随着网络规模的不断扩大,异构性的不断增强,传统的网络管理协议SNMP(简单网络管理协议)逐渐暴露出难于进行网络配置管理和安全性差的问题。针对这些问题,2006年12月IETF提出了一个基于XML的网络管理标准,即网络配置协议(NETCONF)。NETCONF协议使用XML描述消息报文和管理数据,网络管理者能够方便地读取、保存和操作这些数据。尽管NETCONF协议有很多优点,但在安全性方面NETCONF并没有一种访问控制机制,因为这种机制必须与数据模型紧密关联。本文在基于NETCONF协议的网络管理原型系统BUPT-NEP上研究针对NETCONF的访问控制机制。首先对现有的访问控制机制进行介绍,然后选取强制访问控制(MAC)、基于角色访问控制(RBAC)、可扩展标记语言访问控制(XACML)这三种访问控制机制在BUPT-NEP系统上进行实现。在实现的过程中,找到每种访问控制机制与NETCONF的结合点,实现针对XML文档的细粒度的访问控制。在实现强制访问控制(MAC)机制时将策略作为原系统的一个模块,基于角色访问控制(RBAC)机制通过授权资源XPath表达式与请求资源XPath表达式进行字符串匹配进行验证,可扩展标记语言访问控制(XACML)机制实现时则充分利用其可扩展性的特点,对属性和函数进行扩展,实现针对NETCONF子树过滤RPC的访问控制。本文在实现这三种访问控制机制外,还通过实验对这三种机制进行了对比分析,对它们在BUPT-NEP系统上的性能进行了评估。