孫明珠,吳 勇,黃朝輝

(1.解放軍91635部隊(duì),北京102249;2.解放軍91746部隊(duì),北京102206)

美軍IPv6發(fā)展現(xiàn)狀及趨勢(shì)綜述*

孫明珠1,吳 勇2,黃朝輝2

(1.解放軍91635部隊(duì),北京102249;2.解放軍91746部隊(duì),北京102206)

IPv6(Internet Protocol Version 6)是下一代互聯(lián)網(wǎng)的核心支撐技術(shù),具有IPv4技術(shù)無法相比的絕對(duì)優(yōu)勢(shì),是美軍全球信息柵格(GIG)網(wǎng)絡(luò)的重要組成部分。文中首先介紹了美軍IPv6的發(fā)展歷程;然后重點(diǎn)闡述了美軍發(fā)展IPv6的背景目的、政策計(jì)劃、職能機(jī)構(gòu)、標(biāo)準(zhǔn)規(guī)范及實(shí)際進(jìn)展等現(xiàn)狀;接著分析了美軍發(fā)展IPv6中面臨的主要問題;最后結(jié)合全球及美國信息網(wǎng)絡(luò)技術(shù)的發(fā)展形勢(shì),對(duì)美軍IPv6的發(fā)展趨勢(shì)進(jìn)行了預(yù)測(cè)和展望。

美軍 IPv6 政策 過渡計(jì)劃

0 引 言

IPv6(Internet Protocol Version 6)是下一代互聯(lián)網(wǎng)的核心技術(shù),相較于IPv4技術(shù),具有安全性能好、信息速率高、地址空間多、傳輸質(zhì)量佳等眾多優(yōu)勢(shì),是美軍《2020年聯(lián)合構(gòu)想》提出的全球信息柵格(GIG)的重要組成部分,是美國政府推行數(shù)字戰(zhàn)略的重要基礎(chǔ)。為落實(shí)美國政府和國防部的IPv6發(fā)展政策及部署計(jì)劃,美軍通過出臺(tái)政策計(jì)劃、健全職能機(jī)構(gòu)、制定標(biāo)準(zhǔn)規(guī)范、研發(fā)關(guān)鍵技術(shù)和測(cè)試技術(shù)等舉措,大力推進(jìn)IPv6的應(yīng)用和普及,走在了美國國內(nèi)乃至全球各國及地區(qū)的前列。

1 美軍IPv6發(fā)展歷程

1992年,國際互聯(lián)網(wǎng)工程任務(wù)小組(IETF)開始研究“IP協(xié)議的第6版本”--IPv6;1996年,美國政府啟動(dòng)下一代互聯(lián)網(wǎng)(NGI)行動(dòng)計(jì)劃,提出以IPv6取代IPv4協(xié)議;1998年,IETF出臺(tái)了IPv6基礎(chǔ)標(biāo)準(zhǔn)規(guī)范RFC2460[1]。

美國國防部是政府部門中最早發(fā)展IPv6技術(shù)的機(jī)構(gòu)。1995年,美海軍就開始研究IPv6;1998年,美國防部與北約開始聯(lián)合研究IPv6協(xié)議;1999年,美國防部首席信息官在其備忘錄中提出“全球信息柵格”(GIG)概念;2000年5月,美軍頒布《2020年

聯(lián)合構(gòu)想》,提出把IPv6作為全球信息柵格的重要組成部分大力發(fā)展[2]。

2003年6月9日,國防部首席信息官發(fā)布《2003年國防部IPv6備忘錄》,提出國防部的IPv6發(fā)展政策[3]。6月30日,發(fā)布《國防部IPv6》文件,闡述了國防部IPv6過渡計(jì)劃。

2004年2月6日,國防部首席信息官發(fā)布《2004年國防部IPv6備忘錄》,增加了國防部IPv6過渡辦公室的10個(gè)職位,明確了2005、2006財(cái)年的資金支持[4]。

2005年6月30日,國防部向美國國會(huì)提交了《國防部IPv6過渡計(jì)劃》。

2005年8月2日,美國管理預(yù)算辦公室(OMB)發(fā)布《2005年聯(lián)邦政府IPv6備忘錄》,首次提出美國政府的IPv6過渡政策。

2005年8月16日,發(fā)布《2005年國防部IPv6備忘錄》,對(duì)2003年國防部的《IPv6備忘錄》進(jìn)行更新,修訂了部分計(jì)劃[2]。

2006年5月,美國國防部發(fā)布IPv6設(shè)備認(rèn)證規(guī)范(DoDv6)。

2006年6月30日,美國防部向國會(huì)提交了第二版的IPv6過渡計(jì)劃。

2008年1月,美軍聯(lián)合互操作試驗(yàn)司令部開始評(píng)估IPv6產(chǎn)品,并將通過評(píng)估的產(chǎn)品列入統(tǒng)一能力核準(zhǔn)產(chǎn)品清單,供國防部各部局使用[5]。

2009年1月,美國防部將IPv6兼容性加入到國防部“聯(lián)合能力需求”內(nèi),指導(dǎo)規(guī)范IPv6的過渡工作[5]。同年5月,美國首席信息官發(fā)布《美國政府采用IPv6的規(guī)劃指南/路線圖》,部署包括國防部在內(nèi)各機(jī)構(gòu)的IPv6工作。

2010年9月28日,美國管理預(yù)算辦公室再次發(fā)布了《2010年聯(lián)邦政府IPv6備忘錄》,全面闡述了IPv6政策和實(shí)施計(jì)劃[3]。

2011年2月3日,全球IP地址分配機(jī)構(gòu)IANA宣布IPv4地址分配完完畢。6月8日,美國國防部參與全球IPv6日,提高對(duì)IPv6的重視,并加速部署和進(jìn)行技術(shù)研發(fā)。

