Chương 1 : TỔNG QUAN
2.4 Các khối chức năng cơ bản của mạng VPN
2.4.1 Điều khiển truy nhập
Điều khiển truy nhập (AC: Access Control) trong kết nối mạng số liệu được định nghĩa là tập các chính sách và các kỹ thuật điều khiển truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền. Các cơ chế AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực.
Mục đích chính của VPN là cho phép truy nhập có đảm bảo an ninh và có chọn lựa đến các tài nguyên nối mạng từ xa. Nếu chỉ có an ninh và nhận thực mà khơng có AC, VPN chỉ bảo vệ tính tồn vẹn, tính bí mật của lưu lượng được truyền và ngăn cản các người sử dụng vơ danh sử dụng mạng, nhưng khơng quản lí truy nhập các tài nguyên nối mạng. AC thường phụ thuộc vào thông tin mà thực thể yêu cầu kết nối ở dạng nhận dạng hay chứng chỉ cũng như các quy tắc định nghĩa AC. Chẳng hạn một số VPN có thể được điều hành bởi một server tập trung hay thiết bị điều khiển VPN khác đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay có thể cổng VPN quản lí địa phương trong các mạng liên quan đến thông tin VPN.
Tập các quy tắc và các quy luật quy định các quyền truy nhập đến các tài nguyên mạng được gọi là chính sách điều khiển truy nhập. Chính sách truy
cập đảm bảo mục đích kinh doanh, chẳng hạn, chính sách “Cho phép truy nhập cho các thuê bao chưa vượt quá 60 giờ sử dụng” có thể thực hiện bằng cách sử dụng nhận thực dựa trên RADIUS (Remote Authentication Dial-in
User Service: Dịch vụ nhận thực người dùng quay số từ xa) và sử dụng một bộ đếm thời gian mỗi khi người sử dụng truy nhập. Về mặt lí thuyết có thể sử dụng bản tin RADIUS DISCONNECT (tháo gỡ kết nối radius) để ngắt phiên của người sử dụng khi đã vượt quá 60 giờ, tuy nhiên đơi khi chính sách này chỉ được áp dụng tại thời gian đăng nhập, khi tin tưởng người sử dụng không thường xuyên ở trình trạng đăng nhập, hay bằng cách đặt ra một giới hạn phiên như bên trên của mức độ sử dụng khi vượt quá thời gian cho phép cực đại. Có thể thực hiện các chính sách tương tự bằng cách thay giới hạn thời gian bằng một giới hạn tính chỉ có thể liên quan đến tài khoản trả trước.