshay(jbeshay@meta.com)
  • Summary: 本文详细介绍了BBR(Bottleneck Bandwidth and Round-trip propagation time)算法的设计理念和工作原理。BBR是一种模型化算法,它基于网络路径的当前和历史数据来估计最大带宽、最短传输时间等指标,以此指导发送速率和缓冲容量的选择,以实现高吞吐量和低延迟的目标。文中讨论了算法的核心控制参数、状态机以及应用场景等方面,指出了BBR在浅度缓存路途中能够更好地满足高带宽需求,在深度缓存路途中可以有效缓解队列压力。同时,文稿还探讨了BBR在响应流量变化时如何调整操作点的问题,并分析了其与其他类似算法的不同之处。总的来说,BBR是一种具有创新性的网络层技术,有望为高速网络提供更高效的数据传输解决方案。 总结:本文对BBR算法进行了全面而深入的研究,提供了详细的理论背景和技术细节,展现了其独特的设计思想和强大的性能优势。通过对不同应用场景下的分析,证明了BBR算法在解决互联网领域中的实际问题方面具有重要的价值和潜力。

core

  1. I-D: draft-ietf-core-conditional-attributes-08
  • Title: Conditional Attributes for Constrained RESTful Environments
  • Authors: Bill Silverajan(bilhanan.silverajan@tuni.fi), Michael Koster(michaeljohnkoster@gmail.com), Alan Soloway(asoloway@qti.qualcomm.com)
  • Summary: 《Conditional Attributes for Constrained RESTful Environments》是关于在CoAP受限环境中使用条件通知和控制属性的一组规范。该文档定义了这些属性以满足不同需求,如只接收特定变化范围内的状态更新、仅在特定时间间隔内发送状态更新等。文稿详细解释了这些属性的工作原理,并提供了示例来说明如何使用它们。 文档主要分为三部分: 1. 引言:介绍了CoAP协议及其相关标准,以及条件通知和控制属性的概念。 2. 基本术语:概述了与CoAP有关的一些术语,包括条件通知和控制属性的基本概念。 3. 条件通知属性:描述了用于控制何时触发状态更新的通知属性,如Greater Than、Less Than、Change Step等。 4. 条件控制属性:定义了内部服务器驱动采样过程中的控制属性,如最小间隔、最大间隔等。 5. 实施考虑:讨论了如何设计网络架构来支持这些条件属性,以及如何处理可能的冲突或干扰。 6. 安全考虑:强调了条件属性的安全性问题,特别是对抗扩攻击的可能性。 7. 注释列表:列出了一些后续参考文献和注释,以及一些未完成的修订版本信息。 总的来说,这篇文稿为实现更灵活的CoAP应用提供了指导,允许用户根据需要自定义条件,从而改善系统性能并增加用户体验。

IRTF

cfrg

  1. I-D: draft-dijkhuis-cfrg-hdkeys-01
  • Title: Hierarchical Deterministic Keys
  • Authors: Sander Dijkhuis(mail@sanderdijkhuis.nl)
  • Summary: 这篇文稿主要讨论了如何使用一种名为Hierarchical Deterministic Keys(HDK)的安全机制来管理大量密钥。这种机制可以保护一个安全设备中的单个密钥,同时也可以用于数字身份钱包。它允许开发者创建许多一次性的公钥,并且可以通过远程生成密钥对来增加安全性。 文稿还讨论了如何使用不同类型的加密曲线和消息认证码(MAC),以及如何在证书颁发机构(CA)或第三方发证人处验证这些公钥。此外,还介绍了如何使用EC-SDSA签名和ECDSA签名进行证明持有多重密钥的属性。 总的来说,这篇文稿详细解释了如何构建一个能够管理多个密钥的解决方案,以实现可信身份管理和证书颁发。
  1. I-D: draft-gueron-cfrg-dndkgcm-01
  • Title: Double Nonce Derive Key AES-GCM (DNDK-GCM)
  • Authors: Shay Gueron(shay.gueron@gmail.com)
  • Summary: 这篇文稿主要讨论了双非对称密钥生成密钥AES-GCM(DNDK-GCM)的设计和实现。文稿首先介绍了DNDK-GCM的基本概念、目标和限制,然后详细描述了其配置选择、加密和解密流程以及安全性考虑。 具体来说,文稿提出了一种改进的随机非对称密钥AES-GCM加密算法DNDK-GCM,以解决短随机nonce导致的频繁密钥轮换问题和缺乏密钥承诺的问题。DNDK-GCM使用了一个长度为24字节的随机nonce,并且在每一轮加密之前通过预处理(分组)过程生成一个32字节的密钥,从而实现了与AES-GCM的分离密钥管理。同时,DNDK-GCM还引入了基于AES-GCM的安全性假设,即认为AES是伪随机变换器。 此外,文稿分析了DNDK-GCM的设计思路和安全属性,包括密钥管理和安全性验证等方面。最后,文稿给出了详细的实验结果和安全性分析,并提出了可能的应用场景和未来研究方向。 总的来说,这篇文稿提供了一种新的双非对称密钥生成算法,旨在克服传统AES-GCM算法的一些局限性和挑战,提高密钥管理效率和安全性。

