工作流管理系统的主要目标是通过合理地调用和分配有关的信息来协调业务过程中的各个活动，以促使业务目标的高效实现。在计算机和网络使用越来越广泛的今天，工作流管理系统正吸引来自研究机构及产业界越来越多的关注。工作流管理系统中的安全包括身份鉴别、授权、访问控制、审计、数据保密性、数据完整性、不可否认和安全管理，其中鉴别和访问控制是最重要的部分。 本文在分析现有认证技术的基础之上，对基于Kerberos的工作流认证进行了改进。论文采用证书容器(Cert Container)的方式把CA证书结合进来，从而实现基于非对称密钥的认证技术，同时采用证书容器可以将证书的管理与使用相分开，便于认证的实现。 另外，在工作流访问控制中，分析了自主访问控制、强制访问控制、基于角色和基于任务的访问控制。论文在基于角色和任务访问控制基础上对RBAC96访问控制模型进行了扩展，结合职责分离原则和约束条件，提出了具有动态限制的访问控制模型RTBAC。该模型实现了静态权限分配和动态授权控制，RTBAC模型可根据工作流的任务执行过程动态地进行授权，从而保证了系统中最小特权原则。 最后，论文研究了基于Web Service的分布式工作流管理系统的安全。着重从实现安全工作流引擎的核心技术和Web Service的体系结构出发，将基于Web Service的工作流安全体系分为工作流及企业业务逻辑处理层安全、WebService的目录和注册层安全和通讯层安全，研究了不同层的安全措施，并给出了相应的实现方式。