SSLVPN軟件可行性研究報(bào)告

SSLVPN軟件可行性報(bào)告企業(yè)名稱：江西迅馳科技有限公司企業(yè)法定代表人：謝進(jìn)企業(yè)所在地：南昌市高新技術(shù)開發(fā)區(qū)高新一路金廬軟件園211編寫日期：2005年5月

一、項(xiàng)目背景在當(dāng)今世界，隨著各種企業(yè)網(wǎng)應(yīng)用的日益廣泛，企業(yè)網(wǎng)的范圍也在不斷擴(kuò)大，從本地網(wǎng)絡(luò)，發(fā)展到跨地區(qū)跨城市，甚至是跨國家的網(wǎng)絡(luò)。網(wǎng)絡(luò)的范圍日漸擴(kuò)大，導(dǎo)致在實(shí)際應(yīng)用上對網(wǎng)絡(luò)的要求也越來越高。但采用傳統(tǒng)的廣域網(wǎng)建立企業(yè)專網(wǎng)，往往需要租用昂貴的跨地區(qū)數(shù)字專線。而與此同時(shí)，國內(nèi)公眾信息網(wǎng)（ChinaNET與Internet）在近幾年來得到高速發(fā)展，已經(jīng)遍布全國各地，在物理上，各地的公眾信息網(wǎng)都是連通的，但由于公眾信息網(wǎng)是對社會(huì)開放的，如果企業(yè)的信息要通過公眾信息網(wǎng)進(jìn)行傳輸，在安全性上會(huì)存在著很多問題。因此如何能夠利用現(xiàn)有的公眾信息網(wǎng)，來安全地建立企業(yè)的專有網(wǎng)絡(luò)，就成為了現(xiàn)今網(wǎng)絡(luò)應(yīng)用上最迫切需要解決的一個(gè)重要課題。VPN技術(shù)的出現(xiàn)，為問題的解決帶來了新的方向。VPN技術(shù)，也就是虛擬專網(wǎng)技術(shù)，是指在公共網(wǎng)絡(luò)中建立私有專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。企業(yè)和其各地的機(jī)構(gòu)只需利用VPN在公眾信息網(wǎng)上虛擬成企業(yè)專網(wǎng)，就可以互相傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。SSL協(xié)議是Netscape公司設(shè)計(jì)的主要用于web的安全傳輸協(xié)議，SSLVPN（安全套接字層加密的虛擬專用網(wǎng)）技術(shù)提供了一種通過任何標(biāo)準(zhǔn)Web瀏覽器連通到公司內(nèi)部網(wǎng)絡(luò)或應(yīng)用程序的安全遠(yuǎn)程接入服務(wù)。它不需要變更原來的局域網(wǎng)基礎(chǔ)設(shè)施。據(jù)市場調(diào)查機(jī)構(gòu)METAGroup的數(shù)據(jù)顯示，到2005-2006年，SSLVPN解決方案將占據(jù)VPN應(yīng)用市場份額的80%，成為遠(yuǎn)程訪問方案的技術(shù)主流。主要內(nèi)容：SSLVPN軟件以TCP/IP網(wǎng)絡(luò)協(xié)議為基礎(chǔ)，SSL/TLS（傳輸安全加密協(xié)議層）為核心實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)程傳輸與安全加密，HTTP協(xié)議引導(dǎo)VPN服務(wù)/客戶端尋址，主要包括目錄服務(wù)器（備份目錄服務(wù)器）、VPN網(wǎng)關(guān)、VPN移動(dòng)、VPN安全證書管理。通過對目錄服務(wù)器的設(shè)置（配置用戶級(jí)別、IP地址分配、安全證書、路由表）來控制各VPN服務(wù)/客戶端的連接，實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享和數(shù)據(jù)交換。主要用途：通過Internet將用戶單位跨區(qū)域的各個(gè)分支機(jī)構(gòu)、服務(wù)客戶、工作人員等連接起來，以形成一個(gè)安全可靠、高度統(tǒng)一的、組網(wǎng)靈活、覆蓋更廣的----“內(nèi)部局域?qū)＞W(wǎng)”的專業(yè)網(wǎng)絡(luò)支撐平臺(tái)軟件；是把分布在不同地區(qū)的計(jì)算機(jī)協(xié)同工作的網(wǎng)絡(luò)支撐平臺(tái)；是政府機(jī)構(gòu)跨地區(qū)電子政務(wù)軟件、企業(yè)進(jìn)銷存業(yè)務(wù)管理系統(tǒng)、跨企業(yè)供應(yīng)鏈管理（SCM）系統(tǒng)、客戶關(guān)系管理（CRM）系統(tǒng)的網(wǎng)絡(luò)支撐平臺(tái)軟件。