(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111651814.8 (22)申请日 2021.12.3 0 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 杜佳浩　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 安全设备 管理方法及装置 (57)摘要 本发明提供一种安全设备管 理方法及 装置， 其中应用于管理设备的方法包括： 接收一个或多 个安全设备发送的设备注册信息； 与每个所述安 全设备建立反向代理隧道， 所述反向代理隧道是 由所述安全设备基于SSH协议主动请求建立的； 基于所述反向代理隧道向每个所述安全设备发 送配置消息， 所述配置消息用于配置所述安全设 备。 本发明提供的安全设备管理方法， 实现了管 理设备对安全设备的集中管 理， 并且提高了安全 设备管理的安全性。 权利要求书3页 说明书12页 附图5页 CN 114499989 A 2022.05.13 CN 114499989 A 1.一种安全设备 管理方法， 其特 征在于， 应用于管理设备， 包括： 接收一个或多个安全设备发送的设备注 册信息； 与每个所述安全设备建立反向代理隧道， 所述反向代理隧道是由所述安全设备基于 SSH协议主动请求建立的； 基于所述反 向代理隧道向每个所述安全设备发送配置消息， 所述配置消息用于配置所 述安全设备。 2.根据权利要求1所述的安全设备管理方法， 其特征在于， 所述接收一个或多个安全设 备发送的设备注 册信息， 包括： 接收每个所述安全设备发送的第 一认证消息， 所述第 一认证消息包括所述安全设备的 SSL证书信息； 向每个所述安全设备发送第 一认证响应消息， 所述第 一认证响应消息包括所述管理设 备的SSL证书信息； 接收每个所述安全设备发送的注册消息， 所述注册消息包括所述安全设备的设备信 息； 基于所述设备信 息确定监 听端口， 所述监 听端口与所述设备信 息对应的安全设备一一 绑定， 用于对应的安全设备基于所述 监听端口监听所述管理设备的消息 。 3.根据权利要求2所述的安全设备管理方法， 其特征在于， 所述与每个所述安全设备建 立反向代理隧道， 包括： 向每个所述安全设备发送注册响应消息， 所述注册响应消息包括所述监 听端口的端口 信息； 接收每个所述安全设备发送的隧道建立请求消息， 基于所述隧道建立请求消息和所述 监听端口建立所述反向代理隧道。 4.根据权利要求3所述的安全设备 管理方法， 其特 征在于， 所述方法还 包括： 接收每个所述安全设备发送的公钥， 所述公钥用于所述管理设备对传输数据进行加解 密， 所述传输数据为所述 安全设备与所述管理设备之间传输的数据。 5.根据权利要求1所述的安全设备管理方法， 其特征在于， 所述向每个所述安全设备发 送配置消息之前， 还 包括： 向每个所述安全设备发送第 二认证消息， 所述第 二认证消息用于所述安全设备对所述 管理设备进行设备 管理权限认证， 所述管理权限是 所述安全设备 预先分配的。 6.根据权利要求1所述的安全设备管理方法， 其特征在于， 所述配置消息的发送是基于 django‑http‑proxy开源库实现的。 7.一种安全设备 管理方法， 其特 征在于， 应用于安全设备， 包括： 向管理设备发送设备注 册信息； 与所述管理设备建立反向代理隧道， 所述反向代理隧道是由所述安全设备基于SSH协 议主动请求建立的； 基于所述反 向代理隧道接收所述管理设备发送的配置消息， 所述配置消息用于配置所 述安全设备。 8.根据权利要求7所述的安全设备管理方法， 其特征在于， 所述向管理设备发送设备注 册信息， 包括：权　利　要　求　书 1/3 页 2 CN 114499989 A 2向所述管理设备发送第一认证消息， 所述第一认证消息包括所述安全设备的SSL证书 信息； 接收所述管理设备发送的第 一认证响应消息， 所述第 一认证响应消息包括所述管理设 备的SSL证书信息； 向所述管理设备发送 注册消息， 所述注 册消息包括所述 安全设备的设备信息 。 9.根据权利要求8所述的安全设备管理方法， 其特征在于， 所述与所述管理设备建立反 向代理隧道， 包括： 接收所述管理设备发送的注册响应消息， 所述注册响应消息包括监听端口的端口信 息， 所述监听端口是所述管理设备基于所述设备信息确定的， 与所述设备信息对应的安全 设备一一绑定， 用于对应的安全设备基于所述 监听端口监听所述管理设备的消息； 向所述管理设备发送隧道建立请求消息， 基于所述隧道建立请求消息和所述监听端口 建立反向代理隧道。 10.根据权利要求9所述的安全设备 管理方法， 其特 征在于， 所述方法还 包括： 向所述管理设备发送公钥， 所述公钥用于所述管理设备对传输数据进行加解密， 所述 传输数据为所述 安全设备与所述管理设备之间传输的数据。 11.根据权利要求7所述的安全设备管理方法， 其特征在于， 所述接收所述管理设备发 送的配置消息之前， 还 包括： 接收所述管理设备发送的第二认证消息； 基于所述第 二认证消息对所述管理设备进行设备管理权限认证， 所述管理权限是所述 安全设备 预先分配的。 12.一种安全设备 管理装置， 其特 征在于， 应用于管理设备， 包括： 第一接收模块， 用于 接收一个或多个安全设备发送的设备注 册信息； 第一隧道建立模块， 用于与每个所述安全设备建立反向代理隧道， 所述反向代理隧道 是由所述 安全设备基于S SH协议主动请求建立的； 第一发送模块， 用于基于所述反向代理隧道向每个所述安全设备发送配置消息， 所述 配置消息用于配置所述 安全设备。 13.一种安全设备 管理装置， 其特 征在于， 应用于安全设备， 包括： 第二发送模块， 用于向管理设备发送设备注 册信息； 第二隧道建立模块， 用于与所述管理设备建立反向代理隧道， 所述反向代理隧道是由 所述安全设备基于S SH协议主动请求建立的； 第二接收模块， 用于基于所述反向代理隧道接收所述管理设备发送的配置消息， 所述 配置消息用于配置所述 安全设备。 14.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至6任一项所 述安全设备 管理方法的步骤， 或权利要求7至1 1任一项所述 安全设备 管理方法的步骤。 15.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处理器执行时实现如权利要求1至6任一项 所述安全设备管理方法的步骤， 或权利 要求7至1 1任一项所述 安全设备 管理方法的步骤。 16.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执权　利　要　求　书 2/3 页 3 CN 114499989 A 3