[发明专利]终端连接虚拟专用网的方法、系统及相关设备

说明书

一种终端连接虚拟专用网(VPN)的方法、系统及相关设备，用以解决目前为终端配置VPN网关的IP地址的工作量大且易出错的问题。方法为：VPN控制设备接收路由网关发送的第一握手报文，第一握手报文为所述路由网关在接收终端发送的用于向VPN控制设备发起第一SSL会话的协商过程的第二握手报文后发送，根据第一握手报文与终端协商确定第一SSL会话的会话参数，并通过第一SSL会话认证终端；在终端认证通过后，确定允许终端接入的第一VPN网关的IP地址；通知终端第一VPN网关的IP地址。

技术领域

本发明涉及通信技术领域，尤其涉及一种终端连接虚拟专用网(英文：virtualprivate network，VPN)的方法、系统及相关设备。

背景技术

网际协议(英文：Internet Protocol，IP)摄像机(英文：IP camera，IPC)终端分布广。为了防止IPC终端向网络传输的视频流被恶意监听，以及为了防止网络向IPC终端传输的控制信令在传输过程中被恶意篡改，将安全套接层(英文：Secure Sockets Layer，SSL)VPN技术应用到IPC终端，使得IPC终端与网络之间加密传输视频流和控制信令。

SSL VPN技术，是指远程用户利用Web浏览器连接SSL VPN服务器。其中，远程用户与SSL VPN服务器之间，采用SSL协议或传输层安全(英文：Transport Layer Security，TLS)协议(SSL协议的后继者)对传输的数据包加密。以下将SSL协议和TLS协议都称为“SSL”或“SSL协议”。

IPC终端中预先设置有安全连接客户端。IPC终端中预先配置VPN网关的IP地址。安全连接客户端发起认证。在认证成功后，在IPC终端与VPN网关间建立SSL会话。SSL会话可加密传输数据流(例如视频流)和信令流。

户外的IPC终端无人值守，存在终端安全问题。为了防止IPC终端被恶意操作后，由于向网络传输的恶意数据受到VPN的加密保护，难以被发现，因此，为了解决IPC安全接入网络的问题，VPN网关不宜部署在核心网周边，一般将VPN网关部署在路由网关处。

VPN网关以旁挂方式部署在路由网关的位置，所谓旁挂是指VPN网关与路由网关用网线直连，由VPN网关和路由网关组成单独的子网。VPN网关负责所管辖区域内的IPC终端的接入认证和SSL会话建立，并转发数据流和信令流到视频专网，其中视频专网是指路由网关、视频监控设备(英文为：Video surveillance equipment)等组成的上层网络。每个VPN网关的IP地址不相同，且每个VPN网关负责管辖不同的区域。不允许IPC终端跨VPN网关接入网络并建立SSL会话。IPC终端必须与该IPC终端所在管辖区域的VPN网关配合才能正常使用。IPC终端被配置的VPN网关的IP地址只能是其所在管辖范围的VPN网关的IP地址。IPC终端数量大，一般在几千到上万级别，位于不同管辖区域的IPC终端被配置的VPN网关的IP地址不同。因此，为IPC终端配置VPN网关的IP地址工作量大，且易出错。

发明内容

本申请提供一种终端连接虚拟专用网的方法、系统及相关设备，用以解决目前为终端配置VPN网关的IP地址工作量大且易出错的问题。

第一方面，提供了一种终端连接虚拟专用网VPN的方法，包括：

VPN控制设备接收路由网关发送的第一握手报文，所述第一握手报文为所述路由网关在接收终端发送的第二握手报文后发送，所述第二握手报文用于向所述VPN控制设备发起第一安全套接层SSL会话的协商过程；

所述VPN控制设备根据所述第一握手报文与所述终端协商确定所述第一SSL会话的会话参数，并通过所述第一SSL会话认证所述终端；

所述VPN控制设备在所述终端认证通过后，确定允许所述终端接入的第一VPN网关的IP地址；

所述VPN控制设备通知所述终端所述第一VPN网关的IP地址。