随着企业信息化的普及，信息化系统的安全性也日益得到关注。访问控制作为保证系统安全性的一个重要机制，得到了长期广泛的研究。业务流程管理系统是信息化系统中专门用于处理流程性业务的一类系统。由于业务的复杂多变性，常用的访问控制技术并不能充分满足业务流程管理系统的安全需求。 在分析了常用访问控制技术应用于业务流程管理系统中的优势与局限的基础之上，本文提出了一种面向业务流程管理领域、基于规则的访问控制模型。该模型扩展于基于角色的访问控制模型，引入了资源类型、用户属性、属性表达式、时间、周期表达式等元素及角色继承、资源从属等模型关系，并采用规则进行授权简化和约束表达。另外，本文还提出了一种逻辑语言BPMSACL作为模型元素关系及约束的描述手段。 本文还给出了模型的实现方案，并讨论了该方案与全局流程集成平台的集成方法。最后，本文以一个案例研究介绍了模型的应用方法。案例表明，模型结合逻辑语言能够正确高效地描述业务流程管理系统中的安全需求，表达力强，具备实际的应用价值。