表項安全管理方法及設備的制作方法

專利名稱：：表項安全管理方法及設備的制作方法
技術領域：
：本發明涉及表項安全
技術領域：
，具體涉及表項安全管理方法及設備。
背景技術：
：IPv6鄰居發現(ND，NeighborDiscovery)協議使用五種類型的第六代因特網4空制消息協i義(ICMPv6，InternetControlMessageProtocolversion6)消息，分別用于實現地址解析、馬全^t鄰居是否可達、重復地址4企測、；洛由器發現/前綴發現、地址自動配置和重定向等功能，如表l所示<table>tableseeoriginaldocumentpage5</column></row><table>ICMPv6消息類型號作用重定向(Redirect)消白137當滿足一定的條件時，缺省網關通過向源主才幾發送重定向消息，-使主才幾重新選擇正確的下一跳地址進行后續報文的發送表1ND協議使用的ICMPv6消息的類型及作用設備與鄰居設備交互ICMPv6消息后，會生成針對該鄰居設備的鄰居表項。IPv6鄰居之間使用邊界網關協議(BGP,BorderGatewayProtocol)或開放式最短路徑優先版本3(OSPFv3,OpenShortestPathFirstVersion3)作為^各由協議。BGP是一種用于自治系統(AS,AutonomousSystem)之間的動態路由協議。AS是擁有同一選^各策略在同一技術管理部門下運行的一組路由器。發送BGP消息的路由器稱為BGP發言者(BGPSpeaker),BGP發言者接收或產生新的路由信息，并發布給其它BGP發言者。當BGP發言者收到來自其它自治系統的新路由時，如果該路由比當前已知路由更優或者當前還沒有該路由，該BGP發言者就將該路由發布給自治系統內所有其它BGP發言者。相互交換消息的BGP發言者之間互稱對等體，若干相關的對等體可以構成對等體組。BGP規定使用傳輸控制協議(TCP,TransferringControlProtocol)作為傳輸層協議，為提高使用BGP的安全性，可以在BGP中規定在建立TCP連接時進行MD5認證，即兩臺路由器必須配置相同的密碼，才能建立TCP連接。IPv6BGP也支持MD5認證。BGP還支持使用IP安全(IPSEC)作為傳輸層加密方式進行認證和加密。OSPFv3主要提供對IPv6的支持，遵循的標準為RFC5340。OSPFv3協議支持數據認證和加密，標準為RFC4552，規定了OSPFv3如何利用IPSec實現認證和機密性保護，要求必須支持IPSec的傳輸模式，隧道模式可選。無論認證還是才/U密性都要求采用IPSec的封裝安全載荷(ESP,Encapsulating6SecurityPayload)協議，而對于認證也可以選4奪采用認證頭(AH，AuthenticationHeader)實現。使能了認證和機密性驗證后，接收到的不受AH/ESP保護的OSPFv3l艮文以及檢查失敗的報文都要被丟棄。無論路由器采用BGP還是OSPFv3，由于路由器之間傳送ND或地址解析協議(ARP,AddressResolutionProtocol)才艮文采用明文傳送方式，因此在同一局域網內，可能存在以下針對鄰居表項的攻擊問題一、表項異常更新接入者以非本機IP地址發送報文，包括回應NS、NA、RS、RA或重定向報文，從而仿冒其它設備，導致正常設備上的鄰居表項被錯誤更改，實際上就是使路由表項的下一跳被錯誤更改，從而導致報文路由錯誤。二、表項過多接入者通過偽造他人的NS或NA報文，使得設備學習到過多表項，由于設備能存儲的表項數目是有限制的，因此，會導致設備無法服務更多的用戶，正常的鄰居表項可能被誤刪除，進而導致報文路由錯誤。上述問題出現在路由器之間，嚴重時可能造成網絡癱瘓。現有技術中，針對鄰居表項的安全機制主要有以下兩種一、靜態地址分配方案在設備上針對每一個可能的接入者，預先分配IPv6地址，并將該IPv6地址與媒體接入控制(MAC,MediaAccessControl)地址、接入端口進4亍綁定，保證關鍵的鄰居表項不被惡意更新。二、安全鄰居發現(SEND,SEcureNeighborDiscovery)方案采用SEND(RFC3971)機制對ND報文進行加密認證，保證生成的鄰居表項都經過認i正。采用靜態地址分配方案，對于大規模的IPv6部署來說，部署和管理成本較高。采用SEND方案則需要當前設備和主機升級現有IPv6協議棧，目前的支持系統少，缺少部署可能性，部署和管理成本也高。
