home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / cipso / cipso-minutes-91jul.txt

< prev

next >

Wrap

Text File  |  1993-02-17  |  10KB  |  315 lines

---

1.  
2. CURRENT_MEETING_REPORT_
3.  
4.  
5.  
6. Reported by Ron Sharp/AT&T
7.  
8. CIPSO Minutes
9.  
10. Here are the Minutes for the Commercial Internet Protocol Security
11. Option Working Group meeting held in Atlanta, Georgia.  Most of these
12. Minutes were provided by Noel Nazario who recorded them and sent me an
13. electronic version.  Thanks again Noel.  The Working Group met for 1.5
14. days with the first half day being spent on new issues described below.
15. The second day we addressed and closed nearly all of the old issues.
16.  
17. Quick CIPSO Summary
18.  
19. Option type 134.  One option per packet.  Only sensitivity tags are
20. currently defined in the document.  The document provides a common
21. format and minimum configuration parameters required for
22. interoperability.  Interpretation of values within the option are
23. DOI-dependent (Domain of Interpretation).
24.  
25.  
26. Description of Open Issues
27.  
28.  
29.   1. Clarifications to the Spec
30.   2. Multiple DOI's
31.   3. Sort Categories
32.   4. Policy on unrecognized tags
33.   5. Exclusionary tag types
34.   6. Multiple sensitivity tags
35.   7. Minimum RFC Compliance
36.   8. Tag alignment
37.   9. Change exclusionary tag type number
38.  10. Error condition definition
39.  11. Configuration parameters
40.  12. New tag types
41.  13. Tags 128-255, Vendor/DOI defined
42.  14. Move security level out of tags
43.  15. Vendor tag types - router problem
44.  16. 8-bit security level and 2-bit errors
45.  17. Header space
46.  18. Should DOI  #3 be included in spec for testing
47.  19. Canonicalization of encodings
48.  20. Whether to allow category 0
49.  21. Routing based on nationality caveats
50.  
51.  
52. New issues
53.  
54. Mike St.  Johns proposed the following change to the CIPSO format:
55.  
56.                                    1
57.  
58.  
59.  
60.  
61.  
62.  
63.          8         8             16 bit
64.    |--------------------------------------------|
65.    |  Type    | Length  |        Level          |
66.    |--------------------------------------------|
67.    |                  DOI                      |
68.    |--------------------------------------------|
69.    |  Cat ID  |           Categories            |
70.    |--------------------------------------------|
71.    | (8 bits) |            (24 bits)            |
72.    |--------------------------------------------|
73.    |   255    |                                |  <-- Sys Hi
74.    |--------------------------------------------|
75.  
76.  
77.  
78. This format will effectively eliminate all tags.  Its basic merit is
79. that it is simpler for routers to handle.  The 16-bit security level is
80. to be encoded for certain Hamming distance and not open to definition of
81. 2 to the 16th levels.  It would be easy for a router to implement.  No
82. flexibility in specifying different security policies.
83.  
84. It was voted 9:4 to continue the discussion of the other issues and
85. table this proposal and discuss it more electronically before the next
86. meeting.
87.  
88. Discuss and Close Issues
89.  
90.  
91.    o Issue 1:  Spec Clarifications
92.  
93.      Section 4, eliminate the non-security IP options from the document.
94.      This section will be replaced with a reference to the Internet
95.      Assigned Numbers Administration (IANA).
96.  
97.      Note that the length fields and tag numbers in the document should
98.      be reviewed and corrected.
99.  
100.      The requirement to transmit between DOI should be done by IP
101.      gateways and not by routers.  Pro:  11, Con:0
102.  
103.      Clarify the concept of classes of tags (i.e., sensitivity tags).
104.      Pro:  12, Con:  0.
105.  
106.    o Issue 3:  Sort Categories
107.  
108.      Categories enumerated in type-2 tags should appear in ascending
109.      order.  Pro:  12, Con:  0
110.  
111.    o Issue 5:  Exclusionary tag type change
112.  
113.      Eliminate the exclusionary flag from the enumerated tag in favor of
114.  
115.                                    2
116.  
117.  
118.  
119.  
120.  
121.   adding a new range tag type with lower and upper bounds.  Pro:  14,
122.   Con:  0
123.  
124.   Redesigning Tag Type 2
125.  
126.             8          8          8
127.        |----------------------------------------------------------|
128.        |   Type   |  Length  |   Level   |  Enumerated Categories |
129.        |----------------------------------------------------------|
130.  
131.        It was voted to eliminate the flags field from the Tag Type
132.        2 format.  Pro: 13, Con: 1
133.  
134.        Design Tag Type 5  (Range type)
135.  
136.             8      8      8     16   16
137.        |------------------------------------------------------|
138.        | Type= 5 | Len | Level | 1h | 1l |   |...|  | nh | nl |
139.        |------------------------------------------------------|
140.                                                           ^
141.                                                  Optional, 0
142.                                                   assumed if
143.                                                      missing
144.  
145.  
146.   nh is the range high value and nl is the range low value.  ranges
147.   are sorted high to low non-overlapping.
148.  
149.   The use of this format for the new Tag Type 5 was voted Pro:11,
150.   Con:  2.
151.  
152. o Issue 8:  Tag alignment
153.  
154.   Compliant implementations will support unaligned tags.  Pro:  12,
155.   Con:  0
156.  
157. o Issue 13:  Tag types 128-255:  Vendor/DOI assigned
158.  
159.   It was agreed that these tag types would be defined by the DOI and
160.   not the vendor.  For example, a vendor should not implement a new
161.   tag format with a hard coded type number >127 unless the
162.   implementation is solely for a particular DOI.
163.  
