WS (Web Service)提供了一个中立的、语言无关的平台,支持网络上机器之间的交互操作。然而,不同部分之间的应用调用产生了安全威胁。消息交换安全是WS中需要考虑的一个很重要的问题,并成为WS广泛应用的一个重要瓶颈。消息的接受方应该能确认消息的完整性,同时能发现消息没有被修改。消息应该加密后发给接受方,而且只有授权的用户可以读、知道发送方的身份以及决定消息请求应做的操作,并且能对服务的所有事物进行审计,保证其可用性与不可否认性。然而,安全方面的研究主要集中在如何设计更好的安全规范或利用传统的风险评估方法评估Web服务安全,用户选择服务时很难确定使用的服务是否满足安全,也不能根据自己的偏好对服务进行选择。因此,如何基于用户偏好对可选Web服务进行安全性评估成为一个重要课题。本文通过增加Web服务安全评估中心(Security Evaluation Center)扩展现有Web服务模型,并基于安全属性SoS(Security of Service)和用户偏好从三个层次对Web服务进行安全性评估。首先,用户偏好和安全属性数据收集。利用用户接口(Request Handle)收集系统参数和用户偏好,利用监视器(Monitor)收集安全属性的数据和发送与接收服务风险值。其次,基于安全约束条件的服务筛选。利用层次分析(Analytic Hierarchy Process)法对可选服务进行筛选,将不符合用户安全需求的服务剔除,缩小可选服务集。最后,利用多属性决策理论(Multiple-attribute Decision Making Theory)中的信息熵方法进行安全评估。引入偏好模型,利用用户安全偏好修正各属性权重,使可选服务更符合用户需求。通过实验验证,该方法能根据用户偏好修改安全属性的权重,并在提高服务选择的准确度和可用性方面都有较好的效果。