【每日文稿】2024-10-20
今日共有37篇文稿更新,涉及7个area里的22个WG
ART
vcon
- Title: The JSON format for vCon - Conversation Data Container
- Authors: Daniel Petrie(dan.ietf@sipez.com), Thomas McCarthy-Howe(ghostofbasho@gmail.com)
- Summary: 本文主要讨论了关于虚拟化对话(vCon)的概念及其标准定义。vCon是专门用于存储和管理实时人类对话数据的容器,它模拟了一个企业通信服务或系统与客户服务、消费者或信息所有权方之间的标准交流方式。 vCon包含四个关键部分:元数据、会话、分析和附件。元数据部分允许从呼叫详细记录中扩展收集到的额外数据,包括参与者ID等;会话部分包含了多媒体和媒体元素,这些元素代表实际的人类对话原始形式的音频、视频或文本;分析部分由元数据和会话部分生成的数据提供,可以进行诸如转录、翻译、摘要等语义标签化的操作;附件部分包含任何其他文档,如演示文稿或客户联系信息,以支持对话本身。此外,vCon还可以表示完整性检查信息,例如发件人的身份验证信息以及防止篡改的特性。 本文讨论了vCon在呼叫中心环境中的使用案例,并列出了其需求。虽然本文并未详述所有可能的功能,但明确指出vCon应能标准化实现实时对话数据交换的方法,有助于不同通信模式、平台和客户服务协议的发展。该格式选择基于JSON,以方便上下文处理和网络栈操作,并且未来可能会考虑其他的绑定格式,如CBOR或CDDL。 总结来说,本文概述了vCon的概念及其用途,为构建一致隐私保护的沟通数据提供了框架,并提出了将vCon作为企业内部协作和外部分析工具的基础。尽管本文未详细介绍所有功能细节,但它明确了vCon的重要性及其如何推动不同通信协议的发展。
INT
drip
- Title: Aircraft to Anything AdHoc Broadcasts and Session
- Authors: Robert Moskowitz(rgm@labs.htt-consult.com), Stuart W. Card(stu.card@critical.com), Andrei Gurtov(gurtov@acm.org)
- Summary: 《飞机到任何广播》草案 本文是关于无人机(Aircraft-to-Anything, A2X)通信的一种新的实现方法。它定义了使用DRIP(Drone Remote Identification Protocol)Entity Tags(DET)进行单播信任证明,以及利用这些DET构建Ad hoc会话密钥来创建A2X通信流。 文稿首先解释了X.509证书如何代替DET端背,并提供了更小的C509编码方式。然后详细介绍了使用全签名证据的方法,用于创建A2X消息,包括一个消息ID字段和一段持续时间。接下来,文稿讨论了如何选择非连续消息以建立A2A会话,这是通过在发送方收到A2A消息后立即切换到安全会话模式来完成的。最后,文稿展示了如何使用SCHC压缩DTLS数据包,以便于多无线技术(如IEEE 802.11ah、IEEE 802.16等)传输A2X消息。 总的来说,这篇文稿提供了一种结合了DRIP DET和ED25519公钥基础设施的新方法,为无人机之间的有效通信建立了信任链。它还提出了基于SCHC的解决方案,允许基于IPv6数据包直接路由A2X信息,并支持更多可能的安全协议选择。
OPS
dnsop
- Title: A Domain Name System (DNS) Service Parameter and Resource Record for Tunneling Information
- Authors: Donald E. Eastlake 3rd(d3e3e3@gmail.com), Haoyu Song(haoyu.song@futurewei.com)
- Summary: 本文主要讨论了在域名系统(DNS)中存储隧道信息的问题。文稿提出了一种新的服务参数类型“tunnel”,它用于存储连接隧道或封装的信息。该参数可以用于帮助客户端应用程序通过特定的协议和目标地址,将数据包传输到远程服务。此外,还定义了一个新的资源记录类型(RRTYPE),称为"TUNNEL",以支持隧道信息的存储和检索。 该文档指出了这个新类型的用途,并概述了如何使用DNS查询来获取目的地的地址和外层运输头部。同时,也提出了关于安全性和对现有DNS服务器的影响等其他考虑因素。总之,本文提供了一个新的视角来处理DNS中的隧道信息,有助于提高网络安全性并促进更有效的通信。
nmop
- Title: AI based Network Management Agent(NMA): Concepts and Architecture
- Authors: XingZhao(zhaoxing@caict.ac.cn), Yunbin Xu(xuyunbin@caict.ac.cn), Chaode Yu(yuchaode@huawei.com), Haijun Meng(menghaijun@caict.ac.cn), Yipeng Fu(fuyipeng@caict.ac.cn)
- Summary: 本文讨论了人工智能(AI)在网络管理中的应用及其可能带来的影响。文稿首先介绍了AI技术的优势和潜力,以及它如何与现有网络管理系统相结合以实现自智化网络的目标。然后,提出了AI基于网络管理代理(NMA)的概念,并详细描述了其功能架构、部署模式、通用处理流程等。此外,还讨论了AI在引入后可能的应用场景、安全考虑和IANA建议等内容。 总的来说,本文旨在为AI在网络管理领域的应用提供一个概念框架,并探讨其潜在的影响。它为后续的研究和标准制定提供了基础。