2012年5月,美國管理預(yù)算辦公室發(fā)布《聯(lián)邦政府IPv6行動(dòng)計(jì)劃第二版》和《聯(lián)邦政府IPv6應(yīng)用指南/規(guī)劃路線圖》。

2013年7月,美國國防部發(fā)布《2013年統(tǒng)一能力需求》,進(jìn)一步闡述了IPv6產(chǎn)品的技術(shù)規(guī)格和功能要求,頒布了通過國防部認(rèn)證的IPv6產(chǎn)品清單[6]。

2014年4月22日,美國國家航空航天局(NASA)發(fā)布《綜合性服務(wù)合同IPv6最好實(shí)踐指南1.3版本》,提供了NASA領(lǐng)域部署IPv6的相關(guān)建議[7]。

2 美軍IPv6發(fā)展現(xiàn)狀

2.1 背景目的

IPv4具有地址空間小、移動(dòng)性能差、安全性不足和配置操作復(fù)雜等自身局限性,無法滿足美軍未來作戰(zhàn)的需要。IPv6相較于IPv4技術(shù)而言,具有地址空間巨大、靈活性和安全性高、動(dòng)態(tài)分配地址、完全的分布式結(jié)構(gòu)以及支持移動(dòng)通信等絕對(duì)優(yōu)勢(shì),可提供更加安全的通信網(wǎng)絡(luò)和高質(zhì)量的傳輸服務(wù),極大地增強(qiáng)了傳輸速率,提高了對(duì)武器系統(tǒng)的響應(yīng)速度和指揮通信的保密性[8-9]。以IP為中心的網(wǎng)絡(luò)中心戰(zhàn)是美軍未來信息化戰(zhàn)爭(zhēng)的主要樣式,要求通過全球信息網(wǎng)絡(luò),將分散配置的各作戰(zhàn)要素集成為網(wǎng)絡(luò)化的作戰(zhàn)指揮體系、作戰(zhàn)力量體系和作戰(zhàn)保障體系,實(shí)現(xiàn)各作戰(zhàn)要素間的戰(zhàn)場(chǎng)態(tài)勢(shì)感知共享。同時(shí),隨著云計(jì)算、物聯(lián)網(wǎng)在戰(zhàn)場(chǎng)空間的大量運(yùn)用,美軍需要接入戰(zhàn)場(chǎng)網(wǎng)絡(luò)的武器系統(tǒng)、信息系統(tǒng)和指揮控制系統(tǒng)將大幅增加,對(duì)安全性、移動(dòng)性以及自適應(yīng)組網(wǎng)等提出了更高的要求,迫切需要利用IPv6來提供更大的地址空間和技術(shù)支持。IPv6技術(shù)可提升美軍各種信息網(wǎng)絡(luò)性能和安全保障,推進(jìn)網(wǎng)絡(luò)中心戰(zhàn)構(gòu)想的發(fā)展,獲取信息優(yōu)勢(shì),實(shí)現(xiàn)決策優(yōu)勢(shì),發(fā)揮整體作戰(zhàn)效能。

2.2 政策計(jì)劃

美國政府管理預(yù)算辦公室、國防部以及負(fù)責(zé)網(wǎng)絡(luò)與信息集成的助理國防部長(zhǎng)分別發(fā)布了多份、各類行政命令和備忘錄,制定了詳細(xì)的IPv6發(fā)展政策和計(jì)劃,從頂層指導(dǎo)美軍的IPv6發(fā)展。

軍隊(duì)方面。主要集中在《2003年國防部IPv6備忘錄》、《2004年國防部IPv6備忘錄》、《國防部IPv6過渡計(jì)劃》、《2005年國防部IPv6備忘錄》等,制定了以全球信息柵格為重點(diǎn)的IPv6發(fā)展政策,明確了IPv6過渡路線圖,涉及管理、采辦與采購、任務(wù)

分派及階段目標(biāo)、項(xiàng)目及預(yù)算等方面,主要內(nèi)容包括[2,3,8,10]:

1)指導(dǎo)方針:節(jié)約過渡成本,新購買的網(wǎng)絡(luò)設(shè)備必須支持IPv6;先期建設(shè)試點(diǎn)工程,推進(jìn)企業(yè)級(jí)網(wǎng)絡(luò)部署;采用又快又好的端到端過渡策略;確保過渡過程中的互操作性和安全性。

2)工作重點(diǎn):推薦過渡策略,包括遺留、升級(jí)和新的IP設(shè)備和系統(tǒng)過渡的時(shí)間表和標(biāo)準(zhǔn);裁定過渡到IPV6的信息設(shè)備;推薦在特定時(shí)期內(nèi)支持IPv4和IPV6共存的技術(shù)策略;鑒別如何確定過渡準(zhǔn)備工作就緒的步驟,鑒別所需要的資源、組織角色和責(zé)任,以減小過渡期的風(fēng)險(xiǎn);鑒別所需要的其它政策指導(dǎo)等。

3)計(jì)劃按排:2002～2004年形成標(biāo)準(zhǔn)的IPv6協(xié)議;2003年10月1日后,所有開發(fā)、采購的信息網(wǎng)絡(luò)設(shè)備,必須支持IPv4和IPV6;2005年10月1日,要求新的IPv6協(xié)議必須經(jīng)過充分評(píng)估,IPv6網(wǎng)絡(luò)只允許在國防部特定的封閉網(wǎng)絡(luò)或作戰(zhàn)環(huán)境下使用;2005-2007年,IPv6和IPv4協(xié)議共同運(yùn)行;2006年10月1日前,制定政策,開發(fā)程序以保證IPv6在國防部的多個(gè)網(wǎng)絡(luò)中安全使用,但I(xiàn)Pv6網(wǎng)絡(luò)仍不能與國防部外的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換;2008年實(shí)現(xiàn)本土全面的IPv6計(jì)劃,IPv4協(xié)議退出。實(shí)際應(yīng)用中,由于設(shè)備和技術(shù)等方面限制,該目標(biāo)未能按期完成, 2008年后,美軍方將全面部署IPv6的日期推遲到了2012年。

