随着计算机网络的快速发展，网络安全问题逐渐成为全社会共同关注的话题。当前网络安全形势严峻，其中内网安全问题尤其突出。根据相关调查显示，网络安全问题带来的损失大多数与内部威胁有关，内部威胁导致的损失远大于外部威胁。但是传统的网络安全威胁模型假设内网的人和设备都比外网的安全可信，认为网络安全威胁主要来自网络外部。基于这种假设，已有的大多数网络安全设备基本部署在内部网络与外部网络之间，主要用于防御来自外部的攻击。而针对内部终端威胁的网络访问控制技术，因其对终端控制的粒度粗、不支持权限的动态调整等问题，很难做到对现有内网安全威胁进行有效防御。　　为了解决以上问题，本文利用SDN的数控分离和网络可编程等特性，提出了一种基于SDN的自适应网络访问控制方法。首先基于SDN控制器实现终端的统一认证，并基于认证结果和终端访问的服务建立相应的访问路径，控制粒度可以达到服务级别;其次利用SDN能够进行牵引流量的优势，按需动态地将网络安全防护设备编排进终端访问网络的路径上，将网络整体防御策略落实到终端访问网络的不同路径上;最后，利用层次分析法，根据终端流量特征对终端的信任度进行建模和评估。并根据终端当前的信任度评估结果动态地调整网络防御路径，从而实现对内部威胁的自适应防护。　　本论文主要贡献如下:　　1.利用SDN控制器实现了对内网终端的统一认证。终端在接入网络时进行统一认证，并根据本次认证结果来确定其对网络中的服务的访问权限，同时结合终端访问的服务为其动态地创建访问路径，避免其他服务被非法访问;　　2.提出了基于信任度的网络访问路径动态授权方法。利用SDN具备牵引流量的功能优势，按需动态地将网络安全设备编排进终端访问网络的路径形成网络防御路径，将网络整体防御策略落实到终端访问网络的不同路径上。在终端访问网络的过程中实时监控终端的行为，利用层次分析法，建立信任度评估模型以计算终端信任度，根据终端当前信任度的评估结果对网络防御路径进行自适应地规划和选择。　　3.设计了基于SDN的自适应网络访问控制系统架构，并完成了原型系统的开发。将上文中提出的统一认证方法和访问路径动态授权方法在一个系统中进行了开发实现，并通过模拟实验测试了系统的功能和性能。　　本课题的研究可以有效解决现有网络访问控制技术存在的诸多问题，为内网业务的访问控制提供一种安全高效的参考实现，从而有效防御内部威胁，保障内网安全。