随着互联网技术的高速发展，互联网上的应用模式在不断演变，应用规模也越来越大。政府部门的政务电子化，企业的事务、商务和信息管理电子化，以及跨组织的服务流程、事务流程、信息流通和共享，带来了在互联网访问控制技术上的越来越大的挑战。 互联网从Web1.0到Web2.0，从面向数据到面向服务，从集中式到分布式，应用技术不断创新的同时，应用思维也在不断进化。目前的Web Services是比较流行的分布式网络应用构建技术，它建立在开放的标准之上。同时它也很好的利用已有的成熟的互联网应用技术，包括各种模型、规范和编程语言，结合面向服务的思想，达到处理异构信息交流的和分布式的目的。它的模块化、可扩展性、可定制性和异质信息的交互性都很好。这将缩短组织和组织间的事务、服务等各个方面的应用距离。 互联往往是有风险的，而服务的安全主要依靠的两个机制是身份鉴别和访问控制。可扩展的访问控制标记语言XACML(eXtensive Access Control Markup Language)通过制定一个通用的基于XML的标记语言规范，来统一各组织各部门的Web Servicess的访问控制策略，充分利用了XML语言的标准和灵活性来满足访问控制策略的表达要求。当一个组织拥有多套信息系统或多个组织共同拥有多套系统时，而这些系统又由不同部门或者组织开发和维护的时候，每个系统都不得不为自己的系统开发一套完整的访问控制策略。而这些系统通信时，潜在的策略冲突和管理维护复杂度都是十分巨大的。通常为了解决这些问题需要达成访问控制策略的统一。在XACML出现以前，没有任何标准对访问控制策略描述加以规范化。因而XACML给出了一个标准的访问控制策略表达和部署的解决方案，按照这个标准制定的访问控制策略将达到统一和无冲突的目的。这将极大的减少各个Web应用的访问控制子系统的开发和维护成本。WS-Security就是针对Web Services安全的一个新标准。XACML是其中的重要部分。