Điều khiển truy nhập (AC: Access Control) trong nối mạng số liệu được định nghĩa là tập cỏc chớnh sỏch và kỹ thuật điều khiển việc truy nhập đến cỏc tài nguyờn nối mạng riờng cho cỏc phớa được trao quyền. Cỏc cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa cỏc tài nguyờn nào khả dụng cho một người sử dụng cụ thể sau khi người này đó được nhận thực. Trong VPN, cỏc thực thể vật lý như cỏc mỏy trạm ở xa, tường lửa và cỏc cổng VPN trong cỏc mạng thuộc hóng tham dự vào cỏc phiờn thụng tin thường chịu trỏch nhiệm hoặc tham gia đảm bảo trạng thỏi cỏc kết nối VPN. Thớ dụ về cỏc quyết định bao gồm: + Khởi đầu + Cho phộp + Tiếp tục + Từ chối + Kết thỳc
Mục đớch chớnh của VPN là cho phộp truy nhập đảm bảo an ninh và cú chọn lựa đến cỏc tài nguyờn nối mạng từ xa. Nếu chỉ cú an ninh và nhận thực mà khụng cú AC, VPN chỉ bảo vệ tớnh toàn vẹn, bớ mật của lưu lượng được truyền và ngăn cản những người sử dụng vụ danh sử dụng mạng, nhưng khụng cho phộp truy nhập cỏc tài nguyờn mạng. AC thường phụ thuộc vào thụng tin mà thực thể yờu cầu kết nối, như nhận dạng hay tớn chỉ, cũng như cỏc quy tắc định nghĩa quyết định AC. Chẳng hạn một số VPN cú thể được điều hành bởi một server tập trung hay thiết bị điều khiển VPN khỏc được đặt tại trung tõm số liệu của nhà cung cấp dịch vụ, hay nú cú thể được quản lý cục bộ bởi cổng VPN trong cỏc mạng cú liờn quan đến truyền thụng VPN.
Tập cỏc quy tắc và hành động quy định cỏc quyền truy nhập đến cỏc tài nguyờn mạng được gọi là chớnh sỏch điều khiển truy nhập. Chớnh sỏch điều khiển truy nhập đảm bảo mục đớch kinh doanh. Chẳng hạn, chớnh sỏch "Cho phộp truy nhập cho cỏc thuờ bao từ xa khụng vượt quỏ 60 giờ sử dụng" cú thể được thực hiện bằng cỏch sử dụng nhận thực dựa trờn RADIUS và sử dụng một bộ đếm thời gian mỗi khi người sử
dụng truy nhập. Về mặt lý thuyết (xem [RFC2882]) cú thể sử dụng bản tin RADIUS DISCONNECT (ngắt kết nối radius) để ngắt phiờn của người sử dụng khi vượt quỏ 60 giờ, nhưng đụi khi chớnh sỏch này lại được ỏp dụng tại thời gian đăng nhập (Logon) (chứ khụng phải tại thời điểm truy nhập) do người sử dụng khụng thường xuyờn ở tỡnh trạng đăng nhập, hay bằng cỏch đặt ra một giới hạn khoảng thời gian của một phiờn. Cú thể thực hiện cỏc chớnh sỏch tương tự bằng cỏch thay đổi giới hạn thời gian bằng một giới hạn tớn dụng liờn quan đến tài khoản trả trước.
2.3.1.1. Trang bị chớnh sỏch và buộc thi hành
Cỏc thớ dụ về cơ chế trang bị chớnh sỏch theo tiờu chuẩn và ộp buộc thi hành gồm cú LDAP (Lightweight Directory Access Protocol), một chuẩn dựng để yờu cầu một danh mục, được định nghĩa bởi [RFC2820], [RFC2829] và RADIUS. Cỏc định nghĩa về dịch vụ và cỏc lệnh truy nhập đặc thự cho cả hai cơ chế này được lưu trong cỏc cơ sở dữ liệu tập trung. Cỏc thiết bị cú trỏch nhiệm với cỏc quyết định điều khiển truy nhập như cỏc router IP, cỏc cổng VPN và cỏc thiết bị mạng thụng minh đều cú thể truy nhập vào cỏc cơ sở dữ liệu này. Ưu điểm chớnh của cỏc phương phỏp này là đơn giản và dễ quản lý cũng như cung cấp. Với LDAP, cỏc thay đổi chớnh sỏch cú thể được thực hiện bởi cả nhà cung cấp dịch vụ lẫn nhà quản lý IT của hóng bằng cỏch truy nhập đến một server cú chứa một cơ sở dữ liệu riờng thay vỡ cung cấp lại thụng tin được lưu trờn rất nhiều phần tử mạng.
Việc sử dụng RADIUS sẽ liờn kết quỏ trỡnh nhận thực người sử dụng với điều khiển truy nhập và chọn lựa chớnh sỏch dịch vụ. Sau mỗi lần chọn lựa chớnh sỏch truy nhập, việc ộp buộc thực thi cú thể thực hiện tại thiết bị bằng cỏch yờu cầu một kho lưu chớnh sỏch sử dụng LDAP. Trong những năm gần đõy một giao thức mới tờn là COPS (Common Open Policy Service, [RFC2748]) đó được đề suất để thực hiện trang bị và ra quyết định chớnh sỏch cho cỏc thiết bị đơn giản. Việc sử dụng giao thức thức này vẫn cũn rất hạn chế. Tuy nhiờn nú đó được 3GPP R5 chấp nhận để nhận thực cỏc phiờn truyền thụng. Đõy chớnh là cơ chế điều khiển truy nhập cho cỏc mạng (cú thể là cỏc VPN), được sử dụng để cung cấp cỏc dịch vụ đa phương tiện trờn cỏc hệ thống 3G.
