[发明专利]表项安全管理方法及设备

权利要求书

1.一种表项安全管理方法，其特征在于，该方法包括：

第一设备初次生成针对第二设备的IPv6邻居表项，将该邻居表项的安全级 别设定为普通级，并设定允许更新该邻居表项；之后，第一设备与第二设备运 行安全特性协议，相互之间通过了安全认证，并建立了邻居关系，则第一设备 将针对第二设备的IPv6邻居表项的安全级别升高为安全协议级，并设定不允许 更新该邻居表项。

2.如权利要求1所述的方法，其特征在于，所述第一设备将针对第二设备 的邻居表项的安全级别升高为安全协议级之后进一步包括：

第一设备与第二设备之间的邻居关系解除，则第一设备将针对第二设备的 IPv6邻居表项的安全级别恢复为普通级，并设定允许更新该邻居表项。

3.如权利要求1所述的方法，其特征在于，所述第一设备与第二设备建立 了邻居关系为：

第一设备与第二设备建立了边界网关协议BGP或开放式最短路径优先版 本三OSPFv3邻居关系。

4.如权利要求1所述的方法，其特征在于，所述第一设备初次生成针对第 二设备的IPv6邻居表项为：

第一设备与第二设备运行邻居发现ND协议或地址解析协议ARP，生成针 对第二设备的IPv6邻居表项。

5.如权利要求1所述的方法，其特征在于，所述针对第二设备的IPv6邻 居表项至少包括：第二设备的IP地址、第二设备的链路层地址、第二设备的接 入端口标识。

6.如权利要求1所述的方法，其特征在于，所述方法进一步包括：为安全 级别为普通级的IPv6邻居表项设定较短的老化时长，为安全级别为安全协议级 的IPv6邻居表项设定较长的老化时长。

7.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

第一设备发现自身存储的表项数大于预设阈值，则先删除安全级别为普通 级的IPv6邻居表项，若普通级的IPv6邻居表项删除完后，自身存储的表项数 仍大于预设阈值，则再删除安全级别为安全协议级的IPv6邻居表项，直至自身 存储的表项数不大于预设阈值。

8.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

设置安全级别为安全协议级的IPv6邻居表项的存储方式为永久存储， 或者，设置安全级别为安全协议级的IPv6邻居表项的存储方式为永久存储 或非永久存储可选；

设置安全级别为普通级的IPv6邻居表项的存储方式为非永久存储。

9.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

第一设备为安全级别为安全协议级的IPv6邻居表项对应的邻居设备分配 较高的带宽，为安全级别为普通级的IPv6邻居表项对应的邻居设备分配较低的 带宽。

10.一种表项安全管理设备，其特征在于，该设备包括：

表项生成模块，初次生成针对邻居设备的IPv6邻居表项，将该邻居表项的 安全级别设定为普通级，并设定允许更新该邻居表项；

安全级别升级模块，与邻居设备运行安全特性协议，相互之间通过了安全 认证，并建立了邻居关系，则将表项生成模块生成的针对该邻居设备的IPv6邻 居表项的安全级别升高为安全协议级，并设定不允许更新该邻居表项。

11.如权利要求10所述的设备，其特征在于，所述设备进一步包括：

安全级别降级模块，与邻居设备之间的邻居关系解除，则将表项生成模块 中针对该邻居设备的IPv6邻居表项的安全级别恢复为普通级，并设定允许更新 该邻居表项。

12.如权利要求10所述的设备，其特征在于，所述设备进一步包括：

表项老化模块，为安全级别为安全协议级的IPv6邻居表项设定较长的老化 时长，为安全级别为普通级的IPv6邻居表项设定较短的老化时长。