SSLVPN軟件可行性研究報告

SSLVPN軟件可行性報告企業(yè)名稱：江西迅馳科技有限公司企業(yè)法定代表人：謝進企業(yè)所在地：南昌市高新技術(shù)開發(fā)區(qū)高新一路金廬軟件園211編寫日期：2005年5月

一、項目背景在當(dāng)今世界，隨著各種企業(yè)網(wǎng)應(yīng)用的日益廣泛，企業(yè)網(wǎng)的范圍也在不斷擴大，從本地網(wǎng)絡(luò)，發(fā)展到跨地區(qū)跨城市，甚至是跨國家的網(wǎng)絡(luò)。網(wǎng)絡(luò)的范圍日漸擴大，導(dǎo)致在實際應(yīng)用上對網(wǎng)絡(luò)的要求也越來越高。但采用傳統(tǒng)的廣域網(wǎng)建立企業(yè)專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)字專線。而與此同時，國內(nèi)公眾信息網(wǎng)（ChinaNET與Internet）在近幾年來得到高速發(fā)展，已經(jīng)遍布全國各地，在物理上，各地的公眾信息網(wǎng)都是連通的，但由于公眾信息網(wǎng)是對社會開放的，如果企業(yè)的信息要通過公眾信息網(wǎng)進行傳輸，在安全性上會存在著很多問題。因此如何能夠利用現(xiàn)有的公眾信息網(wǎng)，來安全地建立企業(yè)的專有網(wǎng)絡(luò)，就成為了現(xiàn)今網(wǎng)絡(luò)應(yīng)用上最迫切需要解決的一個重要課題。VPN技術(shù)的出現(xiàn)，為問題的解決帶來了新的方向。VPN技術(shù)，也就是虛擬專網(wǎng)技術(shù)，是指在公共網(wǎng)絡(luò)中建立私有專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。企業(yè)和其各地的機構(gòu)只需利用VPN在公眾信息網(wǎng)上虛擬成企業(yè)專網(wǎng)，就可以互相傳遞信息；同時，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以安全地連接進入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。SSL協(xié)議是Netscape公司設(shè)計的主要用于web的安全傳輸協(xié)議，SSLVPN（安全套接字層加密的虛擬專用網(wǎng)）技術(shù)提供了一種通過任何標(biāo)準(zhǔn)Web瀏覽器連通到公司內(nèi)部網(wǎng)絡(luò)或應(yīng)用程序的安全遠程接入服務(wù)。它不需要變更原來的局域網(wǎng)基礎(chǔ)設(shè)施。據(jù)市場調(diào)查機構(gòu)METAGroup的數(shù)據(jù)顯示，到2005-2006年，SSLVPN解決方案將占據(jù)VPN應(yīng)用市場份額的80%，成為遠程訪問方案的技術(shù)主流。主要內(nèi)容：SSLVPN軟件以TCP/IP網(wǎng)絡(luò)協(xié)議為基礎(chǔ)，SSL/TLS（傳輸安全加密協(xié)議層）為核心實現(xiàn)數(shù)據(jù)的遠程傳輸與安全加密，HTTP協(xié)議引導(dǎo)VPN服務(wù)/客戶端尋址，主要包括目錄服務(wù)器（備份目錄服務(wù)器）、VPN網(wǎng)關(guān)、VPN移動、VPN安全證書管理。通過對目錄服務(wù)器的設(shè)置（配置用戶級別、IP地址分配、安全證書、路由表）來控制各VPN服務(wù)/客戶端的連接，實現(xiàn)網(wǎng)絡(luò)資源的共享和數(shù)據(jù)交換。