- Title: Semantic Metadata Annotation for Network Anomaly Detection
- Authors: Thomas Graf(thomas.graf@swisscom.com), Wanting Du(wanting.du@swisscom.com), Alex Huang Feng(alex.huang-feng@insa-lyon.fr), Vincenzo Riccobene(vincenzo.riccobene@huawei-partners.com), Antonio Roberto(antonio.roberto@huawei.com)
- Summary: 这篇文档主要讨论了网络异常检测中使用的元数据注释的重要性。它描述了如何通过使用元数据来测试、验证和比较异常检测,支持监督学习和半监督学习开发,以及使人类能够直观地理解异常的结果。这种元数据结构使得运营商和供应商之间的数据交换更加有效,并且可以为服务中断检测系统提供基准。 总结来说,本文强调了元数据在异常检测中的作用,以及它们如何提高服务中断检测系统的性能。它还提到了元数据如何确保网络运营商和供应商的数据交换更高效,以及这些元数据如何帮助解决一些常见的网络问题。
- Title: An Architecture for a Network Anomaly Detection Framework
- Authors: Thomas Graf(thomas.graf@swisscom.com), Wanting Du(wanting.du@swisscom.com), Pierre Francois(pierre.francois@insa-lyon.fr)
- Summary: 本文主要讨论了网络异常检测框架的动机和架构,以及该架构与现有文档之间的关系。文中详细描述了如何在IP网络上检测服务中断,并提出了一种基于网络模型的时间序列数据来定义其依赖关系的方法。此外,还讨论了知识驱动的检测方法、数据网格等概念。 总结来说,文稿旨在介绍一种通用且可扩展的网络异常检测架构,适用于各种应用领域,并通过开源运行代码进行了示例说明。它强调了自动化监测网络变化的重要性,特别是当人类无法确认所有依赖端到端验证时。同时,它也提出了对网络异常进行分类(全球、情境和集体)的概念,以帮助识别并区分正常行为和异常行为。 总的来说,本文为实现高效的网络异常检测提供了理论基础和实践指南。
sidrops
- Title: Issue in Route Origin Validation from Route Partial Visibility
- Authors: Shuhe Wang(wangsh@mail.zgclab.edu.cn), Ke Xu(xuke@csnet1.cs.tsinghua.edu.cn), Qi Li(lawrenceqli@gmail.com), Zhuotao Liu(liuzhuotao@zgclab.edu.cn)
- Summary: 这篇文档主要讨论了在资源公钥基础设施(RPKI)中的问题,即验证前缀所有权(Prefix-Origin Pair)使用路由起源授权(Route Origin Authorizations)全球验证和本地AS验证时可能会出现不一致结果。这种不一致性源于部分路由可见性(Route Partial Visibility)。文稿详细介绍了原因、可能的解决方案以及相关的安全性考虑。 主要总结如下: 1. 文稿探讨了由于边缘系统之间的部分路由可见性导致的部分路由所有权验证结果不一致的问题。 2. 文稿定义了“松散”ROA和“松散”VRP的概念,并提出了相应的解决方案。 3. 文稿提到了几种可能导致部分路由可见性的因素,包括直接的路由过滤策略、隐式路由过滤策略、路由解聚合、路由聚合等。 4. 文稿提出了解决方案:报告具有潜在隐藏危险的政策,以通知下游AS;或保护已知受影响的AS,防止虚假信息。 5. 最后,文稿概述了相关安全性和IANA建议,但没有具体实现细节。
RTG
lsr
- Title: IGP-based Source Address Validation in Intra-domain Networks (Intra-domain SAVNET)
- Authors: Dan Li(tolidan@tsinghua.edu.cn), Lancheng Qin(qinlc@mail.zgclab.edu.cn), Xueyan Song(song.xueyan2@zte.com.cn), Changwang Lin(linchangwang.04414@h3c.com), Shengnan Yue(yueshengnan@chinamobile.com)
- Summary: 本文档提出了一种新的IGP基于的内部网络源地址验证解决方案,称为IGP-SAVNET。该方案可以允许主机端路由器、客户端路由器和AS边界路由器通过IGP进行SAV特定信息的通信。这样,这些路由器就可以自动地根据所获得的信息生成并更新准确的SAV规则。 IGP-SAVNET使内部网络之间的路由器能够使用内部分发路由协议或其扩展版本来交换SAV特定信息。通过使用SAV特定信息,这些路由器可以在自动方式下生成并更新准确的SAV规则。 本文主要讨论了IAIP-SAVNET的工作原理,并提供了两种实现SAV特定信息交流的方法:使用现有的行政标签子TLV或定义一个新的SAVNET标签子TLV。这两种方法都可以有效地改善当前的内部网络SAV解决方案的准确性。 总的来说,本文提出了一个基于IGP的新解决方案,以提高内部网络中的SAV功能。它为SAV特定信息在不同类型的网络之间进行了有效的传递提供了一个框架。此外,该方案还考虑了安全性问题以及与现有路由策略的兼容性。
