今日共有9篇文稿更新,涉及3个area里的5个WG

OPS

opsawg

  1. I-D: draft-ietf-opsawg-tacacs-tls13-15
  • Title: Terminal Access Controller Access-Control System Plus (TACACS+) over TLS 1.3
  • Authors: Thorsten Dahm(t.dahm@resolution.de), John Heasley(heas@shrubbery.net), dcmgash@cisco.com(dcmgash@cisco.com), Andrej Ota(andrej@ota.si)
  • Summary: 《Terminal Access Controller Access-Control System Plus (TACACS+) Protocol Over TLS》是关于终端访问控制器访问控制系统加(TACACS+)协议在TLS下的更新。该文档添加了TLS支持,替换掉了前文中的MD5和无序传输等机制,并提出了一些新的安全要求。 文档的主要内容包括: 1. 描述了TACACS+的安全性不足,并引入了TLS来弥补这些问题。 2. 描述了TACACS+服务器与客户端之间的TLS连接,以及相关的安全性措施。 3. 提出了TLS证书认证、PSK认证、零-RTT数据等新功能,以提高TACACS+协议的安全性和可靠性。 4. 讨论了TACACS+配置和运行时的注意事项,如如何确保不同的端口用于不同的服务类型。 5. 指出了使用TLS可能面临的风险和挑战,如零-RTT攻击和跨站脚本等,并给出了相应的解决方案。 总的来说,这篇文档提出了TLS作为TACACS+协议的替代方案,旨在提升其安全性,并提供了一系列的安全增强措施。

RTG

bess

  1. I-D: draft-duan-bess-mvpn-ipv6-infras-07
  • Title: BGP MVPN in IPv6 Infrastructure Networks: Problems and Solution Approaches
  • Authors: Fanghong Duan(duanfanghong@huawei.com), Jingrong Xie(xiejingrong@huawei.com), Siyu Chen(chensiyu27@huawei.com)
  • Summary: 本文主要讨论了BGP多播点到点隧道在IPv6基础设施网络中的部署问题以及相应的解决方案。文中指出,在IPv6环境下,源AS字段(长度为4位)无法容纳IPv6地址(长度为16位),因此需要解决这个问题。同时,还提到了路由反射控制的问题,即如何将不同AS之间的BGP MVPN路由在IPv4和IPv6的BGP会话中进行分发。为了减少IPv4和IPv6 BGP会话中的跨平台BGP MVPN路由数量,作者提出了以下建议: 1. 对于Intra-AS I-PMSI A-D路由、Leaf A-D路由、S-PMSI A-D路由和Source Active A-D路由,如果源路由器的IP地址填充有IPv6地址,则发送给IPv6邻居;否则,发送给IPv4邻居。 2. 对于Inter-AS I-PMSI A-D路由和Source Active A-D路由,发送给两个IPv6邻居和一个IPv4邻居。 3. 对于C-multicast路由,如果IPv6 VRF Route Import Extended Community存在则发送给IPv6邻居;否则,发送给IPv4邻居。 总的来说,本文提出了解决IPv6环境下BGP MVPN部署中出现的一些常见问题的方法,并给出了相关的实现细节。这些方法有助于提高BGP MVPN在IPv6基础设施网络中的稳定性及效率。
  1. I-D: draft-wang-bess-mvpn-upstream-df-selection-10
  • Title: Multicast VPN Upstream Designated Forwarder Selection
  • Authors: Fanghong Duan(duanfanghong@huawei.com), Siyu Chen(chensiyu27@huawei.com), Yisong Liu(liuyisong@chinamobile.com), Heng Wang(wangheng1@ruijie.com.cn)
  • Summary: 本文主要讨论了多播虚拟私有网络(VPNs)中的指定转发器选举机制,以及它与传统方法的不同之处。文稿首先定义了多播虚拟私有网络、指定转发器和分发点发现等概念,并详细描述了选代指定转发器的方法。接着,讨论了选定指定转发器后的失败检测和快速故障恢复问题,包括使用双向前向检测(BFDSession)跟踪检测点的状态以实现快速故障转移。最后,总结了在不同情况下如何处理和支持不支持指定转发器选举的设备,以及如何保持端到端的MVPN服务。 总之,本文提出了一种新的MVPN过程,用于指定转发器选举,在不同场景下支持不支持指定转发器选举的设备,并确保端到端的MVPN服务。 由于没有提供具体的引用列表,请参考原文中提到的相关文献来获得更详尽的信息。

