【每日文稿】2024-11-04
今日共有57篇文稿更新,涉及7个area里的28个WG
ART
calext
- Title: JSCalendar: Converting from and to iCalendar
- Authors: Robert Stepanek(rsto@fastmailteam.com)
- Summary: 《JSCalendar》是关于将日历格式从iCalendar转换为JSCalendar的文档。它讨论了如何在两种格式之间进行转换,包括共同元素和不同元素的规则。文稿主要分为两个部分:首先介绍转换规则和例子;其次提供了一些建议来处理不支持或未知的元素。 转换规则涵盖所有被IANA注册的iCalendar和JSCalendar元素,但并不考虑定义新的标准元素。为了实现自动测试,作者开发了一个工具提取了这些示例。 总结来说,《JSCalendar》详细介绍了如何在两种日历格式间进行转换,并提供了几个示例来说明如何将一个iCalendar对象转换为JSCalendar对象。虽然它没有定义新的标准元素,但它指出了哪些元素是可选的,以及如何在转换过程中处理那些元素。
dmarc
- Title: Domain-based Message Authentication, Reporting, and Conformance (DMARC) Aggregate Reporting
- Authors: Alex Brotman(alex_brotman@comcast.com)
- Summary: 这篇文稿主要讨论了DMARC(Domain-Based Message Authentication, Reporting, and Conformance)聚合反馈,它是DMARC机制的一部分,允许域所有者请求汇总报告来获取邮件接收器执行的各个类型的报告。这些报告提供了关于发送给他们的电子邮件信息、DNS记录验证结果、D-KIM和S-PF签名情况等详细信息。 聚合反馈报告包含一个元数据部分,包括组织名称、联系人邮箱地址和其他附加信息;以及一组IPv4/IPv6连接到该域名的行记录,每个记录包含源IP、消息数量和认证结果。这些报告被格式化为XML文件,并附有压缩过的GZIP版本以减小大小。 此外,还定义了一个用于唯一标识符的元素,用于在多个报告之间进行区分。当收到聚合反馈时,接收器应首先检查元数据,然后根据其要求处理报告中的数据。 总的来说,文稿总结了DMARC聚合反馈的重要性和如何利用它来帮助DMARC实施者的决策制定过程。同时,也对如何正确使用报告进行了指导。
stir
- Title: Short-Lived Certificates for Secure Telephone Identity
- Authors: Jon Peterson(jon.peterson@team.neustar)
- Summary: 本文主要讨论了短生命周期证书作为保证安全电话身份认证系统中有效时间戳机制的一种手段。短生命周期证书可以在需要时获取,而不是定期进行证书更新或撤销,从而减少依赖方与证书权威之间的网络查询次数,提升验证服务的效率。 此外,它还探讨了如何使用ACME(自动证书管理环境)等自动化工具来帮助签发者获取新的短生命周期证书,并将其附加到Passport令牌上,以简化对这些证书的验证过程。最后,文稿指出了相关的标准和参考文献。
vcon
- Title: VCON for MIMI Messages
- Authors: Rohan Mahy(rohan.ietf@gmail.com)
- Summary: 本文主要讨论了在即时消息系统中使用更多即时消息互操作性(MIMI)内容格式时,如何将MIMI消息转换为虚拟化对话(VCON)的一个过程。它补充和扩展了MIMI与VCON之间的关系,并提供了具体的例子来说明如何实现这一转换。此外,还提到了一些安全性考虑以及IANA注册信息。 总体来说,本文通过引入新的房间、参与者列表、对话对象等元素,实现了MIMI消息到VCON的转换,并且详细描述了相关安全性和注册信息。这对于确保跨平台即时通讯系统的互联互通至关重要。
INT
6man
- Title: Deprecation Of The IPv6 Router Alert Option
- Authors: Ron Bonica(rbonica@juniper.net)
- Summary: 本文主要讨论了IPv6路由警报选项的问题。IPv6路由警报选项提供了路由器判断特定数据包是否需要仔细检查的功能,但该选项的存在可能导致网络安全性问题,特别是对于部署了复杂的控制平面的网络设备来说,攻击者可以通过分析IPv6路由警报选项来滥用路由器。因此,建议未来版本的协议不再使用此选项,并且可以考虑逐步淘汰当前使用的实例。另外,文中还指出了一些可用于防御IPv6路由警报选项的安全措施,如配置ACL、禁止或限流包含IPv6路由警报选项的数据包等。最后,文档提出了一个建议方案,即在未来版本的协议设计中避免使用IPv6路由警报选项,以进一步减少其潜在的负面影响。
- Title: Automatic Extended Route Optimization (AERO)
- Authors: Fred Templin(fltemplin@acm.org)
- Summary: 本文主要介绍了自动扩展路由优化(AERO)服务,这是一种适用于空中、陆地、海洋和太空移动应用的服务,包括航空网络智能运输系统、家庭网络用户、企业移动设备用户、空间探索和其他相关应用。该服务通过Overlay Multilink Network Interface(OMNI)接口提供了一种灵活的端到端通信方式,并支持多路复用、多网协同、移动管理和多播功能等特性。此外,文中还讨论了该服务的安全性、兼容性和适用范围等问题。总的来说,AERO服务为移动网络带来了新的可能性,能够满足空中交通管理、物联网部署等各种需求。
- Title: Transmission of IP Packets over Overlay Multilink Network (OMNI) Interfaces
- Authors: Fred Templin(fltemplin@acm.org)
- Summary: 《IPv6 over OMNI Interfaces》是关于IPv6协议在网络层数据平面和链路层的数据包处理方面的标准文档。它定义了IPv6网络节点通过多接口连接到一个非广播、多访问(NBMA)虚拟Overlay(OMNI)网络,并使用多接口来协调通信。 文档主要分为以下几个部分: 1. 引言:概述了Air/land/sea/space移动节点如何在无线和有线链路上配置移动路由器,以便将IP包发送到网络服务提供商或其他移动节点。 2. 基本术语:提供了有关OMNI接口和其组件的基本概念,包括端口、地址等。 3. 需求:详细描述了OMNI接口的功能要求,如支持移动性管理、安全保护和跨域通信。 4. OMNI接口模型:介绍了OMNI接口的物理结构和逻辑架构,以及如何与下一层接口进行交互。 5. OAL服务:详细说明了OAL服务的概念、功能以及它们对IP包处理的作用。 6. 物理层帧格式:讨论了Ethernet兼容的链路层帧格式。 7. OMNI地址映射:介绍了节点标识符的映射方式。 8. 多接口发送算法:讨论了如何在多个OMNI接口之间发送IP包。 9. 路由器发现和前缀分配:介绍如何在不同的OMNI网络段上注册前缀信息。 10. 安全重定向:阐述了安全重定向技术以保护客户端免受攻击。 11. 代理服务器容灾:讨论了如何检测和响应代理服务器故障。 12. 识别和响应重定向失败:提出了一种方法来检测并响应代理服务器的失败情况。 13. 过渡考虑:讨论了当用户从一个OMNI网络切换到另一个时,如何调整IP包大小和移动性策略。 14. OMNI在开放网络中的应用:介绍了在开放网络环境中如何利用OMNI接口。 15. 时间变化多路径(TMPL):解释了如何动态地选择最优路径来提供最佳性能。 16. 错误消息:总结了常见的错误类型和对应的解决方案。 17. 附加注释:提供了一些附录来进一步解释特定的技术细节。 总的来说,《IPv6 over OMNI Interfaces》为实现高效传输IPv6 IP包提供了详细的指南,包括如何管理和协调不同类型的移动节点之间的通信。
- Title: IPv6 Parcels and Advanced Jumbos (AJs)
- Authors: Fred Templin(fltemplin@acm.org)
