在现今社会的发展中,信息技术占据了重要的位置。网络技术的发展,让信息的交换和分享突飞猛进。计算机系统的安全受到越来越多的重视。而作为系统安全的重要手段的访问控制已经涉及到操作系统,数据库,企业信息化等各个方面。目前研究最多的是基于角色的访问控制模型(RBAC)。通过在用户和权限之间加入角色,使得权限的分配更加灵活,能适应用户的频繁变动,为管理提供了便利。随着工作流在企业管理应用系统中的广泛应用,传统的基于组织结构的RBAC模型很难适应工作流中动态的工作环境。为了完成任务,角色需要频繁的转换,角色之间的继承关系愈加复杂,角色的数量激增,这些都造成权限的可控性降低。而如果基于任务来分配权限,又无法满足常规的组织结构的静态特性,一些常规的权限受到限制。根据两种基本模型的特点,本文提出了分段式RBAC模型(Separation RBACS-RBAC)。将角色的权限进行划分。用户和角色关联后得到基本权限(BasicPermission BP),角色对应的很多权限被暂时挂起,我们称这些权限为(DynamicPermission DP)。当任务实例到来时,通过授权步方式激活,角色得以在任务的生命期通过这些权限来进行数据处理,任务结束后,角色的DP被挂起。论文的主要研究工作如下:(1)分析了访问控制的理论和应用发展现状。重点对基于角色的访问控制模型进行了研究,分析了访问控制模型面临的问题;(2)分析了工作流环境下的访问控制要求,结合RBAC的发展实际,提出分段式RBAC的概念,设计S-RBAC的基本架构,并对其进行形式化的定义和描述;(3)基于对传统模型的研究,并针对工作流环境的实际,设计了相关的实现方案。给出了系统的模块组成,运作流程和数据库结构,并结合设计的原型系统给出了部分代码和运行界面。