让每个人都使用SSL VPN安全接入
2008-04-21   

　　为什么是SSL VPN

　　记者：李总您好！我们都知道，微软当时提出了“要让全球每个人桌上都有一台电脑”，如今这个口号几乎已经变成了现实，那么您提出“让每个人都使用SSL VPN”这个口号又是基于什么出发点呢？

　　李勇奇：IT如今几乎可以说是无处不在，连六七十岁的大爷大妈都在使用计算机通过Internet炒股、炒基金，更不用说我们每天收发邮件、访问公司OA和通过网上银行购买各种各样的东西。一切似乎都非常美好，但不幸的是虚拟世界和现实世界一样，存在各种各样的坏人，他们试图侵入您的隐私、试图获取您银行的帐号、试图获取您公司的敏感信息，事实上他们有时无恶不作。因此我们在网上，也需要一种可靠的手段，来保护我们的隐私和安全。SSL VPN就是多种可能手段之一，说起SSL VPN可能大家比较陌生，但是大家经常使用网上银行，您可能是通过https或者使用智能卡登录，其实就是在使用网上银行的专用的SSL VPN系统。SSL VPN不但能保护您网上银行的账号安全,同样也可以保护您的邮件系统，保护公司的OA系统，甚至保护您的博客。

　　因此，SSL VPN实际上可以非常广泛地使用在我们的Internet上，为各种各样的电子商务、电子政务应用和个人应用提供安全保护，而且这样安全保护非常易于使用，就像网络上的守护神，忠实地为您提供安全服务。

　　记者：从您的回答中，我们感觉到， SSL VPN是一款市场前景广阔，用户需求旺盛的产品。在您当时决定从事SSL VPN的开发时，情况也如此么？

　　李勇奇：在我们开始投入SSL VPN产品研发时，SSL VPN的产品和技术还远远没有发展到今天这么成熟，我当时选择了去做SSL VPN，也是机缘巧合。首先，我的研究生阶段研究方向是信息安全，最初只是为了解决一个数据库系统的安全传输问题，那时候却发现可借鉴的东西不多，于是决定自己从头开始做。从ASN.1、算法库、X.509到SSL库，一行一行都是自己来写，当时条件还是很艰巨的，即使是ASN.1这样基本的实现，都要在黑暗中摸索。说起来还得感谢Internet的开放和共享，当时我经常去是MIT、Perdue、Stanford，Princeton等大学的网站，看介绍、看论文、看原型实现，有不明白的地方就发信去求教，几乎每封都有回复，而且讲解详细，如果没有他们的无私帮助，我想我现在可能还在黑暗中摸索。当然请教别人也不可能解决所有的问题，更多时候需要自己不断实践，不断尝试，特别是涉及到密码算法。有时一个结果不正确，连究竟是方法错了，算法不对还是密钥不对都无法分辨，结果总是天书般的乱码，调试起来几乎都无从下手。这算是程序人生中比较痛苦的一段旅程了，让我至今我记忆犹新。

　　通过不断的实践和尝试，我逐渐对算法、标准和安全协议有了一些了解，也比较好地解决了数据库系统的安全传输问题，这时候，我发现这个安全传输的解决方案还是具备一定的通用性，于是就想，可不可以做个通用的东西来呢？在当时，甚至还没有SSL VPN的概念。但我想，网络在不断发展，但网络的发展并不是终极目标，网络是路，跑在网络上的各种应用系统是车，只要路建好了，车一定会多起来。而SSL VPN正好能很好地解决远程访问网络上应用系统的安全问题，如果每个人上网都是要访问网络上的应用系统，那意味着每一个人都可以 使SSL VPN，这是多么大的一个市场！又是多么激动人心的事情！这就是当时的一个想法和出发点，也正是这个想法，使得我和SSL VPN结下不解之缘，而且一做 就是整整十年。#p#副标题#e#

记者：信息技术领域是个日新月异的产业，技术更新快，可李总您却十年都在做SSL VPN，是什么让你能这样坚持下来呢？

　　李勇奇：经过前期的摸索，我对SSL VPN已经有了一定的基础，于是从1998年就开始组建了一个小团队朝通用的SSL VPN方向研发。到了2002年，终于有了SSL VPN的一个版本，这也是我第一次明白了从突破关键技术到做出一个产品，其中需要的精力投入！

　　有了这个SSL VPN初步版本后，我们就一直不停地扩展、优化、编码和调试，这个初步版本就慢慢长大成型。然后就有了这个产品的第一次实际应用，第一个客户，第一次实施，第一次技术支持，第一次的定制开发，慢慢有了第一次的OEM， 2004年我们成立了北京艾克斯通科技有限公司。新的需求和压力伴随这产品的成长也出现了，于是我们又开始了不停地扩展、优化、编码、调试，不停地完善。

　　在投入SSL VPN研究的十年中，我也确实不止一次地动摇过，有时候是因为碰到了技术上的难题，更多时候是因为会面临着很多其他方面的诱惑。比如2000年左右，防火墙的热度如日中天，后来的网络游戏也吸引了很多人。

　　我之所以坚持下来，始终在做SSL VPN，一个原因是我觉得信息安全其实很美。信息安全的美，是一种委婉的美，含蓄的美。为什么这么说呢？就拿数据加密来说，我们不能直接看到底层的数据所产生的玄奥变换，我们看到的只是数据平静的传输，表面似乎波澜不惊，而在这波澜不惊下面，是多少年来智者互相博弈的结果？这就是信息安全的美妙之处，这种美也许委婉而含蓄，但回味也很长久。

