Web服务是自描述的、平台无关的，它使用开放式标准，允许不同的应用程序进行交互。Web服务作为一种新兴的信息技术，形成了一种新的基于互联网的信息系统通用框架，允许用户远程调用不同信息系统的资源。正是Web服务的这些特点，使Web服务得到了广泛的关注。随着Web服务的广泛应用，越来越多的威胁和缺陷被发现。攻击者能够检测到Web服务的漏洞，并利用这些漏洞侵入系统，窃取用户的敏感信息，侵犯用户的隐私权。为了解决Web服务系统的安全认证问题，本文将组合公钥（CPK）算法引入到Web服务验证机制中，在原CPK的基础上，增加一对辅助密钥矩阵，基本密钥矩阵不变。用基本密钥矩阵产生Web服务的密钥，用基本密钥矩阵和辅助密钥矩阵产生调用Web服务的用户密钥。此外，重新定义了由用户标识和标识的有效期组成的CPK标识，可以直接从标识中提取出有效期进行验证，使验证更方便。在SOAP头中添加两个自定义元素：用户的CPK标识和签名，并将改进的CPK应用到Web服务系统。理论分析表明，改进后的CPK密钥满足组合公钥体制的性质，与组合公钥有相同的性质，可以解决规模化认证的难题。同时，本算法可以抵抗组合公钥算法中存在的选择共谋攻击、随机共谋攻击和线性共谋攻击，安全性有所提高。本文提出了一个单双矩阵混合的组合公钥算法并定义用户的CPK标识，将改进的CPK算法引入到Web服务认证系统中，实现了Web服务的安全认证。