随着信息技术的发展和在经济社会各领域不断深化的应用,信息技术对生产力以至于人类文明发展的巨大作用越来越明显,计算机网络及信息系统在企事业单位的运作中发挥着越来越重要的作用。在此背景下,工作流技术受到了企事业单位和学者们越来越多的关注,将工作流技术应用到应用系统中逐渐成为计算机领域的一个新的研究热点。而随着工作流技术给为企事业单位带来了高效的管理能力,工作流管理系统的安全问题也日益暴露,系统的安全机制成为社会信息化过程中所要解决的首要问题之一。由于工作流管理系统的本质是一系列有规则、有顺序的业务流程的执行,而且在工作流管理系统中,业务流程的执行需要多用户参与并协同工作、共享资源等,因此,工作流管理系统不仅要阻止非法用户访问系统资源,还要维护内部合法用户的正确授权、访问,以及权限的动态分配与收回。而访问控制技术正是有效解决这个保障系统资源及信息安全的首要选择,所以,安全机制领域中的访问控制技术是本文的研究课题。在本文中,首先研究了工作流技术以及众多学者和机构提出的工作流管理系统参考模型,重点研究了由工作流管理联盟提出的工作流管理系统参考模型的结构。其中,对于工作流系统中的管理及监控工具模块的访问控制功能进行了详细研究,对业界现有的各种访问控制策略进行了详细分析,着重研究了基于角色的访问控制模型RBAC模型、基于任务的访问控制模型TBAC模型。然后,针对工作流管理系统的特性,分别探讨了RBAC模型和TBAC模型的优势和不足,说明直接采用RBAC模型或者TBAC模型均满足不了工作流系统的访问控制需求。又针对现代企业管理中经常会有上下级之间直接指派任务或者涉及到一些敏感信息的时候,就需要一种垂直管理、水平约束的经营模式,鉴于此,本文对传统RBAC模型中的角色定义进行扩充,加入势约束和企业架构中的树状结构,即将角色模型改进为具有势约束的树状细粒度角色模型。最后,本文综合了RBAC模型、具有势约束的树状细粒度角色模型和TBAC模型的优势,提出了一种基于树状粒度角色-任务的访问控制模型T&TG-RBAC模型,给出了T&TG--RBAC模型的模型图、相关概念和定义。最后,将T & TG-RBAC模型应用到中国电信广东公司骨干库管理系统中,并介绍了该系统的开发架构、功能架构和安全性设计等,重点分析了系统的访问控制模块,验证了该模型在工作流管理系统中的适用性,可以满足工作流管理系统中权限管理工作的复杂性需求。