摘要：综合应用SM1、SM2、SM3、SM4等国密标准算法，为企业、机关单位、政府机构提供，远程访问和移动办公。并提供接入身份统一认证与细粒度安全访问控制。保障业务到用户端到端的安全性，对用户的APP安全接入需求提出的安全、简单、易用的解决方案。

关键词：安全通信，国密应用，权限控制，远程访问，移动办公

1.概述

1.1背景

随着经济全球化的进程逐步加快，企业为了提高工作效率和竞争能力，远程访问、移动办公已经成了各种社会组织的普遍需要。由于Internet的普及和发展，通过 IPSec VPN技术实现大量数据的远程访问为人们提供了一种低运行成本、高生产效率的远程访问方式。但是，IPSec VPN也有不足，它使用十分复杂，必须安装和维护客户端软件。另外，从远程通过IPSec通道连接到企业内部网络可能会增加局域网受到攻击或被病毒感染的可能。SSL VPN（安全套接层虚拟专网）技术的出现刚好解决了这一问题。 SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得部门员工出差时不必再携带自己的笔记本电脑，仅仅通过一台接入了 Internet的计算机就能访问企业资源，这为企业提高了效率也带来了方便，同时很好的解决了安全性问题。

1.2目标

为了满足各行业对远程安全接入产品的迫切的应用需求，我公司制定了SSL VPN解决方案。解决方案包含一系列的IPSec VPN产品，具有安全、合规、高性能、多规格、部署灵活、管理方便、网络适应性强等特点。

2.需求分析

2.1应用需求

通过加密实现安全接入的SSL VPN技术提供了一种安全机制，保护公司的内部网络不被攻击，内部资源不被窃取。

SSL VPN是以https为基础的VPN技术，它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为用户远程访问公司内部网络提供了安全保障。

具体需求如上表所示：

2.2技术优点

1. 支持各种应用协议

SSL位于传输层和应用层之间，任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。

2. 支持多种软件平台

SSL VPN的客户端基于SSL协议，绝大多数的软件运行环境都可以作为SSL VPN客户端。

3. 支持对客户端主机进行安全检查

SSL VPN可以对远程主机的安全状态进行评估，可以判断远程主机是否安全，以及安全程度的高低。

4. 支持动态授权

传统的权限控制主要是根据用户的身份进行授权，同一身份的用户在不同的地点登录，具有相同的权限，称之为静态授权。而动态授权是指在静态授权的基础上，结合用户登录时远程主机的安全状态，对所授权利进行动态地调整。当发现远程主机不够安全时，开放较小的访问权限；在远程主机安全性较高时，则开放较大的访问权限。

5. SSL VPN网关支持多种用户认证方式和细粒度的资源访问控制，实现了外网用户对内网资源的受控访问。

6. SSL VPN的部署不会影响现有的网络

SSL协议工作在传输层之上，不会改变IP报文头和TCP报文头，因此，SSL报文对NAT来说是透明的；SSL固定采用443号端口，只需在防火墙上打开该端口，不需要根据应用层协议的不同来修改防火墙上的设置，不仅减少了网络管理员的工作量，还可以提高网络的安全性。

7. 支持多个域之间独立的资源访问控制

为了使多个企业或一个企业的多个部门共用一个SSL VPN网关，减少SSL VPN网络部署的开销，SSL VPN网关上可以创建多个域，企业或部门在各自域内独立地管理自己的资源和用户。通过创建多个域，可以将一个实际的SSL VPN网关划分为多个虚拟的SSL VPN网关。

3.方案架构

3.1产品架构

根据分支规模、种类的不同，SSL VPN系列包含以下产品：

国产化SSL VPN：采用国产自主可控平台，低延时高性能，支持可收缩性主备和集群架构，适用于中大型分支机构。

通用SSL VPN：采用X86平台，多核架构，低延时高性能，支持可收缩性主备和集群架构，适用于中大型的分支机构。

3.2产品部署图

下图为常用可扩展组网方式。

图1 网关模式（双臂模式）

SSL VPN网关跨接在内网和外网之间，对内网的保护最完全。但是，此时网关处在内外通讯的关键路径上，其性能和稳定性对内外网之间的数据传输有很大的影响。

图2 单臂模式

SSL VPN网关只相当于一台代理服务器，代理远程的请求，与内部服务器进行通讯。此时SSL VPN网关不在网络通讯的关键路径上，不会造成单点故障。

3.3主要功能

作为一款SSL VPN网关设备，VPN安全网关必须具备基于SSL技术的安全封装及密钥协商功能。同时，VPN安全网关还应具有较强的网络适应性和可扩展性。

图3

以适应复杂的网络应用环境，增加产品的竞争力。

SSL VPN有以下技术优点：

1) 支持各种应用协议。SSL位于传输层和应用层之间，任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。