- Summary: 这篇文稿是关于IPv6网络协议中的“包”和“高级大块”,即所谓的“先进级大块”(AJ)。这些概念是基于经典互联网架构,旨在提供延迟容忍、高可用性和更有效的传输。 首先,文稿解释了什么是“包”、“先进级大块”以及它们之间的关系。包是单个单位的运输层协议数据,用于在丢失的情况下成为重传单元。根据不同的标准,可以将包分为TCP包或UDP包。此外,它还讨论了如何使用不同类型的“包”来传输不同大小的段。 其次,文稿介绍了“先进级大块”的基本概念,包括其与传统jumbogons的区别,并且指出它们可以通过端到端的CRC检查来实现。此外,它还讨论了如何处理从源到最终目的地的递归过程。 最后,文稿总结了这项技术对性能、效率和完整性的影响,并强调了鼓励更大的最大传输单元(MTU)的重要性,以支持更好的服务质量。此外,文稿还提到了一些潜在的应用场景和技术挑战,例如如何将这些概念扩展到移动通信领域。 总的来说,这篇文稿展示了如何通过新的“包”概念来改善IPv6网络的性能、可靠性以及服务的可扩展性。
- Title: Prioritizing known-local IPv6 ULAs through address selection policy
- Authors: Nick Buraglio(buraglio@forwardingplane.net), Tim Chown(tim.chown@jisc.ac.uk), Jeremy Duncan(jduncan@tachyondynamics.com)
- Summary: 本文档是关于如何优化IPv6地址选择行为以支持更广泛的IPv6使用。主要改进有: 1. 更新默认策略表,将IPv6唯一本地地址(ULA)设置为优先级最高的地址,并将IPv4地址降低到第二位。 2. 提高对于ULA优先级的支持,即如果一个Ula源能够确定它在某个站点或组织内,则其优先级高于所有IPv4地址和所有ULA地址。 3. 强制要求节点必须在政策表中插入已知的本地ULA地址。 这些更改旨在改善常见的IPv6应用场景,特别是自动/无管理情况下的处理。此外,还讨论了ULA和GUA之间的交互以及如何确保不会在不适当的情况下使用ULA地址。总的来说,该文档提出了对ULA进行特殊优先级调整的新方法来支持更多的IPv6网络部署。
add
- Title: Hosting Encrypted DNS Forwarders on CPEs
- Authors: Tirumaleswar Reddy.K(kondtir@gmail.com), Mohamed Boucadair(mohamed.boucadair@orange.com), Dan Wing(danwing@gmail.com)
- Summary: 本文讨论了在家庭路由器(CPE)上部署加密DNS代理的问题。文稿指出,由于升级到使用加密传输(如DNS over HTTPS(DoH)、DNS over TLS(DoT)和DNS over QUIC(DoQ))可能会带来部署挑战,以保持现有的服务与本地服务兼容。 主要提出了两种方法来解决这一问题:通过使用CPE的WAN IP地址作为DDR证书中的IP地址来证明其拥有该IP地址;或者通过请求从互联网面向服务器获取FQDN签名证书,并证明对FQDN的控制。然而,这些方法都有各自的局限性。例如,如果CPE位于运营商网络内,则可能无法获得公共IPv4地址,从而限制了这种机制的成功率。此外,对于ISP重新编号子网的情况,还需要更新DNS记录并验证新IP地址的有效性。 总的来说,虽然存在一些挑战,但可以通过引入新的证书管理协议(如ACME)自动化证书更换过程,以及考虑添加另一个认证中心作为备份来缓解这些问题。这样可以提高安全性,确保HTTPS访问CPE的可能性,允许设备管理员安全地与CPE通信和管理。同时,也可以提供冗余,进一步降低中断的风险。 总之,作者提出了一种解决方案,旨在简化在家庭路由器上部署加密DNS代理的过程,同时满足当前服务需求。
dmm
- Title: Computing Aware Traffic Steering Consideration for Mobile User Plane Architecture
- Authors: Trần Minh Ngọc(mipearlska1307@dcn.ssu.ac.kr), Younghan Kim(younghak@ssu.ac.kr)
- Summary: 本文主要讨论了在分布式移动管理(DMO)网络中,如何利用计算智能流量引导能力来选择最优服务实例以满足用户请求。首先,文稿提出在集中式部署模式下,应包含服务标识(CS-ID)、服务实例标识(CIS-ID)和相关的网络属性(如服务指标、路径更新路由等)来支持CATS-MUP中央化部署。其次,在分布式部署模式下,应包含服务标识(CS-ID)、服务实例标识(CIS-ID)、相关网络属性(如服务指标、路径更新路由等)以及最近收集的服务和网络信息。最后,文稿还提出了新UE请求下的路由配置流程。 总的来说,文稿总结了CATS-MUP在支持CATS时可以考虑的一些扩展点,包括服务识别、服务部署信息分布、以及服务性能指标的发布,并提供了相应的技术实现方法。
drip
- Title: DRIP Entity Tags (DET) in the Domain Name System (DNS)
- Authors: Adam Wiethuechter(adam.wiethuechter@axenterprize.com), Jim Reid(jim@rfc1035.com)
- Summary: 本文主要讨论了如何在IPv6地址上使用Det来实现无人机身份标识系统(DRIP)中的远程识别。Det是一种用于表示DRIP实体的层次结构,包括一个由两部分组成的IPv6地址,一部分是其分配给系统的NIST提出的顶级域名(TLD),另一部分是该系统特有的部分,称为“子域”或“HDI”(Hierarchical Host Identity)。Det体系结构与现有的DNS模型紧密相关,但也可以根据需要进行扩展和定制。 Det的定义为:Det是一个由两部分组成的IPv6地址,前一部分作为顶级域名,后一部分作为子域。Det包含了一组描述信息,例如子域ID、注册证书和哈希值等。Det还包含了关于它的类型的信息,如是否为DIME等。 本文总结了Det的架构以及在DNS中的应用,强调了Det与现有DNS模型的融合,并提出了相应的安全措施和管理策略。Det的应用可以支持多级权限控制和资源访问,提供了一种统一的身份验证方式,简化了用户的信任关系。然而,由于Det具有可变性,因此在设计和部署时需要考虑到安全性、可靠性等问题。
snac
- Title: Automatically Connecting Stub Networks to Unmanaged Infrastructure
- Authors: Ted Lemon(mellon@fugue.com), Jonathan Hui(jonhui@google.com)
- Summary: 本文描述了自动连接IPv6网络到基础设施网络的方法。这种连接是针对特定的物联网(IoT)网络的,需要解决网络可达性、地址和可达性的问题。 在文中, 文稿首先讨论了实现自动连接所需的基本实践。然后详细描述了如何管理和维护地址、可达性和路由信息等特性。接着提出了支持基础设施网络链接的策略,并对这些策略进行了详细的解释。最后,文稿总结了该文档的主要目标,即提供一种方法来自动连接IPv6网络到现有的网络中,而无需进行任何修改。
OPS
bmwg
- Title: Considerations for Benchmarking Network Performance in Containerized Infrastructures
- Authors: Trần Minh Ngọc(mipearlska1307@dcn.ssu.ac.kr), Sridhar Rao(srao@linuxfoundation.org), Jangwon Lee(jangwon.lee@dcn.ssu.ac.kr), Younghan Kim(younghak@ssu.ac.kr)
- Summary: 本文主要讨论了容器化网络性能基准测试在虚拟化基础设施中的应用。首先,文稿概述了容器化的定义和优势,并指出传统基准测试方法仅关注物理网络功能(PNF)的入输出性能,而没有考虑容器化环境中的服务函数链路(Service Function Chaining)。然后,它分析了不同的网络模型和配置参数对于容器化网络性能的影响。最后,提出了进一步的考虑因素,如资源隔离、内存分配、加速技术选择等。总的来说,文稿强调了容器化网络性能基准测试需要适应和理解容器化环境中特有的网络架构差异。
dnsop
- Title: The VERBATIM Digest Algorithm for DS records
- Authors: Peter van Dijk(peter.van.dijk@powerdns.com)
- Summary: 本文提出了一种新的验证算法——VERBATIM,它将输入数据直接复制到DS记录中的摘要字段中而不进行任何哈希操作。该算法的优势在于它不改变原始数据,并且可以有效地减少DNS查询响应的数据量。 此外,作者还建议对现有的验证和解析器进行相应的调整,以支持这个新算法。例如,他们提出了限制使用VERBATIM的条件以及针对特定用途的使用范围。 总的来说,本文为如何改进DS记录格式提供了一个新的思路,并给出了具体的实现方案和建议。
grow
