[发明专利]终端安全设备精简配置管理方法与系统

说明书

技术领域

本发明涉及设备管理技术领域，特别是涉及终端安全设备精简配置管理方法与系统。

背景技术

所谓“精简配置”,并不是说一点配置都没有，而是配置很少而已，通过简单、有效地配置，通过通信设备之间的约定来减少需要配置的数量，提高开发和管理效率。

一般来说对一台安全设备进行管理配置，需要一台安全管理电脑直接连接到安全设备上进行管理配置，这种模式通常有以下两种连接管理方式，第一种：串口连接管理，通过CONSOLE口连接，对其本地管理配置，这也是一种安全、可靠地配置维护方式，但这种连接管理方式主要适用于纯命令行的指令交互，需逐条的配置指令，当大量管理时需耗费大量的人力且不便于集中管理，一般在交换机、路由器等设备上较多使用控制口管理方式。第二种：Web方式管理，用这种方式对网络安全设备进行管理，全都是以窗口界面操作，这种操作更直观，但是网络安全设备上需要包含大量及复杂的web服务程序，整体流程上来说需要复杂的页面操作，通常对于较复杂的安全网关，防火墙，自动拨号路由器等。

终端安全设备属于轻量级的小型化安全设备，有低功耗，设备资源少，体型小，工作环境要求严苛，稳定性高，设备成本低，部署量大，要求集中管理，易配置管理，对系统资源消耗低等要求，区别以往的高性能安全设备较复杂功能管理。若采用上述串口连接管理方法对终端安全设备进行配置管理，由于终端安全设备部署量大，耗费大量的人力，手动串口连接不易实现批量集中管理，灵活性差，若采用上述Web方式管理，需在终端安全设备上安装大型、复杂的WEB服务程序，终端安全设备低功耗要求及有限的硬件资源不能满足其安装要求。

发明内容

基于此，有必要针对现有安全设备配置管理方法因操作复杂、占用大量硬件性能、灵活性差不易实现集中管理而不适合移动终端安全配置管理的问题，提供一种操作简单、灵活性好且易于实现集中管理适合移动终端安全配置管理的终端安全设备精简配置管理方法与系统。

一种终端安全设备精简配置管理方法，包括步骤：

设置数字证书系统，通过所述数字证书系统自动生成主站安全设备的数字证书文件和IPSec VPN通信的参数；

通过所述数字证书系统生成终端安全设备的证书文件，完成所述终端安全设备的初始化；

通过所述主站安全设备导入终端安全设备数字证书及IPSec VPN通信参数，生成IPSec VPN通信策略；

当所述终端安全设备上电工作时，读取IPSec VPN通信参数，根据IPSec VPN通信策略，建立所述终端安全设备与所述主站安全设备之间的IPSec VPN通信，实现所述终端安全设备的精简配置。

一种终端安全设备精简配置管理系统，包括：

设置模块，用于设置数字证书系统，通过所述数字证书系统自动生成主站安全设备的数字证书文件和IPSec VPN通信的参数；

终端设备初始化模块，用于通过所述数字证书系统生成终端安全设备的证书文件，完成所述终端安全设备的初始化；

通信策略生成模块，用于通过所述主站安全设备导入终端安全设备数字证书及IPSec VPN通信参数，生成IPSec VPN通信策略；

精简配置模块，用于当所述终端安全设备上电工作时，读取IPSec VPN通信参数，根据IPSec VPN通信策略，建立所述终端安全设备与所述主站安全设备之间的IPSec VPN通信，实现所述终端安全设备的精简配置。

本发明终端安全设备精简配置管理方法与系统，设置数字证书系统，利用数字证书系统生成主站安全设备的证书文件，对终端安全设备进行初始化，生成终端安全设备的证书文件和确定终端安全设备通信的IPSec VPN通信参数，之后再向主站安全设备发送终端安全设备的数字证书文件及IPSec VPN通信参数，当终端安全设备上电操作时，终端安全设备根据通信的IPSec VPN通信参数完成配置，根据自身的证书文件和主站安全设备的证书文件进行基于数字证书系统的证书认证，当证书认证通过时，建立主站安全设备与终端安全设备的IPSec VPN通信。上述精简配置的管理方法，利用数字证书系统实现终端安全设备与主站安全设备之间的证书认证，不需要复杂的页面操作流程，简化了配置管理流程和方法，减小了由于配置管理带来的对硬件系统的负担，增强了对整个网络设备的集中管理，另外利用数据证书技术和IPSec VPN通信技术确保主站安全设备和终端安全设备的安全。

附图说明