4)過渡機(jī)制:IPv6的過渡方法通常有雙棧、隧道、協(xié)議轉(zhuǎn)換三種機(jī)制[8],美國國防部選擇的過渡方法是雙棧機(jī)制。美軍《統(tǒng)一能力需求》規(guī)定進(jìn)入國防部網(wǎng)絡(luò)的新硬件產(chǎn)品必須達(dá)到IPv6功能的基本要求,《2008年統(tǒng)一能力需求》明確指出,所有IPv6相關(guān)系統(tǒng)與設(shè)備都必須具備雙棧技術(shù)能力,能在運(yùn)行網(wǎng)絡(luò)上同時(shí)提供IPv4和IPv6服務(wù)?！?013年統(tǒng)一能力需求》頒布了DOD最新通過的IPv6認(rèn)證清單[6]。

同時(shí),為滿足國防部目前和未來作戰(zhàn)需求,評(píng)估IPv6網(wǎng)絡(luò)的體系結(jié)構(gòu)、功能特點(diǎn)、協(xié)議和應(yīng)用,美國國防部制定了IPv6主測(cè)試計(jì)劃(MTP),制定了測(cè)試和評(píng)估計(jì)劃表,確定了每條測(cè)試標(biāo)準(zhǔn)的內(nèi)容,以及各級(jí)別標(biāo)準(zhǔn)的劃分和測(cè)試方式。MTP規(guī)定,IPv6的測(cè)試和評(píng)估包括實(shí)驗(yàn)室測(cè)試、建模仿真、演示和實(shí)地測(cè)試。

另外,美國國家安全局(NSA)也制定了IPv6發(fā)展計(jì)劃:從2006年1月開始在非保密互聯(lián)網(wǎng)協(xié)議路由網(wǎng)絡(luò)(NIPRNet)部署IPv6技術(shù),2008年6月,完成核心網(wǎng)絡(luò)的IPv6能力演示,并開始在戰(zhàn)術(shù)邊界部署,2010年正式形成能力。從2009年10月開始對(duì)保密互聯(lián)網(wǎng)協(xié)議路由網(wǎng)絡(luò)(SIPRNet)進(jìn)行IPV6部署,于2012年3月實(shí)現(xiàn)核心網(wǎng)絡(luò)的IPv6能力[4]。

政府方面。主要集中在《2005年聯(lián)邦政府IPv6備忘錄》、《2010年聯(lián)邦政府IPv6備忘錄》及《聯(lián)邦政府IPv6行動(dòng)計(jì)劃》等,制定了美國政府IPv6行動(dòng)計(jì)劃指令,確定了IPv6轉(zhuǎn)型時(shí)間表,其主要內(nèi)容包括[2-3]:聯(lián)邦政府所有機(jī)構(gòu)到2008年6月要在其干線使用IPv6;所有美國政府機(jī)構(gòu)在2012年9月30日之前把面向公眾的網(wǎng)站和服務(wù)升級(jí)到支持IPv6 (包括web、email、DNS、ISP服務(wù)等);政府機(jī)構(gòu)使用原生IPV6協(xié)議,而不是采用轉(zhuǎn)換機(jī)制在IPv6和IPv4之間進(jìn)行轉(zhuǎn)換;為保證互通性,各政府部門采用IPv4與IPv6共存、逐步向IPv6全面過渡的戰(zhàn)略;聯(lián)邦政府機(jī)構(gòu)在2014年9月30日之前把與公共互聯(lián)網(wǎng)服務(wù)器聯(lián)網(wǎng)的內(nèi)部客戶端應(yīng)用程序升級(jí)到支持原生IPv6協(xié)議;每一個(gè)機(jī)構(gòu)都要任命一個(gè)IPv6過渡經(jīng)理負(fù)責(zé)IPv6相關(guān)工作;機(jī)構(gòu)必須購買通過聯(lián)邦政府IPv6測(cè)試流程的網(wǎng)絡(luò)硬件和軟件;聯(lián)邦政府將致力于IPv6的運(yùn)營部署和使用;云計(jì)算、寬帶部署和智能電網(wǎng)技術(shù)在內(nèi)的一些計(jì)劃需要IPv6提供更大的地址空間;IPv6對(duì)以取消網(wǎng)絡(luò)地址解析技術(shù)來減少互聯(lián)網(wǎng)服務(wù)的復(fù)雜性是非常必要的;IPv6將提供普遍存在的安全服務(wù);IPv6將通過一個(gè)集成的、架構(gòu)良好的網(wǎng)絡(luò)平臺(tái)推動(dòng)互聯(lián)網(wǎng)繼續(xù)高效率地運(yùn)行,而且適應(yīng)基于互聯(lián)網(wǎng)的服務(wù)的未來擴(kuò)張。

2.3 職能機(jī)構(gòu)

為了確保IPv6的過渡和普及,美國政府、國防部及各軍種設(shè)立了一系列負(fù)責(zé)IPv6發(fā)展的職能部門或機(jī)構(gòu),形成了強(qiáng)有力的組織管理體系,主要包括:

美國管理預(yù)算辦公室(OMB):主要負(fù)責(zé)政府各部門網(wǎng)絡(luò)向IPv6的過渡與遷移。

國防部首席信息官:負(fù)責(zé)國防部IPv6發(fā)展的全面工作,發(fā)布涵蓋IPv6政策或計(jì)劃的備忘錄;創(chuàng)建和修改IPv6過渡計(jì)劃;負(fù)責(zé)IPv6工作的領(lǐng)導(dǎo)人選、