發明內容本發明提供表項安全管理方法及設備，以在保證表項安全性的前提下，降低安全管理成本。本發明的技術方案是這樣實現的一種表項安全管理方法，該方法包括第一設備初次生成針對第二設備的鄰居表項，將該鄰居表項的安全級別設定為普通級，并設定允許更新該鄰居表項；之后，第一設備與第二設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系，則第一設備將針對第二設備的鄰居表項的安全級別升高為安全協議級，并設定不允許更新該鄰居表項。所述第一設備將針對第二設備的鄰居表項的安全級別升高為安全協議級之后進一步包括第一設備與第二設備之間的鄰居關系解除，則第一設備將針對第二設備的鄰居表項的安全級別恢復為普通級，并設定允許更新該鄰居表項。所述第一設備與第二設備建立了鄰居關系為第一設備與第二設備建立了邊界網關協議BGP或開放式最短路徑優先版本三OSPFv3鄰居關系。所述第一設備初次生成針對第二設備的鄰居表項為第一設備與第二設備運行鄰居發現ND協議或地址解析協議ARP,生成針對第二設備的鄰居表項。所述針對第二設備的鄰居表項至少包括第二設備的IP地址、第二設備的鏈路層地址、第二設備的接入端口標識。所述方法進一步包括為安全級別為普通級的鄰居表項設定較短的老化時長，為安全級別為安全協議級的鄰居表項設定較長的老化時長。'所述方法進一步包括第一設備發現自身存儲的表項數大于預設閾值，則先刪除安全級別為普通8級的鄰居表項，若普通級的鄰居表項刪除完后，自身存儲的表項數仍大于預設閾值，則再刪除安全級別為安全協議級的鄰居表項，直至自身存儲的表項數不大于預設閾值。所述方法進一步包括設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲，或者，設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；所述方法進一步包括第一設備為安全級別為安全協議級的鄰居表項對應的鄰居設備分配較高的一種表項安全管理設備，該設備包括表項生成模塊，初次生成針對鄰居設備的鄰居表項，將該鄰居表項的安全級別設定為普通級，并設定允許更新該鄰居表項；安全級別升級模塊，與鄰居設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系，則將表項生成模塊生成的針對該鄰居設備的鄰居表項的安全級別升高為安全協議級，并設定不允許更新該鄰居表項。所述設備進一步包括安全級別降級模塊，與鄰居設備之間的鄰居關系解除，則將表項生成才莫塊中針對該鄰居設備的鄰居表項的安全級別恢復為普通級，并設定允許更新該鄰居表項。所述設備進一步包括表項老化模塊，為安全級別為安全協議級的鄰居表項設定較長的老化時長，為安全級別為普通級的鄰居表項設定較短的老化時長。所述設備進一步包括表項數目管理模塊，發現本設備存儲的表項數大于預設閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，本設備存儲的表項數仍大于預設閾值，則再刪除安全級別為安全協議級的鄰居表項，直至本設備存儲的表項數不大于預設閾值。所述設備進一步包括表項存儲方式管理模塊，設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲，或者，設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；設置安全級別為普通級的鄰居表項的存儲方式為非永久存儲。所述設備進一步包括帶寬分配模塊，為安全級別為安全協議級的鄰居表項對應的鄰居設備分配較高的帶寬，為安全級別為普通級的鄰居表項對應的鄰居設備分配較低的帶寬。與現有技術相比，本發明中，當第一設備與第二設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系后，就不允許更新針對第二設備的鄰居表項了，這樣就避免了表項被異常更新，也避免了設備學習到過多表項，從而降低了報文被錯誤路由的可能性，提高了表項的安全性，且，本發明無需靜態分配地址，也無需升級現有IPv6協議棧，降低了部署和管理成本。圖1為本發明實施例提供的表項安全管理方法流程圖；圖2為本發明實施例提供的表項安全管理設備的組成圖。具體實施例方式下面結合附圖及具體實施例對本發明再作進一步詳細的說明。本發明的核心思想是預先為鄰居表項定義兩個安全級別普通級和安全協議級，且普通級的鄰居表項允許更新，安全協議級的鄰居表項不允許更新。當第一設備初次生成針對第二設備的鄰居表項時，將該鄰居表項的安全級別設定為普通級；之后，第一設備與第二設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系，則第一設備將針對第二設備的鄰居表項的安全級別升高為安全協議級，此后不允許再更新針對第二設備的鄰居表項，除非該表項的安全級別恢復為普通級。圖1為本發明實施例提供的表項安全管理方法流程圖，如圖l所示，其具體步驟如下步驟101:設備A與設備B之間運行ND或ARP協議，設備A生成針對設備B的鄰居表項。針對設備B的鄰居表項的內容包括設備B的IP地址、設備B的鏈路層地址、設備B的接入端口號等。設備A啟動后，如果有其它訪問者如設備B向設備A發送NS報文，設備A在向設備B回應NA報文后，會記錄設備B的IP地址、鏈路層地址和接入端口號，生成針對設備B的IPv6鄰居表項。