主要用途：通過Internet將用戶單位跨區(qū)域的各個分支機構(gòu)、服務(wù)客戶、工作人員等連接起來，以形成一個安全可靠、高度統(tǒng)一的、組網(wǎng)靈活、覆蓋更廣的----“內(nèi)部局域?qū)＞W(wǎng)”的專業(yè)網(wǎng)絡(luò)支撐平臺軟件；是把分布在不同地區(qū)的計算機協(xié)同工作的網(wǎng)絡(luò)支撐平臺；是政府機構(gòu)跨地區(qū)電子政務(wù)軟件、企業(yè)進銷存業(yè)務(wù)管理系統(tǒng)、跨企業(yè)供應(yīng)鏈管理（SCM）系統(tǒng)、客戶關(guān)系管理（CRM）系統(tǒng)的網(wǎng)絡(luò)支撐平臺軟件。應(yīng)用領(lǐng)域：物流運輸、連鎖機構(gòu)、旅游行業(yè)、商業(yè)貿(mào)易、制造業(yè)、醫(yī)療衛(wèi)生、保險行業(yè)、電力行業(yè)、房地產(chǎn)、政府及事業(yè)單位、電信運營業(yè)等諸多行業(yè)。二、立項依據(jù)項目領(lǐng)域?qū)儆陔娮有畔?gt;軟件產(chǎn)品>支撐軟件>支撐軟件網(wǎng)絡(luò)、計算機協(xié)同工作的支撐平臺，為國家重點扶持的重點技術(shù)攻關(guān)方向，同時通過本公司對產(chǎn)品市場的調(diào)研，認為本項目的立項實施有著較好的經(jīng)濟效益和社會效益。下面通過產(chǎn)品的社會經(jīng)濟效益和產(chǎn)品國內(nèi)外發(fā)展現(xiàn)狀分析來簡單闡述本項目的立項依據(jù)?！喉椖康慕?jīng)濟意義』據(jù)調(diào)查顯示，在世界排名1000家的大公司中，有超過84%的公司正在開發(fā)基于內(nèi)部IP專用網(wǎng)的應(yīng)用。在被調(diào)查的501家大公司中，已有130家采用了VPN，175家計劃在未來的18個月內(nèi)組建VPN。通過對最終企業(yè)客戶的調(diào)查表明，企業(yè)客戶對運營商的需求已經(jīng)從提供簡單的Internet接入過渡到可管理VPN方案和業(yè)務(wù)的需求。專家們預(yù)見，到2008年，將有105億美元的巨大市場。隨著技術(shù)的發(fā)展，基于SSL安全協(xié)議的VPN技術(shù)其應(yīng)用的整體優(yōu)越性遠遠超過了傳統(tǒng)IPSEC協(xié)議的VPN技術(shù)，據(jù)市場調(diào)查機構(gòu)METAGroup的數(shù)據(jù)顯示，到2005-2006年，SSLVPN解決方案將占據(jù)市場份額的80%，成為遠程訪問方案的技術(shù)主流。目前，SSLVPN產(chǎn)品在國內(nèi)只有臺灣的宏基WalkingLanSSLVPN，國外也只有Juniper、Aventail、iGate等少數(shù)幾家產(chǎn)品，本項目產(chǎn)品在功能實現(xiàn)上相比現(xiàn)有產(chǎn)品有著部分技術(shù)領(lǐng)先優(yōu)勢，其廣闊的市場需求空間必然產(chǎn)生巨大的經(jīng)濟效益?！喉椖康纳鐣饬x』首先，企業(yè)在考慮VPN服務(wù)時，最為突出的關(guān)注是能否節(jié)省費用。當(dāng)一個企業(yè)自行組建VPN時，客戶的費用主要由三個部分組成：一次性投資（如開戶費、設(shè)備費等）、接入費（即按用戶的端口數(shù)、帶寬等來收費）和通話使用費。從一次性投資和接入費來說，相比單獨建設(shè)PBX或CENTREX、移動集團電話等都具有優(yōu)越性。有關(guān)的機構(gòu)估算，如果企業(yè)放棄租用專線而采用VPN，其整個網(wǎng)絡(luò)的成本可節(jié)約21%～45%，至于那些以電話撥號方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通訊成本50%～80%。其次，企業(yè)還選擇VPN服務(wù)還在于其簡單便捷的特性。在傳統(tǒng)專網(wǎng)上，如果客戶要實現(xiàn)新業(yè)務(wù)應(yīng)用的話，一般要求客戶自己來設(shè)計應(yīng)用新的技術(shù)和業(yè)務(wù)，而在VPN上，企業(yè)更集中于主營業(yè)務(wù)，提高競爭力，同時還能實現(xiàn)專業(yè)化程度更強的網(wǎng)絡(luò)運行維護管理。