随着因特网技术的迅速发展，基于因特网的应用模式也在不断演变。越来越多的企业和政府部门依赖因特网来发布信息与提供服务，并构建跨企业的虚拟组织或虚拟企业以实现大规模资源共享。 Web Service是当前最流行的异构分布技术，它建立在开放和标准的规范之上，允许异构的客户端调用它所提供的服务。一个典型的Web Service实现可以充分利用多种不同的技术、对象模型以及编程语言。Web Service采用了SOAP、HTTP和XML技术来实现，因而它具有在不同的环境下实现互操作的特点。Web Service的出现使得企业与其合作伙伴、客户、员工之间的信息交流变得更加的密切。 出于降低安全风险和保护服务资源的考虑，企业一般都把所提供的WebService的应用限制在本企业内部。内部用户访问企业服务，通过用户名和口令方式进行身份鉴别。当企业服务存在多个应用服务系统时，各个应用系统完全有可能由不同的组织开发，如果各应用系统采用各自的用户和权限管理的方式进行处理的话，那么整个服务系统的管理和维护将是非常的复杂和麻烦。同时，系统中一个用户存在多个口令和用户描述信息的情况也存在巨大的安全风险。针对这样的安全和管理问题，一般都采用统一身份鉴别的方案来解决。 本文根据Web Service实际应用的安全需求，研究了基于SAML标准和CPK机制的统一身份鉴别技术。通过研究Web Service相关技术以及SAML标准，提出了改进的统一身份鉴别服务模型，并给出了该统一身份鉴别服务系统的设计和实现。整个统一身份鉴别服务划分为四大模块，分别为身份鉴别模块，信息查询模块，访问控制模块以及管理模块。身份鉴别模块的主要功能是完成对用户身份的集中验证，并在验证成功后返回给用户一个基于SAML断言的身份令牌以供用户访问其他具有相互信任关系的服务，这样，在用户访问其他服务时，这个服务端即可以根据这个令牌得知用户的身份与属性信息，从而进行访问控制的判决。信息查询模块的主要功能是提供查询用户身份属性信息和鉴别信息的接口，便于