最近几年，Web服务技术已经逐渐流行起来了，被广泛接受为一种分布式计算标准。它的主要目标就是在现有的各种异构平台的基础上构筑一个通用的与平台无关，与语言无关的技术层，各种不同平台之上的应用依靠这个技术层实施彼此的连接和集成。这将无疑极大地促进各种商务系统，企业系统的集成，降低成本，提高效益。 当企业和其他组织开始依靠Web服务去构建自己的核心业务时，Web服务的安全性问题就显得很重要了。安全性问题是一个复杂的问题，但首要的是Web服务通信安全问题。Web服务通信基于SOAP协议。常用的安全通信机制如SSL，TLS，IPSec等，适于传输层／网络层的数据安全保护，却不能满足SOAP通信安全的需求，因此不适用于应用层SOAP消息的安全保护，无法实现Web服务通信安全。 本文研究的内容是Web服务的安全问题，特别是Web服务的通信安全问题。在研究工作方面，首先研究了Web服务的各层协议，接着全面考察了Web服务的安全性问题，特别是Web服务通信安全问题，然后提出了一个基于SOAP扩展的Web服务安全模型，在扩展中应用了基于公开密码体制的第三方认证框架。此外，我们提出了一个基于角色的Web服务访问控制模型(WS-RBAC)。在模型设计与实现机制方面，首先提供了一个Web服务平台，介绍了WSDL生成器、Web服务发布工具、认证服务器等的设计与实现。接着，我们详细介绍了本安全模型的核心之一：SOAP安全工具包的工作原理及设计与实现。最后还详细论述了WS-RBAC模型的设计与实现机制。