Unknown

Unknown

  1. I-D: draft-ietf-raw-architecture-21
  • Title: Reliable and Available Wireless Architecture
  • Authors: Pascal Thubert(pascal.thubert@gmail.com)
  • Summary: 《可靠可用无线》(RAW)是用于高可靠性和可用性网络技术, 提供了基于多种无线网络段组合的IP连接。它通过扩展定性网络架构(DetNet)和标准概念和机制, 考虑到无线媒体的挑战, 如间歇性低可靠性连通性。本文定义了一个网络控制循环, 优化受限频谱和能源使用, 同时保持预期的连通性能指标, 如可靠性和延迟。 该概念模型包括原始数据流、新的恢复功能、新的本地修复操作等。该控制循环涉及DetNet运营层功能, 新的恢复功能和一个新的本地故障点操作, 静态选择DetNet路径来路由未来包的退化和失败。在下文中, 我们将讨论它的基本原理、关键术语和核心特性。
  1. I-D: draft-livingood-low-latency-deployment-07
  • Title: ISP Dual Queue Networking Deployment Recommendations
  • Authors: Jason Livingood(Jason_Livingood@comcast.com)
  • Summary: 本文主要讨论了低延迟、低丢包率、大带宽能力(L4S)和新无队列构建(NQB)技术在部署中的关键概念。作者强调,网络运营商应该根据用户需求选择适合的标记方式,并指出应用开发者的最佳实践是直接使用它们的设备来标记流量,而不是依靠中间件。此外,对于边缘路由器、核心网络和最后的接入网络(如WiFi),需要检查是否正确处理了ECN或DSCP标记。最后,对于ISP内部的客户本地局域网(LAN)也需要注意如何实现适当的标记保护。 总结文稿主要观点如下: 1. 应用开发者应为L4S或NQB应用程序标记流量,而不仅仅是通过网络本身进行决策。 2. 对于边缘路由器、核心网络和最终的接入网络,必须确保正确处理ECN或DSCP标记。 3. 对于ISP内部的客户本地局域网,应考虑实现适当的标记保护以防止流量错误标记。 4. 最终,运营商应根据用户需求选择合适的标记方式并实施适当的标记保护措施。
  1. I-D: draft-celi-wiggers-tls-authkem-04
  • Title: KEM-based Authentication for TLS 1.3
  • Authors: Thom Wiggers(thom@thomwiggers.nl), Sofia Celi(cherenkov@riseup.net), Peter Schwabe(peter@cryptojedi.org), Douglas Stebila(dstebila@uwaterloo.ca), Nick Sullivan(nicholas.sullivan+ietf@gmail.com)
  • Summary: 本文主要介绍了基于密钥封装机制(KEM)的认证协议在TLS 1.3中的实现。它使用KEM公钥作为证书中的长寿命密钥,来实现客户端和服务器之间的双向身份验证。 与传统的签名方式相比,这种新方法减少了数据交换量,并且可以在握手过程中发送数据而不需要等待服务器完成认证。此外,客户端可以更早地向服务器发送数据,以避免在收到服务器确认消息之前无法直接交互的情况。 该技术适用于拥有KEM公钥的双方,虽然当前此类证书较少见。但是通过压缩和证书抑制等措施,可以进一步减少证书链的数据大小。 总之,本文提出的基于KEM的认证方案为安全、高效的身份验证提供了一种可能的方法。