技術領域

本發明涉及表項安全技術領域，具體涉及表項安全管理方法及設備。

背景技術

IPv6鄰居發現(ND，Neighbor?Discovery)協議使用五種類型的第六代 因特網控制消息協議(ICMPv6，Internet?Control?Message?Protocol?version6) 消息，分別用于實現：地址解析、驗證鄰居是否可達、重復地址檢測、路由 器發現/前綴發現、地址自動配置和重定向等功能，如表1所示：

表1??ND協議使用的ICMPv6消息的類型及作用

設備與鄰居設備交互ICMPv6消息后，會生成針對該鄰居設備的鄰居表 項。

IPv6鄰居之間使用邊界網關協議(BGP，Border?Gateway?Protocol)或 開放式最短路徑優先版本3(OSPFv3，Open?Shortest?Path?First?Version3)作 為路由協議。

BGP是一種用于自治系統(AS，Autonomous?System)之間的動態路由 協議。AS是擁有同一選路策略在同一技術管理部門下運行的一組路由器。 發送BGP消息的路由器稱為BGP發言者(BGP?Speaker)，BGP發言者接 收或產生新的路由信息，并發布給其它BGP發言者。當BGP發言者收到來 自其它自治系統的新路由時，如果該路由比當前已知路由更優或者當前還沒 有該路由，該BGP發言者就將該路由發布給自治系統內所有其它BGP發言 者。相互交換消息的BGP發言者之間互稱對等體，若干相關的對等體可以 構成對等體組。BGP規定使用傳輸控制協議(TCP，Transferring?Control Protocol)作為傳輸層協議，為提高使用BGP的安全性，可以在BGP中規 定：在建立TCP連接時進行MD5認證，即兩臺路由器必須配置相同的密碼， 才能建立TCP連接。IPv6?BGP也支持MD5認證。BGP還支持使用IP安全 (IPSEC)作為傳輸層加密方式進行認證和加密。

OSPFv3主要提供對IPv6的支持，遵循的標準為RFC?5340。OSPFv3協 議支持數據認證和加密，標準為RFC4552，規定了OSPFv3如何利用IPSec 實現認證和機密性保護，要求必須支持IPSec的傳輸模式，隧道模式可選。 無論認證還是機密性都要求采用IPSec的封裝安全載荷(ESP，Encapsulating Security?Payload)協議，而對于認證也可以選擇采用認證頭(AH， Authentication?Header)實現。使能了認證和機密性驗證后，接收到的不受 AH/ESP保護的OSPFv3報文以及檢查失敗的報文都要被丟棄。

無論路由器采用BGP還是OSPFv3，由于路由器之間傳送ND或地址解 析協議(ARP，Address?Resolution?Protocol)報文采用明文傳送方式，因此 在同一局域網內，可能存在以下針對鄰居表項的攻擊問題：

一、表項異常更新：接入者以非本機IP地址發送報文，包括回應NS、 NA、RS、RA或重定向報文，從而仿冒其它設備，導致正常設備上的鄰居 表項被錯誤更改，實際上就是使路由表項的下一跳被錯誤更改，從而導致報 文路由錯誤。