pals
- Title: LDP Extensions to Support Private Line Emulation (PLE)
- Authors: Christian Schmutzer(cschmutz@cisco.com)
- Summary: 本文主要讨论了在MPLS网络中为私有线路仿真(PLE)伪线配置提供的扩展。文中定义了支持私有线路仿真(PLE)伪线的服务类型,并详细描述了PW FEC、接口参数、控制位等关键要素。同时,还对LDP状态码和使用PW状态TLV进行了说明。最后,对与该文档相关的参考文献进行了总结。 总的来说,本文提供了实现私有线路仿真伪线所需的必要信息和技术细节。对于需要部署这类技术的用户来说,这篇文档提供了一个良好的指南。
pce
- Title: PCEP extensions for Distribution of Link-State and TE Information
- Authors: Dhruv Dhody(dd@dhruvdhody.com), Shuping Peng(pengshuping@huawei.com), Young Lee(leeyoung@huawei.com), Daniele Ceccarelli(dceccare@cisco.com), Aijun Wang(wangaj3@chinatelecom.cn), Gyan Mishra(gyan.s.mishra@verizon.com)
- Summary: 本文主要讨论了Path Computation Elements (PCE)需要一个准确和及时的Traffic Engineering (TE)数据库(TED)的问题。传统的TED是通过连接层协议支持的,比如内部网关协议(IGP)。然而,PCE架构提供了更复杂的路径计算算法,并且可能需要额外的计算资源。因此,如何从网络节点获取这些信息来维护PCE的TED成为一个问题。 为了解决这个问题,本文提出了一种新的PCEP消息格式,用于将链路状态(和TE)信息从网络节点分发到PCE。这个新格式包括了一个新的LS报告消息,以及一些扩展的消息类型。它还定义了一些TLV(标签值),如路由属性、拓扑属性等。此外,还有一些安全性和管理方面的考虑。总的来说,这种扩展为PCEP提供了一种有效的机制来收集并共享链路状态和TE信息。
rtgwg
- Title: Adaptive Routing Notification for Load-balancing
- Authors: Yao Liu(liu.yao71@zte.com.cn), lihesong(li.hesong@zte.com.cn), Wei Duan(duan.wei1@zte.com.cn)
- Summary: 本文主要讨论了关于适应路由通知(ARN)的消息格式和如何在网络中传输,以及它与设备之间的交互。ARN是一种技术,能够根据网络负载的变化动态选择转发路径,当检测到拥塞时,该技术会生成AR消息,并将其发送给上游节点以调整转发路径。此外,ARN机制更适合带宽利用不均衡的情况,但是否启用这个功能是由实施特定情况来决定的。 文中还探讨了三种ARN选项:一是通过本地记录并使用原始接收端口将信息嵌入数据包;二是直接使用数据包中的设备标识符和出站端口号;三是采用多播方式,即通过所有激活的端口发送ARN。另外,本文提出了一个ARN标签来控制每个流量启用ARN的功能,该标签被用于表明ARN是针对具有此标签的数据包所必需的。 最后,本文讨论了相关的安全考虑和IANA考虑,同时总结了本文的主要内容,并指出了可能的后续工作方向。
savnet
- Title: Network Proactive Defense based on Source Address Validation
- Authors: Weiqiang Cheng(chengweiqiang@chinamobile.com), Nan Geng(gengnan@huawei.com), Dan Li(tolidan@tsinghua.edu.cn), Shengnan Yue(yueshengnan@chinamobile.com), Mingqing(Michael) Huang(huangmq@mail.zgclab.edu.cn)
- Summary: 本文主要介绍了源地址验证(SAV)在网络中的应用。通过在路由器上安装SAV规则,网络可以实现主动防御,有效检测和应对来自恶意攻击源的流量。这种被动防御方法相比单点式响应方式更高效,能够提供更准确、实时的数据支持给安全分析中心进行威胁分析和处置。 此外,文稿还讨论了部署考虑,包括逐步实施SAV策略以减少风险,以及如何确保SAV规则的有效性,如使用ACL来扩展SAV的能力,并采用合适的验证模式,例如只检查明确指定的前缀而不检查未知前缀。文稿最后指出了安全性方面的关注点,强调了部署时的安全性和可靠性问题,同时提到了对SAV技术的改进需求。
- Title: Source Prefix Advertisement for Intra-domain SAVNET
- Authors: Dan Li(tolidan@tsinghua.edu.cn), Nan Geng(gengnan@huawei.com), Lancheng Qin(qinlc@mail.zgclab.edu.cn)