再次，對于企業(yè)來說，采用VPN服務(wù)能實現(xiàn)靈活的成本管理，如果采用傳統(tǒng)專網(wǎng)，客戶的成本投入較大；而且，開發(fā)新業(yè)務(wù)的高成本又會提高客戶在網(wǎng)絡(luò)應(yīng)用方面的邊際成本。但是，如果采用VPN服務(wù)的話，則客戶不需要在業(yè)務(wù)應(yīng)用開發(fā)方面投入，它的成本主要來自通信使用費。企業(yè)通過VPN建立高效的內(nèi)部或外部網(wǎng)絡(luò)，除了能提高企業(yè)的運作效率、節(jié)省成本、增大企業(yè)競爭力外，還可以節(jié)省各項費用。然而，成本的節(jié)省并不是VPN的唯一優(yōu)點，嚴(yán)格的安全控制及簡便的安裝更為企業(yè)帶來便捷。通過VPN服務(wù)還能幫助企業(yè)客戶拓展一系列基于Web的新商機。VPN不僅降低了遠程訪問的成本，更具戰(zhàn)略意義：首先，VPN提供了可以對互聯(lián)網(wǎng)延伸到的各個地方進行的訪問的能力；其次，VPN支持豐富而靈活的下一代通訊。VPN最大的價值還體現(xiàn)在安全性上，它可以使任何被授權(quán)的客戶在空閑的帶寬中建立自己的安全鏈路。有專家指出，VPN極有可能象傳真和電子郵件那樣，徹底改變?nèi)藗兊纳?。本項目產(chǎn)品SSLVPN率先將傳輸安全層加密SSL/TLS應(yīng)用于傳統(tǒng)的VPN技術(shù)，并大大提升了產(chǎn)品的科技含量。項目的實施符合國家產(chǎn)業(yè)政策和技術(shù)創(chuàng)新基金資助條件。通過項目產(chǎn)業(yè)化和大面積推廣應(yīng)用，有利于國產(chǎn)網(wǎng)絡(luò)支撐平臺軟件盡快走向成熟，取代進口產(chǎn)品，打破國外壟斷，實現(xiàn)Internet通訊領(lǐng)域內(nèi)產(chǎn)品國產(chǎn)化；有利于促進企業(yè)Internet的廣泛應(yīng)用，提高企業(yè)服務(wù)質(zhì)量，增強企業(yè)的核心競爭力，為我國各行業(yè)的持續(xù)發(fā)展助力；有利于軟件行業(yè)自身加快產(chǎn)業(yè)升級換代步伐，努力趕超國外先進水平?！喉椖慨a(chǎn)品的國內(nèi)外發(fā)展現(xiàn)狀分析』摘自上?？茖W(xué)技術(shù)情報研究所2005年5月18日的《科技查新報告》中的檢索結(jié)果部分：經(jīng)上述范圍的光盤和計算機國內(nèi)聯(lián)機檢索表明：近幾年來，由于應(yīng)用趨向網(wǎng)絡(luò)化發(fā)展，加密套接字協(xié)議層（SSL）作為一種新的方式出現(xiàn)在VPN領(lǐng)域，進而成為遠程訪問技術(shù)發(fā)展的新趨勢。利用安全套接字層加密的虛擬專用網(wǎng)技術(shù)提供更方便地遠程訪問企業(yè)核心應(yīng)用和網(wǎng)絡(luò)資源的能力，由于它基于標(biāo)準(zhǔn)的瀏覽器上，不需要安裝專有的客戶端軟件，從而大大降低了遠程訪問的維護成本，幫助企業(yè)在有限的預(yù)算和時間里，完成全部配置工作。TLS(TransportLayerSecurity，傳輸安全加密協(xié)議層)是SSL的后繼。具有與SSL非常相似的功能，有了更多的固定標(biāo)準(zhǔn)，并遵守IETF。國內(nèi)文獻已報道了一些SSLVPN軟件，但多為國外公司的產(chǎn)品：標(biāo)題：宏基WalkingLanSSLVPN出處：（Internet，下載于2005年5月16日）/index.jsp?name=walkinglan&type=1&act2=11宏基WalkingLanSSLVPN特點包括：應(yīng)用層用戶訪問管理，支持有公用靜態(tài)IP地址和沒有公用靜態(tài)IP地址的企業(yè)，支持多種認證機制如Radius、WindowsAD、LDAP、Localfile等，支持兩斷式使用者身份認證如PKI、RSASecurID、動態(tài)密碼等，不用固定PublicIP也可建置、可將資料全放在防火墻內(nèi)、只要開放向外的80及443Port即可。