随着工作流系统应用的普及,越来越多的不安全因素被发现,因此工作流系统的安全机制就成为一个很重要的研究课题,而其中研究的重点就是安全工作流系统的授权和访问控制技术.传统的自主、强制以及基于角色的访问控制(RBAC)都是建立在主体-客体访问控制思想上的.它们的静态授权不能与应用中的工作流程紧密相联,很难及时而准确的进行权限的授予和回收.因此需要一种动态的访问控制机制来实现授权与工作流的同步,工作流授权模型(WAM)和基于任务的访问控制(TBAC)就是两种实现了动态授权的基于工作流的访问控制技术.相比较而方,TBAC的抽象层次比WAM高,语义也更加丰富,很接近现实世界的授权,是目前最好的工作流授权思想,但从另一方面来看,其授权策略复杂,模型远没有WAM简单和形式化.因此在构造安全工作流管理系统的授权机制时,可以考虑结合多种访问控制技术的优势进行系统的安全配置,如采用WAM的一些思想进行工作流和任务模板的定制,以TBAC为基础进行授权策略定义,借鉴RBAC的部分思想进行用户、角色管理,将授权机制与系统中的约束规则相结合共同作为许可颁发和撤消的重要根据等.