SSLVPN软件可行性研究报告

SSLVPN软件可行性报告企业名称：江西迅驰科技有限公司企业法定代表人：谢进企业所在地：南昌市高新技术开发区高新一路金庐软件园211编写日期：2005年5月

一、项目背景在当今世界，随着各种企业网应用的日益广泛，企业网的范围也在不断扩大，从本地网络，发展到跨地区跨城市，甚至是跨国家的网络。网络的范围日渐扩大，导致在实际应用上对网络的要求也越来越高。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。而与此同时，国内公众信息网（ChinaNET与Internet）在近几年来得到高速发展，已经遍布全国各地，在物理上，各地的公众信息网都是连通的，但由于公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上会存在着很多问题。因此如何能够利用现有的公众信息网，来安全地建立企业的专有网络，就成为了现今网络应用上最迫切需要解决的一个重要课题。VPN技术的出现，为问题的解决带来了新的方向。VPN技术，也就是虚拟专网技术，是指在公共网络中建立私有专用网络，数据通过安全的“加密管道”在公共网络中传播。企业和其各地的机构只需利用VPN在公众信息网上虚拟成企业专网，就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全地连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。SSL协议是Netscape公司设计的主要用于web的安全传输协议，SSLVPN（安全套接字层加密的虚拟专用网）技术提供了一种通过任何标准Web浏览器连通到公司内部网络或应用程序的安全远程接入服务。它不需要变更原来的局域网基础设施。据市场调查机构METAGroup的数据显示，到2005-2006年，SSLVPN解决方案将占据VPN应用市场份额的80%，成为远程访问方案的技术主流。主要内容：SSLVPN软件以TCP/IP网络协议为基础，SSL/TLS（传输安全加密协议层）为核心实现数据的远程传输与安全加密，HTTP协议引导VPN服务/客户端寻址，主要包括目录服务器（备份目录服务器）、VPN网关、VPN移动、VPN安全证书管理。通过对目录服务器的设置（配置用户级别、IP地址分配、安全证书、路由表）来控制各VPN服务/客户端的连接，实现网络资源的共享和数据交换。主要用途：通过Internet将用户单位跨区域的各个分支机构、服务客户、工作人员等连接起来，以形成一个安全可靠、高度统一的、组网灵活、覆盖更广的----“内部局域专网”的专业网络支撑平台软件；是把分布在不同地区的计算机协同工作的网络支撑平台；是政府机构跨地区电子政务软件、企业进销存业务管理系统、跨企业供应链管理（SCM）系统、客户关系管理（CRM）系统的网络支撑平台软件。应用领域：物流运输、连锁机构、旅游行业、商业贸易、制造业、医疗卫生、保险行业、电力行业、房地产、政府及事业单位、电信运营业等诸多行业。二、立项依据项目领域属于电子信息>软件产品>支撑软件>支撑软件网络、计算机协同工作的支撑平台，为国家重点扶持的重点技术攻关方向，同时通过本公司对产品市场的调研，认为本项目的立项实施有着较好的经济效益和社会效益。下面通过产品的社会经济效益和产品国内外发展现状分析来简单阐述本项目的立项依据。『项目的经济意义』据调查显示，在世界排名1000家的大公司中，有超过84%的公司正在开发基于内部IP专用网的应用。在被调查的501家大公司中，已有130家采用了VPN，175家计划在未来的18个月内组建VPN。通过对最终企业客户的调查表明，企业客户对运营商的需求已经从提供简单的Internet接入过渡到可管理VPN方案和业务的需求。专家们预见，到2008年，将有105亿美元的巨大市场。随着技术的发展，基于SSL安全协议的VPN技术其应用的整体优越性远远超过了传统IPSEC协议的VPN技术，据市场调查机构METAGroup的数据显示，到2005-2006年，SSLVPN解决方案将占据市场份额的80%，成为远程访问方案的技术主流。目前，SSLVPN产品在国内只有台湾的宏基WalkingLanSSLVPN，国外也只有Juniper、Aventail、iGate等少数几家产品，本项目产品在功能实现上相比现有产品有着部分技术领先优势，其广阔的市场需求空间必然产生巨大的经济效益。『项目的社会意义』首先，企业在考虑VPN服务时，最为突出的关注是能否节省费用。当一个企业自行组建VPN时，客户的费用主要由三个部分组成：一次性投资（如开户费、设备费等）、接入费（即按用户的端口数、带宽等来收费）和通话使用费。从一次性投资和接入费来说，相比单独建设PBX或CENTREX、移动集团电话等都具有优越性。有关的机构估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%～45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%～80%。其次，企业还选择VPN服务还在于其简单便捷的特性。在传统专网上，如果客户要实现新业务应用的话，一般要求客户自己来设计应用新的技术和业务，而在VPN上，企业更集中于主营业务，提高竞争力，同时还能实现专业化程度更强的网络运行维护管理。再次，对于企业来说，采用VPN服务能实现灵活的成本管理，如果采用传统专网，客户的成本投入较大；而且，开发新业务的高成本又会提高客户在网络应用方面的边际成本。但是，如果采用VPN服务的话，则客户不需要在业务应用开发方面投入，它的成本主要来自通信使用费。