随着网络技术的发展,信息由原来的集中存储转为分布式存储。当今我们所面临的计算环境是一个包含分布性、异构性、自治性、动态性特征的多自治域环境。随着需求的不断增加以及多变,越来越多的企业和用户使用的资源涉及多个自治域,这对工作流安全提出了新的挑战。多自治域环境下,工作流可能由位于不同自治域的子任务组成。为了保证工作流任务安全执行,工作流访问控制策略是异构策略的时序组合,其基本需求是实现一定的访问主体在一定的时间段或者时间周期内对一定的客体的访问权限。多自治域中子任务可供选择的安全策略可能有多种,如何选取出一个安全级别高、风险等级低的策略对于整个工作流的安全执行有极大帮助。XACML(eXtensible Access Control Markup Language)是应用最广泛的策略描述语言。但存在不能系统、方便表示异构策略组合的时态约束和没有对策略的风险等级差异进行描述,最终无法体现组合后的策略安全等级两个问题。GTRBAC(Generalized Temporal Role-Based Access Control)完整、细致描述了访问控制策略时态约束。基于以上提出的第一个问题,本文首先基于GTRBAC提出的时态约束种类,系统地把时态约束概括为周期时态约束和持续时态约束两种,并配合图形加以说明。根据概括的时态约束,定义周期时态策略和持续时态策略,并加以形式化描述。分析获取定义的两种时态策略依赖的关键特征,为了保持与扩展以前的XACML兼容,在XACML条件元素中引入对应时态策略特征元素,以系统、直观地描述策略组合时态约束,最后利用扩展的XACML描述相关图形实例。同时本文给出了的策略风险属性的具体量化方法,通过引入风险属性等相关特征元素扩展XACML,直观描述策略之间的风险差异,进而给出了基于风险属性的策略组合算法以及策略组合后安全等级的形式化描述方法。通过形式化证明基于风险的策略组合满足策略的完整性、一致性和确定性以及安全性分析说明基于风险的策略组合模型满足策略的自治性和安全性两个最重要原则。最后,本文通过一个网络购物实例分析说明扩展后的XACML能直观、方便地描述策略组合时态约束以及策略的风险差异,并最终给出了通过各个策略风险值推导出整体策略的风险等级的安全策略模型。