随着企业信息化水平的不断提高，ERP系统在企业业务流程管理中发挥着越来越重要的作用。传统的ERP软件将业务流程实现与逻辑处理固化在一起，很难随着业务流程的改变而改变，因此实现ERP系统的柔性架构已经成为一种趋势。要实现ERP的柔性架构就要在ERP系统中引入工作流机制，使得系统能够根据企业的实际需求，快速实现业务流程的配置，并且当业务流程发生变更时，能够根据新的业务流程实现软件重构，真正做到随需应变。　　 访问控制作为ERP系统的组成部分，其重要性不容忽视。在事务处理型系统中，基于角色的访问控制(RBAC)已经成为主流的理论。但是在工作流机制下的ERP系统中，由于引入了任务的概念，实现了事务处理与任务处理的并行运行，因此典型的RBAC模式已不能满足访问控制的需求。同时，随着ERP架构向规模化、分布式方向的发展，在访问控制机制中实现关键数据的访问约束也变的越来越重要。再者由于引入了工作流机制，相应的访问控制机制要能够随着业务流程及软件结构的改变而实现快速配置。因此有必要构建工作流机制下ERP系统的访问控制模型并论述其实现机制以满足实际应用的需求。　　 本文在研究工作流机制下ERP系统的实现机理、系统特征及访问控制特性的基础上，结合目前访问控制领域的研究成果，构建了相应的访问控制模型并论述了模型的实现机制。该模型以RBAC理论为基础，结合T-RBAC的思路，建立了角色与任务、角色与事务的对应关系。任务与事务并举且不相容，系统通过不同的引擎分别实现任务处理和事务处理的权限判断。从而满足了事务与任务并行处理的需求。　　 模型中将数据约束定义为权限对象，权限对象包括相应的权限字段及操作状态，通过定义权限字段的值集来限定数据访问范围。权限对象独立于事务或任务，可赋予角色。通过建立角色与权限对象的对应关系，使得数据约束机制与逻辑处理分离，从而实现数据约束可实施可配置。这样就实现了在大规模、分布式ERP系统中动态、灵活地进行数据约束的访问控制。　　 结合操作约束与数据约束的特征，模型中定义了不同类型的角色：适用于行业开发与实施的模版角色；适用于数据分值约束的派生角色；适用于组织结构的复合角色；适用于系统管理的管理角色等。同时也定义了角色的一般继承与扩展继承机制。为了减少数据约束的复杂性，模型中摒弃了数据约束的可继承性，要求在不同层次的角色上要单独定义数据约束。这样虽然降低了模型的灵活性，但减少了冲突处理，提高了模型效率。　　 模型中针对职责分离定义了操作层面、角色层面、用户层面的互斥规则并论述了相应的实现机制与检查机制。文中也阐述了模型的管理及审计相关方面的内容。最后本文列举了一个简单实例来模拟模型的实现。　　 本文提出的模型具有通用性，相应的机制也容易实现应用。由于篇幅所限，没有对模型的管理及审计进行详细的论述。同时对于任务的依赖关系、状态控制及冲突处理没有给出相应的解决机制.这一课题的研究还有待深入，希望本文能够提供一些启示及借鉴。