- Title: Peering API
- Authors: Carlos Aguado(caguado@infra.structur.es), Matt Griswold(grizz@20c.com), Jenny Ramseyer(ramseyer@fb.com), Arturo L. Servin(arturo.servin@gmail.com), Tom Strickx(tstrickx@cloudflare.com)
- Summary: 本文主要讨论了关于BGP Peering API的相关标准和设计。该协议提供了一种自动化网络之间的互联网路由相互连接的方式,通过使用OpenID Connect授权模型、Proof of Holdership机制以及请求完整性验证等技术手段来确保安全性。此外,还介绍了相关的安全威胁及防御措施。未来还将探讨私有Peering和维护相关事宜。 本文提出了一个API标准,用于网络之间的互连,并强调了其简化配置的过程和提高性能的重要性。同时,也对未来的私有Peering、认证方法等进行了讨论。总的来说,该文档为实现网络间的自动互连提供了重要的指导和支持。
opsawg
- Title: Export of Delay Performance Metrics in IP Flow Information eXport (IPFIX)
- Authors: Thomas Graf(thomas.graf@swisscom.com), Benoît Claise(benoit@claise.be), Alex Huang Feng(alex.huang-feng@insa-lyon.fr)
- Summary: 《网络性能指标》是关于如何在IP流信息出口(IPFIX)协议中,使用新的性能指标来衡量On-Path延迟的文档。这些新指标分别定义了平均、最小、最大和总延迟,并且可以通过IPFIX出口到数据收集器。 文中详细描述了每个性能指标的测量方法,包括时间精确度、延迟计算等要求。此外,还讨论了安全考虑,如如何保证传输的数据保密性和完整性。最后,提供了几个示例以说明如何实施这些性能指标。 总之,《网络性能指标》提供了一种更有效的方法来处理流量延迟问题,同时保持通信系统的效率和安全性。
- Title: Generalized RPSL External Reference
- Authors: Randy Bush(randy@psg.com), Tom Harrison(tomh@apnic.net)
- Summary: 本文主要描述了网络工作组提出的通用路由策略标准语言(RPSL)中的外部引用机制,它扩展了现有的inetnum:和inet6num:类,并增加了新类型的外部引用。这些外部引用可以指向外部数据源,如地理馈送文件或前缀长度文件。此外,还讨论了使用这种机制在注册数据访问协议(RDAP)中的应用。 文档首先概述了RPSL的发展历史以及最近添加的地理馈送、前缀长度等外部引用属性。然后,文稿详细介绍了inetnum:类的新定义,其中包含了一个新的外部引用属性——extref:。文档讨论了这个属性的适用范围和如何与RDAP进行交互,包括通过链对象表示引用关系。 最后,文档总结了IANA对这种新属性的管理建议,以及如何为新的外部引用子类型创建相关条目。 总的来说,本文提供了一种将外部引用作为RPSL的一部分引入RDAP的方法,以支持更广泛的数据来源,同时考虑到了安全性、授权和跨验证等因素。
- Title: Publishing End-Site Prefix Lengths
- Authors: Oliver Gasser(oliver.gasser@mpi-inf.mpg.de), Randy Bush(randy@psg.com), Massimo Candela(massimo@ntt.net), Russ Housley(housley@vigilsec.com)
- Summary: 《互联网域名前缀长度发布指南》是一份关于如何增强现有路由政策规范语言(RPSL)功能,以更方便地引用和管理IPv4和IPv6地址空间分配信息的新文档。文档提出了一个名为“inetnum: prefixlen”属性的概念,该属性允许用户在表示IPv4和IPv6地址范围时附加额外的前缀长度信息。 文档还讨论了认证方式,并推荐了一种使用资源公钥基础设施(RPKI)进行验证的方法。通过这种方式,可以实现对上传的数据集的有效性、真实性以及其归属权的确认。 另外,它也提供了处理数据更新的策略,例如,如果某个文件没有被RIP路由器服务签发签名,则多个inetnum:对象可能指向同一份文件;此外,当上传的是未签名的文件时,消费者应只使用其中最具体的inetnum:对象。 文档总结指出,尽管有几种方法来增强当前RPSL版本的功能,但目前尚未正式支持这个新的特性,且所有现有注册者都必须转换为使用新版本的inetnum:对象。为了防止不必要的流量消耗,建议减少频率并避免在特定时间点频繁查询。 总之,这篇文档主要提出了一个将IPv4和IPv6地址空间分配信息与传统命名系统相结合的技术方案,并强调了增强RPSL标准的必要性和紧迫性。然而,要实现这一目标仍面临诸多挑战,如技术和部署难度等。
sidrops
- Title: Tiebreaking Resource Public Key Infrastructure (RPKI) Trust Anchors
- Authors: Job Snijders(job@fastly.com), Theo Buehler(tb@openbsd.org), Ties de Kock(tdekock@ripe.net)
- Summary: 本文提出了一种新的捆绑式公钥基础设施(Trust Anchor)信任根节点(TA)证书选择机制,以防止在获取TA证书时出现意外结果。该机制基于一种称为“捆绑”或“倒序”的方法,它优先使用最近发布的、具有最短有效期的TA证书。通过这种方式,可以建立一个对TA证书的一种排序顺序,从而确保RTS(Relying Party)不会接受以前由路经敌对方提供的TA证书。 总结来说,本文提供了新的绑定TA证书选择机制,旨在解决在获取TA证书时可能出现的意外结果问题,并提供了一种更加可靠和确定性的选择方式。
srv6ops
- Title: SRv6 Inter Domain Routing Use Cases
- Authors: Gyan Mishra(gyan.s.mishra@verizon.com), Bruce McDougall(brmcdoug@cisco.com)
- Summary: 本文主要描述了SRv6在端到端跨域路由中的应用。它分析了SRv6设计和操作方面的问题,包括如何处理SRv6跨域路由以及SRv6转发平面。此外,还讨论了三种实际世界使用案例:基于IPv6的网络、双层MPLS/IP核心迁移、以及SRv6端到端Next CSID。文中详细介绍了这些场景下的压缩功能以及如何在不同域间进行无缝传输。最后,提出了相关建议和未来工作方向。 总的来说,本文深入探讨了SRv6跨域路由的应用,并提供了丰富的案例研究以支持其结论。对于想要深入了解SRv6跨域路由的人来说,这将是一个重要的参考文献。
- Title: SRv6 Inter Domain Routing
- Authors: Gyan Mishra(gyan.s.mishra@verizon.com), Bruce McDougall(brmcdoug@cisco.com)
- Summary: 这篇文档是关于使用SRv6进行跨域路由的架构设计。它分析了SRv6的端到端服务嵌套、链路层(L2)和网络层(L3)服务,以及SRv6在多域环境中的部署情况。此外,还讨论了如何通过SRv6技术实现跨域无损转发。最后,对相关建议进行了总结。 总的来说,本文主要介绍了SRv6跨域路由的设计理念和技术细节,并对其进行了详细的分析和讨论。它提供了丰富的实证案例来支持其观点,有助于理解SRv6跨域路由的实际应用和前景。
- Title: SRv6 Deployment Options
- Authors: Mike McBride(mmcbride7@gmail.com), Yisong Liu(liuyisong@chinamobile.com), Zhenbin Li(lizhenbin@huawei.com), Gyan Mishra(gyan.s.mishra@verizon.com)
- Summary: 本文是关于在升级网络至SRv6环境时提供方向的文档。它讨论了各种部署选项,以便平稳过渡到SRv6网络。这些选项包括“船只夜间”、“MPLS和SRv6之间的交互”、“IPv6地址规划”、“BGP设计”、“VPN服务设计”以及从MPLS到SRv6的演进路径。文稿总结指出,无论是单个AS网络还是全E2E网络,都应根据现有技术选择适当的部署方法,并确保实现从现有基础设施平滑转换到SRv6网络的演进路径。此外,文稿还提出了对安全考虑、IANA考虑、参考文献等进行了简要介绍。 总的来说,这篇文稿提供了详细的信息,帮助网络管理员了解如何平稳地将网络升级到SRv6环境,从而为运营商提供必要的指导和支持。
