[发明专利]终端安全设备精简配置管理方法与系统

权利要求书

1.一种终端安全设备精简配置管理方法，其特征在于，包括步骤：

设置数字证书系统，通过所述数字证书系统自动生成主站安全设备的数字证书文件和IPSec VPN通信参数；

通过所述数字证书系统生成终端安全设备的证书文件，完成所述终端安全设备的初始化；

通过所述主站安全设备导入终端安全设备数字证书及IPSec VPN通信参数，生成IPSec VPN通信策略；

当所述终端安全设备上电工作时，读取IPSec VPN通信参数，根据IPSec VPN通信策略，并根据所述终端安全设备的证书文件和所述主站安全设备的证书文件进行基于所述数字证书系统的证书认证，当所述证书认证通过时，建立所述终端安全设备与所述主站安全设备之间的IPSec VPN通信，实现所述终端安全设备的精简配置；

其中，生成的IPSec VPN通信参数保存在所述数字证书系统中，根据可以相互识别的IPSec VPN通信参数建立所述终端安全设备与所述主站安全设备之间的通信，所述数字证书系统根据生成的所述终端安全设备的证书文件识别当前接入的终端安全设备是否为已经完成精简配置或者需要进行精简配置的终端安全设备。

2.根据权利要求1所述的终端安全设备精简配置管理方法，其特征在于，所述通过所述数字证书系统生成终端安全设备的证书文件，完成所述终端安全设备的初始化具体包括步骤：

接收所述数字证书系统发送的初始化请求，生成随机数序列，产生公私密钥对；

根据公私密钥对生成的P10请求信息，并发送所述P10请求信息到所述数字证书系统；

接收所述数字证书系统根据P10信息产生的证书文件、以及约定好的所述IPSec VPN通信参数；

解压、验证、保存数字证书系统发送的证书文件和约定好的IPSec VPN通信参数，完成所述终端安全设备初始化。

3.一种终端安全设备精简配置管理系统，其特征在于，包括：

设置模块，用于设置数字证书系统，通过所述数字证书系统自动生成主站安全设备的数字证书文件和IPSec VPN通信参数；

终端设备初始化模块，用于通过所述数字证书系统生成终端安全设备的证书文件，完成所述终端安全设备的初始化；

通信策略生成模块，用于通过所述主站安全设备导入终端安全设备数字证书及IPSec VPN通信参数，生成IPSec VPN通信策略；

精简配置模块，用于当所述终端安全设备上电工作时，读取IPSec VPN通信参数，根据IPSec VPN通信策略，并根据所述终端安全设备的证书文件和所述主站安全设备的证书文件进行基于所述数字证书系统的证书认证，当所述证书认证通过时，建立所述终端安全设备与所述主站安全设备之间的IPSec VPN通信，实现所述终端安全设备的精简配置；

其中，生成的IPSec VPN通信参数保存在所述数字证书系统中，根据可以相互识别的IPSec VPN通信参数建立所述终端安全设备与所述主站安全设备之间的通信，所述数字证书系统根据生成的所述终端安全设备的证书文件识别当前接入的终端安全设备是否为已经完成精简配置或者需要进行精简配置的终端安全设备。

4.根据权利要求3所述的终端安全设备精简配置管理系统，其特征在于，所述终端设备初始化模块具体包括：

公私密钥对生成单元，用于接收所述数字证书系统发送的初始化请求，生成随机数序列，产生公私密钥对；

发送单元，用于根据公私密钥对生成的P10请求信息，并发送所述P10请求信息到所述数字证书系统；

接收单元，用于接收所述数字证书系统根据P10信息产生的证书文件、以及约定好的所述IPSec VPN通信参数；

初始化单元，用于解压、验证、保存数字证书系统发送的证书文件和约定好的IPSec VPN通信参数，完成所述终端安全设备初始化。