專利名稱：：表項安全管理方法及設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及表項安全
技術(shù)領(lǐng)域：
，具體涉及表項安全管理方法及設(shè)備。
背景技術(shù)：
：IPv6鄰居發(fā)現(xiàn)(ND，NeighborDiscovery)協(xié)議使用五種類型的第六代因特網(wǎng)4空制消息協(xié)i義(ICMPv6，InternetControlMessageProtocolversion6)消息，分別用于實現(xiàn)地址解析、馬全^t鄰居是否可達(dá)、重復(fù)地址4企測、；洛由器發(fā)現(xiàn)/前綴發(fā)現(xiàn)、地址自動配置和重定向等功能，如表l所示<table>tableseeoriginaldocumentpage5</column></row><table>ICMPv6消息類型號作用重定向(Redirect)消白137當(dāng)滿足一定的條件時，缺省網(wǎng)關(guān)通過向源主才幾發(fā)送重定向消息，-使主才幾重新選擇正確的下一跳地址進(jìn)行后續(xù)報文的發(fā)送表1ND協(xié)議使用的ICMPv6消息的類型及作用設(shè)備與鄰居設(shè)備交互ICMPv6消息后，會生成針對該鄰居設(shè)備的鄰居表項。IPv6鄰居之間使用邊界網(wǎng)關(guān)協(xié)議(BGP,BorderGatewayProtocol)或開放式最短路徑優(yōu)先版本3(OSPFv3,OpenShortestPathFirstVersion3)作為^各由協(xié)議。BGP是一種用于自治系統(tǒng)(AS,AutonomousSystem)之間的動態(tài)路由協(xié)議。AS是擁有同一選^各策略在同一技術(shù)管理部門下運(yùn)行的一組路由器。發(fā)送BGP消息的路由器稱為BGP發(fā)言者(BGPSpeaker),BGP發(fā)言者接收或產(chǎn)生新的路由信息，并發(fā)布給其它BGP發(fā)言者。當(dāng)BGP發(fā)言者收到來自其它自治系統(tǒng)的新路由時，如果該路由比當(dāng)前已知路由更優(yōu)或者當(dāng)前還沒有該路由，該BGP發(fā)言者就將該路由發(fā)布給自治系統(tǒng)內(nèi)所有其它BGP發(fā)言者。相互交換消息的BGP發(fā)言者之間互稱對等體，若干相關(guān)的對等體可以構(gòu)成對等體組。BGP規(guī)定使用傳輸控制協(xié)議(TCP,TransferringControlProtocol)作為傳輸層協(xié)議，為提高使用BGP的安全性，可以在BGP中規(guī)定在建立TCP連接時進(jìn)行MD5認(rèn)證，即兩臺路由器必須配置相同的密碼，才能建立TCP連接。IPv6BGP也支持MD5認(rèn)證。BGP還支持使用IP安全(IPSEC)作為傳輸層加密方式進(jìn)行認(rèn)證和加密。OSPFv3主要提供對IPv6的支持，遵循的標(biāo)準(zhǔn)為RFC5340。OSPFv3協(xié)議支持?jǐn)?shù)據(jù)認(rèn)證和加密，標(biāo)準(zhǔn)為RFC4552，規(guī)定了OSPFv3如何利用IPSec實現(xiàn)認(rèn)證和機(jī)密性保護(hù)，要求必須支持IPSec的傳輸模式，隧道模式可選。無論認(rèn)證還是才/U密性都要求采用IPSec的封裝安全載荷(ESP,Encapsulating6SecurityPayload)協(xié)議，而對于認(rèn)證也可以選4奪采用認(rèn)證頭(AH，AuthenticationHeader)實現(xiàn)。使能了認(rèn)證和機(jī)密性驗證后，接收到的不受AH/ESP保護(hù)的OSPFv3l艮文以及檢查失敗的報文都要被丟棄。無論路由器采用BGP還是OSPFv3，由于路由器之間傳送ND或地址解析協(xié)議(ARP,AddressResolutionProtocol)才艮文采用明文傳送方式，因此在同一局域網(wǎng)內(nèi)，可能存在以下針對鄰居表項的攻擊問題一、表項異常更新接入者以非本機(jī)IP地址發(fā)送報文，包括回應(yīng)NS、NA、RS、RA或重定向報文，從而仿冒其它設(shè)備，導(dǎo)致正常設(shè)備上的鄰居表項被錯誤更改，實際上就是使路由表項的下一跳被錯誤更改，從而導(dǎo)致報文路由錯誤。