随着工作流技术的广泛应用,工作流对安全性的要求也越来越高,而访问控制是保证工作流安全性的一个关键措施。然而现有的工作流访问控制模型存在一些不足,如最小权限约束假象、授权效率低等,不能很好的应用在实际系统中。为此,本文对工作流系统的访问控制技术进行改进,旨在提高工作流访问控制在实际应用中的安全性、灵活性、授权效率以及授权粒度。首先,本文对现有的工作流访问控制模型进行分析研究,针对现有模型存在的缺陷,提出基于跟踪的任务和角色访问控制模型T-TRBAC,在一定程度上提高了授权效率,并且较好的满足了最小权限原则。模型引入虚拟角色的概念来限制用户拥有的权限大小,为虚拟角色分配执行任务所需的最小权限,则用户在执行任务时只能够获得虚拟角色的权限;同时定义任务授权模板来限制用户拥有权限的时间长短,避免用户过早获得权限,从而更好的满足最小权限原则;然而这种推迟授权的方法可能导致某些情况下找不到合适的任务执行者而使任务无法执行,因此模型给出了动态调整授权的方法,以约束的重要程度不同为依据对授权进行动态调整,从而保证任务正常执行;另外,T-TRBAC对历史授权信息进行利用,当授权请求产生时,首先查找是否存在匹配的历史授权信息,如果有则不需要重复授权决策过程,从而提高授权效率。接着,针对工作流系统对细粒度访问控制的需求以及没有现成的细粒度访问控制方案可以很好地应用于工作流系统中,本文给出了基于T-TRBAC的细粒度访问控制方法,该方法对资源进行细化,采用不同的权限管理方式,并将得到的细粒度权限与任务相关联,从而避免了由于角色-任务关系的变动而导致细粒度权限变动的情况。最后,本文实现了T-TRBAC和基于T-TRBAC的细粒度访问控制,并将其应用于某政府部门的办公自动化系统中,通过该系统实现了日常办公流程的自动化管理。