RTG
bess
- Title: EVPN Support for L3 Fast Convergence and Aliasing/Backup Path
- Authors: Ali Sajassi(sajassi@gmail.com), Jorge Rabadan(jorge.rabadan@nokia.com), S. Pasupula(surpasup@cisco.com), Lukas Krattiger(lkrattig@cisco.com), John Drake(jdrake@juniper.net)
- Summary: 本文提出了一种用于IPv6的扩展, 允许在IPv6多归属、快速收敛和备份路径之间进行结合。这种融合可以使用现有的IPv6路由、Ethernet A-D(per ES)和Ethernet A-D(per EVI)路由,这些路由用于多归属功能。 该文稿首先讨论了多归属模式下对MAC/IP广告路由的支持。然后讨论了在接口层无转发的IP-VRF-to-IP-VRF模型下的支持。最后, 对于仅使用ESI作为三层构造的情况下进行了支持。 总的来说, 文稿提出了三种使用方法来实现上述目的。通过将多归属路由与快速收敛和备份路径结合起来, 提供了一个灵活的解决方案, 可以根据需要适应不同的网络环境。
bier
- Title: Operations, Administration and Maintenance (OAM) Requirements for Bit Index Explicit Replication (BIER) Layer
- Authors: Greg Mirsky(gregimirsky@gmail.com), Nagendra Kumar Nainar(nagendrakumar.nainar@gmail.com), Mach Chen(mach.chen@outlook.com), Santosh Pallagatti(santosh.pallagatti@gmail.com)
- Summary: 本文提出了一个关于Bit Index Explicit Replication (BIER)层的操作、管理与维护(OAM)要求。这些要求包括但不限于: 1. 所提出的操作、管理和维护方法必须在可用的传输层之上实现,以支持BERI层。 2. 可以从任何指定的BERI域内的Bit-Forwarding Router(BFR)启动BERI层的OAM会话。 3. 可以从集中式控制器启动BERI层的OAM会话。 4. BERI层的OAM应支持主动和被动监测方法以及性能测量方法。 5. BERI层的OAM应能在双向方向上运行,即可以通过In-band监测或测量进行监测,并通过Out-of-band通知机制发送Out-of-band通知。 6. 应该支持BERI层的生存性恢复措施,如保护切换和故障恢复。 7. 应该支持BERI层的安全防护措施,以防止可能的恶意行为导致的控制平面攻击。 8. 应该支持BERI层的路径发现方法,例如使用p2mp BFD中的active尾部支持来发现路径最大传输单元。 9. 应该支持BERI层的反向失效指示(RDI)通知机制,例如使用Diag协议中的active尾部支持来通知源的失效信息。 10. 应该支持BERI层的缺陷检测方法,如报警信号。 以上是文稿的主要内容摘要,没有重复标题,也没有引用号。
cats
- Title: Applicability of Computing-Aware Traffic Steering to Intelligent Transportation Systems
- Authors: Jaehoon Paul Jeong(jaehoon.paul@gmail.com), Bien Aime Mugabarigira(bienaime@skku.edu)
- Summary: 本文提出了计算感知交通引导(Computing-Aware Traffic Steering,CATS)在智能运输系统(Intelligent Transportation System,ITS)中的应用可能性。文稿从三个方面描述了CATS在ITS中的应用:车辆网络架构、情境感知导航协议(Context-Aware Navigation Protocol,CNP)、边缘辅助集群式MAC协议(Edge-Assisted Cluster-Based MAC Protocol,ECMAC),以及自适应互动导航工具(Self-Adaptive Interactive Navigation Tool,SAINT)。这些应用能够支持车辆的移动安全,减少道路事故的发生,并优化驾驶路径,提高行驶效率。 此外,文稿还讨论了使用CATS进行云基无人机导航(Cloud-Based Drone Navigation,CBDN)以高效充电电池的需求和挑战。CATS基础设施需要能够计算出无人机的航线,考虑到无人机网络内的交通优化需求,并与边缘服务器通信,从而提供最优路线供无人机选择。 总的来说,本文总结了CATS在智能运输系统的应用前景,强调了CATS技术对提升交通安全性、出行效率及环境友好性的潜在影响。
idr
- Title: BGP SRv6 Policy SID List Optimization
- Authors: Zafar Ali(zali@cisco.com), Rajesh M Venkateswaran(melarco@cisco.com), Cheng Li(c.l@huawei.com)
- Summary: 本文提出了一种优化BGP承载SRv6策略SID列表的方法。当SRv6策略SID列表结束时,如果SID列表包含策略端点的节点SID,则不需要额外处理返回到前缀节点的SID;反之,如果SID列表不包含策略端点的节点SID,则需要考虑是否将该SID添加到SID列表中。这种方法可以提高压缩效率和简化协议实现。此外,本文还讨论了其与SRv6绑定SID子TLV以及SR政策状态TLV之间的关系,并提供了详细的流程说明。最后,提出了相关的安全性和兼容性问题,并给出了相应的建议。
lisp
- Title: LISP Traffic Engineering
- Authors: Dino Farinacci(farinacci@gmail.com), Michael Kowal(mikowal@cisco.com), Parantap Lahiri(parantap.lahiri@gmail.com)
- Summary: 本文主要讨论了在IP层上使用重封装隧道来实现流量工程功能。文稿提出,通过引入一个新的标识编码(RLOC)来定义路由路径,可以在IP层上构建负载共享、多路径以及基于服务类别的重封装隧道。这不仅可以减少网络开销,还可以提供更灵活的服务级别和路径选择机制。 此外,文稿还提到了一些与IPv6地址族相关的特性,如如何在IPv4和IPv6网络之间配置重封装隧道,以及IPv4和IPv6组播支持方面的应用。这些特性为IPv6网络提供了更多的可选性,可以构建不同类型的连接,并且允许跨越不同的地址族进行通信。 总的来说,该文档提出了新的概念和技术,为IPv6网络中的流量工程提供了更加灵活的选择,满足了多种需求。
pce
- Title: Path Computation Element Communication Protocol (PCEP) extensions for SRv6 Policy SID List Optimization
- Authors: Zafar Ali(zali@cisco.com), Rajesh M Venkateswaran(melarco@cisco.com), Samuel Sidor(ssidor@cisco.com), Cheng Li(c.l@huawei.com)
- Summary: 本文主要讨论了在某些应用场景下,SRv6策略中的SID列表可能包含源节点的节点SID,并且由于已经确保数据流到达策略端点,因此可以优化SID列表。当安装SRv6策略时,如果SID列表最后是源节点的节点SID,则需要考虑是否包括该节点SID。本文提出了一种新的标识(I-flag)来指示是否应该将源节点的节点SID包含在内或排除在外。 此外,还提出了一个新的TLV格式,用于指示是否应将源节点的节点SID包含在内。这两种新特性使系统能够根据实际情况决定是否将源节点的节点SID包含在内或排除在外,从而提高整体性能和压缩效率。虽然这些特性对大多数场景都是适用的,但并不是所有情况下都能使用此功能,例如对于使用MPLS流量的SRv6策略来说,这一功能无法实现。
- Title: Conveying Vendor-Specific Information in the Path Computation Element (PCE) Communication Protocol (PCEP) extensions for Stateful PCE.