164.   The need of these tag types was questioned during the meeting.
165.   There was concern that allowing users to define their own label
166.   formats could lead to non-interoperability issues later.  It was
167.   decided to table the discussion until we had more time to look at
168.   the problem.
169.  
170. o Issue 2:  Multiple DOI's
171.  
172.   2a.  Implementations must support one DOI and may/should support
173.  
174.                                 3
175.  
176.  
177.  
178.  
179.  
180.      more than one.  Pro:  13, Con:  0
181.  
182.      2b.  Recommend to administrators that a common DOI should be
183.      understood by all hosts on a subnetwork.  Pro:  12, Con 0
184.  
185.      2c.  For outgoing communications the DOI is selected based on
186.      either the network interface that will be used or by the address of
187.      the destination.  This insures that the DOI selected on outgoing
188.      packets is not just a host level default but can be configured
189.      based on either the network interface (i.e., network default DOI)
190.      or by the destination host address.  If it is on the destination
191.      host address then a DOI could be configured for the destination IP
192.      subnetwork or the host itself.  Pro:  8, Con:  0
193.  
194.    o Issue 18:  Reserve DOI number 3 for use in testing
195.  
196.      Not necessary to include in the RFC. DOI's are configurable.  Pro:
197.      12, Con:0
198.  
199.    o Issue 6:  Multiple sensitivity tags
200.  
201.      Only one sensitivity tag included in a CIPSO option.  Pro:  8, Con:
202.      2.
203.  
204.    o Issue 19:  Canonicalization
205.  
206.      Require a common deterministic algorithm in CIPSO implementations
207.      where each label can be represented by only 1 sensitivity tag type.
208.  
209.  
210.       -  Increases speed of equality check
211.       -  Possible algorithms
212.           * Ascending order of tag numbers (1 first then 2 .  .  .)
213.           * Minimize space (use tag that requires least bytes)
214.       -  Possible loss in speed due to time required for new algorithm
215.       -  Goes against concept of maximize what you will accept
216.  
217.  
218.      Tabled
219.  
220.    o Issue 4:  What to do on unrecognized tag types
221.  
222.      The behavior on unrecognized tag types should be configurable with
223.      the default being not to accept the packet.  Pro:  8, Con:  4.
224.  
225.      Make configuration optional, the default being to generate an error
226.      on unrecognized tags.  Pro:  10, Con:  1
227.  
228.  
229. Issues not discussed due to time constraints
230.  
231.  
232.                                    4
233.  
234.  
235.  
236.  
237.  
238.   1. Minimum RFC compliance
239.  
240.   2. Error conditions and responses.  Brian Yasaki and Debbie Futcher
241.      wrote up a section for error conditions.  A new copy will be sent
242.      out the mailing list and comments should be placed back on the
243.      mailing list.
244.  
245.   3. Configuration parameters.  Minimal configuration parameters
246.      required for each CIPSO host.  Some of these changed with the
247.      issues discussed and a new version will be put on the mailing list
248.      before the next meeting.
249.  
250.  
251.  
252. Conclusion
253.  
254. As you can see we made it through a lot of issues and closed most of
255. them.  This is great.  Part of the reason many were closed so quickly is
256. that we discussed them at the previous CIPSO IETF meeting but we agreed
257. to hold them open until this meeting.
258.  
259. A request was made for a new CIPSO IETF editor.  Mark Powers has been
260. doing a great job but due to job requirements he has not been able to
261. make many of the meetings.  Mark Christenson from Cray volunteered to do
262. the work.  I will make the appropriate changes to the document and
263. submit it to Internet-Drafts and then give the document to Mark.  Thanks
264. Mark.
265.  
266. The next meeting of the CIPSO IETF will be at the HP complex in
267. Cupertino, CA September 24th - 26th of this year.  It will be held in
268. conjunction with the TSIG meeting.  It will start around 9am on the 24th
269. and will have a morning wrap-up on the 26th ending around noon.  I will
270. send out more details as I get them.
271.  
272. If you have comments on any of the issues discussed please put these
273. comments out on this mailing list now.  Do not wait until the next
274. meeting.  If you have any new issues then again please bring them out
275. now.  New issues brought up at the next meeting will take a lower
276. priority to existing issues that have had a chance to be digested and
277. discussed on the mailing list.
278.  
279. Attendees
280.  
281. Richard Balcon           rbalcon@oracle.com
282. Tom Benkart              teb@saturn.acc.com
283. Nelson Bolyard           nelson@sqi.com
284. Doug Brown               cdbrown@sandia.gov
285. Mark Christenson         mgc@cray.com
286. Daylan Darby             daylan@ssc_bee.boeing.com
287. Deborah Futcher          dfutche@eco.twg.com
288. Amir Hudda               amir@sware.com
289. Barry Miracle            miracle@sctc.com
290. Noel Nazario             nazario@csdserv.ncsl.nist.gov
291.  
292.                                    5
293.  
294.  
295.  
296.  
297.  
298. Oscar Newkerk            newkerk@decwet.enet.dec.com
299. Jackie Proveaux          jackie@csd.harris.com
300. John Seligson            johns@ultra.com
301. Ron Sharp                rls@neptune.att.com
302. Rick Slade               ricks@csd.harris.com
303. Richard Smith            smiddy@pluto.dss.com
304. Frank Solensky           solensky@clearpoint.com
305. Michael St.  Johns       stjohns@umd5.umd.edu
306. Emil Sturniolo           emil@doe.dss.com
307. Bruce Taber              taber@interlan.com
308. Dean Throop              throop@dg-rtp.dg.com
309. Gerard White             ger@concord.com
310. Brian Yasaki             bky@eco.twg.com
311.  
312.  
313.  
314.                                    6
315.