- Summary: 本文主要提出了一种源前缀广告(SPA)技术,用于增强内域SAV网络中的路由表,从而自动地生成SAV规则。SPA技术允许SAV路由器在相同域内的网络中交换SA特定信息,并通过发送SPA消息来传递这些信息。SPA消息可以以新协议或现有协议的扩展形式传输。协议设计和扩展不在本文范围内。 本文还介绍了SPA消息的内容以及SAV规则的生成过程。每个SPA消息包含两个主要类型的信息:源前缀和Stub网络标识符。源前缀是内网路由器学习到的本地路由可达的stub网络的来源前缀。当有对称路由时,仅包含一个源前缀;如果存在不对称路由,则包括所有源前缀。 SPA消息可以由面对单宿网络(但可以与不同AS连接)的SAV网络路由器发送,也可以由面对外部AS的边界路由器发送。此外,SPA消息还可以用于防止来自同一宿网络或客户网络的数据包被误认为其他网络的源地址。对于使用DSSR的场景,需要将特殊使用的源地址添加到单宿网络接口上。而对于多宿网络的情况,应避免向该网络发布SPA消息并只使用该网络部分的内部前缀生成阻塞列表。最后,文中讨论了SPA基于SAV网络的收敛速度、增量部署考虑、安全性和IANA考虑等内容。
teas
- Title: Traffic Mapping YANG model for Traffic Engineering (TE)
- Authors: Dhruv Dhody(dd@dhruvdhody.com)
- Summary: 本文是关于使用Yang数据模型来映射网络中的流量到交通工程(Traffic Engineering)路径。这种模型提供了一种无缝地控制和管理哪一部分流量应该发送到底层的TE资源的方法。作者介绍了YANG模型的两种关键概念:流量描述和动作,以及如何利用BGP流规格、Access Control列表、路径计算元素等概念。此外,文稿讨论了如何处理如IETF网络切片服务等特定情况下的流量映射。 总结来说,本文提供了用于描述流量并指向前端网络设备进行传输的一种新型方式,可以方便地将流量分配给不同的传输路径,并且允许运营商轻松调整以满足不同需求。这种模式有助于提高网络性能并优化资源分配。
- Title: Traffic Engineering (TE) and Service Mapping YANG Data Model
- Authors: Young Lee(leeyoung@huawei.com), Dhruv Dhody(dd@dhruvdhody.com), Giuseppe Fioccola(giuseppe.fioccola@huawei.com), Qin Wu(bill.wu@huawei.com), Daniele Ceccarelli(dceccare@cisco.com), Jeff Tantsura(jefftant.ietf@gmail.com)
- Summary: 本文提供了一个YANG数据模型来映射客户服务模型(如L3VPNServiceDelivery模型)到流量工程(TE)模型(如TE隧道或虚拟网络(VN)模型)。这些模型适用于运营商需要无缝控制其VPN服务与底层TE支持的一般情况。 主要目的包括: 1. 映射特定的服务要求(如新的TE隧道绑定、共享现有或未来服务的隧道等),以便于用户可以访问服务实例的底层资源信息。 2. 支持对底层TE资源进行配置,例如允许在没有了解具体隧道或VLAN的情况下创建新的隧道或VLAN。 3. 提供一些附加的服务特性给LxSM模型。 使用的方法有:增加服务模型和网络模型中的共同参数(如TE和ServiceMappingTypes模块),以及通过增强LxSM模型的方式。 这种映射方式使得在运营商诊断网络行为时能理解底层资源的使用情况,并且提供监控和服务管理的功能。
SEC
cose
- Title: SLH-DSA for JOSE and COSE
- Authors: Michael Prorock(mprorock@mesur.io), Orie Steele(orie@transmute.industries), Rafael Misoczki(rafaelmisoczki@google.com), Michael Osborne(osb@zurich.ibm.com), Christine Cloostermans(christine.cloostermans@nxp.com)
- Summary: 本文主要讨论了基于SPHINCS+的SLH-DSA签名方案。它使用算法参数化不同安全等级,并提供了用于生成私钥和公钥的示例。此外,还描述了如何验证公共密钥以及侧向通道攻击、随机性考虑等安全性考虑。同时,提出了几个新注册的COSE和JOSE算法。
- Title: ML-DSA for JOSE and COSE
- Authors: Michael Prorock(mprorock@mesur.io), Orie Steele(orie@transmute.industries), Rafael Misoczki(rafaelmisoczki@google.com), Michael Osborne(osb@zurich.ibm.com), Christine Cloostermans(christine.cloostermans@nxp.com)
- Summary: Failed to summarize the draft
- Title: Encryption Key Derivation in the COSE using HKDF with SHA-256
- Authors: Hannes Tschofenig(Hannes.Tschofenig@gmx.net), Russ Housley(housley@vigilsec.com), Ken Takayama(11kenterada@gmail.com)