- Authors: Cheng Li(c.l@huawei.com), Haomian Zheng(zhenghaomian@huawei.com), Siva Sivabalan(msiva282@gmail.com), Samuel Sidor(ssidor@cisco.com), Zafar Ali(zali@cisco.com)
- Summary: 本文讨论了在Path Computation Element (PCE)通信协议(PCEP)中使用供应商特定信息(Vendor Specific Information, VSI)的问题。文中提出了一种新的机制来处理这种问题,即通过在PCEP消息中包含一个名为Vendor Information的特殊对象,并将其数据封装在一个称为VENDOR-INFORMATION-TLV的数据包内。这样就可以允许PCE发送商携带相关的供应商特定信息到PCEP客户端。 此外,还讨论了管理这个机制的一些基本要求和注意事项,包括控制功能和政策、信息和数据模型、检测和监控工作、验证正确操作以及对其他协议的影响等。文稿最后提到了可能影响网络运营的部分,并强调了如何处理这些额外的信息需要谨慎考虑。 总的来说,该文为解决PCE中携带供应商特定信息的问题提供了一个解决方案,同时也提出了相应的管理和安全性要求。
- Title: LSP State Reporting Extensions in Path Computation Element Communication Protocol (PCEP)
- Authors: Samuel Sidor(ssidor@cisco.com), Zafar Ali(zali@cisco.com), Cheng Li(c.l@huawei.com), Mike Koldychev(mkoldych@proton.me)
- Summary: 本文提出了一些扩展路径计算元素通信协议(PCEP)的功能,以支持在路径配置元素(PCE)与路径配置客户端(PCC)之间进行交互时,明确或动态指定LSP标识符。这些功能包括: 1. 支持指定特定绑定值的请求和基于路径类型来决定是否将LSP使用于其他LSP。 2. 增加了标记LSP为可能用于转发表的LSP的机制。 3. 提供了一种方法,允许PCC接收从PCE分配未使用的绑定值,并将其作为LSP的备用值,而无需完全拒绝请求。 本文讨论了这些扩展如何增强PCEP的准确性以及其对网络运营的影响。此外,它还强调了这些扩展对于管理、信息模型和验证操作的重要性和影响。最后,本文总结了这些扩展的安全性考虑。
spring
- Title: SRv6 Inter Domain Routing Architecture
- Authors: Gyan Mishra(gyan.s.mishra@verizon.com), Bruce McDougall(brmcdoug@cisco.com)
- Summary: 本文介绍了SRv6在IPv6环境下的一种新路由架构,它使用了IP-VPN和EVPN技术来实现跨域的端到端路由。本文分析了该架构的设计和操作考虑,并讨论了三个实际应用场景。文稿还提出了一个关于SRv6压缩Next CSID的概念,并分析了如何在不同区域之间无缝地传输这些服务。 总的来说,本文提供了对SRv6跨域端到端路由架构的一般性介绍,包括其主要组件、设计思想以及未来的发展方向。
SEC
lamps
- Title: X.509 Certificate Extended Key Usage (EKU) for Instant Messaging URIs
- Authors: Rohan Mahy(rohan.ietf@gmail.com)
- Summary: 本文定义了一个新的X.509证书扩展键使用标识符(id-kp-imUri),用于证明Instant Messaging(IM)客户端的身份。该扩展键使用标识符位于ISO的Internet Security和网际协议(ISAKMP)领域,具有Optional Critical属性。这意味着如果证书包含这个扩展键,它将被视为一个更高级别的安全实体,并且在可能的情况下应该被标记为信任。 安全性考虑包括了认证信息处理中的标准流程以及关于ID-KP IM Uri扩展的关键性和重要性。文稿还提供了IANA注册表的更新建议,以便更好地管理与IM URI相关的标识符和模块。 总结来说,本文提供了一个新的扩展键标识符,有助于提高即时消息身份验证的安全性。同时,通过IANA的注册表更新,使得这些扩展键标识符更加规范和可识别。
- Title: Internet X.509 Public Key Infrastructure - Algorithm Identifiers for the Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM)
- Authors: Sean Turner(sean@sn3rd.com), Panos Kampanakis(kpanos@amazon.com), Jake Massimo(jakemas@amazon.com), Bas Westerbaan(bas@westerbaan.name)
- Summary: 本文主要讨论了模块基于代数密钥体制(ML-KEM)的安全性、应用以及在公钥基础设施中的使用。首先,它定义了ML-KEM安全级别的参考标准,并指出了这些级别下使用的算法。然后,它详细介绍了ML-KEM证书的格式和结构,包括其SubjectPublicKeyInfo字段和PrivateKeyInfo字段,以及它们的功能和用途。此外,还给出了几个具体的示例,如私钥和公钥的编码方式等。最后,文稿总结了ML-KEM的使用情况,并对未来的工作进行了展望。
- Title: Use of the ML-DSA Signature Algorithm in the Cryptographic Message Syntax (CMS)
- Authors: Ben S(ben.s3@ncsc.gov.uk), Adam R(adam.r@ncsc.gov.uk), Daniel Van Geest(daniel.vangeest@cryptonext-security.com)
- Summary: 本文主要讨论了模块-图论基数字签名算法(ML-DSA)在加密消息语法(CMS)中的使用。它描述了如何使用ML-DSA进行数字签名,以及如何与CMS一起工作。此外,还介绍了ML-DSA的参数集和公钥编码格式。最后,它提到了一些安全性考虑。 总的来说,本文是关于如何将ML-DSA应用于CMS,以提供一种既安全又高效的解决方案。
- Title: Use of the SLH-DSA Signature Algorithm in the Cryptographic Message Syntax (CMS)
- Authors: Russ Housley(housley@vigilsec.com), Scott Fluhrer(sfluhrer@cisco.com), Panos Kampanakis(kpanos@amazon.com), Bas Westerbaan(bas@westerbaan.name)
- Summary: 本文主要讨论了SLH-DSA哈希签名算法与加密消息语法(CMS)相结合的情况。首先,介绍了SLH-DSA的定义、结构和工作原理。然后,详细描述了使用SLH-DSA签名算法和CMS进行数字签名时的一些关键概念和操作规范。 摘要部分总结了文稿的核心观点,包括SLH-DSA的安全性和适用性,以及它如何为密码学应用提供了一种安全可靠的解决方案。全文提供了详细的实验结果和分析,以验证SLH-DSA在不同场景下的性能表现。最后,提出了几个未来研究方向,如改进SLH-DSA的效率、优化安全性等。 总的来说,本文是关于使用SLH-DSA与CMS结合的深入探讨,旨在推动相关技术的发展和应用。通过一系列的研究和测试,作者们展示了SLH-DSA的强大功能,并对未来的技术发展做出了积极贡献。
- Title: Internet X.509 Public Key Infrastructure: Algorithm Identifiers for ML-DSA
- Authors: Jake Massimo(jakemas@amazon.com), Panos Kampanakis(kpanos@amazon.com), Sean Turner(sean@sn3rd.com), Bas Westerbaan(bas@westerbaan.name)
