行业背景：
------VPN技术天生所固有的一些专线所不具备的特质，比如信息传输的高保密性、对移动用户接入的良好的支持等。也正因如此，VPN技术和专线技术在实际的应用中能够相互补充。VPN在电信运营行业的主要应用方向,有以下几点：1）内部办公系统（如：联通的MSS系统，即： OA系统）；2）部分运营收费系统（如：联通的BSS系统）。

客户介绍：
------中国联通山东分公司是中国联通在山东省的分支机构，成立于 1996年，负责中国联通在山东省行政区划内的网络建设和运营。目前，山东联通已实现全网覆盖 100％地市、100％县、100％重点旅游景区，可以实现的增值服务包括图像、音乐下载、网页浏览、电话会议、GPS卫星定位服务、移动商务、实时音频和视频以及其他一些信息服务。

项目介绍：
------山东联通的MSS和BSS系统VPN项目主要是以移动用户接入为主，山东省联通采用两台SJW74C构成双机热备系统，全省共有近2000多联通的内部用户。全省所有营业厅和业务受理点均通过VPN方式远程安全接入山东联通总部的BSS系统；出差及移动办公用户远程接入省联通总部的MSS系统。从互联网上接入的用户，为充分保证其身份认证的可靠性和数据传输安全，移动用户身份认证采用"帐号+短信动态口令"的方式，并且VPN系统需要和用户已有的Windows AD或LDAP服务器联动。




应用特点：

动态口令认证技术：
------动态口令认证技术是指在VPN用户在登录过程中进行身份认证时，每个正确的登录口令只能使用一次。因此，不用担心口令在传输认证期间被第三方监听到。因为正确的口令在服务器上被认证一次之后即告失效，下次再使用这个口令提交认证，将不能通过。动态口令系统的这个特点使得截获攻击无法实现。从而保护了内网服务器的信息安全。

基于短信的动态口令系统：
◆---在进行VPN登陆身份验证的时候，山东联通采用基于短信的动态口令系统具有显著的优点：
◆---◆动态口令可以解决远程登录信息系统时口令的泄漏问题。因为每个合法的登录口令只使用一次，即使用户在登录过程中的口令被监听到，也无法利用监听的口令再次登录到信息系统。
◆---◆从用户的角度来看，只需利用随身携带的手机就可以获得动态登录口令，不必增加新的硬件设备，降低了系统的成本。
◆---◆系统管理员可以及时发现非法的登录企图，为入侵的快速发现提供了一种手段。
◆---◆基于短信的动态口令通过短信接口接入短信系统。

用户管理：
------针对山东联通公司的情况，LDAP目录用来存储公司的员工信息，LDAP目录可以根据公司的组织结构来组织。LDAP目录以总公司为根目录，以不同的分公司为下一级目录，如果有需要，分公司中的不同部门形成再下一级的目录，最后的记录项保存员工的相关信息。同时，通过使用LDAP的ACL，允许总公司的管理员有对所有用户信息有读写权限，而分公司的管理员只对分公司子树中的用户信息有完全的读写权限。