　　让我坚持下来的，还有一个原因，我觉得专注很重要。曾经有个做Windows驱动开发的程序员和我聊起职业前途，言语当中颇有些迷茫，觉得做开发看不到前景，似乎各个方面的内容都略有了解，但是要说真正精通还是底气不足。他问我：“如果别人问你做过什么，擅长什么，你会怎么回答”。当时我是这样回答的：“我会说我做信息安全做了十年，我只做信息安全”。我想十年都专注于SSL VPN，这就是专注，这也是一个优势。

　　核心技术是关键

　　记者：好像目前SSL VPN领域也是国外厂商很看中的领域，包括Juniper等国际知名厂商也都有相应产品，作为一家规模远远没有他们大的国内企业，在技术上是否会遭遇瓶颈？是否有和国际厂商正面交锋的时候？

　　李勇奇：确实，SSL VPN近年来逐级成为企业安全接入的首选，包括Cisco、Nokia、Nortel和Juniper等在内的国际知名企业都积极介入这个行业，我们和国际厂商交手的机会也很多，但给我印象最深的有两次。第一次是2004年参加媒体一项SSL VPN的公开评测，当时我们心里非常紧张，担心我们的产品在性能方面会和国外产品存在数量级的差距。可评测结果一出来，我们产品的有些指标还好于国外知名品牌产品，让我们特别欣慰。看来只要肯下功夫，国外企业能做到的，我们国内企业同样也能做到。这次的评测增强了我们的信心，我们也下定决心，一定要把产品做到最好，后来为了优化产品性能，公司拿出并不宽裕的资金，以不菲的价格租借了思博伦的设备，连续几天彻夜奋战，从各个方面对产品性能进行调试和优化。#p#副标题#e#

另一次和国外厂商的正面交锋是在一个钢铁用户那里。当时，用户认为SSL VPN只有国外大厂商才能做，对艾克斯通的实力半信半疑，但是经过严格的性能测试、功能测试和实际应用测试，用户对艾克斯通的SSL VPN产品非常满意，还有几个用户的特殊需求，连国的厂商也不支持，个别定制，国外的厂商也不可能很快解决，但艾克斯通却能信手拈来，多方面的优势，让用户最终还是选择了艾克斯通的SSL VPN产品。类似这样的事件还很多，也正是来自用户的认可和支持，才更坚定了我们做好产品的信念。

　　记者：用户的认可确实是企业的重要支撑力量，但从长远来看，艾克斯通在技术上又有什么竞争优势呢？

　　李勇奇：从长远来看，要真正获得竞争优势，还需要拥有自己的核心技术。有了核心技术的SSL VPN，才可能最快地响应用户的新的需求。艾克斯通目前就拥有SSL VPN领域的多项核心技术。比如，SSL VPN相对IPSec VPN而言，都不提供网络对网络的接入模式，正因为我们掌握了SSL VPN核心技术，通过反复试验和不断改进 ，创造性地实现了纯SSL VPN模式的网络对网络的接入模式，从而改写了和IPSec VPN的技术对比，而国外厂商是在一年后才开始提供 类似的模式。另外，我们还受到SaaS的启发，申报了SSL VPN可用于SaaS的专利技术，该专利技术使得我们提供在线SSL VPN服务。有了核心技术，我们就可能比国外厂商做的更好。

　　还有一个是国外厂商无法比拟的，那就是本土化优势。国内企业拥有核心技术后，可以最直接地接触最终用户，可以直接倾听到用户的声音，需求推动发展，这对于深化对SSL VPN的把握非常重要。核心技术结合本土优势，我们就可以做出最受中国用户欢迎的SSL VPN来。信息安全毕竟涉及到国家安全，为国家的信息安全建设添砖加瓦，也是我们每个信息安全的从业人员的责任。

　　未来之路

　　记者：我注意到你们公司网站域名是www.SSL VPN.com.cn，这似乎也是你们坚持、专注于SSL VPN的一个信号？另外，似乎艾克斯通在安全领域并不知名。

　　李勇奇：确实，如你所说，采用SSL VPN.com.cn这个域名，就表示我们是专业的SSL VPN提供者，社会分工表明了社会的进步，安全领域的分工和细化，也是体现了一种进步和必然。

　　艾克斯通可以说是一个纯技术性公司，而且产品非常单一，因此我们走的是OEM的路子，目前艾克斯通的SSL VPN产品被多家国内一线安全厂商OEM。我想这是艾克斯通默默无闻的原因所在。

　　记者：艾克斯通今后会一直以OEM的方式存在吗？个人今后什么打算？

　　李勇奇：艾克斯通希望有更多的方式和业内企业合作。可喜的是，现在国内对SSL VPN逐渐认可，将有更多的企业，更多的人，使用到我们研发的SSL VPN，没有比这更让人激动的了。但是这距离“每个人都使用SSL VPN安全接入”还差的很远，很高兴我们的目标更清晰了，而且我们距离目标更进了。
小知识：什么是SSL VPN

　　SSL VPN是一种远程安全接入技术，因为采用SSL协议（Netscape公司标准，Secure Socket Layer）而得名。因为Web浏览器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署，从而使得远程安全接入的使用非常简单，而且整个系统更加易于维护。SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用系统，使得SSL VPN真正称得上是一种VPN，并相对IPSec VPN更符合应用安全的需求，成为远程安全接入主要手段和选择。