二、表項過多接入者通過偽造他人的NS或NA報文，使得設(shè)備學(xué)習(xí)到過多表項，由于設(shè)備能存儲的表項數(shù)目是有限制的，因此，會導(dǎo)致設(shè)備無法服務(wù)更多的用戶，正常的鄰居表項可能被誤刪除，進(jìn)而導(dǎo)致報文路由錯誤。上述問題出現(xiàn)在路由器之間，嚴(yán)重時可能造成網(wǎng)絡(luò)癱瘓?，F(xiàn)有技術(shù)中，針對鄰居表項的安全機(jī)制主要有以下兩種一、靜態(tài)地址分配方案在設(shè)備上針對每一個可能的接入者，預(yù)先分配IPv6地址，并將該IPv6地址與媒體接入控制(MAC,MediaAccessControl)地址、接入端口進(jìn)4亍綁定，保證關(guān)鍵的鄰居表項不被惡意更新。二、安全鄰居發(fā)現(xiàn)(SEND,SEcureNeighborDiscovery)方案采用SEND(RFC3971)機(jī)制對ND報文進(jìn)行加密認(rèn)證，保證生成的鄰居表項都經(jīng)過認(rèn)i正。采用靜態(tài)地址分配方案，對于大規(guī)模的IPv6部署來說，部署和管理成本較高。采用SEND方案則需要當(dāng)前設(shè)備和主機(jī)升級現(xiàn)有IPv6協(xié)議棧，目前的支持系統(tǒng)少，缺少部署可能性，部署和管理成本也高。
發(fā)明內(nèi)容本發(fā)明提供表項安全管理方法及設(shè)備，以在保證表項安全性的前提下，降低安全管理成本。本發(fā)明的技術(shù)方案是這樣實現(xiàn)的一種表項安全管理方法，該方法包括第一設(shè)備初次生成針對第二設(shè)備的鄰居表項，將該鄰居表項的安全級別設(shè)定為普通級，并設(shè)定允許更新該鄰居表項；之后，第一設(shè)備與第二設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系，則第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級，并設(shè)定不允許更新該鄰居表項。所述第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級之后進(jìn)一步包括第一設(shè)備與第二設(shè)備之間的鄰居關(guān)系解除，則第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別恢復(fù)為普通級，并設(shè)定允許更新該鄰居表項。所述第一設(shè)備與第二設(shè)備建立了鄰居關(guān)系為第一設(shè)備與第二設(shè)備建立了邊界網(wǎng)關(guān)協(xié)議BGP或開放式最短路徑優(yōu)先版本三OSPFv3鄰居關(guān)系。所述第一設(shè)備初次生成針對第二設(shè)備的鄰居表項為第一設(shè)備與第二設(shè)備運(yùn)行鄰居發(fā)現(xiàn)ND協(xié)議或地址解析協(xié)議ARP,生成針對第二設(shè)備的鄰居表項。所述針對第二設(shè)備的鄰居表項至少包括第二設(shè)備的IP地址、第二設(shè)備的鏈路層地址、第二設(shè)備的接入端口標(biāo)識。所述方法進(jìn)一步包括為安全級別為普通級的鄰居表項設(shè)定較短的老化時長，為安全級別為安全協(xié)議級的鄰居表項設(shè)定較長的老化時長。'所述方法進(jìn)一步包括第一設(shè)備發(fā)現(xiàn)自身存儲的表項數(shù)大于預(yù)設(shè)閾值，則先刪除安全級別為普通8級的鄰居表項，若普通級的鄰居表項刪除完后，自身存儲的表項數(shù)仍大于預(yù)設(shè)閾值，則再刪除安全級別為安全協(xié)議級的鄰居表項，直至自身存儲的表項數(shù)不大于預(yù)設(shè)閾值。