工作流是针对工作中具有固定程序的常规活动而提出的一个概念。通过将工作活动分解成定义良好的任务、角色、规则和过程来进行执行和监控，达到提高生产组织水平和工作效率的目的，为企业更好地实现经营目标提供了先进的手段。然而在现代企业信息资源异构、分布、松散耦合的环境下，传统的工作流系统必然向分布式方向发展。移动Agent技术的出现为构建工作流系统提供了更好的选择。通过利用代码在网络节点间自主搜集和处理信息，移动Agent具有减少网络流量、适合于移动用户、有利于数据集成、具有并行机制等优点。基于移动Agent技术实现的工作流系统可以在一定的程度上解决传统工作流系统目前在性能及应用上的不足。但以移动Agent为范型构造的迁移实例所具有的可迁移性带来的安全隐患也为迁移工作流系统安全提出了更大的挑战。因此，建立相应的安全机制以尽量减少安全隐患，成为迫切需要解决的问题。 在迁移工作流系统中，由于迁移实例的迁移所引发的安全问题可分为工作位置安全问题和迁移实例安全问题两类。在传统的工作流系统中，由于工作位置的固化并不存在任务执行体的安全问题。而在迁移工作流系统中，作为任务执行体的迁移实例无论是在迁移过程中还是在异地工作位置上的执行过程中都存在着代码、数据及状态被窃取或篡改的安全威胁。 基于以上研究背景，本文主要讨论了迁移实例安全问题。按照迁移实例在迁移过程中存在的遭受窃取或篡改破坏的安全威胁，提出了适合于迁移工作流管理系统的迁移实例安全的解决方法，通过保障迁移实例的私密性和完整性来达到保护迁移实例的目的。 在迁移实例的私密性方面，通过对有限时间黑匣子的研究提出了相应可行的混淆变换，通过混淆变换在迁移实例上的应用减小迁移实例可读性，从而隐藏迁移实例内部的代码、数据和状态。在此基础上基于生物免疫原理为迁移实例构造一个免疫体来实现迁移实例完整性检测。论文对免疫体进行了形式化描述，详细介绍了其中各功能模块的构造以及对相关参数进行了分析。最后，为迁移实例构造了一个安全模型，并给出实现中的主要类设计。该安全模型将两种威胁防护方法相结合，从整体上增强迁移实例抵御外部破坏的能力。