摘要：传统的基于角色的访问控制应用于电力工作流系统中能大大简化用户的权限管理。然而，仅使用角色的概念不足以反映企业的组织结构，而且不能为任务指定组织单元，角色之间的权限继承关系与电力工作流应用实际不相符，静态的访问控制约束不能满足电力工作流的动态需求。因此，提出了一种基于组织和任务的访问控制模型。该模型去除了角色之间的权限继承关系，引入组织单元和任务的概念，将任务分为普通任务和专门任务，普通任务分配到组织单元，可以被继承，专门任务分配到组织单元中的角色，不能被继承，再将权限分配给任务，用户通过分配组织单元中的角色或组织单元来获得执行任务的权限。结合提出的模型，通过给每个任务定义黑名单数据结构，给出了一种动态的访问控制算法。最后以变电站设备检修工作流为例给出了具体的动态访问控制设计，实例表明该模型和算法可以实现动态的权责分离及权责绑定约束。

关键词：电力工作流 授权 访问控制 组织建模 约束 

单位：华北电力大学计算机学院; 河北省保定市071003