[发明专利]基于相互认证的虚拟专用网络服务设备和方法

权利要求书

1.一种虚拟专用网络服务设备，从虚拟专用网络VPN服务器接收向用户终端提供专用网络的访问的第一公共密钥且从用户终端接收第二公共密钥，其特征在于，包括：

存储单元，存储所述第一公共密钥和所述第二公共密钥；

认证单元，利用所述第一公共密钥认证VPN服务器，利用所述第二公共密钥认证所述用户终端；

通道管理单元，基于通过所述认证单元的所述VPN服务器的认证结果生成在所述VPN服务器和所述VPN服务设备之间中继数据的第一VPN通道，基于通过所述认证单元的所述用户终端的认证结果生成在所述VPN服务设备和所述用户终端之间中继数据的第二VPN通道，并在所述用户终端和所述VPN服务器之间中继数据。

2.如权利要求1所述的虚拟专用网络服务设备，其特征在于，

使用在所述用户终端和所述VPN服务器之间设定的第一加密密钥对通过所述第一VPN通道和所述第二VPN通道在所述用户终端和所述VPN服务器之间被中继的数据进行加密。

3.如权利要求1或2所述的虚拟专用网络服务设备，其特征在于，还包括：

安全处理单元，在使用在所述用户终端和所述虚拟专用网络服务设备之间设定的第二加密密钥对从所述用户终端接收的数据进行解密之后，使用所述VPN服务器和所述虚拟专用网络服务设备之间设定的第三加密密钥对解密后的数据进行加密，并将加密的数据发送到所述VPN服务器，在使用所述第三加密密钥对从所述VPN服务器接收的数据进行解密之后，使用所述第二加密密钥对解密后的数据进行加密，并将加密的数据发送到所述用户终端。

4.如权利要求1所述的虚拟专用网络服务设备，其特征在于，还包括：

连接管理单元，当从所述用户终端接收到访问VPN服务器的请求时，基于认证数据库的信息确定将与所述用户终端连接的VPN服务器。

5.如权利要求1所述的虚拟专用网络服务设备，其特征在于，还包括：

连接管理单元，当从所述用户终端接收到访问VPN服务器的请求时，确定将与所述用户终端连接的VPN服务器，且使得由用户终端和VPN服务器之间的访问引起的负荷在具有相同的识别信息的VPN服务器之间被均匀地分配。

6.如权利要求5所述的虚拟专用网络服务设备，其特征在于，

所述具有相同的识别信息的多个VPN服务器具有不同的子识别信息。

7.如权利要求1所述的虚拟专用网络服务设备，其特征在于，还包括：

路由单元，当从所述用户终端接收到访问VPN服务器的请求时，将所述用户终端的路由路径设定为连接到与所述用户终端能够访问的VPN服务器生成所述第一VPN通道的虚拟专用网络服务设备。

8.如权利要求1所述的虚拟专用网络服务设备，其特征在于，

所述通道管理单元通过所述第二VPN通道从所述用户终端接收第三公共密钥，通过所述第一VPN通道将所述第三公共密钥发送到所述VPN服务器。

9.一种虚拟专用网络服务方法，通过虚拟专用网络VPN服务器向用户终端提供专用网络的访问，其特征在于，包括如下步骤：

使用从所述VPN服务器接收的第一公共密钥认证VPN服务器；

利用从所述用户终端接收的第二公共密钥认证所述用户终端；

生成在VPN服务器和虚拟专用网络服务设备之间传输数据的第一VPN通道和在用户终端和虚拟专用网络服务设备之间传输数据的第二VPN通道；

所述第一VPN通道基于针对VPN服务器的认证结果中继从VPN服务器接收或发送到所述VPN服务器的数据，所述第二VPN通道基于针对所述用户终端的认证结果中继从所述用户终端接收或发送到所述用户终端的数据。

10.如权利要求9所述的虚拟专用网络服务方法，其特征在于，

通过所述第一VPN通道和所述第二VPN通道在所述用户终端和所述VPN服务器之间发送和接收的数据是使用在所述用户终端和所述VPN服务器之间设定的第一加密密钥进行加密的数据。