演示驗(yàn)證以及測(cè)試平臺(tái)研發(fā)等。

國防信息系統(tǒng)局(DISA):負(fù)責(zé)美軍IPv6管理和綜合工作、工程設(shè)計(jì)、作戰(zhàn)支持、技術(shù)研究等五項(xiàng)[2]。其中,管理方面主要包括專家培養(yǎng)、過渡戰(zhàn)略、政策制定、工作組管理、效費(fèi)分析、工作協(xié)同等。綜合工作包括信息保證、標(biāo)準(zhǔn)和應(yīng)用。工程設(shè)計(jì)包括地址空間獲取與分配、域名服務(wù)器過渡、建立根域名服務(wù)器、建設(shè)作戰(zhàn)實(shí)驗(yàn)室、集成國防部測(cè)試平臺(tái)、性能趨勢(shì)研究、評(píng)估IPv6產(chǎn)品、評(píng)估信息保證、開發(fā)網(wǎng)絡(luò)管理方法與工具等。作戰(zhàn)支持主要包括支持部隊(duì)展開、網(wǎng)絡(luò)分析、提供工程支持、提供訓(xùn)練能力等。技術(shù)研究包括VOIP(利用IP傳輸聲音)、無線技術(shù)、服務(wù)質(zhì)量、多點(diǎn)傳送、移動(dòng)組網(wǎng)、特殊組網(wǎng)、策略組網(wǎng)等方面的研發(fā)。

國防部IPv6過渡辦公室(DITO):隸屬于國防信息系統(tǒng)局,是國防部?jī)?nèi)具體負(fù)責(zé)IPv6發(fā)展的核心機(jī)構(gòu),主要負(fù)責(zé)IPv6的規(guī)劃、管理和協(xié)調(diào);擬定政策計(jì)劃;開發(fā)標(biāo)準(zhǔn)指南和具體過渡技術(shù)、網(wǎng)絡(luò)體系結(jié)構(gòu)、應(yīng)用開發(fā)等項(xiàng)工作;為各軍種IPv6過渡提供指導(dǎo)與幫助等。

聯(lián)合互通測(cè)試司令部(JITC):是美國防部互通與信息保障能力的權(quán)威認(rèn)證機(jī)構(gòu),也是美國防部唯一一家IPv6兼容性權(quán)威認(rèn)證機(jī)構(gòu),負(fù)責(zé)審查、測(cè)試和評(píng)估所有類型信息產(chǎn)品。通過JITC檢驗(yàn)的產(chǎn)品,將被列入國防部各機(jī)構(gòu)及軍種使用的“聯(lián)合能力獲準(zhǔn)產(chǎn)品清單”。

此外,各軍種也分別成立各自的IPv6過渡辦公室,負(fù)責(zé)部門、系統(tǒng)內(nèi)的IPv6發(fā)展。國防部?jī)?nèi)還有聯(lián)合部隊(duì)司令部、國家安全局和國家情報(bào)局也負(fù)責(zé)部分的IPv6過渡工作。其中,國家安全局主要負(fù)責(zé)涉密IPv6網(wǎng)絡(luò)的信息保障事宜。

2.4 標(biāo)準(zhǔn)規(guī)范

目前,國際組織、企業(yè)聯(lián)盟、學(xué)術(shù)機(jī)構(gòu)等相關(guān)單位制定了多類IPv6標(biāo)準(zhǔn),美國軍隊(duì)也根據(jù)這些標(biāo)準(zhǔn)制定了適合軍事應(yīng)用的標(biāo)準(zhǔn)指南。另外,國防部作為政府機(jī)構(gòu)的一員,也要遵循政府頒布的IPv6標(biāo)準(zhǔn)規(guī)范。

軍隊(duì)方面。2005年,國防部制定了《IPv6通用測(cè)試計(jì)劃(GTP)》,提出成立專門實(shí)驗(yàn)室對(duì)IPv6產(chǎn)品進(jìn)行認(rèn)證。2006年6月1日,國防信息系統(tǒng)局標(biāo)準(zhǔn)技術(shù)工作組制定了《國防部IPv6能力產(chǎn)品標(biāo)準(zhǔn)框架1.0版》,每年更新一次,為實(shí)施“IPv6能力”測(cè)試機(jī)構(gòu)提供了產(chǎn)品檢測(cè)技術(shù)指南,同時(shí)也為網(wǎng)絡(luò)工程人員實(shí)現(xiàn)互操作提供了基本要求。同年,美國國防部發(fā)布了“IPv6標(biāo)準(zhǔn)配置文件1.0版”,每年都會(huì)對(duì)國防信息技術(shù)標(biāo)準(zhǔn)系統(tǒng)中的相應(yīng)部分進(jìn)行更新[2-3]。

2009年,美軍聯(lián)合參謀部制定并發(fā)布了IPv6運(yùn)行標(biāo)準(zhǔn),主要內(nèi)容包括:確保NIPRNet及SIPRNet和黑色骨干網(wǎng)絡(luò)的運(yùn)行、集成高保障IP加密(HAIPE)設(shè)備、集成IP保密設(shè)備以及集成防火墻和入侵探測(cè)系統(tǒng)的安全性;確保IPv4和IPv6混合環(huán)境中端到端的互操作性;確保具有與IPv4網(wǎng)絡(luò)相當(dāng)?shù)幕蚋玫男阅?確保語音、視頻和數(shù)據(jù)一體化傳輸?shù)男Ч?確保在低帶寬環(huán)境中的有效運(yùn)行;確保IPv6網(wǎng)絡(luò)的可擴(kuò)展性;支持移動(dòng)終端傳輸話音、數(shù)據(jù)和視頻;確保過渡技術(shù);提供網(wǎng)絡(luò)作戰(zhàn)能力;確保戰(zhàn)術(shù)配置和ad hoc組網(wǎng)能力。