應(yīng)用領(lǐng)域：物流運(yùn)輸、連鎖機(jī)構(gòu)、旅游行業(yè)、商業(yè)貿(mào)易、制造業(yè)、醫(yī)療衛(wèi)生、保險(xiǎn)行業(yè)、電力行業(yè)、房地產(chǎn)、政府及事業(yè)單位、電信運(yùn)營業(yè)等諸多行業(yè)。二、立項(xiàng)依據(jù)項(xiàng)目領(lǐng)域?qū)儆陔娮有畔?gt;軟件產(chǎn)品>支撐軟件>支撐軟件網(wǎng)絡(luò)、計(jì)算機(jī)協(xié)同工作的支撐平臺(tái)，為國家重點(diǎn)扶持的重點(diǎn)技術(shù)攻關(guān)方向，同時(shí)通過本公司對產(chǎn)品市場的調(diào)研，認(rèn)為本項(xiàng)目的立項(xiàng)實(shí)施有著較好的經(jīng)濟(jì)效益和社會(huì)效益。下面通過產(chǎn)品的社會(huì)經(jīng)濟(jì)效益和產(chǎn)品國內(nèi)外發(fā)展現(xiàn)狀分析來簡單闡述本項(xiàng)目的立項(xiàng)依據(jù)?！喉?xiàng)目的經(jīng)濟(jì)意義』據(jù)調(diào)查顯示，在世界排名1000家的大公司中，有超過84%的公司正在開發(fā)基于內(nèi)部IP專用網(wǎng)的應(yīng)用。在被調(diào)查的501家大公司中，已有130家采用了VPN，175家計(jì)劃在未來的18個(gè)月內(nèi)組建VPN。通過對最終企業(yè)客戶的調(diào)查表明，企業(yè)客戶對運(yùn)營商的需求已經(jīng)從提供簡單的Internet接入過渡到可管理VPN方案和業(yè)務(wù)的需求。專家們預(yù)見，到2008年，將有105億美元的巨大市場。隨著技術(shù)的發(fā)展，基于SSL安全協(xié)議的VPN技術(shù)其應(yīng)用的整體優(yōu)越性遠(yuǎn)遠(yuǎn)超過了傳統(tǒng)IPSEC協(xié)議的VPN技術(shù)，據(jù)市場調(diào)查機(jī)構(gòu)METAGroup的數(shù)據(jù)顯示，到2005-2006年，SSLVPN解決方案將占據(jù)市場份額的80%，成為遠(yuǎn)程訪問方案的技術(shù)主流。目前，SSLVPN產(chǎn)品在國內(nèi)只有臺(tái)灣的宏基WalkingLanSSLVPN，國外也只有Juniper、Aventail、iGate等少數(shù)幾家產(chǎn)品，本項(xiàng)目產(chǎn)品在功能實(shí)現(xiàn)上相比現(xiàn)有產(chǎn)品有著部分技術(shù)領(lǐng)先優(yōu)勢，其廣闊的市場需求空間必然產(chǎn)生巨大的經(jīng)濟(jì)效益。『項(xiàng)目的社會(huì)意義』首先，企業(yè)在考慮VPN服務(wù)時(shí)，最為突出的關(guān)注是能否節(jié)省費(fèi)用。當(dāng)一個(gè)企業(yè)自行組建VPN時(shí)，客戶的費(fèi)用主要由三個(gè)部分組成：一次性投資（如開戶費(fèi)、設(shè)備費(fèi)等）、接入費(fèi)（即按用戶的端口數(shù)、帶寬等來收費(fèi)）和通話使用費(fèi)。從一次性投資和接入費(fèi)來說，相比單獨(dú)建設(shè)PBX或CENTREX、移動(dòng)集團(tuán)電話等都具有優(yōu)越性。有關(guān)的機(jī)構(gòu)估算，如果企業(yè)放棄租用專線而采用VPN，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%～45%，至于那些以電話撥號(hào)方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通訊成本50%～80%。其次，企業(yè)還選擇VPN服務(wù)還在于其簡單便捷的特性。在傳統(tǒng)專網(wǎng)上，如果客戶要實(shí)現(xiàn)新業(yè)務(wù)應(yīng)用的話，一般要求客戶自己來設(shè)計(jì)應(yīng)用新的技術(shù)和業(yè)務(wù)，而在VPN上，企業(yè)更集中于主營業(yè)務(wù)，提高競爭力，同時(shí)還能實(shí)現(xiàn)專業(yè)化程度更強(qiáng)的網(wǎng)絡(luò)運(yùn)行維護(hù)管理。