所述方法進(jìn)一步包括設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲，或者，設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；所述方法進(jìn)一步包括第一設(shè)備為安全級別為安全協(xié)議級的鄰居表項對應(yīng)的鄰居設(shè)備分配較高的一種表項安全管理設(shè)備，該設(shè)備包括表項生成模塊，初次生成針對鄰居設(shè)備的鄰居表項，將該鄰居表項的安全級別設(shè)定為普通級，并設(shè)定允許更新該鄰居表項；安全級別升級模塊，與鄰居設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系，則將表項生成模塊生成的針對該鄰居設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級，并設(shè)定不允許更新該鄰居表項。所述設(shè)備進(jìn)一步包括安全級別降級模塊，與鄰居設(shè)備之間的鄰居關(guān)系解除，則將表項生成才莫塊中針對該鄰居設(shè)備的鄰居表項的安全級別恢復(fù)為普通級，并設(shè)定允許更新該鄰居表項。所述設(shè)備進(jìn)一步包括表項老化模塊，為安全級別為安全協(xié)議級的鄰居表項設(shè)定較長的老化時長，為安全級別為普通級的鄰居表項設(shè)定較短的老化時長。所述設(shè)備進(jìn)一步包括表項數(shù)目管理模塊，發(fā)現(xiàn)本設(shè)備存儲的表項數(shù)大于預(yù)設(shè)閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，本設(shè)備存儲的表項數(shù)仍大于預(yù)設(shè)閾值，則再刪除安全級別為安全協(xié)議級的鄰居表項，直至本設(shè)備存儲的表項數(shù)不大于預(yù)設(shè)閾值。所述設(shè)備進(jìn)一步包括表項存儲方式管理模塊，設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲，或者，設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；設(shè)置安全級別為普通級的鄰居表項的存儲方式為非永久存儲。所述設(shè)備進(jìn)一步包括帶寬分配模塊，為安全級別為安全協(xié)議級的鄰居表項對應(yīng)的鄰居設(shè)備分配較高的帶寬，為安全級別為普通級的鄰居表項對應(yīng)的鄰居設(shè)備分配較低的帶寬。與現(xiàn)有技術(shù)相比，本發(fā)明中，當(dāng)?shù)谝辉O(shè)備與第二設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系后，就不允許更新針對第二設(shè)備的鄰居表項了，這樣就避免了表項被異常更新，也避免了設(shè)備學(xué)習(xí)到過多表項，從而降低了報文被錯誤路由的可能性，提高了表項的安全性，且，本發(fā)明無需靜態(tài)分配地址，也無需升級現(xiàn)有IPv6協(xié)議棧，降低了部署和管理成本。圖1為本發(fā)明實施例提供的表項安全管理方法流程圖；圖2為本發(fā)明實施例提供的表項安全管理設(shè)備的組成圖。具體實施例方式下面結(jié)合附圖及具體實施例對本發(fā)明再作進(jìn)一步詳細(xì)的說明。本發(fā)明的核心思想是預(yù)先為鄰居表項定義兩個安全級別普通級和安全協(xié)議級，且普通級的鄰居表項允許更新，安全協(xié)議級的鄰居表項不允許更新。當(dāng)?shù)谝辉O(shè)備初次生成針對第二設(shè)備的鄰居表項時，將該鄰居表項的安全級別設(shè)定為普通級；之后，第一設(shè)備與第二設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系，則第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級，此后不允許再更新針對第二設(shè)備的鄰居表項，除非該表項的安全級別恢復(fù)為普通級。圖1為本發(fā)明實施例提供的表項安全管理方法流程圖，如圖l所示，其具體步驟如下步驟101:設(shè)備A與設(shè)備B之間運(yùn)行ND或ARP協(xié)議，設(shè)備A生成針對設(shè)備B的鄰居表項。針對設(shè)備B的鄰居表項的內(nèi)容包括設(shè)備B的IP地址、設(shè)備B的鏈路層地址、設(shè)備B的接入端口號等。設(shè)備A啟動后，如果有其它訪問者如設(shè)備B向設(shè)備A發(fā)送NS報文，設(shè)備A在向設(shè)備B回應(yīng)NA報文后，會記錄設(shè)備B的IP地址、鏈路層地址和接入端口號，生成針對設(shè)備B的IPv6鄰居表項。