2025年IPv6网络安全白皮书-中国联通

语言	格式	评分
中文（简体）	.pdf	3
概览
IPv6 网络安全白皮书中国联通 IPv6 网络安全白皮书中国联合网络通信有限公司研究院下一代互联网宽带业务应用国家工程研究中心 2025 年 08 月 IPv6 网络安全白皮书版权声明本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。 IPv6 网络安全白皮书目录前言......................................................................................................................................- 1 - 一、 IPv6 网络安全发展趋势............................................................................................ - 2 - 二、 IPv6 网络安全风险分析............................................................................................ - 3 - (一) IPv6 缓解的 IPv4 安全风险........................................................................................- 3 - (二) IPv6 继承的 IPv4 安全风险........................................................................................- 5 - (三) IPv6 引入的安全风险.................................................................................................. - 7 - (四) IPv6+引入的安全风险.................................................................................................- 7 - 三、 IPv6 网络安全风险与防护技术................................................................................ - 8 - (一) IPv6 基础协议的安全风险与防护技术...................................................................... - 8 - 1. 扩展报头安全风险与防护技术.............................................................................. - 8 - 2. 巨型帧攻击安全风险与防护技术........................................................................ - 10 - 3. 邻居发现协议安全风险与防护技术.................................................................... - 11 - 4. 无状态地址自动配置（SLAAC）安全风险与防护技术...................................- 12 - (二) IPv6 过渡技术的安全风险与防护技术......................................................................- 13 - 1. 双栈技术安全风险与防护技术............................................................................ - 14 - 2. 隧道技术安全风险与防护技术............................................................................ - 14 - 3. 网络地址转换技术（NAT64）安全风险与防护技术.......................................- 15 - 四、 IPv6+演进技术的安全风险与防护技术.................................................................- 16 - IPv6 网络安全白皮书 (一) SRv6 网络安全风险与防护技术...............................................................................- 16 - (二) APN 协议安全风险与防护技术................................................................................- 18 - (三) 网络切片安全风险与防护技术.................................................................................- 20 - (四) SRv6 SFC 网络安全风险和安全机制........................................................................