Web Services是在现有的各种异构平台的基础上构筑的一个通用的与平台无关、语言无关的技术层，各种不同平台之上的应用可以依靠该技术层来实现彼此的连接和集成。Web Services技术的发展使信息系统的安全理论受到了极大的挑战，因此，对Web Services架构下安全技术的研究有着重要的意义。 本文通过对Web服务相关安全规范的研究，提出了一种Web服务安全模型，通过对XML加密、签名的使用，很好的保证了SOAP消息端到端的安全通信。同时基于服务请求者访问需求的不确定性以及各个Web服务授权的灵活性，以用户—角色、角色—权限映射的方式，将对于服务请求者的认证和授权独立开。该模型较好地保证了Web服务通信中信息的机密性、完整性、不可否认性，同时实现了用户的认证和授权。最后在模型的应用中，采用微软发布的Web服务安全开发工具包WSE3.0作为Web服务安全的实现工具，针对系统不同的安全需求，实现了网上订单系统的消息级别的Web服务安全性。