2010年7月,美國發(fā)布了《國防部IPv6能力產(chǎn)品標(biāo)準(zhǔn)框架5.0版》,主要內(nèi)容包括[4]:制定了工程級(jí)可操作的IPv6產(chǎn)品標(biāo)準(zhǔn);擴(kuò)展了IPv6產(chǎn)品標(biāo)準(zhǔn)覆蓋面;明確了IPv6產(chǎn)業(yè)鏈中各個(gè)環(huán)節(jié)的標(biāo)準(zhǔn);要求IPv6報(bào)頭中包含關(guān)于控制服務(wù)質(zhì)量的字段,以實(shí)現(xiàn)優(yōu)先級(jí)控制和服務(wù)質(zhì)量保證,確保從IP語音到IP視頻流的高質(zhì)量傳輸。

此外,國家安全局還先后開發(fā)了《路由安全配置指南補(bǔ)充――IPv6路由器安全》、《移動(dòng)IPv6過濾策略》、《IPv6防火墻設(shè)計(jì)考慮》等信息安全標(biāo)準(zhǔn)文件,指導(dǎo)IPv6過渡過程中的信息保障工作。

政府方面。2008年7月,國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了SP500-267《美國政府IPv6概況v1.0》,為美聯(lián)邦政府采辦IPv6主機(jī)和路由器確定了技術(shù)標(biāo)準(zhǔn)和網(wǎng)絡(luò)保護(hù)沒備規(guī)范。2009年8月6日,NIST發(fā)布了SP500-273《IPv6測(cè)試方法:通用描述和確認(rèn)》,描述了主機(jī)、路由器和網(wǎng)絡(luò)保護(hù)設(shè)備的測(cè)試方法,供測(cè)試委托人和承擔(dān)測(cè)試的實(shí)驗(yàn)室使用。2009年12月,發(fā)布了SP500-281《美國政府IPv6強(qiáng)制性技術(shù)認(rèn)證規(guī)程測(cè)試項(xiàng)目用戶指南》,提出了IPv6強(qiáng)制性技術(shù)認(rèn)證規(guī)程及使用周期等規(guī)范。2010年12月,NIST發(fā)布《安全部署IPv6指南》,以幫助聯(lián)邦機(jī)構(gòu)認(rèn)識(shí)其在部署IPv6過程中可能存在的安全風(fēng)險(xiǎn)[11]。2011年,又發(fā)布了SP800-119《安

全部署IPv6指南》,分析了IPv6提供的新協(xié)議和服務(wù)能力,建議各組織機(jī)構(gòu)在部署IPv6時(shí)應(yīng)考慮安全問題。此外,美國總務(wù)署(GSA)還更新了聯(lián)邦采辦條令,明確了有關(guān)IPv6規(guī)范,幫助聯(lián)邦政府各機(jī)構(gòu)實(shí)現(xiàn)采購需求。

2.5 實(shí)際進(jìn)展

為了推動(dòng)IPv6的高效安全發(fā)展,美軍進(jìn)行了一系列的測(cè)試、演示、準(zhǔn)備和實(shí)施工作,為IPv6研究打下了堅(jiān)實(shí)的基礎(chǔ),也為向IPv6的順利過渡提供了技術(shù)保證。

一是研制Moonv6試驗(yàn)網(wǎng)絡(luò)。2003年,IPv6論壇下屬的北美IPv6特別工作組,提出建設(shè)北美最大型IPv6先導(dǎo)網(wǎng)絡(luò)項(xiàng)目――Moonv6,測(cè)試和演示IPv6在現(xiàn)實(shí)條件下使用有效性,展示IPv6在現(xiàn)實(shí)環(huán)境中安全和協(xié)同性方面的優(yōu)勢(shì),提高對(duì)IPv6的意識(shí),加快IPv6協(xié)議的推廣與普及[12]。主要參與方有:北美IPv6特別工作組、新罕布什爾州大學(xué)互操作性實(shí)驗(yàn)室、Internet2、國防部JTIC及美軍各軍種多家機(jī)構(gòu)以及幾十家網(wǎng)絡(luò)產(chǎn)品廠商、服務(wù)提供商等,由國防信息系統(tǒng)局聯(lián)邦互操作測(cè)試司令部牽頭實(shí)施。從2003年10月到2007年6月,Moonv6項(xiàng)目相繼完成了多輪測(cè)試,進(jìn)行了大量技術(shù)可行性驗(yàn)證,為IPv6網(wǎng)絡(luò)設(shè)計(jì)與測(cè)試建立了試驗(yàn)平臺(tái),2007年以后,該項(xiàng)目終止。

二是建設(shè)IPv6試點(diǎn)工程。2003年6月,美國防部選定國防研究工程網(wǎng)和國防信息系統(tǒng)網(wǎng)進(jìn)行首次IPv6升級(jí)的試點(diǎn)網(wǎng)絡(luò),并作為IPv6協(xié)議的測(cè)試床,引領(lǐng)IPv6過渡工作。因?yàn)檫@兩個(gè)網(wǎng)絡(luò)擁有眾多的用戶,并且是集中管理的,可以與國防部的其他網(wǎng)絡(luò)隔離開來。截止到2005年6月,國防部順利完成兩個(gè)網(wǎng)絡(luò)的IPv6升級(jí),完全支持IPv6功能,升級(jí)后的性能及安全性與IPv6試點(diǎn)之前一樣好,有些地方甚至更好。截止到2011年,國防研究工程網(wǎng)實(shí)現(xiàn)了廣域網(wǎng)上的全網(wǎng)雙棧,同級(jí)間設(shè)備的單播和多播;所有局域網(wǎng)和廣域網(wǎng)子網(wǎng)均支持IPv6;實(shí)現(xiàn)了IPv6網(wǎng)絡(luò)管理等功能。