企业通过VPN建立高效的内部或外部网络，除了能提高企业的运作效率、节省成本、增大企业竞争力外，还可以节省各项费用。然而，成本的节省并不是VPN的唯一优点，严格的安全控制及简便的安装更为企业带来便捷。通过VPN服务还能帮助企业客户拓展一系列基于Web的新商机。VPN不仅降低了远程访问的成本，更具战略意义：首先，VPN提供了可以对互联网延伸到的各个地方进行的访问的能力；其次，VPN支持丰富而灵活的下一代通讯。VPN最大的价值还体现在安全性上，它可以使任何被授权的客户在空闲的带宽中建立自己的安全链路。有专家指出，VPN极有可能象传真和电子邮件那样，彻底改变人们的生活。本项目产品SSLVPN率先将传输安全层加密SSL/TLS应用于传统的VPN技术，并大大提升了产品的科技含量。项目的实施符合国家产业政策和技术创新基金资助条件。通过项目产业化和大面积推广应用，有利于国产网络支撑平台软件尽快走向成熟，取代进口产品，打破国外垄断，实现Internet通讯领域内产品国产化；有利于促进企业Internet的广泛应用，提高企业服务质量，增强企业的核心竞争力，为我国各行业的持续发展助力；有利于软件行业自身加快产业升级换代步伐，努力赶超国外先进水平。『项目产品的国内外发展现状分析』摘自上海科学技术情报研究所2005年5月18日的《科技查新报告》中的检索结果部分：经上述范围的光盘和计算机国内联机检索表明：近几年来，由于应用趋向网络化发展，加密套接字协议层（SSL）作为一种新的方式出现在VPN领域，进而成为远程访问技术发展的新趋势。利用安全套接字层加密的虚拟专用网技术提供更方便地远程访问企业核心应用和网络资源的能力，由于它基于标准的浏览器上，不需要安装专有的客户端软件，从而大大降低了远程访问的维护成本，帮助企业在有限的预算和时间里，完成全部配置工作。TLS(TransportLayerSecurity，传输安全加密协议层)是SSL的后继。具有与SSL非常相似的功能，有了更多的固定标准，并遵守IETF。国内文献已报道了一些SSLVPN软件，但多为国外公司的产品：标题：宏基WalkingLanSSLVPN出处：（Internet，下载于2005年5月16日）/index.jsp?name=walkinglan&type=1&act2=11宏基WalkingLanSSLVPN特点包括：应用层用户访问管理，支持有公用静态IP地址和没有公用静态IP地址的企业，支持多种认证机制如Radius、WindowsAD、LDAP、Localfile等，支持两断式使用者身份认证如PKI、RSASecurID、动态密码等，不用固定PublicIP也可建置、可将资料全放在防火墙内、只要开放向外的80及443Port即可。产品包括多种型号，其企业型交换型UUSwith，可提供交换功能，每一台可支持500个并行用户，适合没有公用静态IP地址以及拥有多台发布单元的企业使用。标题：Juniper推出SSLVPN-站式平台出处：中国电子商情：通信市场.2004(9).-68-68Juniper网络公司日前推出面向中小型企业市场的SSLVPN解决方案，意在为中小企业的远程员工接入公司内部网提供一个经济高效、安全易于部署的解决方案。标题：建立更安全的电子化办公达讯AventailSSLVPN出处：新电脑.2004(11).-28-2810月18日，达讯科技分销的AventailSSLVPN中国区新闻发布会与研讨会在北京举行，会上达讯介绍了其AventailSSLVPN产品及解决方案，同时探讨了远程安全解决方案的应用现状、发展前景及方向。AventailSSLVPNEX产品包括EX-1500系列和EX-750系列，EX-1500系列为大中型企业级产品，可持续升级并发用户数量，单机最高可支持1000个并发用户，EX-750系列则是专为低于50个并发用户的中小型企业开发的产品。标题：iGateSSLVPN远程访问系统——企业级的远程安全解决方案出处：软件世界.2004(4).-116-117（美国彩虹）iGateSSLVPN将SSL加密隧道与独有的双因素身份认证相结合，通过任何标准Web浏览器为用户提供到公司内部网络或应用程序的安全远程接入服务。iGate产品优势在于，首先是极强的安全可靠性，iGateSSLVPN采用对称和非对称两种方式执行加密操作，iGate代理服务器通常被放置在防火墙和后墙服务器之间，且只开放433端口（或80端口）。对服务器端的身份认证使用标准SSL验证，对客户端则使用MD5哈希算法的挑战-响应进行验证。双方验证通过后，所有的通讯均使用HTTPS协议，保证了从客户端到iGate之间的通讯安全。然后是快速部署，易于使用，无需安装客户端程序。第三是适用广泛，支持B/S和C/S应用以及手持设备等，iGateSSLVPN能保证在任何地方访问基于TCP应用程序的安全，包括Web和C/S应用，老的应用程序，网络文件传输和共享，终端服务，电子邮件服务以及PDA等手持无限设备。最后是具有超强的访问控制管理和认证能力，所有内外部访问都经过唯一的iGateACM权限控制软件进行管理，为IT人员提供了更加集中且容易控制访问权限管理工具。标题：SSLVPN将成远程访问技术主流出处：通信与信息技术.2004(8).市场调查机构METAGroup的数据显示，到2005-2006年，将有80%使用者采用SSL解决方案，成为远程访问方案的技术主流；而根据Infonetics的预估，SSLVPN的整体市场商机，将从2005年的3.6亿美元，增长到2007年的5.91亿美元。Juniper有关人士表示，由于员工在外远程访问的机会越来越多，使得S