產(chǎn)品包括多種型號，其企業(yè)型交換型UUSwith，可提供交換功能，每一臺可支持500個并行用戶，適合沒有公用靜態(tài)IP地址以及擁有多臺發(fā)布單元的企業(yè)使用。標(biāo)題：Juniper推出SSLVPN-站式平臺出處：中國電子商情：通信市場.2004(9).-68-68Juniper網(wǎng)絡(luò)公司日前推出面向中小型企業(yè)市場的SSLVPN解決方案，意在為中小企業(yè)的遠程員工接入公司內(nèi)部網(wǎng)提供一個經(jīng)濟高效、安全易于部署的解決方案。標(biāo)題：建立更安全的電子化辦公達訊AventailSSLVPN出處：新電腦.2004(11).-28-2810月18日，達訊科技分銷的AventailSSLVPN中國區(qū)新聞發(fā)布會與研討會在北京舉行，會上達訊介紹了其AventailSSLVPN產(chǎn)品及解決方案，同時探討了遠程安全解決方案的應(yīng)用現(xiàn)狀、發(fā)展前景及方向。AventailSSLVPNEX產(chǎn)品包括EX-1500系列和EX-750系列，EX-1500系列為大中型企業(yè)級產(chǎn)品，可持續(xù)升級并發(fā)用戶數(shù)量，單機最高可支持1000個并發(fā)用戶，EX-750系列則是專為低于50個并發(fā)用戶的中小型企業(yè)開發(fā)的產(chǎn)品。標(biāo)題：iGateSSLVPN遠程訪問系統(tǒng)——企業(yè)級的遠程安全解決方案出處：軟件世界.2004(4).-116-117（美國彩虹）iGateSSLVPN將SSL加密隧道與獨有的雙因素身份認證相結(jié)合，通過任何標(biāo)準(zhǔn)Web瀏覽器為用戶提供到公司內(nèi)部網(wǎng)絡(luò)或應(yīng)用程序的安全遠程接入服務(wù)。iGate產(chǎn)品優(yōu)勢在于，首先是極強的安全可靠性，iGateSSLVPN采用對稱和非對稱兩種方式執(zhí)行加密操作，iGate代理服務(wù)器通常被放置在防火墻和后墻服務(wù)器之間，且只開放433端口（或80端口）。對服務(wù)器端的身份認證使用標(biāo)準(zhǔn)SSL驗證，對客戶端則使用MD5哈希算法的挑戰(zhàn)-響應(yīng)進行驗證。雙方驗證通過后，所有的通訊均使用HTTPS協(xié)議，保證了從客戶端到iGate之間的通訊安全。然后是快速部署，易于使用，無需安裝客戶端程序。第三是適用廣泛，支持B/S和C/S應(yīng)用以及手持設(shè)備等，iGateSSLVPN能保證在任何地方訪問基于TCP應(yīng)用程序的安全，包括Web和C/S應(yīng)用，老的應(yīng)用程序，網(wǎng)絡(luò)文件傳輸和共享，終端服務(wù)，電子郵件服務(wù)以及PDA等手持無限設(shè)備。最后是具有超強的訪問控制管理和認證能力，所有內(nèi)外部訪問都經(jīng)過唯一的iGateACM權(quán)限控制軟件進行管理，為IT人員提供了更加集中且容易控制訪問權(quán)限管理工具。標(biāo)題：SSLVPN將成遠程訪問技術(shù)主流出處：通信與信息技術(shù).2004(8).市場調(diào)查機構(gòu)METAGroup的數(shù)據(jù)顯示，到2005-2006年，將有80%使用者采用SSL解決方案，成為遠程訪問方案的技術(shù)主流；而根據(jù)Infonetics的預(yù)估，SSLVPN的整體市場商機，將從2005年的3.6億美元，增長到2007年的5.91億美元。Juniper有關(guān)人士表示，由于員工在外遠程訪問的機會越來越多，使得S