Web Services具有平台无关、松散耦合、开放性等优点,已经成为企业信息集成和应用整合的首选方案。信息集成和应用整合牵涉到对不同域中服务的整合和调用,而不同域中的访问控制模型和策略都可能有所不同,要提供跨越多个域的Web Services的访问控制,就需要解决联邦身份管理、对已有的访问控制策略的集成、不同服务提供域之间的信任关系以及不同域的访问控制策略的整合等问题,传统安全机制不能完全满足以上安全需求,因此对Web Services的安全研究目前正成为一个研究热点,也是Web Services技术能否被真正广泛应用的关键。 基于以上研究背景,本论文着重于Web Services的分布式安全架构、访问控制模型及用户身份管理等相关安全问题的研究。主要研究工作和成果包括: (1)采用层次结构建模方法,构建了一种基于协议栈的Web Services的安全框架——WSSF,并对系统主要层次进行了深入研究,详细描述了该框架的逻辑模型和实施模型。层次化结构使系统具有模块化、开放性和有效性的特点,为建立不同层次的安全信息共享和交互奠定了体系结构基础,加强了系统与系统的交互能力,同时降低了Web Services系统分析和设计的复杂程度。 (2)以RBAC96模型为基础,结合面向对象的建模方法,研究了Web Services的访问控制建模,提出了基于角色的Web Services访问控制模型——RBAC-WS,并进行了形式化定义和分析,并对RBAC-WS的授权机制和如何结合业务流程定义访问控制权限进行了探讨。该模型的提出将有助于Web Services集成过程中支持多种访问控制策略,并且方便系统的用户管理和访问权限管理。 (3)采用面向服务(SOA)的设计思想,提出了联邦身份管理应用框架,并以校园网的应用为例对联邦身份管理系统进行了实例设计。该框架是在SOA架构上建立动态的联邦身份管理,支持动态实时耦合,利用服务联盟之间“契约”关系,实现动态查找、定位和绑定身份服务,可以有效支持用户身份等安全信息的分布管理和开放获取,有助于企业之间应用的相互授权,能够更好地执行相关的信任安全策略,最终实现企业间应用的整合和资源的共享。