- Summary: 本文主要介绍了如何在CoSE协议中使用哈希函数和SHA-256算法来生成内容加密密钥。这个机制可以保护对内容加密算法标识的篡改,从而防止攻击者利用这种改动来窃取敏感信息。文稿还详细说明了如何更新发送方的流程,并提供了一种新的参数“cek-hkdf”来指示支持该防护措施。此外,文稿也讨论了安全性考虑,并提出了一个可能需要在将来修改的关键特性。 总体来说,这篇文稿提供了关于如何保护基于CoSE协议的信息的安全性策略。它强调了使用哈希函数和SHA-256算法的重要性,并提出了一种新的机制来实现这一目标。同时,文稿也提醒开发者注意一些潜在的风险,并建议他们在设计安全解决方案时应考虑这些因素。
lamps
- Title: Root CA Certificate Rekeying in the Scenario of Post Quantum Migration
- Authors: Guilin WANG(Wang.Guilin@huawei.com), Yanjiang Yang(yang.yanjiang@huawei.com), Jie Zhang(zhangjie19@mails.tsinghua.edu.cn)
- Summary: 本文提出了一种基于双向链证书的解决方案来解决公钥基础设施(PKI)中的根证书重新发行问题。文稿首先介绍了两种在不同世代之间验证彼此证书的有效性的现有方法,但它们依赖于旧实体可以更新的概念。在此基础上,本文提出了一个基于双向链证书的新方案,即在两个或多个根证书期间,无需对旧实体进行任何更新,即可与新实体轻松验证各自的证书链。 这种方案工作在传统PKI、纯量子PKI以及混合PKI等情况下,并且不需要考虑证书底层加密算法的类型。它实际上是一种扩展了[RFC4210]和[RFC5280]中关于根证书颁发和管理规定的方法,旨在实现方便的部署实施。 测试结果表明,在八年的测试环境中,所有情况都得到正面回答,无论是客户端还是服务器都能验证对方的证书链,即使在某些情况下存在一些特殊限制(例如只支持使用特定软件包)。文稿最后总结指出,虽然这种新的解决方案有其优点,但也需要进一步的研究以确保其安全性和稳定性。
- Title: X.509 Certificate Extended Key Usage (EKU) for Instant Messaging URIs
- Authors: Rohan Mahy(rohan.ietf@gmail.com)
- Summary: 本文主要对X.509证书中的Extended Key Usage(EXTENDED KEY USAGE)进行了扩展,以支持Instant Messaging(IM)的身份认证。该文档定义了IM身份的KEY PURPOSE ID,允许在X.509证书的EXTENDED KEY USAGE中使用,并强调了此目的的重要性。此外,还指出了在使用这种扩展时的安全考虑和IANA注册的要求。 文稿讨论了这个标准如何帮助减少可能引发安全风险的密钥作用目的ID(KEY PURPOSE ID),并提供了相应的安全性说明。同时,它也提醒了用户需要注意在使用这些扩展时可能会引入新的安全风险,并指出这些扩展需要被严格遵守BGP 14、RFC2119等标准。最后,它建议遵循相关的规范来确保系统的安全性和可靠性。
- Title: Use of Remote Attestation with Certification Signing Requests
- Authors: Mike Ounsworth(mike.ounsworth@entrust.com), Hannes Tschofenig(Hannes.Tschofenig@gmx.net), Henk Birkholz(henk.birkholz@ietf.contact), Monty Wiseman(monty.wiseman@beyondidentity.com), Ned Smith(ned.smith@intel.com)
- Summary: 本文讨论了在证书申请中包含证据来证明平台生成的认证请求和环境中的关键信息的能力。通过定义一个属性和扩展,可以在证书请求(CSR)中携带证据,例如基于PKCS#10或证书请求消息格式(CRMF)的负载,以提供优雅且自动化地运输证据到认证机构和满足给定证书策略的要求。这有助于评估私钥存储环境的安全性,并帮助认证机构评估其是否满足请求的证书规格。 此外,该文稿还探讨了使用ASN.1元素如何在CSR中携带证据。这些证据可以放在Eviden
mls
- Title: Semi-Private Messages in the Messaging Layer Security (MLS) Protocol
- Authors: Rohan Mahy(rohan.ietf@gmail.com)
- Summary: 本文定义了一个名为SemiPrivateMessage的安全扩展,允许成员与一组外部接收者共享一个原本为私有消息的握手和提案。这个安全扩展主要针对在联邦环境中消息跨多个行政领域传输,但MLS分发服务需要查看包含commit或proposals的私有消息内容的情况。该扩展还定义了外部接收器组上下文扩展,其中包含了一组外部接收者的列表,并允许成员同意这一列表。 这个扩展旨在提供一种比使用公共消息发送握手信息时提供的隐私改进。通过将握手信息共享给特定的接收者列表,这些列表可以被公开,从而确保外部接收者无法收到与其他成员不同的内容加密。
- Title: Ways to convey the Ratchet Tree in Messaging Layer Security
- Authors: Rohan Mahy(rohan.ietf@gmail.com)