再次，對于企業(yè)來說，采用VPN服務(wù)能實(shí)現(xiàn)靈活的成本管理，如果采用傳統(tǒng)專網(wǎng)，客戶的成本投入較大；而且，開發(fā)新業(yè)務(wù)的高成本又會(huì)提高客戶在網(wǎng)絡(luò)應(yīng)用方面的邊際成本。但是，如果采用VPN服務(wù)的話，則客戶不需要在業(yè)務(wù)應(yīng)用開發(fā)方面投入，它的成本主要來自通信使用費(fèi)。企業(yè)通過VPN建立高效的內(nèi)部或外部網(wǎng)絡(luò)，除了能提高企業(yè)的運(yùn)作效率、節(jié)省成本、增大企業(yè)競爭力外，還可以節(jié)省各項(xiàng)費(fèi)用。然而，成本的節(jié)省并不是VPN的唯一優(yōu)點(diǎn)，嚴(yán)格的安全控制及簡便的安裝更為企業(yè)帶來便捷。通過VPN服務(wù)還能幫助企業(yè)客戶拓展一系列基于Web的新商機(jī)。VPN不僅降低了遠(yuǎn)程訪問的成本，更具戰(zhàn)略意義：首先，VPN提供了可以對互聯(lián)網(wǎng)延伸到的各個(gè)地方進(jìn)行的訪問的能力；其次，VPN支持豐富而靈活的下一代通訊。VPN最大的價(jià)值還體現(xiàn)在安全性上，它可以使任何被授權(quán)的客戶在空閑的帶寬中建立自己的安全鏈路。有專家指出，VPN極有可能象傳真和電子郵件那樣，徹底改變?nèi)藗兊纳?。本?xiàng)目產(chǎn)品SSLVPN率先將傳輸安全層加密SSL/TLS應(yīng)用于傳統(tǒng)的VPN技術(shù)，并大大提升了產(chǎn)品的科技含量。項(xiàng)目的實(shí)施符合國家產(chǎn)業(yè)政策和技術(shù)創(chuàng)新基金資助條件。通過項(xiàng)目產(chǎn)業(yè)化和大面積推廣應(yīng)用，有利于國產(chǎn)網(wǎng)絡(luò)支撐平臺(tái)軟件盡快走向成熟，取代進(jìn)口產(chǎn)品，打破國外壟斷，實(shí)現(xiàn)Internet通訊領(lǐng)域內(nèi)產(chǎn)品國產(chǎn)化；有利于促進(jìn)企業(yè)Internet的廣泛應(yīng)用，提高企業(yè)服務(wù)質(zhì)量，增強(qiáng)企業(yè)的核心競爭力，為我國各行業(yè)的持續(xù)發(fā)展助力；有利于軟件行業(yè)自身加快產(chǎn)業(yè)升級(jí)換代步伐，努力趕超國外先進(jìn)水平?！喉?xiàng)目產(chǎn)品的國內(nèi)外發(fā)展現(xiàn)狀分析』摘自上海科學(xué)技術(shù)情報(bào)研究所2005年5月18日的《科技查新報(bào)告》中的檢索結(jié)果部分：經(jīng)上述范圍的光盤和計(jì)算機(jī)國內(nèi)聯(lián)機(jī)檢索表明：近幾年來，由于應(yīng)用趨向網(wǎng)絡(luò)化發(fā)展，加密套接字協(xié)議層（SSL）作為一種新的方式出現(xiàn)在VPN領(lǐng)域，進(jìn)而成為遠(yuǎn)程訪問技術(shù)發(fā)展的新趨勢。利用安全套接字層加密的虛擬專用網(wǎng)技術(shù)提供更方便地遠(yuǎn)程訪問企業(yè)核心應(yīng)用和網(wǎng)絡(luò)資源的能力，由于它基于標(biāo)準(zhǔn)的瀏覽器上，不需要安裝專有的客戶端軟件，從而大大降低了遠(yuǎn)程訪問的維護(hù)成本，幫助企業(yè)在有限的預(yù)算和時(shí)間里，完成全部配置工作。TLS(TransportLayerSecurity，傳輸安全加密協(xié)議層)是SSL的后繼。具有與SSL非常相似的功能，有了更多的固定標(biāo)準(zhǔn)，并遵守IETF。國內(nèi)文獻(xiàn)已報(bào)道了一些SSLVPN軟件，但多為國外公司的產(chǎn)品：標(biāo)題：宏基WalkingLanSSLVPN出處：（Internet，下載于2005年5月16日）/index.jsp?name=walkinglan&type=1&act2=11宏基WalkingLanSSLVPN特點(diǎn)包括：應(yīng)用層用戶訪問管理，支持有公用靜態(tài)IP地址和沒有公用靜態(tài)IP地址的企業(yè)，支持多種認(rèn)證機(jī)制如Radius、WindowsAD、LDAP、Localfile等，支持兩斷式使用者身份認(rèn)證如PKI、RSASecurID、動(dòng)態(tài)密碼等，不用固定PublicIP也可建置、可將資料全放在防火墻內(nèi)、只要開放向外的80及443Port即可。