- Summary: 本文主要讨论了模块化的数字签名算法ML-DSA在公钥基础设施X.509证书和证书撤销列表(CRL)中的使用。ML-DSA是一种基于模块化数字签名标准(NIST PQC项目)[FIPS204]的量子安全数字签名算法。它提供三种安全性级别:ML-DSA-44、ML-DSA-65 和 ML-DSA-87。 本文还详细描述了用于ML-DSA的证书扩展标识(AUTHORITY-INFO)类型,包括相应的签名算法、参数和其他信息。这些信息被用于生成和验证签名值,以及与密钥使用属性相关的特定操作。 此外,本文讨论了如何为签名算法选择合适的公钥格式,并给出了相应示例。最后,本文总结了ML-DSA的安全特性,如独家所有权、消息绑定签名和非恢复性不可变性等。
rats
- Title: RATS Conceptual Messages Wrapper (CMW)
- Authors: Henk Birkholz(henk.birkholz@ietf.contact), Ned Smith(ned.smith@intel.com), Thomas Fossati(thomas.fossati@linaro.org), Hannes Tschofenig(Hannes.Tschofenig@gmx.net)
- Summary: 本文主要描述了RATS概念消息包装格式(CMW)的设计,这是一个用于封装和传输RATS概念消息的新格式。该格式使用基于媒体类型的数据格式进行编码,可以节省协议绑定和介质存储的开销,并且可以通过不同的HTTP、CoAP等协议进行运输。 CMW包括记录、集合和隧道两种形式,可以根据需要携带不同类型的RATS概念消息。这些消息可以在证书扩展、文件系统对象、REST API和其他网络服务中被嵌入,实现安全通信和数据交换。 此外,还定义了与RATS相关的一些标准,如CMW标签、JWT和CBOR Web Token等,以支持各种应用环境下的信息传递。通过这种方式,RATS技术可以减少依赖于特定消息格式和认证方法的复杂性,提高跨协议兼容性和效率。
WIT
httpapi
- Title: HTTP Problem Types for Digest Fields
- Authors: Marius Kleidl(marius@transloadit.com), Lucas Pardue(lucas@lucaspardue.com), Roberto Polli(robipolli@gmail.com)
- Summary: 本文提出了一种新的问题类型,用于指示在处理携带完整性字段和完整性偏好字段的请求时服务器可能遇到的问题。这些问题类型包括不支持的哈希算法、无效的散列值和不匹配的散列值。这些问题类型允许服务器使用特定类型的错误消息来通知客户端出现问题,并提供有关支持算法的信息或建议。此外,它们还强调了信息安全方面的考虑,如防止泄露信息以及如何正确地披露错误信息以最小化风险。 本文讨论了这些新问题类型的定义、安全性考虑以及IANA注册的建议HTTP状态码。它也概述了实施这些问题类型的一些最佳实践,例如评估泄露可能性并优先选择更通用的问题类型而不是更具体的问题类型。最后,本文总结了主要关注点,即准确报告错误情况的重要性以及遵守正确的安全实践对于确保网络通信的安全至关重要。
scone
- Title: SCONE Video Optimization Requirements
- Authors: Matt Joras(matt.joras@gmail.com), Anoop Tomar(anooptomar@meta.com), Abhishek Tiwari(abhisht@microsoft.com), Alan Frindell(afrind@meta.com)
- Summary: 本文提出了SCONE视频优化的需求,这是在移动网络中优化视频播放体验的技术解决方案。它包括以下几个方面: 1. 在线协商加密密钥建立机制:为了确保信息交换的安全性,需要一种在线协商机制来共享密钥。 2. 加密和完整性保护:必须对信息进行加密和完整性保护,以防止信息被观察或修改。 3. 在线密钥交换:为了实现加密,客户端和移动网络设备之间的通信必须有在线密钥交换机制。 4. 客户端主动发起:除了明确客户和移动网络设备之间的通信通道外,还应允许客户通过这个通道向服务提供商请求其视频播放决策支持。 5. 低频率的数据传输:视频优化需求中,流量更新通常发生在用户流量使用限制达到一定阈值时,因此需要有足够快的传输速度。 6. 适用于所有流的解决方案:为了满足每个移动网络中的视频流,解决方案必须是可扩展的,并且性能良好。 7. 支持QUIC和HTTP/3:因为QUIC协议在多媒体数据分发上具有良好的特性,因此该技术可以与HTTP/3一起用于支持视频内容提供商的交付。 8. 所有4G/5G移动包核心:对于移动包核心节点来说,这些节点可以通过标准3GPP接口访问PCRF(策略和计费规则功能)和PCEF(策略和计费执行),并整合了这些节点的特定流和用户的专用政策执行能力。 9. 不支持TCP视频流:尽管TCP视频流也是视频流的一部分,但本文没有提供任何关于不支持TCP视频流的信息。 10. 数据流向固定网络:本文未提及对固定网络的支持,即仅限于移动网络。 总结而言,SCONE视频优化需求旨在为视频流提供可靠的、安全的、在线协商加密密钥建立机制,以及加密和完整性保护,从而支持视频流在移动网络中的优化。此外,该方案还需要能够处理各种流量类型,并能够在不增加移动包核心节点计算资源的情况下有效运行。
IRTF
nmrg
- Title: Future Research Directions on Energy-Aware Security Mechanisms
- Authors: Laura Rodrigues Soares(lrsoares@inf.ufrgs.br), Jéferson Campos Nobre(jcnobre@inf.ufrgs.br)
- Summary: 本文主要讨论了网络管理领域的绿色网络安全研究现状。随着全球气候危机的加剧,所有领域都在不断评估其温室气体排放并鼓励尽可能使用清洁能源。然而,现有的绿色网络研究仍需要扩展到网络安全领域,如网络安全性。本文总结了现有工作的安全考虑,并提出了未来在能源感知网络安全机制方面的研究方向。 文稿指出,尽管绿色网络技术取得了进展,但关于这一主题的研究仍然需要进一步拓展,特别是在与网络安全性相关的领域。文稿还强调了标准化的必要性,以避免不同供应商之间出现冗余、矛盾甚至相互冲突的性能测量指标。 最后,作者建议,在未来的绿色网络安全研究和讨论中,应着重关注更多关于网络安全的考虑。
- Title: Intent-Based Network Management Automation in 5G Networks
- Authors: Jaehoon Paul Jeong(jaehoon.paul@gmail.com), Yoseop Ahn(ahnjs124@skku.edu), Mose Gu(rna0415@skku.edu), Younghan Kim(younghak@ssu.ac.kr), Park Jung-Soo(pjs@etri.re.kr)
- Summary: 本文主要讨论了基于意图的网络管理自动化(NMA)在5G网络中的实现。文稿提出了一个基于意图驱动的网络控制框架,其中包含闭合循环网络控制、网络意图翻译器和网络安全审计系统。 框架中的三个核心功能是: 1. 网络管理自动化:通过网络意图从用户(或管理员)传递到目标网络系统,并将这些意图转换为相应的网络政策。 2. 意图翻译器:它将网络意图转换为网络策略,该策略可以被合适的NF执行,以满足用户的意图要求。 3. 安全审计系统:用于检测潜在的恶意活动,如内部攻击或供应链攻击,以及评估现有的网络控制措施。 文稿还提到了几个关键点: 1. 一种名为“意图驱动”的网络管理模式正在逐渐普及,其目的是完全自动化的网络管理和监控。 2. 基于意图的NMA服务需要能够处理多种NF类型(例如虚拟网络功能、云原生网络功能和物理网络功能),并使用人工智能(AI)和机器学习(ML)技术来增强这一过程。 3. 在5G网络中,基于意图的NMA服务需要支持物联网(IoT)设备数据聚合、网络切片和车辆至一切(V2X)服务质量等关键功能。
ufmrg
- Title: A Formalization of Symbolic Expressions
- Authors: Marc Petit-Huguenin(marc@petit-huguenin.org)