三是積極推動(dòng)IPv6部署[2]。美陸軍已完成對(duì)其原有網(wǎng)絡(luò)和系統(tǒng)的IPv6能力的鑒定及地址配置工作,并且進(jìn)行了雙堆棧網(wǎng)絡(luò)、移動(dòng)式IPv6試驗(yàn),而且積極參與美國防部組織的IPv6實(shí)驗(yàn)平臺(tái)建設(shè)和演習(xí)工作,并不斷推進(jìn)IPv6網(wǎng)絡(luò)升級(jí)改造工作,如 2008年,美陸軍啟動(dòng)在德國的陸軍第七軍聯(lián)合多國訓(xùn)練中心(JMTC)的IPv6數(shù)據(jù)網(wǎng)絡(luò)建設(shè),于2010年1月完成。美空軍參與了國防信息系統(tǒng)局領(lǐng)導(dǎo)的國防部IPv6轉(zhuǎn)型工作組和IPv6測(cè)試平臺(tái)網(wǎng)絡(luò)工作,在信息裝備采辦中積極推廣IPv6技術(shù),參與了國防部與新罕布什爾州大學(xué)進(jìn)行的MoonV6跨地域IPv6聯(lián)網(wǎng)實(shí)驗(yàn)工作。從2008年7月到2009年4月,美空軍在佛羅里達(dá)埃格林空軍基地成功開展了IPv6網(wǎng)絡(luò)測(cè)試工作。美海軍已完成國防研究工程網(wǎng)的IPv6測(cè)試,并專門在5個(gè)站點(diǎn)之間采用IPv6技術(shù),測(cè)試了多操作系統(tǒng)、防火墻、信息顯示系統(tǒng)、域名服務(wù)器、郵件服務(wù)器和文件傳輸協(xié)議。參與了Moonv6項(xiàng)目,并于2007年前完成了實(shí)驗(yàn)室測(cè)試和廣域網(wǎng)測(cè)試工作。2009年,美海軍IPv6遷移計(jì)劃辦公室牽頭制定了海軍IPv6技術(shù)過渡戰(zhàn)略,2010年8月,美國海軍新型IPv6網(wǎng)絡(luò)已經(jīng)可以初步用于艦隊(duì)作戰(zhàn)任務(wù)。另外,美海軍陸戰(zhàn)隊(duì)已從2005年開始在海軍陸戰(zhàn)隊(duì)內(nèi)聯(lián)網(wǎng)安裝IPv6試驗(yàn)版,并參加了“國防信息系統(tǒng)網(wǎng)”的測(cè)試網(wǎng)工作。

美軍在各級(jí)部門的大力推動(dòng)下,IPv6發(fā)展取得了較大進(jìn)展,走在了美國國內(nèi)和全球的前列。2006年12月,美軍向美洲互聯(lián)網(wǎng)號(hào)碼注冊(cè)管理機(jī)構(gòu)申請(qǐng)了大量IPv6地址空間。2008年3月,國防部批準(zhǔn)了IPv6地址計(jì)劃。截止到2009年3月26日,國防部已擁有42×1033個(gè)IPv6地址(/13 IP分組),可以產(chǎn)生9×1012個(gè)局域網(wǎng)。2014年7月,CERNIC的網(wǎng)絡(luò)信息中心數(shù)據(jù)顯示,在過去的12個(gè)月,獲得的IPv6地址數(shù)量最多的是美國,達(dá)到了4685*/32。截止到2014年8月13日,美國政府獲得的IPv6地址數(shù)量達(dá)到了15751231330,在IPv6用戶數(shù)量、網(wǎng)站內(nèi)容和網(wǎng)絡(luò)產(chǎn)品等幾個(gè)方面,美國處于全球領(lǐng)先地位[13]。

3 美軍IPv6發(fā)展面臨的問題

美軍盡管制定了IPv6的發(fā)展政策,并制定了各階段的發(fā)展目標(biāo),但在實(shí)際推廣中并不順利,沒有完全如期完成IPv6的部署目標(biāo),未來的發(fā)展面臨著如下問題:

一是配套產(chǎn)品發(fā)展滯后問題。美國是IPv4的發(fā)源地,分配到了大量的IPv4地址資源,信息產(chǎn)品生廠商、網(wǎng)絡(luò)運(yùn)營商和服務(wù)商,沒有向IPv6過渡的

動(dòng)力。特別是IPv6并不向下兼容IPv4,在生產(chǎn)支持IPv4與IPv6協(xié)議的產(chǎn)品時(shí),會(huì)增加成本,影響了IPv6產(chǎn)品的研發(fā)和生產(chǎn),造成配套網(wǎng)絡(luò)設(shè)備的發(fā)展相對(duì)滯后,制約了IPv6發(fā)展。

二是IPv6自身安全問題。首先,IPv6網(wǎng)絡(luò)的IP層數(shù)據(jù)加密的方式,使基于網(wǎng)絡(luò)數(shù)據(jù)包分析的網(wǎng)絡(luò)安全設(shè)備無法對(duì)抓取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行深度的解析,削弱了安全功能。其次,IPv6地址和配置的復(fù)雜度高,容易導(dǎo)致安全威脅。第三,目前,IPv6相對(duì)于IPv4更易受到分布式拒絕服務(wù)(DDoS)攻擊。因?yàn)? IPv6網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)仍不成熟,許多網(wǎng)絡(luò)運(yùn)營者缺乏控制網(wǎng)絡(luò)流量的能力,以區(qū)分DDoS攻擊和正常的流量;同時(shí),IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的網(wǎng)關(guān)必須存儲(chǔ)大量的流量狀態(tài)信息,造成設(shè)備非常脆弱。