在設(shè)備A發(fā)出ARP請求，并收到鄰居設(shè)備B返回的ARP響應(yīng)后，記錄設(shè)備B的IP地址、鏈路層地址和接入端口號，生成針對設(shè)備B的IPv4鄰居表項。步驟102:設(shè)備A判斷自身是否已存在針對設(shè)備B的鄰居表項，若是，執(zhí)行步驟104;否則，^L行步驟103。這里，設(shè)備A根據(jù)設(shè)備B的IP地址，在自身查找針對設(shè)備B的鄰居表項。步驟103:設(shè)備A保存該針對設(shè)備B的鄰居表項，并設(shè)定該表項的安全級別為普通級，轉(zhuǎn)至步驟107。步驟104:設(shè)備A判斷該已存在的針對設(shè)備B的鄰居表項的安全級別為普通級還是安全協(xié)議級，若為普通級，執(zhí)行步驟105;否則，執(zhí)行步驟106。步驟105:設(shè)備A以步驟101中新生成的針對設(shè)備B的鄰居表項更新該已存在的針對設(shè)備B的鄰居表項，并保持該表項的安全級別普通級不變，轉(zhuǎn)至步驟107。步驟106:設(shè)備A丟棄該新生成的針對設(shè)備B的鄰居表項，本流程結(jié)束。由于已存在的針對設(shè)備B的鄰居表項的安全級別為安全協(xié)議級，不允許更新，因此，這里要將新生成的針對設(shè)備B的鄰居表項丟棄。步驟107:設(shè)備A與設(shè)備B之間運(yùn)行安全特性協(xié)議，通過安全認(rèn)證，建立了鄰居關(guān)系，設(shè)備A將針對設(shè)備B的鄰居表項的安全級別升級為安全協(xié)議級。例如設(shè)備A與設(shè)備B配置了相同的安全認(rèn)證參數(shù)如AH或MD5或IPSEC參數(shù)后，若相互之間正確建立了BGP鄰居關(guān)系，設(shè)備A將針對設(shè)備B的鄰居表項的安全級別升級為安全協(xié)議級。此后，當(dāng)設(shè)備A與設(shè)備B的BGP鄰居關(guān)系解除，設(shè)備A將針對設(shè)備B的鄰居表項的安全級別恢復(fù)為普通級，此后可對針對設(shè)備B的鄰居表項進(jìn)行更新。或者，設(shè)備A與設(shè)備B配置了相同的認(rèn)證加密參數(shù)如AH或ESP參數(shù)后，若相互之間正確建立了0SPFv3鄰居關(guān)系，則設(shè)備A將針對設(shè)備B的鄰居表項的安全級別升級為安全協(xié)議級。此后，當(dāng)設(shè)備A與設(shè)備B之間的OSPFv3鄰居關(guān)系解除，設(shè)備A將針對設(shè)備B的鄰居表項的安全級別恢復(fù)為普通級，此后可對針對設(shè)備B的鄰居表項進(jìn)行更新。本發(fā)明實施例中，為安全級別為普通級的鄰居表項設(shè)定較短的老化時長，為安全級別為安全協(xié)議級的鄰居表項設(shè)定較長的老化時長，以增加安全協(xié)議級的鄰居表項的生存期。通常，安全級別為普通級的鄰居表項的老化時長為ND協(xié)議或ARP協(xié)議規(guī)定的老化時長。安全級別為安全協(xié)議級的鄰居表項的老化時長可手工配置。—另外，本發(fā)明實施例中，對于一個設(shè)備A來說，若設(shè)備A發(fā)現(xiàn)自身存儲的表項數(shù)大于預(yù)設(shè)閾值，則按照自身存儲的鄰居表項的安全級別，先刪除普通級的鄰居表項，普通級的鄰居表項刪除完后，若自身存儲的表項數(shù)仍大于預(yù)設(shè)閾值，則再刪除安全協(xié)議級的鄰居表項，直至自身存儲的表項數(shù)不大于預(yù)設(shè)閾值。另外，本發(fā)明實施例中，為了保證安全協(xié)議級的鄰居表項的可靠性，可以設(shè)置安全協(xié)議級的鄰居表項永久存儲，或者，可以設(shè)置安全協(xié)議級的鄰居表項可以根據(jù)需要選擇永久存儲還是非永久存儲；普通級的鄰居表項的存儲方式通常為非永久存儲。非永久存儲的鄰居表項按照老化時長進(jìn)行老化。另外，本發(fā)明實施例中，對于一個設(shè)備來說，可根據(jù)自身存儲的各鄰居表項的安全級別，為各鄰居設(shè)備分配帶寬。具體地，為安全協(xié)議級的鄰居表項對應(yīng)的鄰居設(shè)備分配較高的帶寬，為普通級的鄰居表項對應(yīng)的鄰居設(shè)備分配較低的帶寬。