随着企业信息系统的发展,工作流系统的访问控制问题越来越引起研究者的关注。目前,在基于工作流的访问控制技术中大都采用以角色为基础的访问控制模型。当前研究的一个主要工作是在RBAC参考模型之上扩展的表达能力,然而其重点几乎都集中在对权限和角色的表达能力的扩展上,对于用户(User)却很少有深入的研究。一个应用软件系统开发的目的就是为特定问题域中的用户提供所需的特殊服务,使用户通过人机交互能安全高效地履行其角色的职责。因此,扩展用户集的表达能力是一个非常值得关注的重要问题,尤其是在基于工作流的访问控制技术中,而当前的研究几乎都忽略了这一点。此外,在RBAC应用于诸如工作流系统的研究中,很少考虑企业组织结构对RBAC实现的影响,对于企业信息系统中角色和权限的特点也未作研究,而如何设置角色与权限对一个实际系统实施基于角色的访问控制起着至关重要的作用。本论文对工作流系统访问控制技术进行了较深入的研究。通过分析影响工作流系统访问控制的各种因素,在借鉴传统访问控制模型的基础上,从用户角度出发,引入企业人员的组织方式,提出了基于用户集扩展的角色访问控制模型,从而扩展了用户集的表达能力、考虑了企业组织结构对访问控制实现的影响,并以此为基础,将静态和动态授权融合在同一个访问控制系统之中,进而结合了当前被动和主动安全模型的优点。访问控制的实现是本文的另一个研究重点。通过较深入的研究与分析目前各种不同的实现访问控制的方法,本文针对被动式的基于角色访问控制在企业环境中的应用,设计出了一种基于加密权限代码的访问控制方法,并利用加密技术,以提高权限数据的安全性。文中结合信息系统开发实例,详细介绍了该方法在被动式的基于角色访问控制中的实现原理及其使用方法。最后,对该方法在主动式的基于任务访问控制中的应用进行了探讨。该方法已应用于《旅馆业治安管理信息系统》,此软件已通过公安部安全与警用电子产品质量检测中心(公京检062038号)的检测,且在应用中取得了较好的效果。