随着Web服务的日益广泛应用,它的安全性问题显得越来越重要,并已成为制约其发展的关键性因素。如何向开发者提供一个比较合理完备的安全模型,为Web服务搭建综合和健壮的安全平台提供参考,以满足Web服务特定的安全性需求,是Web服务安全领域的一个重要研究内容。在详细分析针对Web服务的一些攻击方式的基础上,总结出针对Web服务动态、灵活和可扩展等特点的特殊安全性需求,集中体现在机密性、完整性、验证与授权、原始性证明和不可否认性五个方面,结合这些特殊的安全性需求,分析了满足这些安全性需求的安全技术,如数据加密、数字签名等。在这些安全技术的基础上,讨论了具有代表性的安全模型的优缺点,给出了Web服务综合安全模型WSISM(Web Service Integrated Secure Model)。该模型继承了现有安全模型的优点,如安全消息机制、网络传输安全性等;同时又克服了现有安全模型开发困难、可扩展性差和安全性考虑不够全面的缺点。WSISM是对Web服务安全技术的抽象,为Web服务安全平台的开发和研究提供参考。WSISM的主要安全构件包括安全网络、安全消息、认证服务中心、安全代理和注册信息安全保障。为了验证WSISM中的设计目标,结合安全技术,并基于WSISM设计实现了一个原型系统。该原型系统实现了安全构件的关键部分:认证服务器、消息安全代理和访问控制器。总结了认证服务器的构建方法、消息安全代理实现的关键步骤和访问控制器中的基于角色的核心分配算法。对原型系统进行了测试,验证了模型安全、灵活和可扩展的设计目标。