產(chǎn)品包括多種型號(hào)，其企業(yè)型交換型UUSwith，可提供交換功能，每一臺(tái)可支持500個(gè)并行用戶，適合沒有公用靜態(tài)IP地址以及擁有多臺(tái)發(fā)布單元的企業(yè)使用。標(biāo)題：Juniper推出SSLVPN-站式平臺(tái)出處：中國電子商情：通信市場.2004(9).-68-68Juniper網(wǎng)絡(luò)公司日前推出面向中小型企業(yè)市場的SSLVPN解決方案，意在為中小企業(yè)的遠(yuǎn)程員工接入公司內(nèi)部網(wǎng)提供一個(gè)經(jīng)濟(jì)高效、安全易于部署的解決方案。標(biāo)題：建立更安全的電子化辦公達(dá)訊AventailSSLVPN出處：新電腦.2004(11).-28-2810月18日，達(dá)訊科技分銷的AventailSSLVPN中國區(qū)新聞發(fā)布會(huì)與研討會(huì)在北京舉行，會(huì)上達(dá)訊介紹了其AventailSSLVPN產(chǎn)品及解決方案，同時(shí)探討了遠(yuǎn)程安全解決方案的應(yīng)用現(xiàn)狀、發(fā)展前景及方向。AventailSSLVPNEX產(chǎn)品包括EX-1500系列和EX-750系列，EX-1500系列為大中型企業(yè)級(jí)產(chǎn)品，可持續(xù)升級(jí)并發(fā)用戶數(shù)量，單機(jī)最高可支持1000個(gè)并發(fā)用戶，EX-750系列則是專為低于50個(gè)并發(fā)用戶的中小型企業(yè)開發(fā)的產(chǎn)品。標(biāo)題：iGateSSLVPN遠(yuǎn)程訪問系統(tǒng)——企業(yè)級(jí)的遠(yuǎn)程安全解決方案出處：軟件世界.2004(4).-116-117（美國彩虹）iGateSSLVPN將SSL加密隧道與獨(dú)有的雙因素身份認(rèn)證相結(jié)合，通過任何標(biāo)準(zhǔn)Web瀏覽器為用戶提供到公司內(nèi)部網(wǎng)絡(luò)或應(yīng)用程序的安全遠(yuǎn)程接入服務(wù)。iGate產(chǎn)品優(yōu)勢在于，首先是極強(qiáng)的安全可靠性，iGateSSLVPN采用對稱和非對稱兩種方式執(zhí)行加密操作，iGate代理服務(wù)器通常被放置在防火墻和后墻服務(wù)器之間，且只開放433端口（或80端口）。對服務(wù)器端的身份認(rèn)證使用標(biāo)準(zhǔn)SSL驗(yàn)證，對客戶端則使用MD5哈希算法的挑戰(zhàn)-響應(yīng)進(jìn)行驗(yàn)證。雙方驗(yàn)證通過后，所有的通訊均使用HTTPS協(xié)議，保證了從客戶端到iGate之間的通訊安全。然后是快速部署，易于使用，無需安裝客戶端程序。第三是適用廣泛，支持B/S和C/S應(yīng)用以及手持設(shè)備等，iGateSSLVPN能保證在任何地方訪問基于TCP應(yīng)用程序的安全，包括Web和C/S應(yīng)用，老的應(yīng)用程序，網(wǎng)絡(luò)文件傳輸和共享，終端服務(wù)，電子郵件服務(wù)以及PDA等手持無限設(shè)備。最后是具有超強(qiáng)的訪問控制管理和認(rèn)證能力，所有內(nèi)外部訪問都經(jīng)過唯一的iGateACM權(quán)限控制軟件進(jìn)行管理，為IT人員提供了更加集中且容易控制訪問權(quán)限管理工具。標(biāo)題：SSLVPN將成遠(yuǎn)程訪問技術(shù)主流出處：通信與信息技術(shù).2004(8).市場調(diào)查機(jī)構(gòu)METAGroup的數(shù)據(jù)顯示，到2005-2006年，將有80%使用者采用SSL解決方案，成為遠(yuǎn)程訪問方案的技術(shù)主流；而根據(jù)Infonetics的預(yù)估，SSLVPN的整體市場商機(jī)，將從2005年的3.6億美元，增長到2007年的5.91億美元。Juniper有關(guān)人士表示，由于員工在外遠(yuǎn)程訪問的機(jī)會(huì)越來越多，使得S