访问控制的功能主要有,防止非法的主体进入受保护的网络资源,允许合法用户访问受保护的网络资源,防止合法的用户对受保护的网络资源进行非授权的访问等。访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。从一个商业的角度来看,这个目标也可以根据最佳的信息共享来描述。毕竟,IT的主要目的是使用户和应用可以获得信息。更大程度的资源共享会阻碍资源的保护,在现实中,个组织良好、有效的访问控制系统确实促进了共享,充分细粒度的访问控制机制可以使选择性信息共享变成现实。本文从分析现有访问控制技术开始,先介绍访问控制中的几个重要概念,包括策略、模型和机制,然后介绍现有的几种访问控制技术：DAC、MAC、RBAC、XACML等,并且分析了这几个机制的优势和局限性。NETCONF远程网络配置协议目前还缺少访问控制模型,XACML是基于XML的访问控制标准,受到业界的广泛支持,本文将描述如何使用XACML为NETCONF提供细粒度的访问控制。在NETCONF系统中实现访问控制功能是由第三方包PDP实现的。PDP使用xacml形式的策略对资源进行授权,并对请求进行验证。PDP的输入是xacml格式的请求,输出是xacml格式的应答,应答是对请求的验证决定,即允许访问还是拒绝访问。我们将PDP应用于NETCONF系统,实现时必须在NETCONF中请求和应答的表达与XACML格式的请求和应答间进行转换。本文的重点是介绍如何将XACML部署在NETCONF实验平台(BUPT-NEP)上,这主要包括两方面,一个是如何部署策略,另外一个是如何进行权限的验证。本文在结合的过程中,致力于改进现有的验证授权方式,所以在最后一部分提出了两个方面的改进策略。不过,本文所提及的内容还只是整个访问控制研究领域的“冰山一角”,应该说,该领域还存在进一步发掘的巨大价值。