Web服务作为一种基于Internet的分布式计算模型,适合作为一种独立而开放的实体在互联网环境中发布和使用。单个Web服务的功能往往有限,为实现更为复杂的业务逻辑,可以通过有效集成分布在Internet上的Web服务以形成功能更为强大的组合服务。用户为使用服务提供的功能,需要提供必要的个人隐私信息。然而,由于Web服务开放、动态和自治的特点,隐私信息一旦被收集,用户就难以控制服务如何使用和暴露这些信息。特别是在服务组合的情况下,用户隐私信息通过组合服务暴露给成员服务,因用户与成员服务之间缺乏隐私信息使用的相关协议,如何防止隐私信息非法泄露已经成为实现安全服务组合的一个关键问题。信息流控制技术根据安全策略控制信息的传播,可以保证信息端到端的安全。实施隐私信息流安全控制机制将极大提高用户使用服务的信心。虽然当前国内外研究者已经针对基于信息流控制机制的隐私保护开展了一定研究,但并未针对面向行为隐私保护的特征提出隐私信息流安全策略及相应的实施机制。针对当前研究工作的不足,本文围绕服务组合隐私信息流安全分析相关问题开展研究,主要研究内容和贡献如下:（1）针对如何采用信息流控制技术实施用户隐私信息的保护,提出一种服务组合隐私信息流安全分析框架。该框架支持构建面向隐私保护特征的信息流安全策略,通过分析服务组合所有可能的执行路径验证隐私信息流的安全性。同时,该框架支持演化环境下的隐私信息流安全分析,并为具体的演化实施提供指导,以使服务组合中隐私信息流的安全性得到保持。（2）面向行为的隐私保护本质上是一种针对用户隐私信息的控制策略,以及保证此策略在服务运行期间不被违背的机制。与传统的信息控制策略不同,面向行为的隐私信息控制策略主要关注隐私数据、数据使用者、保留期限、使用目的等维度。为此,针对面向行为隐私保护的特征,从隐私数据敏感度/服务信誉度、隐私数据使用目的及保留期限三个维度提出一种服务组合隐私信息流安全策略规约方法。（3）为验证服务组合中的隐私信息流是否满足安全策略,提出一种服务组合隐私信息流安全分析方法。首先对工作流网进行数据建模能力及隐私语义扩展,提出一种隐私工作流网模型,通过隐私工作流网对服务组合隐私行为进行形式化建模,可以细粒度分析服务组合的信息流;其次提出了隐私信息流安全控制机制,包括隐私数据项聚合分析、分析路径集获取、安全等级绑定、隐私信息流安全控制规则;然后给出了隐私信息流安全分析算法;最后通过实例分析说明了方法的有效性。与现有工作相比,该方法考虑了隐私数据项聚合带来的隐私信息泄露问题,能够更为有效防止用户隐私信息的非法直接泄露和间接泄露。（4）为适应环境变化、持续满足用户需求,服务组合会持续不断的演化,保证演化后服务组合隐私信息流的安全性是非常重要的演化需求。为此,提出一种演化环境下服务组合隐私信息流安全分析方法。在首次分析服务组合隐私信息流安全时,分析隐私数据项依赖关系,记录成员服务的隐私数据使用集,确定成员服务安全等级的安全范围。在此基础上,针对成员服务隐私策略和用户隐私需求变化,对隐私信息流安全进行分析,并分别提出演化操作准则用于指导演化实施。通过这些准则能够使隐私信息流的安全性得到保持,从而避免了演化后重新对服务组合中隐私信息流的安全性进行分析,提高了分析效率,降低了演化代价。（5）基于以上方法和理论,设计并实现了服务组合隐私信息流安全分析原型工具。利用该工具可以帮助服务组合者进行隐私信息流安全分析,并指导演化实施,以保证用户隐私信息不发生非法泄露。