2) 支持多种软件平台。目前SSL已经成为网络中用来鉴别网站和网页浏览者身份，在浏览器使用者及Web服务器之间进行加密通信的全球化标准。

3) 支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件的应用中，SSL VPN提供了自动下载并安装客户端软件的功能，退出SSL VPN时，还可以自动卸载并删除客户端软件，极大地方便了用户的使用。

4) 支持对客户端主机进行安全检查。SSL VPN可以对远程主机的安全状态进行评估，可以判断远程主机是否安全，以及安全程度的高低。

5) 支持动态授权。传统的权限控制主要是根据用户的身份进行授权，同一身份的用户在不同的地点登录，具有相同的权限，称之为静态授权，而动态授权是指在静态授权的基础上，结合用户登录时远程主机的安全状态，对所授权利进行动态的调整。

6) SSL VPN网关支持多种用户认证方式和细粒度的资源访问控制，实现了外网用户对内网资源的受控访问。

7) SSL VPN的部署不会影响现有网络。SSL协议工作在传输层之上，不会改变IP报文头和TCP报文头，因此，SSL报文对NAT来说是透明的。

8) 支持多个域之间独立的资源访问控制。为了使多个企业或一个企业的多个部门共用一个SSL VPN网关，减少相应的开销，SSL VPN网关上可以创建多个域，企业或部门在各自域内独立的管理自己的资源和用户。

3.4主要技术指标

（1） 并发用户:20000；

（2） 并发会话数:60000；

（3） 每秒新建会话:600。

4. 型号及资质

5 .方案特色

5.1 合规

    1.符合GM/T 0024-2014《SSL VPN技术规范》、GM/T 0025-2014《SSL VPN网关产品规范》、GM/T 0028-2014 《密码模块安全技术要求》等相关规范要求。

    2.具备商密产品型号证书。

5.2 超高的安全性

    1.使用SM1、SM2、SM3、SM4商密算法；

    2.基于数字证书的密钥协商；

    3.使用硬件身份令牌进行身份鉴别。

5.3 领先的性能

    系统数据传输在链路层、传输层、数据层、应用层都进行了深度优化，访问速度得到极大提升，达到业界领先水平。

5.4 更灵活的部署

    1.支持双臂模式、单臂模式部署；

    2.能适应复杂的网络应用场景。

5.5 跨平台

    本系统客户端支持Windows、Android、IOS和Linux平台，同时也提供SDK集成到自己的应用中，无需用户安装客户端来实现数据安全传输，多种选择提供很好的跨平台支撑。

5.6 便捷的管理

    1.支持接入集中管控，方便维护升级；

    2.B/S架构的管理系统，支持多种操作系统和浏览器。

5.7 柔性主备集群

    支持主备模式和集群模式部署，支持不同需求客户，集群规模柔性适配，可大可小灵活方便。

    集群部署中，管理员只需要在任意一台设备上进行部署配置，即可自动同步到当前集群的所有节点中，实现了快速部署和维护操作，极大的减少了管理成本和运营成本。

6 .适用领域

SSL VPN指的是基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速。

7. 企业分工/产品清单/接口说明

VPN安全网关发布时使用B/S模式的管理界面作为唯一的管理接口，不提供其它配置接口。

在维护过程中还可以使用console口进行命令行管理或使用ssh，telnel等远程登录手段进行管理。

8. 应用案例

申万宏源证券有限公司

申万宏源证券有限公司（后文统称"证券公司"），是由新中国第一家股份制证券公司--申银万国证券股份有限公司与国内资本市场第一家上市证券公司--宏源证券股份有限公司，于2015年1月16日合并组建而成。

我公司与上述两家较有代表性的证券公司合作，解决在证券交易过程中的传输安全。证券公司交易APP集成我公司提供的SDK（Windows版本、Android版本、IOS版本和Linux版本），SDK和后台采用用安全等级与USB KEY相当的协同签名实现用户认证，安装使用更为灵活的密码模块，配合公司的SSL VPN集群方案，解决了交易终端和交易平台间的安全通信，并符合国家密码标准。集群方案提供高可用负载均衡和业务易扩展等解决方案，很好的适配了现有证券交易系统的国产化改造。

中创为（成都）量子通信技术有限公司

联系人：晋冲

电  话：18602860543