- Summary: 本文主要对《spki symbolical expressions》文档进行了形式化和分析,说明了原始文档中的某些不一致性和矛盾。然后提出了一个新的类型定义,并展示了如何使用该类型的实例来验证文档的有效性。通过这种方式,证明了文档在所有示例中都是正确的。总结是,新的形式化方法使得文档具有可验证性,从而为文档提供了一个稳定引用,使得它可以被正式地发布和用于企业标准。 文稿还介绍了Idris2编程语言,这是一种用于构建形式化模型的语言。这种语言结合了语法和验证系统,使形式化的概念能够有效表达出来。此外,作者也提供了相关参考文献和参考资料,以便读者深入理解文稿内容。
Unknown
Unknown
- Title: Dynamic Network Adjustments for Cloud Service Scaling
- Authors: Linda Dunbar(dunbar.ll@gmail.com), Chongfeng Xie(xiechf@chinatelecom.cn), Kausik Majumdar(kausik.majumdar@oracle.com), Qiang Sun(sunqiong@chinatelecom.com)
- Summary: 本文提出了一种框架,用于在云服务扩展时动态调整网络配置。随着云服务的动态扩展,需要实时调整以满足变化的需求。本文提出的框架通过整合云服务调度系统和网络管理平台来实现这种协调,并提供了一种标准化的接口,可以无缝地管理不同供应商的网络资源。 文稿详细介绍了动态网络调整框架的核心组件、工作流程以及如何触发云服务扩展引起的网络调整。此外,还讨论了在网络服务扩展或变化的情况下,如何使用特定类型的网络模型(如动态带宽模型、动态负载均衡器模型和动态ACL模型)来自动修改网络配置。最后,文稿提出了安全性考虑,并指出了对云服务扩展响应进行安全审计的重要性。
- Title: General Guidance for Implementing Branded Indicators for Message Identification (BIMI)
- Authors: Alex Brotman(alex_brotman@comcast.com), Terry Zink(tzink@terryzink.com), Marc Bradshaw(marc@marcbradshaw.net)
- Summary: 本文主要阐述了品牌标识信息识别(BIMI)的概念及其实施指南。BIMI是一种用于邮件认证的技术,通过结合DMARC(域名基于消息认证、报告和符合性)和其他安全措施来确保发件人的身份。接收者应确保他们的网站符合BIMI要求,并验证发件人是否拥有DMARC政策,以及是否有足够的信任度进行签名。此外,文档还指出了如何处理DNS解析中的不一致问题,以避免显示错误的BIMI标志。 总的来说,本文为实现邮件认证提供了指导,特别是对于那些尚未采用DMARC或其他安全措施的品牌和组织。它强调了品牌的利益相关方在选择使用BIMI时需要考虑的因素,并提出了几个关键点来确保BIMI的正确实施。
- Title: SVG Tiny Portable/Secure
- Authors: Alex Brotman(alex_brotman@comcast.com), J. Trent Adams(jtrentadams@gmail.com)
- Summary: 本文主要定义了一个名为SVG Tiny Portable/Secure(SVG Tiny PS)的缩放矢量图形(SVG)特性,旨在针对更小平台使用或考虑到安全性的文档。SVG Tiny PS限制了允许元素的范围,排除了一些元素,如路径、切换元素和多媒体等,并要求文件大小不超过32KB。SVG Tiny PS还考虑了安全性,例如保留颜色信息以最小化影响。 它还对创建SVG Tiny PS文档进行了特别说明:确保文件包含至少两种颜色;必须包括两个以上可渲染字符;注意透明元素可能会影响显示方式;并需遵守特定的安全规定。同时,文稿总结了SVG Tiny PS在设计上的几个特点,比如文件大小限制,以及对于不同SVG编辑软件的兼容性问题。此外,还提供了SVG Tiny PS的RNC验证工具。
- Title: BIMI Reporting
- Authors: J. Trent Adams(jtrentadams@gmail.com), Alex Brotman(alex_brotman@comcast.com)
- Summary: 《BIMI 报告》是关于如何支持品牌标识识别 (BIMI) 的标准,以及它与 DMARC 相关报告数据相关联。它定义了在 DMARC 报告中如何报告 BIMI 记录中的错误和结果。 文稿首先介绍了术语和定义,包括 BIMI、Aligned Domain、Assertion Domain、Evaluator、Report、Reporter 等概念。接着详细描述了 BIMI 报告的结构和元素,如
、 、 和 等,以及它们各自的作用。 文稿最后对几个关键概念进行了总结,并讨论了与其他相关文档的关系。同时,还提到了几个需要进一步研究的问题,例如如何处理 Web 虚拟机(VM)上的 BIMI 图像等。总的来说,《BIMI 报告》为支持 BIMI 标识提供了一个统一的方法来管理和记录评估结果,这对于确保 DMARC 策略的有效性和执行效率具有重要意义。
- Title: Fetch and Validation of Verified Mark Certificates
- Authors: Wei Chuang(weihaw@google.com), Marc Bradshaw(marc@marcbradshaw.net), Thede Loder(thede@skyelogicworks.com), Alex Brotman(alex_brotman@comcast.com)
- Summary: 本文主要描述了如何验证可信标识证书(Verified Mark Certificate, VMC)的过程。文稿首先介绍了VMC的定义和基本结构,包括如何从网站托管服务下载VMC,并对其进行验证。然后,它描述了验证过程中的各个步骤,包括认证、验证链、CT记录等。最后,总结了如何验证一个VMC是否有效,以及如何与声明的BIMI实体相关联。整个文档为用户提供了一个清晰的流程图来验证VMC的有效性。
- Title: Brand Indicators for Message Identification (BIMI)
- Authors: Seth Blank(seth@valimail.com), Peter Goldstein(peter@valimail.com), Thede Loder(thede@skyelogicworks.com), Terry Zink(tzink@terryzink.com), Marc Bradshaw(marc@marcbradshaw.net), Alex Brotman(alex_brotman@comcast.com)
- Summary: 本文定义了品牌标识识别 (BIMI) 的概念,这是一种新的邮件认证机制,旨在为邮件发送者和接收者之间建立信任关系。BIMI 允许域名所有者将品牌的标识信息与电子邮件关联起来,并允许接收者在收到被验证的电子邮件后查看这些标识。 BIMI 的实施涉及到以下步骤: 1. 域名所有者必须制定并发布 BIMI 签发记录,以明确其希望显示的品牌标识。 2. 发送方应确保他们的电子邮件具有足够的域控制策略(如 DKIM)来验证其身份。 3. 协议客户端应该检查消息是否已获得适当的域控制,然后根据需要附上 BIMI 标识符。 4. 协议客户端应使用可选能力来获取和评估关于域名持有人对标识的拥有权的相关证据。 5. 协议客户端应该能够正确解析发布到 DNS 的 BIMI 记录,以便协议客户端可以查询并从指示器文件中获取品牌标识。 6. 协议客户端应该选择合适的签名方式来验证 BIMI 记录的签名,以确认域名持有人有权使用指定的标识符。 BIMI 主要解决了以下问题: 1. 解决了封闭系统导致的标识管理复杂性。 2. 保护了用户的隐私,防止恶意域名持有者的欺诈行为。 3. 支持了更多的品牌标识类型。 4. 提高了用户体验,使得用户可以看到他们在邮箱中的信誉水平。 总的来说,BIMI 是一种安全、可靠且易于部署的邮件认证方法,它为域名所有人提供了更好的用户体验,并通过减少不必要的操作来简化认证过程。
- Title: HTTP Version Translation of the Capsule Protocol
- Authors: Benjamin M. Schwartz(ietf@bemasc.net), Kazuho Oku(kazuhooku@gmail.com)
