出于安全性考虑，一般不允许用户从外部访问公司内部服务器，同时企业网的地址空间规划与因特网也完全不同，因此无法使用很多业务系统，比如：网络管理系统、企业资源规划（ERP）系统、Notes服务器、办公自动化系统（OA）等，这会大大限制用户对企业网络资源的使用。

远程访问VPN充分利用了因特网资源，通过共享的IP网络承载用户业务，使业务成本大大降低，但这也同时带来了一些安全问题：

口令失窃，黑客冒充正常用户进入内部网络；

静态口令相对固定，可反复使用，因而易被泄露；长度较短，易遭试探攻击；

在外面出差密码忘记了，影响了正常工作；

笔记本被人借着使用，冒充合法用户进入公司内部网络。

为了解决这些安全问题，需要一套完整的VPN安全解决方案，包括：

密码一次使用失效，下次使用自动分发新密码；

集中的账号管理系统（UAM）；

统一的身份认证平台。

二、系统概述
众川科技通过对用户需求的认真分析，相继开发了动态口令管理系统、集中账号管理系统（UAM）、统一的身份认证服务器，针对VPN用户需求的特点，为了彻底解决VPN应用所带来的安全隐患，我们设计了完整的VPN动态口令安全身份认证解决方案。

VPN动态口令身份认证系统是一个功能强大的动态口令身份认证管理系统，它集认证与管理于一身，极容易扩展，适用于对本地或远程登录、VPN以及电子商务等用户的身份验证。

VPN用户从Internet远程访问内部网络，需要对用户身份进行认证，允许合法的用户访问网络，不合法的用户不允许访问。密码通过远程网络传输有被黑客拦截的危险，而采用动态口令作为密码，真正做到一次一密，即每次用户通过身份认证后本次密码立即失效。用户下次登录时，通过VPN客户端获得新的密码，并通过手机短信将新密码发送给用户。

三、适用对象
金融、证券、电子商务、电信、电子政务、网上银行、电子邮件、国防工业系统、军队等机要企事业单位、互联网游戏等大规模用户的网络登录服务、大中型企业。

四、系统组成
VPN动态口令身份认证系统主要由以下几个主要模块组成：认证系统管理员界面、帐号管理服务器（UAM）、RADIUS认证服务器、NAS（网络接入服务器采用带VPN功能的防火墙，例如：NOKIA IP380）、ORACLE数据库管理系统、VPN客户端、防火墙管理软件（例如：NOKIA防火墙软件Checkpoint Express）。

五、系统特色

系统高安全性

充分运用共享密钥技术、数据包验证技术、隐藏算法等安全措施保证系统的安全性。

集中身份认证

通过认证服务器，统一认证来自网关设备的VPN用户认证请求。

多数据库访问接口

可以提供包括ORACLE、MySQL等多种数据库接口。

统一WEB配置管理界面

采用统一的WEB配置管理界面，方便管理员对用户账号和口令策略进行管理。

动态口令，一次一密

采用动态口令技术，口令一经使用即刻失效，保证每一次都是新的口令。

多种响应方式

支持手机短信和电子邮件等即时响应方式，方便用户即时获得一次登录口令。

六、系统部署图

七、成功案例
某省移动公司