美國防部網際協定第六版轉換規劃之檢討
2020.06.19
瀏覽數
153
壹、新聞重點
據C4ISRNET報導,美國聯邦課責審計署(Government Accountability Office, GAO)6月1日發布調查報告指出,美國防部之網際協定第六版(Internet Protocol Version 6, IPv6)轉換規劃,並未依照2005年行政管理和預算局(Office of Management and Budget, OMB)發布的要求執行,建議美國防部盡速統整IPv6相容資產、估計轉換費用並分析轉換的可能風險。[1] 此份調查報告是源於美《2020年國防授權法》(National Defense Authorization Act of Fiscal Year 2020)規定,由GAO重新檢討美國防部過往與現行之IPv6轉換規劃,有助於了解現況並擬定可能之因應方向。
貳、安全意涵
一、IPv4位址枯竭問題已不容忽視
在網路上,每一個設備都分配有一個IP位址,如同信封上需寫寄件人和收件人地址,傳輸數據的封包上也需要標記相對應的IP位址註明來源和目的地,使網路傳輸順利運作。不過,隨著網路不斷擴張,原有依照第四版協定(IPv4)制定的232(約42.9億)個IP位址,自1983年發展確立以來,未核發之IP位址已逐漸消耗,網際網路工程任務組(Internet Engineering Task Force, IETF)因而推出第六版(IPv6),將位址空間擴展至2128(約3.4×1038)個以因應急速攀升的需求。
美國防部全軍通用之通訊網路,均使用基於IPv4位址的網路相互連結,所持有的IPv4位址即是確保通訊的重要戰略資源。由於IPv4最早為美國國防先進研究計畫署(Defense Advanced Research Projects Agency, DARPA)之研究計畫產物,故預留許多IPv4位址供美國防部使用,總數約有3億個,亦使美國防部成為全球持有最多IPv4位址的單一組織,且仍有近6,000萬個IPv4位址尚未核發。相較於其他負責各區域核發IP位址的區域網際網路註冊機構(Regional Internet Registry),如歐洲RIPE NCC與北美洲ARIN,已陸續於2015年9月及2019年11月宣布已耗盡其分配之IPv4位址,美國防部面對IPv4位址枯竭問題,相對顯得有恃無恐。即便如此,依照目前美軍任務系統現代化與換裝時程,美國防部亦預估將在2030年耗盡剩餘未核發之IPv4位址,因此GAO在調查報告中認為,美國防部應盡早擬定轉換規劃。
二、IPv6特性增進戰場應用並維持美科技競爭力
IPv6除大幅擴展位址空間,使所有連網設備均能給予單一IP位址,強化設備間的端對端(End-to-End)通訊外,其協定新增的幾項特性,也能增進戰場應用。2014年美國防部總監察長報告指出,IPv6的自動設定(auto-configuration)功能,能形成高移動性、且具備端對端安全的隨意網路(ad-hoc network),讓單兵或部隊在離開營區網路覆蓋範圍後,於戰場上仍能快速相互連結、重建通訊。[2] 另外,透過給予大量物聯網裝置IPv6位址,使其在連網狀態下持續進行感測與收集資訊,亦能提供資訊以改善決策過程。
有鑑於IPv4位址枯竭,歐洲與亞洲均已採取因應行動,例如中國將推展IPv6列為其建設「網絡強國」之重要戰略部署,2017年由中共中央辦公廳發布《推進互聯網協議第六版(IPv6)規模部署行動計畫》要求各級政府與網路業者配合,目標於2025年達成網路、應用與終端全面支持IPv6。[3] 其他同樣面臨IPv6位址枯竭的美國任務夥伴(mission partner)國家,亦需逐步轉換為IPv6網路,故此舉不僅可維持美國防部在此的科技競爭力,也能確保與任務夥伴的通訊互通性。
參、趨勢研判
一、美國防部完全轉換至IPv6仍有挑戰
雖然轉換至IPv6有其明顯效益,但對美國防部而言,由於仍需支持既有IPv4設備與相關應用,採行IPv4/IPv6雙重架構(Dual-stack)將大幅增加維運複雜度。此外,在轉換過程中,未成熟之IPv6資訊安全程序,亦可能成為易受攻擊的安全風險。由OMB所提出的轉換規劃要求中,美國防部只達成指定專責人員負責領導與協調規劃事務一項,統整IPv6相容資產、估計轉換費用並分析轉換的可能風險,至2020年5月均未完成。美國防部自訂之IPv6轉換工作項目,除資訊長於2019年提出的IPv6轉換策略外,大多已逾完成期限,顯示其原始預估過於樂觀。短期來看,以IPv6網路對外提供面對公眾之美國防部網路服務,較可能在一至兩年內達成,以美國防部網路的規模而言,其餘工作如統整IPv6相容資產及進行衝擊分析,將是充滿挑戰的艱鉅任務。
二、5G與物聯網之應用將可形成轉換至IPv6的推力
若從需求面觀察,5G與物聯網應用的蓬勃發展,將會提高IP位址需求,因而帶動IPv6推展。5G三大行動場景,包括增強行動寬頻(eMBB)、巨量物聯通訊(mMTC)、以及高可靠低遲延通訊(uRLLC),將形成大量連線終端裝置,考量IPv6的自動設定與端對端安全性特性,未來5G情境下,以IPv6配發固定IP位址給物聯網及各式終端裝置,形成安全、可靠的網路連線,將是必然之解決方案。既然5G與物聯網應用與IPv6網路密不可分,美國防部近期積極在各大營區展開5G實驗,長期而言亦將形成IPv6轉換之重要推力。[4]
[1]Andrew Eversden, “Watchdog says Pentagon needs better planning for IP update 17 years after first attempt,” C4ISRNET, June 3, 2020, https://www.c4isrnet.com/it-networks/2020/06/02/watchdog-says-pentagon-needs-better-planning-for-ip-update-17-years-after-first-attempt/.
[2]“DoD Needs to Reinitiate Migration to Internet Protocol Version 6,” U.S. Department of Defense Inspector General Report, December 1, 2014, https://media.defense.gov/2014/Dec/01/2001713445/-1/-1/1/DODIG-2015-044.pdf.
[3]〈中共中央辦公廳 國務院辦公廳印發推進互聯網協議第六版(IPv6)規模部署行動計畫〉,《中華人民共和國中央人民政府》,2017年11月26日,http://www.gov.cn/zhengce/2017-11/26/content_5242389.htm。
[4]C. Todd Lopez, “DOD Announces New Locations for Additional 5G Testing, Experimentation,” Department of Defense, June 3, 2020, https://www.defense.gov/Explore/News/Article/Article/2207390/dod-announces-new-locations-for-additional-5g-testing-experimentation/.