Web服务作为解决企业间的数据交换和集成等问题的分布式计算模型,在开放的网络环境下,存在安全隐患。传统的安全机制只能保证Web服务传输层和网络层的数据安全,不能保证Web服务消息级的端到端安全。由于Web服务所处环境的异构性、分布性和动态性,对传统的安全访问控制提出了挑战。为了满足Web服务的安全和访问控制方面的需求,论文对Web服务的机密性、完整性、不可抵赖性、身份验证和访问控制等方面的安全问题进行了研究,结合安全规范和安全技术,给出了解决Web服务安全问题的方案。论文的主要研究工作是：(1)通过分析Web服务的安全需求,给出了Web服务涉及的安全问题,确定了Web服务应达到的安全目标。(2)通过分析现有Web服务安全规范和安全技术,给出了一种基于消息层的Web服务安全模型,由消息的安全处理模块和访问控制模块组成。消息的安全处理模块利用SOAP消息的扩展性,在消息中添加安全属性,防止重放攻击和实现用户的跨域身份验证；利用WS-Security规范将XML加密、签名后的敏感信息嵌入到SOAP消息头中,保证SOAP消息的机密性、数据完整性和不可抵赖性。访问控制模块采用基于属性的访问控制方式,改进XACML访问控制框架,根据SOAP消息中的安全属性信息和Web服务参数进行授权决策,采用基于属性的访问控制方式能够实现Web服务细粒度的访问控制。(3)采用拦截器机制,根据给出的Web服务安全方案,设计了一系列拦截器,以可配置的方式添加到Apache CXF消息引擎中。利用加密拦截器,签名拦截器,SAML断言拦截器和授权拦截器,保证Web服务的机密性、完整性和不可抵赖性,提供了更高层次的身份验证和访问控制功能。(4)采用开源工具WSS4J、SUNXACML和OPENSAML,实现了拦截器和访问控制的安全方式,并进行了安全性测试。