随着互联网技术的普及和发展,开放性网络上的J2EE体系结构变得越来越流行,但同时开放性的网络导致企业级应用面临来自各方面的安全威胁。如何保护信息不被非法获取、盗用、篡改和破坏,已成为所有企业级应用研究者共同关心的重要课题。本文从企业级系统应用层安全的角度出发,通过深入研究EJB3的远程访问过程中各个环节的安全性发现,Web层和EJB层之间的通信方式过于依赖XML配置文件。为了解决这一问题,EJB层通过注解程序,采用反调用Web层的方式,减少对XML配置文件的使用。通过AOP与容器技术结合实现EJB的访问控制,将业务逻辑与安全模块分离。在角色信息管理方面,使用目录服务器存储用户角色,来降低系统开发复杂度,提高系统的可移植性。通过指定在EJB组件和调用它的组件间传递安全身份。降低了安全服务在J2EE逻辑层处理的难度。在上述研究的基础上,本文设计了一种基于EJB3.0的远程访问的安全机制。定义了各模块的功能,着重实现了Web服务器与应用服务器安全模块、安全拦截器模块和EJB自身安全模块。这些模块的实现方式对建立企业级应用的远程访问安全机制的研究有一定的参考价值。