业务流程是由不同的实体为达到特定价值目标而共同完成的一系列活动，是服务组合的一种实现方式，可对服务的功能进行集成。业务流程的应用使得跨地区、跨组织的业务协作成为可能，其访问控制作为业务流程安全的基本问题，一直是业务流程管理领域研究的热点。为了满足业务流程访问控制在动态性、灵活性和可扩展性方面的要求，在深入分析研究现状的基础之上，研究了面向业务流程的访问控制模型、权限委托机制、策略描述等关键技术。主要内容包括：1.建立了面向业务流程的访问控制模型TABAC。针对业务流程对访问控制动态性的要求，将基于任务的访问控制模型和基于属性的访问控制模型相结合，提出了面向业务流程的访问控制模型TABAC。对模型的元素、关系、规则和工作过程等进行了描述，并利用图变换理论对模型的动态性和合理性进行了分析。通过实例介绍了TABAC模型在实际系统中的应用，该实例表明，TABAC模型相比于其它模型更能适应业务流程动态访问控制的需求。2.提出了支持属性约束的权限委托机制ARDM。为了提高业务流程访问控制系统权限管理的灵活性，在TABAC模型的基础上提出了一种支持属性约束的权限委托机制ARDM。权限的拥有者可以通过委托的方式将流程任务的执行权力转移给其它用户，使后者按照委托获得的权限执行相关的任务。使用先决条件、受托条件和撤销条件等对委托者和受托者的能力进行约束，解决了权限委托随意性的问题；分析了委托过程中可能出现的三类冲突委托，讨论了冲突产生的原因，设计了高效的冲突检测算法并给出了冲突处理方法，保证了委托的一致性。3.研究了支持权限委托的业务流程访问控制策略。基于XACML标准，描述了面向业务流程的访问控制策略实施过程，根据业务流程的状态对流程中的策略进行管理；对XACML的策略模式进行了扩展，使其能够描述委托策略，实现策略与业务流程状态的关联，并支持任务级最小特权的实现；给出了两种策略决策优化方法，针对策略集合中无效策略数量过多的问题，提出逐步裁减法以实现减少策略元素比对次数的目的；针对策略集合中委托策略数量过多且需要验证可信性的问题，采用信任关联法减少策略匹配的次数，有效提高了策略决策的效率。4.设计并实现了公文流转系统中访问控制关键模块。分析了基于WS-BPEL公文流转业务流程的访问控制需求，并针对公文流转系统设计了访问控制架构，给出了其中属性管理、策略管理和访问控制实施等关键模块的具体实现方法。