- Summary: 本文是关于如何将HTTP版本翻译到胶囊协议的规范性文件。文稿详细介绍了如何处理未识别的CPUT,以及在不同HTTP版本之间进行转换的方法。它还讨论了这一过程可能带来的影响,并指出了未来的规格与胶囊协议相关的可能要求。 此外,本文提出了几个概念,如“GET”方法在HTTP/1.1中的等效性、“Capsule-Protocol”响应头的作用、中间人行为的独立性和对已定义为必须的行为的支持,这些都对现有CPUT和胶囊类型有重要影响。最后,本文也提到了一些潜在的安全考虑因素。 总的来说,本文提供了关于如何将未识别的CPUT翻译到不同HTTP版本的具体指南,这对于实现有效的版本转换至关重要。同时,它还探讨了一些未来可能需要遵守的规定。
- Title: Securing hybrid network - criteria and requirements
- Authors: Yutaka Oiwa(y.oiwa@aist.go.jp)
- Summary: 本文分析了在复杂网络环境中,如混合云或混合云设置下,确保和监控网络安全状态的需求。文稿指出,现有的技术(如Netconf、路径验证等)无法满足虚拟化、多节点环境下的需求。 为此,提出了一个初步的设计方案。该方案将网络基础设施分为两个维度:一是基于网络路径的方向;二是基于协议层次。此外,还考虑到了隧道和虚拟化技术,并对可能的问题进行了讨论。最后,指出了可能的实现方式和一些注意事项。
- Title: Post-quantum Hybrid Key Exchange with ML-KEM in the Internet Key Exchange Protocol Version 2 (IKEv2)
- Authors: Panos Kampanakis(kpanos@amazon.com), Gerardo Ravago(gcr@amazon.com)
- Summary: 本文主要介绍了使用混合量子密码体制(ML-KEM)作为传统公钥交换算法在IKEv2中的应用。它定义了如何在IKEv2的IKE_SA_INIT、CREATE_CHILD_SA和IKE_FOLLOWUP_KE等后续步骤中使用ML-KEM作为额外的密钥交换算法,以提供量子安全性的保护,并防止被加密通信的数据在未经修改的情况下被解密。此外,还讨论了ML-KEM在IKEv2中的安全性考虑,包括其公共密钥和消息大小限制以及对IPv4网络MTU的影响。 总的来说,该文稿为实现后量子时代的关键技术融合提出了一个解决方案,即通过使用混合量子密码体制来确保安全性和效率之间的平衡。同时,它也为未来可能的量子计算机攻击提供了防御措施。
- Title: IAB AI-CONTROL Workshop Report
- Authors: Mark Nottingham(mnot@mnot.net), Suresh Krishnan(suresh.krishnan@gmail.com)
- Summary: 本文是关于AI控制研讨会的报告。文中讨论了当前AI控制的现状、存在的问题和未来可能的工作方向。 主要观点如下: 1. AI控制在互联网上被广泛使用,但没有统一的控制机制导致效果不佳。 2. 市场需求多样化,不同产品对数据处理的需求也不同,需要更灵活的控制机制。 3. 目前使用的控制手段如robots.txt和版权管理等存在缺陷,无法满足多样的控制需求。 4. 需要建立一个标准化的控制机制来解决这些问题,包括但不限于:明确的控制信号、有效的控制策略和透明度标准。 总的来说,虽然目前的控制机制存在问题,但可以通过改进来提高控制的有效性和效率。
- I-D: draft-menon-svr-07
- Title: Juniper's Secure Vector Routing (SVR)
- Authors: Abilash Menon(abilashmenon@maia-tech.com), Patrick MeLampy(pmelampy@gmail.com), Michael Baj(mbaj@juniper.net), Patrick Timmons(ptimmons@gmail.com), Hadriel Kaplan(hkaplan@acmepacket.com)
- Summary: 本文主要描述了Juniper公司提出的Secure Vector Routing (SVR)协议。SVR是一种基于网络层的overlay网络协议,它使用应用层cookies(session标识符)来消除必须在多个地址空间内管理网络路由需求的问题。通过这种方式,可以实现端到端通信,而不必创建和维护非重叠的地址空间。SVR协议的工作原理包括: 1. 插入应用层cookie:将SVR信息插入到IP包的第一帧中。 2. 路径选择:SVR路由器解析IP包中的信息,决定如何转发该数据包。 3. 协议栈处理:当数据包到达下一跳路由器时,如果该路由器支持SVR,则进行相关操作;否则将其丢弃或重新封装发送。 4. 交互过程:SVR路由器间进行握手确认接收和发送SVR信息。 总的来说,SVR协议简化了网络路由控制,消除了传统网络中不必要的隧道封装和解封装,提高了网络效率,同时为多路径路由提供了新的解决方案。
- Title: A Mechanism for X.509 Certificate Discovery
- Authors: Tomofumi Okubo(tomofumi.okubo@digicert.com), Corey Bonnell(corey.bonnell@digicert.com), John Gray(john.gray@entrust.com), Mike Ounsworth(mike.ounsworth@entrust.com), Joe Mandel(jmandel66@gmail.com)
- Summary: 本文提出了一个新的X.509证书发现机制,用于在协议中高效地管理多个证书。这个机制的目标是提供三个关键优势:增强加密灵活性、提高操作冗余性和适应多密钥/证书使用。 具体来说: 1. 提高加密灵活性:当需要升级到新的算法或证书类型时,它允许用户尝试新算法和证书类型。 2. 增强操作冗余性:通过使用备份证书作为主证书失效的备用,可以确保服务连续性。 3. 应对多重密钥/证书情况:支持依赖方从不同的证书获取所需的公钥来进行不同的加密操作。 本文主要讨论了X.509证书发现机制中的Subject Information Access扩展,并定义了相关的证书描述符格式。同时,还详细分析了安全考虑因素,包括避免循环验证等问题。最后,介绍了与国际标准化组织的相关参考文献。
- I-D: draft-rivest-sexp-12
- Title: Simple Public Key Infrastructure (SPKI) S-Expressions
- Authors: Ronald L. Rivest(rivest@theory.lcs.mit.edu), Donald E. Eastlake 3rd(d3e3e3@gmail.com)
- Summary: 本文主要介绍了简单公钥基础设施(Simple Public Key Infrastructure, SPKI)的S-表达式数据结构,该结构支持使用广泛。它包括了如何定义S-表达式的格式,以及描述了几种不同的表示方式:基础传输、基本传输和高级传输。此外,还详细说明了关于S-表达式的各种约束条件。 总结而言,本文提供了用于处理S-表达式的多种方法,并提出了多种可能的限制。例如,可以只使用基础或基本传输形式,不指定显示提示,没有长度在十六进制、标记字符串或基64编码中的元字符等。这些特性使S-表达式更适合于不同的应用场景。 总的来说,本文为实现更广泛的S-表达式应用提供了一套标准的数据结构,适合不同需求的应用场景。
- Title: IMAP "$MailFlagBit" Keywords
- Authors: Daniel Eggert(deggert@apple.com)
- Summary: 本文主要介绍了在互联网协议中定义的新关键字以及它们的颜色表示。这些新关键字是$MailFlagBit0、$MailFlagBit1和$MailFlagBit2,用于标记带有系统标志Flagged的消息,并将其颜色设置为红色($red)、橙色($orange)或黄色($yellow)。此外,还定义了如何在未启用Flagged系统标志时忽略这些颜色,以及如何处理未设Flagged系统的消息。 该文档注册了这三个新关键词并定义了它们之间的对应关系,以确保客户端能够正确地使用这些颜色来表示标记状态。此外,还提供了相关的安全性考虑,并指出了可能对网络安全的影响。 总的来说,本文旨在提供一个简明扼要的指南,以便理解这些新的颜色表示及其应用方式。