VPN（Virtual Private Network）虚拟专用网，是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。是一条穿过混乱的公用网络的安全、稳定的隧道。
　　用户使用VPN需要在PC机上安装一个客户端软件，该客户端和企业的VPN Server互相配合，能保证用户端到企业内部的数据是被加密，不会被监听的。



        VPN的设计目标是保护流经Internet的通信的保密性和完整性，数据在互联网上传输之前进行加密，在到达最终用户之前进行解密。但尽管如此，VPN并不完备，许多用户在使用VPN时，密码经常被窃，使整个VPN系统失去安全。这种密码盗窃是VPN中经常遭受的、最具危害性的攻击。

　　一般来说，大多数对用户身份的确认是通过用户名和固定的密码实现的，然而，固定密码容易被窃或被黑客随处可得的“Cracker”工具破译，某些软件可以自动完成猜测密码的工作，更糟糕的是，某些特定的单词，如“password”或“ok”等，经常被用做密码。

　　对密码保护的最好办法就是不要密码――不采用固定密码，采用动态密码，俗称一时一密，每个密码只能用一次，每次的有效时间只有很短的时间。



        MDCL VPN解决方案采用CISCO 路由器实现远端访问内网应用。Cisco可以采用3662,3725或7千系列产品。还可以增加VPN加速卡对数据进行有效压缩。



        建议采用Cisco ACS作为动态密码的认证服务器，需要一个支持JDBC的数据库作为保存动态密码的数据源。



动态密码的种类主要分为软件的和硬件。

        硬件的典型如一种叫Token卡的方式，企业每个用户都带一个智能卡，每次需要密码时点一下卡片，产生一个和时间有关的特殊算法的密码；该密码是别的算法或系统不可能产生的，只有本系统的认证服务能识别密码的有效性，当用户输入该密码登录时，系统会把密码传到认证服务器认证。

        MDCL-Fronline主要向用户推荐软件方式，采用短信动态密码和语音动态密码解决方案。基本原理是把用户的手机当作是用户的唯一和准确标识。当用户通过自己的手机发短信或打电话到动态密码生成器（软件模块）后，马上可以查询企业数据库，找到用户的手机号和用户名的对应关系，确认用户合法与否,并对合法用户发送动态密码。

动态密码生成后通知用户的途径有两种方式：

　　短信方式。采用Mdcl-Fronline的SMADP,可以选择GSM Modem或接入移动的短信网关，短信应用平台的介绍见《企业短信息服务应用和方案白皮书》。

        语音方式。采用Dialogic或NMS模拟语音卡，采用MDCL IVR平台。