IPv6网络安全白皮书

IPv6网络安全白皮书 中国联合网络通信有限公司研究院下一代互联网宽带业务应用国家工程研究中心 2025年08月 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。 目录 前言......................................................................................................................................-1-一、IPv6网络安全发展趋势............................................................................................-2-二、IPv6网络安全风险分析............................................................................................-3-(一)IPv6缓解的IPv4安全风险........................................................................................-3-(二)IPv6继承的IPv4安全风险........................................................................................-5-(三)IPv6引入的安全风险..................................................................................................-7-(四)IPv6+引入的安全风险.................................................................................................-7-三、IPv6网络安全风险与防护技术................................................................................-8-(一)IPv6基础协议的安全风险与防护技术......................................................................-8-1.扩展报头安全风险与防护技术..............................................................................-8-2.巨型帧攻击安全风险与防护技术........................................................................-10-3.邻居发现协议安全风险与防护技术....................................................................-11-4.无状态地址自动配置（SLAAC）安全风险与防护技术...................................-12-(二)IPv6过渡技术的安全风险与防护技术......................................................................-13-1.双栈技术安全风险与防护技术............................................................................-14-2.隧道技术安全风险与防护技术............................................................................-14-3.网络地址转换技术（NAT64）安全风险与防护技术.......................................-15-四、IPv6+演进技术的安全风险与防护技术.................................................................-16- (一)SRv6网络安全风险与防护技术...............................................................................-16-(二)APN协议安全风险与防护技术................................................................................-18-(三)网络切片安全风险与防护技术.................................................................................-20-(四)SRv6SFC网络安全风险和安全机制........................................................................-21-五、IPv6网络安全实践..................................................................................................-22-(一)SAVNET：源地址验证应用实践.............................................................................-22-(二)APN：威胁溯源应用实践.........................................................................................-24-(三)SRv6SFC：服务功能链应用实践.............................................................................-26-六、结语............................................................................................................................-28- 前言 信息技术的迅猛发展和互联网应用的不断深化正驱动下一代互联网核心协议——IPv6在全球范围加速部署。IPv6不仅有效解决了IPv4地址资源枯竭的问题，更凭借其协议内嵌的安全特性，为构建更安全、高效、可靠的网络环境提供了关键基础。然而，IPv6的大规模应用也引入了新的安全挑战，保障下一代互联网的安全稳定运行，亟需对这些挑战进行深入分析，并制定有效的防护策略。 本白皮书全面阐述IPv6网络安全发展趋势、IPv6安全风险及相应防护技术、IPv6+演进技术的安全风险及相应防护技术。同时，我们将分享业界领先的IPv6网络安全实践案例，为产业落地提供参考。 本白皮书旨在为IPv6网络安全提供共识性框架和发展指引，激发创新与实践，促进产业链协同。我们期待与各方合作，共同构建开放、安全的IPv6网络生态，积极应对未来网络挑战，把握发展机遇。 联合编写单位：（排序不分先后） 中国联合网络通信有限公司研究院，下一代互联网宽带业务应用国家工程研究中心 编写组成员：（排序不分先后） 唐雄燕，叶晓煜，曹畅，郑涛，徐雷，佟恬，王南，赵菁，张小梅，庞冉，傅瑜，黎宇，周婧莹，秦壮壮，朱敏晓，成明 一、IPv6网络安全发展趋势 全球数字化进程加速推进，驱动作为下一代互联网核心协议的IPv6进入部署与应用高速发展期。据《2024全球IPv6支持度白皮书》统计，全球IPv6整体部署率已达39.4%，亚洲与美洲地区更达到45%。然而，伴随规模部署，IPv6网络安全风险同步凸显。据ZayoGroup报告，2023至2024年DDoS攻击数量从9万起飙升至16.5万起，增幅高达82%。在此背景下，IPv6网络安全在政策与产业双重驱动下，迈入全面升级的关键阶段。 政策方面，国家层面持续出台政策，有力牵引IPv6安全能力建设。2021年7月，工业和信息化部、中央网络安全和信息化委员会办公厅印发《IPv6流量提升三年专项行动计划（2021-2023年）》，强调同步推进网络安全建设，加强IPv6安全管理与产品服务发展。2023年4月，工业和信息化部、中央网信办、国家发展改革委员会等八部门印发《关于推进IPv6技术演进和应用创新发展的实施意见》，明确强化安全防护、加快安全技术创新、推动安全应用三大任务。2024年4月，中央网信办等三部门印发《深入推进IPv6规模部署和应用2024年工作安排》，将“强化网络安全保障”列为重点任务，要求加快IPv6安全技术产品研发应用、加强IPv6网络安全防护和管理监督。2025年5月，中央网信办、国家发展改革委、工业和信息化部联合印发《2025年深入推进IPv6规模部署和应用工作要点》， 再次明确“强化网络安全保障”作为9个方面重点任务之一，要求加强IPv6网络安全防护和管理监督、提升IPv6安全风险研判及技术实践能力、推动IPv6安全产品研发应用。 产业方面，我国IPv6规模部署已取得突破性进展。国内运营商率先实现IPv6全域覆盖，ICP、ISP、IDC、CDN、DNS等互联网基础设施也正加速完成IPv6升级适配，支撑网络生态转型。政府、金融、教育、卫生、医疗、电力等关键领域也在加速推进IPv4/IPv6双栈网络改造。同时，物联网产业依托IPv6海量地址资源进入规模化部署阶段。技术标准体系也逐步成型，2025年2月实施的《IPv6网络安全设备技术要求》国标，规范防火墙、IPS等设备全生命周期安全要求。 然而，随着技术升级的深入推进，IPv6网络安全防护能力不足的问题愈发突出，网络演进过程中暴露的安全风险也已成为产业健康发展的关键瓶颈，亟需系统性解决方案支撑产业安全升级。 二、IPv6网络安全风险分析 (一)IPv6缓解的IPv4安全风险 IPv4在互联网发展历程中发挥了重要作用，但受限于早期设计理念，存在诸多安全短板。IPv6通过对协议的重新架构与优化，有效规避和缓解了部分典型风险。 降低广播相关攻击风险。在IPv4体系里，广播机制被广泛应用，主机可向广播地址发送数据包，网络内所有设备都会接收并处理。Smurf攻击便是基于广播通信机制，攻击者伪造受害者IP，向目标网络的广播地址发送ICMP请求（如Ping），该网络内所有主机均会回复受害者，导致受害者流量激增甚至瘫痪，如图1所示。IPv6取消了广播地址，仅采用多播和任播机制。多播基于组播地址实现一对多通信，设备仅接收所属组的数据包；任播则让一个地址对应多个接口，流量被路由至最近节点。IPv6协议在根源上消除了依赖广播机制的Smurf攻击的可能。 削弱IP地址欺骗攻击可能。IPv4缺乏网络层强制认证机制，导致恶意设备可轻易接入网络，伪造IP地址并发起网络攻击。IPv6引入了网络层强制认证机制，如DHCPv6认证和邻居发现协议（NDP）安全扩展，强制校验设备身份，可在第一跳阻断恶意设备接入。此外，IPv6具备端到端鉴别机制，如ICMPv6安全选项、基于公钥密码学的直接身份验证等，可验证通信双方身份，使攻击者无法通过伪造源 IP冒充合法节点