[发明专利]终端连接虚拟专用网的方法、系统及相关设备

权利要求书

1.一种终端连接虚拟专用网VPN的方法，其特征在于，包括：

VPN控制设备接收路由网关发送的第一握手报文，所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送，所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程；

所述VPN控制设备根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数，并通过所述第一SSL会话认证所述终端；

所述VPN控制设备在所述终端认证通过后，确定允许所述终端接入的第一VPN网关的IP地址；

所述VPN控制设备通知所述终端所述第一VPN网关的IP地址；

其中，所述第一握手报文中携带所述路由网关的直连路由表项，所述直连路由表项中包括所述路由网关旁挂的VPN网关的子网前缀；

所述VPN控制设备确定第一VPN网关的IP地址，包括：

所述VPN控制设备获取配置的所有VPN网关的IP地址列表中，属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址，将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述VPN控制设备将所述终端的IP地址以及所述第一SSL会话的会话参数通知给所述第一VPN网关，由所述第一VPN网关保存所述终端的IP地址以及所述第一SSL会话的会话参数，所述会话参数包括会话密钥、会话标识以及加密算法。

3.如权利要求2所述的方法，其特征在于，所述方法还包括：

所述终端向所述第一VPN网关发送第三握手报文，所述第三握手报文用于向所述第一VPN网关发起第二SSL会话的协商过程，所述第三握手报文中携带所述会话标识以及密文，所述密文为采用所述会话密钥以及所述加密算法对所述终端的IP地址进行加密后生成。

4.如权利要求3所述的方法，其特征在于，所述VPN控制设备通过所述第一SSL会话认证所述终端，包括：

所述VPN控制设备通过所述第一SSL会话接收所述终端发送的认证消息，所述认证消息中携带所述会话标识以及认证数据，所述认证数据为采用所述加密算法以及所述会话密钥对所述终端的标识加密后获得；

所述VPN控制设备解析所述认证消息，获得所述认证消息中携带的会话标识以及所述认证数据，确定存储有所述会话标识后，采用所述会话密钥和所述加密算法对所述认证数据解密获得所述终端的标识，将所述终端的标识发送给认证服务器；

所述VPN控制设备若接收到所述认证服务器返回的认证成功消息，则确定所述终端接入合法，所述认证成功消息由所述认证服务器确定存在所述终端的标识后返回；否则，确定所述终端接入不合法。

5.一种终端连接虚拟专用网VPN的系统，其特征在于，包括：

终端，用于向路由网关发送第二握手报文，所述第二握手报文用于向VPN控制设备发起第一安全套接层SSL会话的协商过程；

路由网关，用于接收所述终端发送的所述第二握手报文后向所述VPN控制设备发送第一握手报文；

VPN控制设备，用于接收所述路由网关发送的所述第一握手报文，根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数，并通过所述第一SSL会话认证所述终端；以及在所述终端认证通过后，确定允许所述终端接入的第一VPN网关的IP地址，通知所述终端所述第一VPN网关的IP地址；

其中，所述路由网关具体用于：

将直连路由表项添加在所述第二握手报文中得到所述第一握手报文，所述直连路由表项中包含所述路由网关旁挂的VPN网关的子网前缀；

所述VPN控制设备具体用于：

获取配置的所有VPN网关的IP地址列表中，属于所述直连路由表项中包含的VPN网关的子网前缀的VPN网关的IP地址，将获取的所述VPN网关的IP地址确定为所述第一VPN网关的IP地址。