pce

  1. I-D: draft-ietf-pce-stateful-pce-vendor-12
  • Title: Conveying Vendor-Specific Information in the Path Computation Element (PCE) Communication Protocol (PCEP) extensions for Stateful PCE.
  • Authors: Cheng Li(c.l@huawei.com), Haomian Zheng(zhenghaomian@huawei.com), Siva Sivabalan(msiva282@gmail.com), Samuel Sidor(ssidor@cisco.com), Zafar Ali(zali@cisco.com)
  • Summary: 本文主要讨论了在PCEP协议中添加支持厂商特定信息的扩展功能。这种扩展允许厂商将非标准化数据包含在PCEP消息中,以改进网络优化和功能,并促进不同网络环境下的互操作性。这些信息可以附加到状态化PCE(Stateful PCE)的消息结构中。此外,还介绍了如何使用RBNF编码来格式化这些消息以及管理这些信息的注意事项。总之,该扩展增强了PCEP协议的功能性和兼容性,有助于实现厂商之间的网络协同工作。

SEC

lamps

  1. I-D: draft-ietf-lamps-cms-sphincs-plus-16
  • Title: Use of the SLH-DSA Signature Algorithm in the Cryptographic Message Syntax (CMS)
  • Authors: Russ Housley(housley@vigilsec.com), Scott Fluhrer(sfluhrer@cisco.com), Panos Kampanakis(kpanos@amazon.com), Bas Westerbaan(bas@westerbaan.name)
  • Summary: 本文是关于使用散列签名标准(CMS)中的散列函数SLH-DSA与散列消息语法(CMS)的摘要。主要讨论了以下内容: 1. 定义和概览:SLH-DSA是一个基于散列的哈希签名算法,它提供了三个安全级别。它的安全性通过参数设置来提供。 2. 公钥标识符:公钥标识符用于标识一个SLH-DSA的公共密钥,并指定其使用的安全级别、小版本或快速版本以及所使用的散列函数。 3. 指示器描述:SLH-DSA的指示器描述为一种数字证书类型,用于标识一个包含私钥和公钥对组合的签名实体。 4. 签名数据:在SLH-DSA签名中,用户可以单独发送散列值给客户端验证签名,或者将完整的消息发给客户端进行完整性检查。 5. 密码安全考虑:SLH-DSA是一种状态不相关的散列签名算法,而其他依赖于存储状态的安全性较低。 6. 特别关注:文中还提到了针对SLH-DSA的一些保护措施,例如防止故障攻击等。 7. 格式建议:为了支持一些功能,需要额外的编码以增强安全性,如使用特定的散列函数等。同时,还需要确保密码安全性和设备性能。
  1. I-D: draft-ietf-lamps-rfc6712bis-08
  • Title: Internet X.509 Public Key Infrastructure -- HTTP Transfer for the Certificate Management Protocol (CMP)
  • Authors: Hendrik Brockhaus(hendrik.brockhaus@siemens.com), David von Oheimb(david.von.oheimb@siemens.com), Mike Ounsworth(mike.ounsworth@entrust.com), John Gray(john.gray@entrust.com)
  • Summary: 《HTTP Transfer for CMP》文档是关于如何在HTTP上层集成证书管理协议(CMP)的相关文档。它更新了RFC 6712,引入了使用"/.well-known/cmp"路径前缀和进一步分割URI结构来支持更多部分的能力,并定义了一个新的协议注册组。此外,还删除了一些与HTTP/1.0不兼容的部分,包括对HTTP/1.0的支持。 该文档主要介绍了如何将CMP消息以POST方式通过HTTP传输,同时提供了相应的HTTP请求-URI、通用媒体类型设置以及通信流程等细节。同时,还强调了HTTP的安全性问题,建议使用HTTPS或HTTP Digest进行保护,以防止中间人攻击。 总之,《HTTP Transfer for CMP》为使用HTTP作为CMP传输协议提供了一种解决方案,实现了有效的跨平台和多供应商环境下的对接需求。
  1. I-D: draft-ietf-lamps-rfc4210bis-15
  • Title: Internet X.509 Public Key Infrastructure -- Certificate Management Protocol (CMP)
  • Authors: Hendrik Brockhaus(hendrik.brockhaus@siemens.com), David von Oheimb(david.von.oheimb@siemens.com), Mike Ounsworth(mike.ounsworth@entrust.com), John Gray(john.gray@entrust.com)
  • Summary: 本文是关于X.509公钥基础设施(PKI)证书管理协议(CMP)的最新版本,旨在描述和定义用于创建和管理证书的协议消息。其中引入了EnvelopedData作为优先选择的加密类型,并在证明拥有私钥方面提供了支持。 此外,文稿还更新了与证书透明度日志相关的概念,强调了使用EnvelopedData而非EncryptedValue进行保护的重要性,以更好地支持PKI中的加密敏捷性。文稿还包括对根CA更新、跨认证请求响应以及在某些情况下直接从客户端获取CA证书等新功能的详细说明。 最后,文稿介绍了新的要求和限制,如确保证书传输过程中使用的密钥的安全性和可验证性,以及对PKI管理操作的详细定义,包括CA初始化、CA关键更新和CRL发布等。