三是標(biāo)準(zhǔn)協(xié)議融合完善問題。隨著IPv6近二十年的發(fā)展,形成了IETF、BBF、3GPP、IPSO、ITU-T等IPv6標(biāo)準(zhǔn)組織,出臺(tái)頒布了資源類、應(yīng)用類、安全類、過渡類、網(wǎng)絡(luò)類等五大類上千份IPv6標(biāo)準(zhǔn)協(xié)議。同時(shí),美國政府和軍隊(duì)也根據(jù)這些標(biāo)準(zhǔn),結(jié)合自身實(shí)際制定了眾多的標(biāo)準(zhǔn)指南,如何讓這些標(biāo)準(zhǔn)融合發(fā)展面臨著問題。其次,有些標(biāo)準(zhǔn)協(xié)議制定的比較早,時(shí)間跨度大,具有歷史的局限性,已不適應(yīng)信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展。第三,IPv6接入方式變更及采用PA方式多歸屬技術(shù),大大增加了IP地址重編號(hào)的概率,造成主機(jī)/子網(wǎng)的IP地址變動(dòng)時(shí),需要同步更新DNS或ACL相關(guān)記錄,也會(huì)面臨地址選擇(網(wǎng)絡(luò)連接屬性下發(fā))、出口路由選擇、會(huì)話維持、下一跳選擇等問題,需要對(duì)IPv6標(biāo)準(zhǔn)協(xié)議進(jìn)行完善更新[14]。

4 美軍IPv6發(fā)展趨勢(shì)

隨著IPv4地址資源的告罄,世界主要國家圍繞IPv6技術(shù)的競(jìng)爭(zhēng)將進(jìn)入一個(gè)新的高潮。根據(jù)全球信息網(wǎng)絡(luò)技術(shù)的發(fā)展形勢(shì),結(jié)合美軍信息網(wǎng)絡(luò)的未來需求,美軍IPv6將向如下幾個(gè)方面發(fā)展:

一是加快推進(jìn)IPv6的部署和應(yīng)用。2011年2月3日,ICANN宣布全球最后一批IPv4地址分配完畢,全球向IPv6的過渡進(jìn)入實(shí)施階段。美軍將根據(jù)政府的IPv6發(fā)展政策和國防部的IPv6發(fā)展計(jì)劃,加快推進(jìn)IPv6相關(guān)技術(shù)、系統(tǒng)和產(chǎn)品的部署與應(yīng)用。美軍要求DISA與國防部協(xié)調(diào),加大IPv6網(wǎng)絡(luò)設(shè)計(jì)和工程方案研制,加快IPv6產(chǎn)品的過渡,特別是加快推動(dòng)移動(dòng)環(huán)境中的IPv6技術(shù)的應(yīng)用,按期完成政府和軍隊(duì)的規(guī)劃目標(biāo)。

二是調(diào)動(dòng)廠商的積極性。發(fā)展IPv6是一項(xiàng)復(fù)雜的系統(tǒng)工程,涉及核心網(wǎng)絡(luò)、用戶接入設(shè)備、終端、應(yīng)用、網(wǎng)站、軟件等各個(gè)環(huán)節(jié)的同步建設(shè)和改造遷移,需要國家整個(gè)產(chǎn)業(yè)鏈的協(xié)同配合,單純依靠國防部進(jìn)行推動(dòng)是遠(yuǎn)遠(yuǎn)不夠的。為了調(diào)動(dòng)廠商開發(fā)和生產(chǎn)IPv6產(chǎn)品的積極性,美軍采取了一系列措施,來鼓勵(lì)企業(yè)參與IPv6的發(fā)展。例如,近期降低了交換機(jī)和路由器的IP安全性,以減少廠商的生產(chǎn)成本等。

三是大力研發(fā)IPv6安全技術(shù)。針對(duì)IPv6自身存在的信息安全問題,以及從IPv4向IPv6過渡中引入的臨時(shí)性安全威脅,美軍正在大力研發(fā)相關(guān)安全技術(shù),以確保信息網(wǎng)絡(luò)安全。比如,美軍將取消IPv6中的網(wǎng)絡(luò)地址轉(zhuǎn)換功能,發(fā)展本地地址保護(hù)功能,既能保留網(wǎng)絡(luò)地址交換機(jī)制的安全傳輸功能,又不必進(jìn)行地址交換,以彌補(bǔ)IPv6取消網(wǎng)絡(luò)地址交換出現(xiàn)的安全漏洞。另外,美軍也正在研發(fā)DHCPv6 (動(dòng)態(tài)主機(jī)配置協(xié)議)、NDP(鄰機(jī)發(fā)現(xiàn)協(xié)議)、SEND (鄰機(jī)發(fā)現(xiàn)擴(kuò)展協(xié)議)等主機(jī)發(fā)現(xiàn)新技術(shù),提高IPv6環(huán)境下的有效監(jiān)控與漏洞掃描能力,提高安全性。

四是推進(jìn)IPv6標(biāo)準(zhǔn)的融合與完善。目前,國際組織、美國政府和美軍各機(jī)構(gòu)制定了眾多的IPv6標(biāo)準(zhǔn)指南,但是各個(gè)標(biāo)準(zhǔn)協(xié)議的側(cè)重點(diǎn)和出發(fā)點(diǎn)各不相同,為了IPv6標(biāo)準(zhǔn)的協(xié)調(diào)統(tǒng)一發(fā)展,美軍將加大對(duì)標(biāo)準(zhǔn)的融合,構(gòu)建統(tǒng)一的標(biāo)準(zhǔn)規(guī)范體系,指導(dǎo)IPv6的協(xié)調(diào)發(fā)展。另外,IPv6技術(shù)目前仍然在發(fā)展中,針對(duì)一些過時(shí)的標(biāo)準(zhǔn)協(xié)議,美軍將根據(jù)信息技術(shù)的發(fā)展形勢(shì),對(duì)其進(jìn)行更新完善。

5 結(jié) 語

美軍為獲取絕對(duì)的信息優(yōu)勢(shì),積極發(fā)展IPv6技術(shù),以提高信息網(wǎng)絡(luò)的性能和安全,為其實(shí)現(xiàn)網(wǎng)絡(luò)中心戰(zhàn)奠定堅(jiān)實(shí)基礎(chǔ)。美軍的IPv6發(fā)展取得了一定進(jìn)展,但也面臨著一些急需解決的問題,美軍將從研發(fā)安全技術(shù)、更新完善標(biāo)準(zhǔn)、加強(qiáng)多協(xié)議融合等幾個(gè)方面,積極部署和應(yīng)用IPv6技術(shù),大力推動(dòng)IPv6的發(fā)展,也為我軍IPv6的發(fā)展提供了借鑒。

[1] 孫海榮,雷維禮,李樂民.下一代IP技術(shù)的研究[J].通信技術(shù),1996,03(03):1-2.