- 21 - 五、 IPv6 网络安全实践.................................................................................................. - 22 - (一) SAVNET：源地址验证应用实践............................................................................. - 22 - (二) APN：威胁溯源应用实践.........................................................................................- 24 - (三) SRv6 SFC：服务功能链应用实践.............................................................................- 26 - 六、结语............................................................................................................................- 28 - IPv6 网络安全白皮书 - 1 - 前言信息技术的迅猛发展和互联网应用的不断深化正驱动下一代互联网核心协议——IPv6 在全球范围加速部署。IPv6 不仅有效解决了 IPv4 地址资源枯竭的问题，更凭借其协议内嵌的安全特性，为构建更安全、高效、可靠的网络环境提供了关键基础。然而，IPv6 的大规模应用也引入了新的安全挑战，保障下一代互联网的安全稳定运行，亟需对这些挑战进行深入分析，并制定有效的防护策略。本白皮书全面阐述 IPv6 网络安全发展趋势、IPv6 安全风险及相应防护技术、IPv6+演进技术的安全风险及相应防护技术。同时，我们将分享业界领先的 IPv6 网络安全实践案例，为产业落地提供参考。本白皮书旨在为 IPv6 网络安全提供共识性框架和发展指引，激发创新与实践，促进产业链协同。我们期待与各方合作，共同构建开放、安全的 IPv6 网络生态，积极应对未来网络挑战，把握发展机遇。联合编写单位：（排序不分先后）中国联合网络通信有限公司研究院，下一代互联网宽带业务应用国家工程研究中心编写组成员：（排序不分先后）唐雄燕，叶晓煜，曹畅，郑涛，徐雷，佟恬，王南，赵菁，张小梅，庞冉，傅瑜，黎宇，周婧莹，秦壮壮，朱敏晓，成明 IPv6 网络安全白皮书 - 2 - 一、 IPv6 网络安全发展趋势全球数字化进程加速推进，驱动作为下一代互联网核心协议的 IPv6 进入部署与应用高速发展期。据《2024 全球 IPv6 支持度白皮书》统计，全球 IPv6 整体部署率已达 39.4%，亚洲与美洲地区更达到 45%。然而，伴随规模部署，IPv6 网络安全风险同步凸显。据 ZayoGroup 报告，2023 至 2024 年 DDoS 攻击数量从 9 万起飙升至 16.5 万起，增幅高达 82%。在此背景下，IPv6 网络安全在政策与产业双重驱动下，迈入全面升级的关键阶段。政策方面，国家层面持续出台政策，有力牵引 IPv6 安全能力建设。2021 年 7 月，工业和信息化部、中央网络安全和信息化委员会办公厅印发《IPv6 流量提升三年专项行动计划（2021-2023 年）》，强调同步推进网络安全建设，加强 IPv6 安全管理与产品服务发展。 2023 年 4 月，工业和信息化部、中央网信办、国家发展改革委员会等八部门印发《关于推进 IPv6 技术演进和应用创新发展的实施意见》，明确强化安全防护、加快安全技术创新、推动安全应用三大任务。 2024 年 4 月，中央网信办等三部门印发《深入推进 IPv6 规模部署和应用 2024 年工作安排》，将“强化网络安全保障”列为重点任务，要求加快 IPv6 安全技术产品研发应用、加强 IPv6 网络安全防护和管理监督。2025 年 5 月，中央网信办、国家发展改革委、工业和信息化部联合印发《2025 年深入推进 IPv6 规模部署和应用工作要点》， IPv6 网络安全白皮书 - 3 - 再次明确“强化网络安全保障”作为 9 个方面重点任务之一，要求加强 IPv6 网络安全防护和管理监督、提升 IPv6 安全风险研判及技术实践能力、推动 IPv6 安全产品研发应用。产业方面，我国 IPv6 规模部署已取得突破性进展。国内运营商率先实现 IPv6 全域覆盖，ICP、ISP、IDC、CDN、DNS 等互联网基础设施也正加速完成 IPv6 升级适配，支撑网络生态转型。政府、金融、教育、卫生、医疗、电力等关键领域也在加速推进 IPv4/IPv6 双栈网络改造。同时，物联网产业依托 IPv6 海量地址资源进入规模化部署阶段。技术标准体系也逐步成型，2025 年 2 月实施的《IPv6 网络安全设备技术要求》国标，规范防火墙、IPS 等设备全生命周期安全要求。然而，随着技术升级的深入推进，IPv6 网络安全防护能力不足的问题愈发突出，网络演进过程中暴露的安全风险也已成为产业健康发展的关键瓶颈，亟需系统性解决方案支撑产业安全升级。二、 IPv6 网络安全风险分析 (一) IPv6 缓解的 IPv4 安全风险 IPv4 在互联网发展历程中发挥了重要作用，但受限于早期设计理念，存在诸多安全短板。IPv6 通过对协议的重新架构与优化，有效规避和缓解了部分典型风险。 IPv6 网络安全白皮书 - 4 - 降低广播相关攻击风险。在 IPv4 体系里，广播机制被广泛应用，主机可向广播地址发送数据包，网络内所有设备都会接收并处理。 Smurf 攻击便是基于广播通信机制，攻击者伪造受害者 IP，向目标网络的广播地址发送 ICMP 请求（如 Ping），该网络内所有主机均会回复受害者，导致受害者流量激增甚至瘫痪，如图 1 所示。IPv6 取消了广播地址，仅采用多播和任播机制。多播基于组播地址实现一对多通信，设备仅接收所属组的数据包；任播则让一个地址对应多个接口，流量被路由至最近节点。IPv6 协议在根源上消除了依赖广播机制的 Smurf 攻击的可能。图 1 smurf 攻击示意图削弱 IP 地址欺骗攻击可能。IPv4 缺乏网络层强制认证机制，导致恶意设备可轻易接入网络，伪造 IP 地址并发起网络攻击。