- Summary: 本文主要讨论了在MIMI架构下,如何在通信层安全(MLS)协议中共享ratchet树和group信息。本文提出了一种标准化的方法来表示这些信息,并提供了一个方法来传输部分group信息,从而避免大量数据传输。 文稿首先定义了一些符号和定义,然后讨论了如何使用HTTPS URI、Out-of-Band、Distribution Service等方式传递ratchet树的信息。接着,它分析了传递group信息的方式,包括全组信息、部分组信息以及基于签名的验证。最后,文稿提到了一些可能的后续改进和安全性考虑。
oauth
- Title: Identity Assertion Authorization Grant
- Authors: Aaron Parecki(aaron@parecki.com), Karl McGuinness(public@karlmcguinness.com)
- Summary: 《Web授权协议》是互联网标准草案,由A.Parecki提出。该文档提供了一个机制,让应用使用身份验证来从认证服务器获取第三方API的访问令牌,并通过Token交换[RFC8693]和JWT身份验证Profile for OAuth 2.0授权授予进行交换。此外,它还定义了处理规则、响应格式以及如何在不同信任域内的多个应用程序间安全地交换令牌等细节。 主要总结如下: 1. 提供了一种机制,允许应用使用身份凭证获取第三方API的访问令牌。 2. 定义了用于支持互操作性的实施细节,特别是在多应用程序集成的企业环境中。 3. 涉及用户身份验证流程,包括单点登录(SSO)和代理服务等功能。 4. 描述了基于OpenID Connect的身份验证方法,以及如何保护资源请求和生成Access Token。 总之,《Web授权协议》是一个开放标准,为跨组织环境下的身份管理和授权提供了基础框架,促进了多业务系统之间的安全通信。
- Title: OAuth 2.0 for Browser-Based Applications
- Authors: Aaron Parecki(aaron@parecki.com), David Waite(david@alkaline-solutions.com), Philippe De Ryck(philippe@pragmaticwebsecurity.com)
- Summary: 本文讨论了在浏览器环境中使用OAuth进行应用访问控制的安全问题,并提出了三种主要的架构模式:Backend For Frontend(BFF)模式、Token Mediating Backend(TMB)模式以及直接由客户端运行的应用程序。BFF模式下,应用程序依赖于一个后端组件来处理OAuth职责并代理所有请求和响应;而TMB模式则提供了更轻量级的架构,但安全性低于BFF模式,因为它暴露了令牌给应用程序。这两种模式都存在一些潜在的安全威胁,如单执行令牌窃取、持久性令牌窃取等。对于敏感或需要严格控制的数据访问,推荐使用BFF模式。 文稿最后总结指出,如果攻击者能够运行恶意JavaScript代码,在两种模式下都无法防止其窃取令牌和获取新令牌的能力。然而,由于BFF模式的局限性和复杂性,它提供了一种更强的安全保证。因此,建议企业应用程序使用BFF模式以确保安全。
rats
- Title: RATS Conceptual Messages Wrapper (CMW)
- Authors: Henk Birkholz(henk.birkholz@ietf.contact), Ned Smith(ned.smith@intel.com), Thomas Fossati(thomas.fossati@linaro.org), Hannes Tschofenig(Hannes.Tschofenig@gmx.net)
- Summary: 《RATS概念消息包装格式》是关于如何在不同协议和系统之间封装RATS概念消息,从而减少类型注册工作量,提高跨协议兼容性。文中详细描述了两种形式的概念消息包装:基于CoAP编码格式(CBOR或JSON)的记录,以及基于CoAP标签的集合;并定义了相关的令牌、声明和媒体类型等信息。同时提供了将这些包放在HTTP、CoAP和其他互联网协议中的方法。文稿还讨论了安全考虑,包括对数据进行加密保护,并强调了应由开发者决定哪些安全属性应该被添加到概念消息包装中。 总结:本文提出了使用CoAP编码格式(CBOR或JSON)封装RATS概念消息的解决方案,旨在通过标准化接口使不同协议之间的集成更加高效,降低了跨协议开发的工作量。同时,也探讨了安全性和互操作性的关键问题,并给出了相应的解决方案。
spice
- Title: SPICE SD-CWT
- Authors: Michael Prorock(mprorock@mesur.io), Orie Steele(orie@transmute.industries), Henk Birkholz(henk.birkholz@ietf.contact), Rohan Mahy(rohan.ietf@gmail.com)
- Summary: 这篇文稿主要介绍了一种名为Selective Disclosure JSON Web Token(SD-JWT)的技术,它允许持有者选择性地披露某些属性以供验证。作者更新了CBOR Web Token(CWT)规范,使其支持这种技术。持有人可以在向验证者发送CWT时选择性地揭示特定属性,而无需公开全部信息。 作者详细介绍了SD-CWT的结构和操作流程,包括如何生成、传输和接收SD-CWT以及如何验证其完整性。文稿还讨论了SD-CWT中的选民和部分披露等概念,并提供了具体的示例来说明这些机制的工作原理。 总体而言,这篇文档为使用Selective Disclosure JSON Web Token技术提供了一个详细的指南,旨在帮助开发人员理解并实现该功能。