圖2為本發(fā)明實施例提供的表項安全管理設(shè)備的組成圖，如圖2所示，其主要包括表項生成模塊21、安全級別升級模塊22和安全級別降級模塊23,其中表項生成模塊21:初次生成針對鄰居設(shè)備的鄰居表項，將該鄰居表項的安全級別設(shè)定為普通級，并設(shè)定允許更新該鄰居表項。安全級別升級模塊22:與鄰居設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系，則將表項生成模塊21生成的針對該鄰居設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級，并設(shè)定不允許更新該鄰居表項。安全級別降級模塊23:與鄰居設(shè)備之間的鄰居關(guān)系解除，則將表項生成模塊21中針對該鄰居設(shè)備的鄰居表項的安全級別恢復(fù)為普通級，并設(shè)定允許更新該鄰居表項。在實際應(yīng)用中，本發(fā)明實施例提供的表項安全管理設(shè)備還可包括表項老化模塊為表項生成模塊21中'保存的安全級別為安全協(xié)議級的鄰居表項設(shè)定較長的老化時長，為安全級別為普通級的鄰居表項設(shè)定較短的老化時長。表項數(shù)目管理模塊發(fā)現(xiàn)本設(shè)備存儲的表項數(shù)大于預(yù)設(shè)閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，本設(shè)備存儲的表項數(shù)仍大于預(yù)設(shè)閾值，則再刪除安全級別為安全協(xié)議級的鄰居表項，直至本設(shè)備存儲的表項數(shù)不大于預(yù)設(shè)閾值。表項存儲方式管理模塊設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲，或者，設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；設(shè)置安全級別為普通級的鄰居表項的存儲方式為非永久存儲。帶寬分配模塊配較高的帶寬，為安全級別帶寬。以上所述僅為本發(fā)明的過程及方法實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1、一種表項安全管理方法，其特征在于，該方法包括第一設(shè)備初次生成針對第二設(shè)備的鄰居表項，將該鄰居表項的安全級別設(shè)定為普通級，并設(shè)定允許更新該鄰居表項；之后，第一設(shè)備與第二設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系，則第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級，并設(shè)定不允許更新該鄰居表項。2、如權(quán)利要求l所述的方法，其特征在于，所述第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級之后進(jìn)一步包括第一設(shè)備與第二設(shè)備之間的鄰居關(guān)系解除，則第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別恢復(fù)為普通級，并設(shè)定允許更新該鄰居表項。3、如權(quán)利要求l所述的方法，其特征在于，所述第一設(shè)備與第二設(shè)備建立了鄰居關(guān)系為第一設(shè)備與第二設(shè)備建立了邊界網(wǎng)關(guān)協(xié)議BGP或開放式最短路徑優(yōu)先版本三OSPFv3鄰居關(guān)系。4、如權(quán)利要求l所述的方法，其特征在于，所述第一設(shè)備初次生成針對第二設(shè)備的鄰居表項為第一設(shè)備與第二設(shè)備運(yùn)行鄰居發(fā)現(xiàn)ND協(xié)議或地址解析協(xié)議ARP,生成針對第二設(shè)備的鄰居表項。5、如權(quán)利要求l所述的方法，其特征在于，所述針對第二設(shè)備的鄰居表項至少包括第二設(shè)備的IP地址、第二設(shè)備的鏈路層地址、第二設(shè)備的接入端口標(biāo)識。6、如權(quán)利要求l所述的方法，其特征在于，所述方法進(jìn)一步包括為安全級別為普通級的鄰居表項設(shè)定較短的老化時長，為安全級別為安全協(xié)議級的鄰居表項設(shè)定較長的老化時長。