Điều khiển truy nhập (AC: Access Control) trong nối mạng số liệu được định nghĩa là tập các chính sách và kỹ thuật điều khiển việc truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền. Các cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực. Thí dụ về các quyết định bao gồm: + Khởi đầu + Cho phép + Tiếp tục + Từ chối + Kết thúc
Tập các quy tắc và hành động quy định các quyền truy nhập đến các tài nguyên mạng được gọi là chính sách điều khiển truy nhập [5].
a. Trang bị chính sách và buộc thi hành
Các thí dụ về cơ chế trang bị chính sách theo tiêu chuẩn và ép buộc thi hành gồm có LDAP (Lightweight Directory Access Protocol), một chuẩn dùng để yêu cầu một danh mục, và RADIUS. Các định nghĩa về dịch vụ và các lệnh truy nhập đặc thù cho cả hai cơ chế này được lưu trong các cơ sở dữ liệu tập trung. Các thiết bị có trách nhiệm với các quyết định điều khiển truy nhập như các router IP, các cổng VPN và các thiết bị mạng thông minh đều
có thể truy nhập vào các cơ sở dữ liệu này. Ưu điểm chính của các phương pháp này là đơn giản và dễ quản lý cũng như cung cấp.
Việc sử dụng RADIUS sẽ liên kết quá trình nhận thực người sử dụng với điều khiển truy nhập và chọn lựa chính sách dịch vụ. Sau mỗi lần chọn lựa chính sách truy nhập, việc ép buộc thực thi có thể thực hiện tại thiết bị bằng cách yêu cầu một kho lưu chính sách sử dụng LDAP. Trong những năm gần đây một giao thức mới tên là COPS (Common Open Policy Service) đã được đề xuất để thực hiện trang bị và ra quyết định chính sách cho các thiết bị đơn giản. Việc sử dụng giao thức thức này vẫn còn rất hạn chế. Tuy nhiên nó đã được 3GPP R5 chấp nhận để nhận thực các phiên truyền thông. Đây chính là cơ chế điều khiển truy nhập cho các mạng (có thể là các VPN), được sử dụng để cung cấp các dịch vụ đa phương tiện trên các hệ thống 3G [5].
b. Cổng bắt giữ (Captive Portal)
Chức năng AC có thể được thi hành tại điểm kết cuối các giao thức truy nhập bằng cách chỉ cho phép truy nhập mạng sau khi nhận thực giao thức truy nhập thành công. Nói một cách khác có thể thi hành AC mạng thông qua phương pháp cổng bắt giữ. Phương pháp này thường được sử dụng trong các mạng truy nhập dựa trên WLAN và các mạng truy nhập băng rộng. Nó buộc các người sử dụng phải nhận thực bằng cách điền vào một mẫu biểu trên một trang Web, là nơi duy nhất họ có thể truy nhập sau khi đạt được kết nối IP. Điều này có thể được thực hiện qua chức năng chuyển hướng TCP trên các cổng 80, 8000 và 8080 thường được sử dụng cho HTTP (giao thức được sử dụng để truyền các trang Web) [5].