SUN Hai rong,LEIWei-li,LI Le-min.Studies on IP Next Generation[J].Communications Technology,1996, 03(03):1-2.

[2] 雷震洲.美國國防部全面部署IPv6的啟示[J].信息網(wǎng)絡(luò),2003,11(11):37-39.

LEIZheng-zhou.Apocalypse from the Deploymentof Ipv6 by the U.S.Department of Defense[J].Information Network,2003,11(11):37-39.

[3] 伍轉(zhuǎn)華.IPv6最新發(fā)展現(xiàn)狀綜述[J].電腦知識(shí)與技術(shù),2012,36(36):68-71.

WU Zhuan-hua.Survey on the Latest Development of IPv4 to IPv6[J].Computer Know ledge and Technology, 2012,36(36):68-71.

[4] Kris Strance.Internet Protocol Version 6(IPv6)Imp lementation Overview[EB/OL].(2011-08-10)[2014-10 -01].https://www.nitrd.gov/nitrdgroups/images/a/ a4/R_Broersma_DoD_IPv6_Briefing_for_DREN.pdf.

[5] Kris Strance.Department of Defense Unified Capabilities (UC)[EB/OL].(2010-12-07)[2014-10-01].http://www.dodenterprisearchitecture.org/pastmeetings/ Documents/kris_strance.pdf.

[6] DoD CIO.Unified Capabilities Requirements(UCR) 2013[EB/OL].(2013-07-01)[2014-10-01].http://jitc.fhu.disa.mil/jitc_dri/pdfs/UCR_2013_Combined_signed.pdf.

[7] NASA CSO/NICS.NICS IPv6 Best Practices Guide[EB/ OL].(2014-04-22)[2014-10-01].http://www. hpc.mil/images/hpcdocs/ipv6/nics_ipv6_best_practices _guide.pdf.

[8] 呂學(xué)海.下一代互聯(lián)網(wǎng)的核心IPv6[J].通信技術(shù), 2009,42(10):123-127.

LV Xue—hai,IPv6一Core of NextGeneration Internet[J]. Communications Technology,2009,42(10):123-127.

[9] 李楊,冀瀟.IPv4與IPv6共存技術(shù)的簡(jiǎn)介[J].通信技術(shù),2013,46(07):34-36.

LIYang,JIXiao.Brief Introduction of IPv4/IPv6 Coexistence Technologies[J],Communications Technology, 2013,46(07):34-36.

[10] Chuck LynchChief.DOD IPv6[EB/OL].(2005-01-21)[2014-10-01].https://collaboration.opengroup. org/gesforum/ipv6/uploads2/40/14298/Lynch_DoD_ IPv6_012105_vf.pdf.

[11] NIST.Guidelines for the Secure Deployment of IPv6 [EB/OL].(2010-12-01)[2014-10-01].http://csrc.nist.gov/publications/drafts/800-119/draft-sp800-119_feb2010.pdf.

[12] 周艷.全球IPv6發(fā)展近況分析[J].世界電信,2006, 01(01):12-15.

Zhou Yang,Analysis on the Recent Developing Status of Global Ipv6[J],World Telecommunications,2006,01 (01):12-15

[13] John Curran.Current State of IPv6 Adoption and Where It's Headed[EB/OL].(2014-08-20)[2014-10-01].http://teamarin.net/wp-content/uploads/2014/ 05/USgovtIPv6conf-jcurran.pdf.

[14] 淘濤.IPV6標(biāo)準(zhǔn)與研究現(xiàn)狀分析[J].電信網(wǎng)技術(shù), 2012,9(09):70-76.

Tao Tao,Standard and Research Present Situation Analysis of IPv6 Technology,TELE COMMUNICATIONS NETWORK TECHNOLOGY,2012,9(09):70-76.

孫明珠(1975—),女,學(xué)士,高級(jí)工程師,主要研究方向?yàn)橥ㄐ殴こ?

SUN Ming-Zhu(1975-),female,B.Sci., senior engineer,mainly engaged in communication engineering.

吳 勇(1980—),男,學(xué)士,工程師,主要研究方向?yàn)樾畔踩屯ㄐ偶夹g(shù);

WU Yong(1980-),male,B.Sci.,engineer,mainly engaged in information security and communications technology.

黃朝輝(1966—),男,學(xué)士,工程師,主要研究方向?yàn)樾畔踩屯ㄐ偶夹g(shù)。

HUANG Zhao-hui(1964-),male,B.Sci.,engineer,mainly engaged in information security and communications technology.

Development Status Quo and Trend of IPv6 in the USM ilitary

SUN Ming-zhu1,WU Yong2,HUANG Zhao-Hui2
(1.Unit91635 of PLA,Beijing 102249,China;2.Unit91746 of PLA,Beijing 102206,China)

IPv6(Internet Protocol Version 6),the core of the next-generation internet technology,enjoys an absolute advantage as compared with IPv4 technology,and is themost important component of the GIG in the USmilitary.This paper describes first the developmenthistory of IPv6 in the USmilitary,then focuses on the status quo of IPv6 in terms of background purpose,policy planning,functional organization, standard specification and actual process,and then analyzes themajor challenges faced by IPv6 in the development process.Finally,it gives forecasts and prospects for the development trend of IPv6 in the US military,in accordance with the development situation of global and US network information technology.

USmilitary;IPv6;policy;transition plan

TN914

A

1002-0802(2014)12-1347-07

10.3969/j.issn.1002-0802.2014.12.001

2014-09-11;

2014-11-10 Received date：2014-09-11;Revised date：2014-11-10