7、如權(quán)利要求l所述的方法，其特征在于，所述方法進(jìn)一步包括第一設(shè)備發(fā)現(xiàn)自身存儲的表項數(shù)大于預(yù)設(shè)閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，自身存儲的表項數(shù)仍大于預(yù)設(shè)閾值，則再刪除安全級別為安全協(xié)議級的鄰居表項，直至自身存儲的表項數(shù)不大于預(yù)設(shè)閾值。8、如權(quán)利要求l所述的方法，其特征在于，所述方法進(jìn)步包括設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲，或者，設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；9、如權(quán)利要求l所述的方法，其特征在于，所述方法進(jìn)一步包括第一設(shè)備為安全級別為安全協(xié)議級的鄰居表項對應(yīng)的鄰居設(shè)備分配較高的帶寬，為安全級別為普通級的鄰居表項對應(yīng)的鄰居設(shè)備分配較低的帶寬。10、一種表項安全管理設(shè)備，其特征在于，該設(shè)備包括表項生成模塊，初次生成針對鄰居設(shè)備的鄰居表項，將該鄰居表項的安全級別設(shè)定為普通級，并設(shè)定允許更新該鄰居表項；安全級別升級模塊，與鄰居設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系，則將表項生成模塊生成的針對該鄰居設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級，并設(shè)定不允許更新該鄰居表項。11、如權(quán)利要求10所述的設(shè)備，其特征在于，所述設(shè)備進(jìn)一步包括安全級別降級模塊，與鄰居設(shè)備之間的鄰居關(guān)系解除，則將表項生成模塊中針對該鄰居設(shè)備的鄰居表項的安全級別恢復(fù)為普通級，并設(shè)定允許更新該鄰居表項。12、如權(quán)利要求IO所述的設(shè)備，其特征在于，所述設(shè)備進(jìn)一步包括表項老化模塊，為安全級別為安全協(xié)議級的鄰居表項設(shè)定較長的老化時長，為安全級別為普通級的鄰居表項設(shè)定較短的老化時長。13、如權(quán)利要求10所述的設(shè)備，其特征在于，所述設(shè)備進(jìn)一步包括表項數(shù)目管理模塊，發(fā)現(xiàn)本設(shè)備存儲的表項數(shù)大于預(yù)設(shè)閾值，則先刪除安全級別為普通級的鄰居表項，若普通級的鄰居表項刪除完后，本設(shè)備存儲的表項數(shù)仍大于預(yù)設(shè)閾值，則再刪除安全級別為安全協(xié)議級的鄰居表項，直至本設(shè)備存儲的表項數(shù)不大于預(yù)設(shè)閾值。14、如權(quán)利要求10所述的設(shè)備，其特征在于，所述設(shè)備進(jìn)一步包括表項存儲方式管理模塊，設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲，或者，設(shè)置安全級別為安全協(xié)議級的鄰居表項的存儲方式為永久存儲或非永久存儲可選；設(shè)置安全級別為普通級的鄰居表項的存儲方式為非永久存儲。15、如權(quán)利要求10所述的設(shè)備，其特征在于，所述設(shè)備進(jìn)一步包括全文摘要本發(fā)明公開了表項安全管理方法及設(shè)備。方法包括第一設(shè)備初次生成針對第二設(shè)備的鄰居表項，將該鄰居表項的安全級別設(shè)定為普通級，并設(shè)定允許更新該鄰居表項；之后，第一設(shè)備與第二設(shè)備運(yùn)行安全特性協(xié)議，相互之間通過了安全認(rèn)證，并建立了鄰居關(guān)系，則第一設(shè)備將針對第二設(shè)備的鄰居表項的安全級別升高為安全協(xié)議級，并設(shè)定不允許更新該鄰居表項。本發(fā)明提高了表項的安全性，且降低了部署和管理成本。文檔編號H04L29/12GK101567886SQ20091008599公開日2009年10月28日申請日期2009年6月3日優(yōu)先權(quán)日2009年6月3日發(fā)明者濤林申請人:杭州華三通信技術(shù)有限公司