一、訪問控制技術的概念和特點

訪問控制技術(AC)是針對越權使用資源的防禦措施，即判斷使用者是否有許可權使用或更改某一項資源，並且防止未授權者濫用資源。

通常包含以下三方面含義：

1.機密性控制：保證資料資源不被非法讀出

2.完整性控制：保證資料資源不被非法增刪改

3.有效性控制：保證資料資源不被非法主體使用和破壞

一個AC系統一般包括主體（通常是使用者或者使用者程序）、客體（通常是被呼叫的程式或欲存取的資料訪問）、安全訪問策略。

二、訪問控制分類

1.強制訪問控制MAC：

系統強制主體服從事先制定的訪問控制策略，在MAC系統中，所有的主體和客體都事先被分配了安全標籤以標識一個安全等級，當主體訪問客體時，呼叫強制訪問控制機制，根據主題的安全等級與訪問方式，比較主體的安全等級和客體的安全等級，從而確定是否允許主體對客體的訪問。MAC一般使用在軍方等具有明顯等級觀念且安全性要求高的領域。

2.自主訪問控制DAC：

DAC是在確認主體身份及所屬組的基礎上，對訪問進行限定的策略。在這種方式下，主體可按照自己的意願精確指定系統中的其他主體對客體的訪問權。

3.基於角色的訪問控制RBAC

略

4.基於任務的訪問控制TBAC

略

三、AAA技術

AAA包含三個方面：認證、授權、審計

AAA協議包含RADIUS和TACACS+兩種，眾多廠商都支援AAA協議。

四、VPN概述

VPN(虛擬專用網)是指利用密碼技術和訪問控制技術在公共網路中建立的專用通訊網路，在VPN中，使用者好像使用一條專用線路進行通訊。

一個高效、成功的VPN必須滿足如下要求：

1.安全保障

2.服務質量保證

3.可拓展性和靈活性

4.可管理性

VPN的型別

1.遠端訪問虛擬網 Access VPN

2.企業內部虛擬網 Intranet VPN

3.企業拓展虛擬網 Extranet VPN