2.3.1.2. Cổng bắt giữ (Captive Portal)
Chức năng AC cú thể được thi hành tại điểm kết cuối cỏc giao thức truy nhập bằng cỏch chỉ cho phộp truy nhập mạng sau khi nhận thực giao thức truy nhập thành cụng. Núi một cỏch khỏc cú thể thi hành AC mạng thụng qua phương phỏp cổng bắt giữ. Phương phỏp này thường được sử dụng trong cỏc mạng truy nhập dựa trờn WLAN và cỏc mạng truy nhập băng rộng. Nú buộc cỏc người sử dụng phải nhận thực bằng cỏch điền vào một mẫu biểu trờn một trang Web, là nơi duy nhất họ cú thể truy nhập sau khi đạt được kết nối IP. Điều này cú thể được thực hiện qua chức năng chuyển hướng TCP trờn cỏc cổng 80, 8000 và 8080 thường được sử dụng cho HTTP (giao thức được sử dụng để truyền cỏc trang Web).
Chức năng chuyển hướng TCP, được cài đặt trờn một thiết bị mạng hay một router thụng thường tại biờn của VPN (hay một mạng IP bất kỳ), sẽ giỏm sỏt tất cả cỏc gúi IP chuyển lờn lớp truyền tải. Nếu giao thức là TCP và số cổng là HTTP, địa chỉ nơi nhận của mạng và tiờu đề HTTP được thay đổi để yờu cầu trang Web phự hợp với trang Web đầu vào cổng chớnh. Một phương phỏp khỏc được sử dụng khi thiết bị mạng khụng được thiết kế để hoạt động tại mức ứng dụng, bản thõn cổng chớnh cú thể hiểu được để luụn luụn đỏp trả cỏc yờu cầu HTTP đến từ cỏc địa chỉ IP khụng đăng ký (khụng được phộp) bằng cỏc phỏt đi trang Web đăng ký thụng qua HTTP. Khi đó thu thập chứng nhận và nhận thực thành cụng người sử dụng, cổng chớnh thụng bỏo cho thiết bị mạng và thiết bị này đưa lờn chức năng chuyển hướng TCP và để cho lưu lượng người sử dụng qua tự do, tất nhiờn chỉ đến khi xảy ra một sự kiện nào đú sau đõy: bộ định thời người sử dụng khụng tớch cực, thời gian sử dụng hay giới hạn lưu lượng bị vượt quỏ, khoảng thời gian được phộp trước khi nhận thực mới được yờu cầu, hay thậm chớ việc chuyển hướng đến một trang quảng cỏo nào đú khụng làm thay đổi trạng thỏi này.
Chỳng ta sẽ khụng đi sõu vào cỏc chi tiết khụng liờn quan đến mục đớch chớnh của chương này, nhưng cú thể thấy rằng việc thực hiện điều khiển truy nhập AC núi trờn ngày càng trở nờn phổ biến do sự chuyển dịch cỏc cụng nghệ truy nhập vào cỏc mụi trường quảng bỏ như WLAN, và sự chia sẻ cỏc tài nguyờn mạng truy nhập cú thể cần một giai đoạn lựa chọn nhà cung cấp trước khi bắt đầu sử dụng dịch vụ. Ngoài ra khi lựa chọn nhà cung cấp, người sử dụng cú thể được nhắc nhở trờn một trang Web thứ hai (mang tớnh cỏ nhõn) về lý lịch tài khoản của người này, cỏc hoạt động quảng cỏo và cỏc đường nối đến cỏc đối tỏc cung cấp cỏc dịch vụ hấp dẫn khỏc. Chức năng này cú thể được đặt tại cỏc VPN hay cỏc mạng dịch vụ và khụng thể truy nhập được chừng nào giai đoạn AC dựa trờn cổng bắt giữ (captive portal) chưa được tiến hành thành cụng.
Một số nhà cung cấp dịch vụ thậm chớ khụng sử dụng sự phức tạp của captive portals dựa trờn chuyển hướng TCP, cú thể vỡ thiết bị của họ chỉ kiểm tra cỏc gúi ở mức lớp mạng và chỉ cú thể được lập cấu hỡnh để cho phộp truy nhập đến một số nơi nhận của lớp mạng. Thay vào đú họ đảm bảo truy nhập cho cỏc người sử dụng nếu họ chỉ ra cho cỏc bộ trỡnh duyệt của mỡnh về một URL được in trờn card đăng ký hay card trả tiền trước mà họ nhận được. Sau khi đó qua giai đoạn nhận thực, mạng cho phộp người sử dụng được nhận dạng bằng địa chỉ nguồn IP (hay cả nhận dạng MAC lớp 2) và cú thể truy nhập thành cụng đến tất cả cỏc đớch.