工作流的广泛应用引起了人们对其安全问题的关注,访问控制是工作流管理联盟提出的工作流安全问题的一个重要方面,转授权是访问控制模型中一个重要的组成部分,一个完备的访问控制模型必须具有完善的转授权功能。为此,论文仔细研究了已有的转授权模型。在工作流系统中,以任务为中心,因此以RBDM0和RDM2000为代表的基于角色的转授权模型以及以PBDM为代表的基于权限的转授权模型都不适合应用在工作流系统中。已有的应用在工作流系统中的基于任务的转授权模型都指明了受托用户,但是在工作流系统中当某个用户由于生病或者出差不能执行所分配的任务而将该任务转授权的时候,他可能并不知道其他用户的工作情况,如是否在位,工作负荷大小,接受被转授权的任务是否违背职责分离原则等,因此由委托用户直接指定受托用户会出现对受托用户的选择不当。针对以上问题,论文提出了工作流系统中基于角色层次的任务转授权模型RH-TDM。在RH-TDM模型中,将系统指派给角色的任务分为可转授权私有任务、不可转授权私有任务和公有任务,公有任务可以被上级角色继承,公有任务和可转授权私有任务可以被转授权。委托用户在转授权申请中不指定具体的受托用户,只在下级角色中指定选择受托用户的角色范围,当工作流过程实例运行到被转授权的任务的实例时,由转授权服务器依据角色层次关系在转授权规则的约束下动态选择合法的用户作为受托用户执行被转授权的任务的实例,克服以往转授权模型中由委托用户指定受托用户时受托用户选择不当或者需要多步转授权的缺点。RH-TDM转授权模型提高了工作流系统转授权的安全性和有效性。本文在提出RH-TDM模型系统结构的基础上对该模型进行了形式化的描述,提出了系统的转授权规则和撤销方法,分析了该转授权模型的性能,最后介绍RH-TDM模型在工作流系统中的整体设计、数据库设计和类设计,并以某企业的采购流程为例,说明该模型在满足最小权限原则、动态职责分离原则的前提下高效可靠地实现工作流系统中的任务转授权。