IPv6 引入了网络层强制认证机制，如 DHCPv6 认证和邻居发现协议（NDP）安全扩展，强制校验设备身份，可在第一跳阻断恶意设备接入。此外， IPv6 具备端到端鉴别机制，如 ICMPv6 安全选项、基于公钥密码学的直接身份验证等，可验证通信双方身份，使攻击者无法通过伪造源 IPv6 网络安全白皮书 - 5 - IP 冒充合法节点，最大限度预防中间人攻击，从根本上提升了对 IP 地址欺骗攻击的抵御能力。增强分片攻击防护能力。IPv4 允许中间路由器对数据包进行分片，攻击者易利用中间节点生成携带恶意数据的分片；允许分片重叠，攻击者通过构造重叠分片可发起“泪滴攻击”，导致内存溢出或系统崩溃，如图 2 所示；未强制规定最小 MTU 值，攻击者可利用极小分片规避防火墙检测；分片 ID 按固定规则生成，攻击者可预测 ID 规律实施注入攻击或误导数据重组。IPv6 将分片功能限定在源主机，明确禁止分片数据包的内容重叠，要求数据包不得小于路径的最小 MTU（除非为最后一个分片包），并且对分片 ID 的生成机制引入随机性或加密约束，大大增强了对已知碎片攻击的防护能力。图 2 “泪滴攻击”示意图 (二) IPv6 继承的 IPv4 安全风险尽管 IPv6 在网络层带来了诸多安全改进，但传输层和应用层的攻击模式并未因底层协议的更迭而改变。应用层攻击的核心逻辑是利用软件或业务逻辑漏洞，与底层网络 IPv6 网络安全白皮书 - 6 - 协议无关，因此在 IPv6 环境中依然普遍存在。例如：  注入类攻击：包括 SQL 注入、命令注入等，攻击者通过构造恶意输入数据绕过应用层验证机制，执行非法指令；  代码执行漏洞：如缓冲区溢出、远程代码执行（RCE）等，攻击者利用程序内存管理缺陷实现攻击；  访问控制风险：弱密码、未授权访问、多因素认证（MFA）缺失等安全问题，与协议无关且持续存在。 TCP、UDP 等传输层协议在 IPv4 和 IPv6 中逻辑一致，因此在 IPv6 环境中，攻击者依然可以利用传输层协议的设计缺陷发起攻击。例如：  TCP 会话劫持：攻击者通过监听流量获取序列号，伪造合法数据包接管通信会话；  UDP 反射攻击：攻击者利用开放服务（如 DNS、NTP）伪造源 IP 发送请求，诱导服务器向目标返回大量响应，形成流量放大；  端口扫描与服务枚举：攻击者通过扫描工具探测开放端口，发现可攻击的服务（如未授权的 SSH、HTTP 接口）。通过识别这些共性风险，可在 IPv6 环境中复用 IPv4 的成熟防护经验，构建“分层防御、协同共治”的安全体系。 IPv6 网络安全白皮书 - 7 - (三) IPv6 引入的安全风险 IPv6 在提升网络性能的同时，也引入了若干 IPv4 中不存在的新型安全风险。邻居发现协议（NDP）虽承担着 IPv6 地址解析、路由器发现等重要功能，但缺乏加密认证机制，易被攻击者伪造报文，篡改主机默认网关、DNS 服务器地址或邻居缓存表，进而实施中间人攻击。IPv6 的扩展报头（如逐跳选项头、路由头、分段头）为协议带来灵活性的同时，也被攻击者利用构造异常报头，消耗设备资源或绕过防护。无状态地址自动配置（SLAAC）虽便捷，但基于 EUI-64 格式的地址可被攻击者通过 MAC 地址推导，用于扫描存活设备。详细内容参见本白皮书第三章。 (四) IPv6+引入的安全风险 IPv6+在IPv6的基础上引入了SRv6（Segment Routing IPv6）、网络切片、IFIT（随流检测）、BIERv6（基于 IPv6 的位索引编码转发）等核心技术，在提升网络性能的同时，也带来新的安全隐患。SRv6 源路由机制中，攻击者可篡改段列表，将流量劫持至恶意节点或构造超长段列表耗尽节点资源；网络切片机制中，若切片标识认证薄弱，攻击者可利用共享物理设备漏洞实现跨切片渗透；IFIT 检测机制可能被攻击者注入非法报文干扰监测，或分析其携带的路径信息推测网络拓扑；BIERv6 组播转发缺乏源认证，攻击者可伪造组播源注入虚假 IPv6 网络安全白皮书 - 8 - 数据或篡改组播路径实施流量劫持。这些 IPv6+特有的安全风险，需通过针对性的防护策略来保障网络安全。详细内容参见本白皮书第四章。三、 IPv6 网络安全风险与防护技术 (一) IPv6 基础协议的安全风险与防护技术 1. 扩展报头安全风险与防护技术 IPv6 的扩展报头是 IPv6 协议灵活性的核心体现。在 IPv6 数据包结构中，分为固定报头和扩展报头。固定报头包含版本、流量类别、流标签等基本信息，用于完成基础的路由转发；扩展报头紧跟固定报头之后，通过一系列可选的头部实现多样化功能。扩展报头主要包括逐跳选项头（Hop-by-Hop Options Header）、路由头（Routing Header）、分段头（Fragment Header）、认证头（Authentication Header，AH）和封装安全载荷头（Encapsulating Security Payload， ESP）等。逐跳选项头允许数据包在传输路径上的每个节点都进行处理，常用于携带需中间节点处理的特殊信息；路由头可指定数据包的转发路径，实现源路由功能；分段头负责数据包的分片与重组；认证头提供数据完整性验证和身份认证；封装安全载荷头则用于数据加密和部分认证。 IPv6 的扩展报头机制在提升协议灵活性的同时，也带来了安全 IPv6 网络安全白皮书 - 9 - 隐患。攻击者可在逐跳选项头中插入超大尺寸的未知选项，如利用“巨型净荷选项”（Jumbo Payload Option）构造超过 64KB 的数据包，导致中间设备处理时内存耗尽出现服务崩溃。通过篡改路由头中的地址列表，将流量重定向至恶意节点，实现流量劫持。利用分段头构造大量小尺寸分片数据包，使目标设备在重组数据包时消耗大量计算资源，影响设备正常运行。图 3 IPv6 扩展报头防护体系为应对扩展报头带来的安全风险，需构建多维度防护体系，如图 3 所示。一方面，在网络边界设备（如防火墙、路由器）上配置扩展报头过滤策略，禁止未知类型的扩展报头通过。对于已知类型的扩展报头深度进行检查，例如限制路由头的跳数不超过合理范围，防止恶意构造超长路径；验证分段头的“分片偏移”和“更