在設備A發出ARP請求，并收到鄰居設備B返回的ARP響應后，記錄設備B的IP地址、鏈路層地址和接入端口號，生成針對設備B的IPv4鄰居表項。步驟102:設備A判斷自身是否已存在針對設備B的鄰居表項，若是，執行步驟104;否則，^L行步驟103。這里，設備A根據設備B的IP地址，在自身查找針對設備B的鄰居表項。步驟103:設備A保存該針對設備B的鄰居表項，并設定該表項的安全級別為普通級，轉至步驟107。步驟104:設備A判斷該已存在的針對設備B的鄰居表項的安全級別為普通級還是安全協議級，若為普通級，執行步驟105;否則，執行步驟106。步驟105:設備A以步驟101中新生成的針對設備B的鄰居表項更新該已存在的針對設備B的鄰居表項，并保持該表項的安全級別普通級不變，轉至步驟107。步驟106:設備A丟棄該新生成的針對設備B的鄰居表項，本流程結束。由于已存在的針對設備B的鄰居表項的安全級別為安全協議級，不允許更新，因此，這里要將新生成的針對設備B的鄰居表項丟棄。步驟107:設備A與設備B之間運行安全特性協議，通過安全認證，建立了鄰居關系，設備A將針對設備B的鄰居表項的安全級別升級為安全協議級。例如設備A與設備B配置了相同的安全認證參數如AH或MD5或IPSEC參數后，若相互之間正確建立了BGP鄰居關系，設備A將針對設備B的鄰居表項的安全級別升級為安全協議級。此后，當設備A與設備B的BGP鄰居關系解除，設備A將針對設備B的鄰居表項的安全級別恢復為普通級，此后可對針對設備B的鄰居表項進行更新。或者，設備A與設備B配置了相同的認證加密參數如AH或ESP參數后，若相互之間正確建立了0SPFv3鄰居關系，則設備A將針對設備B的鄰居表項的安全級別升級為安全協議級。此后，當設備A與設備B之間的OSPFv3鄰居關系解除，設備A將針對設備B的鄰居表項的安全級別恢復為普通級，此后可對針對設備B的鄰居表項進行更新。本發明實施例中，為安全級別為普通級的鄰居表項設定較短的老化時長，為安全級別為安全協議級的鄰居表項設定較長的老化時長，以增加安全協議級的鄰居表項的生存期。通常，安全級別為普通級的鄰居表項的老化時長為ND協議或ARP協議規定的老化時長。安全級別為安全協議級的鄰居表項的老化時長可手工配置。—另外，本發明實施例中，對于一個設備A來說，若設備A發現自身存儲的表項數大于預設閾值，則按照自身存儲的鄰居表項的安全級別，先刪除普通級的鄰居表項，普通級的鄰居表項刪除完后，若自身存儲的表項數仍大于預設閾值，則再刪除安全協議級的鄰居表項，直至自身存儲的表項數不大于預設閾值。另外，本發明實施例中，為了保證安全協議級的鄰居表項的可靠性，可以設置安全協議級的鄰居表項永久存儲，或者，可以設置安全協議級的鄰居表項可以根據需要選擇永久存儲還是非永久存儲；普通級的鄰居表項的存儲方式通常為非永久存儲。非永久存儲的鄰居表項按照老化時長進行老化。另外，本發明實施例中，對于一個設備來說，可根據自身存儲的各鄰居表項的安全級別，為各鄰居設備分配帶寬。具體地，為安全協議級的鄰居表項對應的鄰居設備分配較高的帶寬，為普通級的鄰居表項對應的鄰居設備分配較低的帶寬。圖2為本發明實施例提供的表項安全管理設備的組成圖，如圖2所示，其主要包括表項生成模塊21、安全級別升級模塊22和安全級別降級模塊23,其中表項生成模塊21:初次生成針對鄰居設備的鄰居表項，將該鄰居表項的安全級別設定為普通級，并設定允許更新該鄰居表項。安全級別升級模塊22:與鄰居設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系，則將表項生成模塊21生成的針對該鄰居設備的鄰居表項的安全級別升高為安全協議級，并設定不允許更新該鄰居表項。安全級別降級模塊23:與鄰居設備之間的鄰居關系解除，則將表項生成模塊21中針對該鄰居設備的鄰居表項的安全級別恢復為普通級，并設定允許更新該鄰居表項。在實際應用中，本發明實施例提供的表項安全管理設備還可包括表項老化模塊為表項生成模塊21中'保存的安全級別為安全協議級的鄰居表項設定較長的老化時長，為安全級別為普通級的鄰居表項設定較短的老化時長。表項數目管理模塊發現本設備存儲的表項數大于預設閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，本設備存儲的表項數仍大于預設閾值，則再刪除安全級別為安全協議級的鄰居表項，直至本設備存儲的表項數不大于預設閾值。表項存儲方式管理模塊設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲，或者，設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；設置安全級別為普通級的鄰居表項的存儲方式為非永久存儲。帶寬分配模塊配較高的帶寬，為安全級別帶寬。以上所述僅為本發明的過程及方法實施例，并不用以限制本發明，凡在本發明的精神和原則之內所做的任何修改、等同替換、改進等，均應包含在本發明的保護范圍之內。