tls

  1. I-D: draft-ietf-tls-tls13-pkcs1-02
  • Title: Legacy RSASSA-PKCS1-v1_5 codepoints for TLS 1.3
  • Authors: David Benjamin(davidben@google.com), Andrei Popov(andrei.popov@gmail.com)
  • Summary: 本文主要讨论了如何在TLS 1.3协议中使用旧版RSASSA-PKCS1-v1_5算法的问题。由于一些硬件设备无法支持该算法,导致部分客户和服务器之间的连接无法顺利升级到TLS 1.3版本。为了解决这个问题,本文提出了一些新的代码点,允许这些老旧的RSA密钥在TLS 1.3协议中被使用的场景。这样可以确保客户端能够升级到TLS 1.3而不必更换密钥,同时也减轻了服务器在提供支持的同时进行迁移的压力。 此外,本文还讨论了如何安全地验证和生成旧版RSA密钥,以避免可能的安全漏洞。总之,本文提供了新的解决方案来解决旧版RSA密钥与新版本TLS之间的兼容性问题,从而保证了用户的网络安全。

Unknown

Unknown

  1. I-D: draft-haberman-digital-emblem-ps-03
  • Title: Problem Statement for Digitized Emblems
  • Authors: Brian Haberman(brian@innovationslab.net), Tommy Jensen(tojens.ietf@gmail.com), Bill Woodcock(woody@pch.net)
  • Summary: 本文是关于数字标记问题的讨论。主要讲述了国际法中的几种保护性标记,如联合国维和部队的蓝色头盔、联合国教科文组织的蓝白盾牌以及红十字会徽章等,并强调了这些标记在现实世界中存在的不足之处。文稿提出了一个基于网络的工作模式,旨在解决传统物理标记的问题,并为数字化标记提供了一种新的解决方案。 该文档总结了几个关键点:一是需要建立一种识别机制来确保标记的存在;二是需要提供一套有效的分布策略以实现快速的验证;三是要设计一套可信任的系统,以确保合法拥有者有权使用标记;四是要求有严格的时效性和地理限制;五是要具有防篡改能力。此外,还提到了一些可能的应用场景,例如用于网站服务器标签、个人设备标签、对电力受限设备的支持、网络内的发现和网络外的发现等。最后,文档指出了未来的努力方向,包括开发更多的应用场景和更先进的技术手段。