[发明专利]表项安全管理方法及设备

说明书

技术领域

本发明涉及表项安全技术领域，具体涉及表项安全管理方法及设备。

背景技术

IPv6邻居发现(ND，Neighbor Discovery)协议使用五种类型的第六代 因特网控制消息协议(ICMPv6，Internet Control Message Protocol version6) 消息，分别用于实现：地址解析、验证邻居是否可达、重复地址检测、路由 器发现/前缀发现、地址自动配置和重定向等功能，如表1所示：

ICMPv6消息   类型   号 作用 重定向(Redirect)消 息   137 当满足一定的条件时，缺省网关通过向 源主机发送重定向消息，使主机重新选 择正确的下一跳地址进行后续报文的发 送

表1  ND协议使用的ICMPv6消息的类型及作用

设备与邻居设备交互ICMPv6消息后，会生成针对该邻居设备的邻居表 项。

IPv6邻居之间使用边界网关协议(BGP，Border Gateway Protocol)或 开放式最短路径优先版本3(OSPFv3，Open Shortest Path First Version3)作 为路由协议。

BGP是一种用于自治系统(AS，Autonomous System)之间的动态路由 协议。AS是拥有同一选路策略在同一技术管理部门下运行的一组路由器。 发送BGP消息的路由器称为BGP发言者(BGP Speaker)，BGP发言者接 收或产生新的路由信息，并发布给其它BGP发言者。当BGP发言者收到来 自其它自治系统的新路由时，如果该路由比当前已知路由更优或者当前还没 有该路由，该BGP发言者就将该路由发布给自治系统内所有其它BGP发言 者。相互交换消息的BGP发言者之间互称对等体，若干相关的对等体可以 构成对等体组。BGP规定使用传输控制协议(TCP，Transferring Control Protocol)作为传输层协议，为提高使用BGP的安全性，可以在BGP中规 定：在建立TCP连接时进行MD5认证，即两台路由器必须配置相同的密码， 才能建立TCP连接。IPv6 BGP也支持MD5认证。BGP还支持使用IP安全 (IPSEC)作为传输层加密方式进行认证和加密。

OSPFv3主要提供对IPv6的支持，遵循的标准为RFC 5340。OSPFv3协 议支持数据认证和加密，标准为RFC4552，规定了OSPFv3如何利用IPSec 实现认证和机密性保护，要求必须支持IPSec的传输模式，隧道模式可选。 无论认证还是机密性都要求采用IPSec的封装安全载荷(ESP，Encapsulating Security Payload)协议，而对于认证也可以选择采用认证头(AH， Authentication Header)实现。使能了认证和机密性验证后，接收到的不受 AH/ESP保护的OSPFv3报文以及检查失败的报文都要被丢弃。

无论路由器采用BGP还是OSPFv3，由于路由器之间传送ND或地址解 析协议(ARP，Address Resolution Protocol)报文采用明文传送方式，因此 在同一局域网内，可能存在以下针对邻居表项的攻击问题：

一、表项异常更新：接入者以非本机IP地址发送报文，包括回应NS、 NA、RS、RA或重定向报文，从而仿冒其它设备，导致正常设备上的邻居 表项被错误更改，实际上就是使路由表项的下一跳被错误更改，从而导致报 文路由错误。