權利要求1、一種表項安全管理方法，其特征在于，該方法包括第一設備初次生成針對第二設備的鄰居表項，將該鄰居表項的安全級別設定為普通級，并設定允許更新該鄰居表項；之后，第一設備與第二設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系，則第一設備將針對第二設備的鄰居表項的安全級別升高為安全協議級，并設定不允許更新該鄰居表項。2、如權利要求l所述的方法，其特征在于，所述第一設備將針對第二設備的鄰居表項的安全級別升高為安全協議級之后進一步包括第一設備與第二設備之間的鄰居關系解除，則第一設備將針對第二設備的鄰居表項的安全級別恢復為普通級，并設定允許更新該鄰居表項。3、如權利要求l所述的方法，其特征在于，所述第一設備與第二設備建立了鄰居關系為第一設備與第二設備建立了邊界網關協議BGP或開放式最短路徑優先版本三OSPFv3鄰居關系。4、如權利要求l所述的方法，其特征在于，所述第一設備初次生成針對第二設備的鄰居表項為第一設備與第二設備運行鄰居發現ND協議或地址解析協議ARP,生成針對第二設備的鄰居表項。5、如權利要求l所述的方法，其特征在于，所述針對第二設備的鄰居表項至少包括第二設備的IP地址、第二設備的鏈路層地址、第二設備的接入端口標識。6、如權利要求l所述的方法，其特征在于，所述方法進一步包括為安全級別為普通級的鄰居表項設定較短的老化時長，為安全級別為安全協議級的鄰居表項設定較長的老化時長。7、如權利要求l所述的方法，其特征在于，所述方法進一步包括第一設備發現自身存儲的表項數大于預設閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，自身存儲的表項數仍大于預設閾值，則再刪除安全級別為安全協議級的鄰居表項，直至自身存儲的表項數不大于預設閾值。8、如權利要求l所述的方法，其特征在于，所述方法進步包括設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲，或者，設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；9、如權利要求l所述的方法，其特征在于，所述方法進一步包括第一設備為安全級別為安全協議級的鄰居表項對應的鄰居設備分配較高的帶寬，為安全級別為普通級的鄰居表項對應的鄰居設備分配較低的帶寬。10、一種表項安全管理設備，其特征在于，該設備包括表項生成模塊，初次生成針對鄰居設備的鄰居表項，將該鄰居表項的安全級別設定為普通級，并設定允許更新該鄰居表項；安全級別升級模塊，與鄰居設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系，則將表項生成模塊生成的針對該鄰居設備的鄰居表項的安全級別升高為安全協議級，并設定不允許更新該鄰居表項。11、如權利要求10所述的設備，其特征在于，所述設備進一步包括安全級別降級模塊，與鄰居設備之間的鄰居關系解除，則將表項生成模塊中針對該鄰居設備的鄰居表項的安全級別恢復為普通級，并設定允許更新該鄰居表項。12、如權利要求IO所述的設備，其特征在于，所述設備進一步包括表項老化模塊，為安全級別為安全協議級的鄰居表項設定較長的老化時長，為安全級別為普通級的鄰居表項設定較短的老化時長。13、如權利要求10所述的設備，其特征在于，所述設備進一步包括表項數目管理模塊，發現本設備存儲的表項數大于預設閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，本設備存儲的表項數仍大于預設閾值，則再刪除安全級別為安全協議級的鄰居表項，直至本設備存儲的表項數不大于預設閾值。14、如權利要求10所述的設備，其特征在于，所述設備進一步包括表項存儲方式管理模塊，設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲，或者，設置安全級別為安全協議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；設置安全級別為普通級的鄰居表項的存儲方式為非永久存儲。15、如權利要求10所述的設備，其特征在于，所述設備進一步包括全文摘要本發明公開了表項安全管理方法及設備。方法包括第一設備初次生成針對第二設備的鄰居表項，將該鄰居表項的安全級別設定為普通級，并設定允許更新該鄰居表項；之后，第一設備與第二設備運行安全特性協議，相互之間通過了安全認證，并建立了鄰居關系，則第一設備將針對第二設備的鄰居表項的安全級別升高為安全協議級，并設定不允許更新該鄰居表項。本發明提高了表項的安全性，且降低了部署和管理成本。文檔編號H04L29/12GK101567886SQ20091008599公開日2009年10月28日申請日期2009年6月3日優先權日2009年6月3日發明者濤林申請人:杭州華三通信技術有限公司