tls
- Title: Extended Key Update for Transport Layer Security (TLS) 1.3
- Authors: Hannes Tschofenig(Hannes.Tschofenig@gmx.net), Michael Tüxen(tuexen@fh-muenster.de), Tirumaleswar Reddy.K(kondtir@gmail.com), Steffen Fries(steffen.fries@siemens.com), Yaroslav Rosomakho(yrosomakho@zscaler.com)
- Summary: 本文讨论了扩展密钥更新机制在TLS和DTLS中的使用。该机制允许客户端或服务器向对方发送一个请求来更新其应用层加密秘钥。该机制支持完美后退保密,即如果攻击者能够获取这些长期密钥,整个会话密钥以及会话的所有内容都将被破解。文稿总结了实现此功能的关键步骤,并详细介绍了如何更新应用程序的密钥。此外,还讨论了实施过程中可能遇到的问题,并提出了相应的解决方法。最后,指出了IANA应该为新的安全属性分配合适的值。
uta
- Title: TLS/DTLS 1.3 Profiles for the Internet of Things
- Authors: Hannes Tschofenig(Hannes.Tschofenig@gmx.net), Thomas Fossati(thomas.fossati@linaro.org), Michael Richardson(mcr+ietf@sandelman.ca)
- Summary: 《互联网物联网设备上的安全传输协议》 本文档提出了一套适用于物联网设备的安全传输协议规范,旨在解决物联网设备在性能受限下实现高质量加密、完整性验证和身份认证的问题。主要改进包括: 1. 引入了新的密码算法如椭圆曲线(EC)密钥交换和AES-GCM/CCM模式; 2. 支持弱化后的RSA公钥基础的对称密钥交换机制; 3. 提供了更高效的数据压缩方案; 4. 设计了支持动态重协商的新功能。 该标准为物联网设备提供了一个高效的加密传输解决方案,同时兼顾了设备的性能限制。
WIT
masque
- Title: Proxying Ethernet in HTTP
- Authors: Alejandro Sedeño(asedeno@google.com)
- Summary: 本文提出了一种新的协议,用于在HTTP中传输层2数据包。这种协议允许客户端创建一个基于HTTP的第二层(Layer 2)以太网隧道,将流量从本地或虚拟接口发送到另一端的物理或虚拟以太网段上。通过使用HTTP/2和HTTP/3版本,可以利用更强大的加密协议来保证连接的安全性。此外,该协议还可以用来跨多个广播域进行点对点L2VPNs或者站点间L2VPNs。 总的来说,本文提供了一个新的解决方案,使得远程访问LAN内的设备成为可能,并简化了与网络相连的设备之间的连接方式。它为使用以太网帧的数据包提供了多路复用的能力,使其可以在不改变原有网络配置的情况下实现不同广播域间的通信。 总之,该协议旨在提高远程访问网络资源的效率和便利性,同时保护网络连接的安全性。
IRTF
cfrg
- Title: X-Wing: general-purpose hybrid post-quantum KEM
- Authors: Deirdre Connolly(durumcrustulum@gmail.com), Peter Schwabe(peter@cryptojedi.org), Bas Westerbaan(bas@westerbaan.name)
- Summary: 本文定义了一个名为X-Wing的新一代混合密钥封装机制,旨在为传统和量子安全之间提供一个平衡点。它通过使用X25519椭圆曲线进行安全性评估,并利用ML-KEM-768作为基础实现。 X-Wing设计的目标是简化和改进传统协议中的关键操作。相比传统的非交互式密钥生成,它不需要编码共享长度;相比量子安全模型下的认证密钥交换,它不需要考虑更强的安全模型。此外,它还具有更简单、更高效的性能特性。 总结来说,X-Wing提供了基于X25519和ML-KEM-768的通用选择,可以适用于大部分应用场景,如在TLS中替换传统密钥生成器,以及支持HPKE等一些特定应用的需求。它的主要目标是提供一种满足安全性和效率要求的解决方案。
icnrg
- Title: CCNx Content Object Chunking
- Authors: Marc Mosko(marc@mosko.org), Hitoshi Asaeda(asaeda@ieee.org)
- Summary: 本文提出了一种新的分块协议,用于将用户数据分割成多个内容对象。这种分块协议使用一种名为“ChunkNumber”的名称段类型来标识每个序列化的块编号,并定义了一个消息类型(T_ENDCHUNK)来表示最后一个可用的块编号。该协议还包含一个标记字段,用于指示最后一块中的剩余部分,以及一个额外的字段用于标识最后块的对象。 该协议为用户提供了一种有效的分块机制,可以减少对网络带宽和存储资源的需求。它允许在网络节点之间传递大块数据,同时保持分块大小在合理范围内。通过这种方式,客户端无需进行复杂的寻址操作,从而提高了用户体验。 总结来说,本文提出了一个全新的分块协议,旨在满足互联网数据传输需求,提供高效、安全的数据传输服务。
Unknown
Unknown
- Title: BBS per Verifier Linkability
- Authors: Vasilis Kalos(vasilis.kalos@mattr.global), Greg M. Bernstein(gregb@grotto-networking.com)
- Summary: 本文讨论了使用基于匿名签名的BBS签名方案,以支持可选择性披露消息的同时,防止跟踪和关联Prover的活动。该方案通过生成不泄露信息的零知识证明来实现这一目标。 文稿首先定义了一些相关的术语,如伪称、签名、公开密钥等,并给出了相应的缩写。接下来,定义了与这些概念相关的操作流程和数据结构。然后,详细描述了如何计算伪称值以及验证和最终化过程。 文稿还介绍了如何在不同的Verifiers之间建立链接,以防止对一个Prover的活动进行追踪。此外,它还探讨了如何利用伪称来隐藏Prover的交互行为,从而保护用户的隐私。 最后,文稿总结了使用伪称的优点和限制,并提供了未来可能的研究方向。
- I-D: draft-jaked-cared-00
- Title: Client Authentication Recommendations for Encrypted DNS
- Authors: Tommy Jensen(tojens.ietf@gmail.com), Jessica Krynitsky(jess.krynitsky@microsoft.com), Jeffrey Damick(jdamick@amazon.com), Matt Engskow(mengskow@amazon.com), Joe Abley(jabley@strandkip.nl)
- Summary: 本文讨论了使用加密域名系统(DNS)客户端进行身份验证的情况。文稿首先分析了在哪些情况下可以使用客户端认证,以及为什么某些做法不适用于这种情况。然后,提出了最佳实践和推荐机制来解决这些情况。 主要结论如下: - 客户端认证是加密DNS的一个优势,可以帮助服务器更有效地应用针对特定客户的解析策略。 - 不应该强制客户端提供任何信息给服务器以保护客户端匿名,因为这可能导致客户历史查询被关联到个人识别上。 - 如果服务器需要限制与特定客户端的关系,可以要求客户端进行认证。如果无法证明其身份,则不应进行认证。 - 可以通过mTLS这样的标准协议实现客户端认证,因为它不需要用户交互或应用程序层输入,并且可以在多协议之间通用。
- Title: Blind BBS Signatures
- Authors: Vasilis Kalos(vasilis.kalos@mattr.global), Greg M. Bernstein(gregb@grotto-networking.com)
- Summary: 本文主要讨论了在盲签名方案中增加盲数字签名功能的可能性。它定义了一个扩展到支持盲签名功能的BBS签名方案,该方案允许用户请求对未公开的消息进行签名,并且仅需向签名人发送与这些消息相关的隐藏承诺。此外,使用盲签名可以在不泄露受众信息的情况下确保某些应用(如隐私通行证)的数据安全性和隐私保护。本文还详细介绍了核心操作和核心证明验证流程,以及相应的安全性考虑和密码学机制。
- Title: Domain Connect Protocol - DNS provisioning between Services and DNS Providers
- Authors: Paweł Kowalik(kowalik@denic.de), A Blinn(arnold@arnoldblinn.com), Jody Kolker(jkolker@godaddy.com), S Kerola(kerolasa@cloudflare.com)
- Summary: 《Domain Connect》是关于一个名为“Domain Connect”的协议,它提供了一种系统,使得服务提供商可以轻松地为他们的客户启用与域名相关的服务。这个协议基于模板,将DNS更改视为服务的一部分,而不是直接修改记录。使用这种协议时,用户只需输入域名并获取相应的服务信息即可。 在同步模式下,用户首先需要访问服务提供商网站,然后通过点击链接获得授权。一旦获得授权,用户就可以连接到DNS提供商的网站,并按照指示进行操作。在异步模式下,用户无需等待用户交互,而是直接从服务提供商获取权限来应用模板。 此外,这个协议还包括了DNS提供商发现和应用DNS变更的功能。当一个服务请求DNS设置时,可以通过发送一个查询来获取这些设置。如果DNS提供商支持同步模式,则会展示一个链接让用户确认是否要连接到该服务。否则,会提示用户在异步模式下使用OAuth。 总的来说,《Domain Connect》是一个简单、安全且高效的协议,能够简化DNS配置过程,提高用户体验。
- Title: Hybrid IANA Registration Policy
- Authors: Dr. John C. Klensin(john-ietf@jck.com)
- Summary: 本文主要提出了一个新的注册政策,该政策允许用户在两种方式下选择注册一个关键字:一种是通过“标准审查”(Standard Review)流程获得批准并出版为标准跟踪、实验性或由IEG特别批准的信息流信息文档;另一种是通过简单注册来提交所需的信息,并且不需要经过任何标准审查过程。该政策旨在避免因注册相同名称而导致命名冲突的问题,同时鼓励用户提供关于关键词和相关定义的详细信息,以便改进命名的清晰度和互操作性。总之,新的注册政策旨在平衡快速获得关键信息与确保命名一致性之间的需求。 这个新注册政策可以应用于各种网络协议和术语,旨在促进国际标准化组织对相关协议进行审查和批准的过程,以确保其技术上有效性和实用性,并提供足够的社区参与机会。这种混合策略提供了更灵活的选择,允许用户根据自己的需求和兴趣决定最佳注册方式。