Web服务采用通用的协议和技术，突破了语言差异、平台差异、协议差异和数据差异等限制，为信息整合提供了一种良好的解决方案，是当前分布式计算研究的热点之一。 然而，Web服务在为用户提供简单方便的访问的同时，由于非法用户的访问或合法用户的不慎操作可能导致系统有价值的数据甚至是整个系统的结构暴露给外部。因此，对Web服务实施有效的访问控制是Web服务应用和进一步推广必须解决的一个问题。 传统的访问控制机制通常是专用的，其应用范围仅局限于一个企业所给出的安全边界内，不同安全边界内的Web服务难以进行统一和一致的访问控制。本文以“广州市道路、桥梁和排水设施管理系统”的开发为背景，对具备通用性的Web服务的访问控制机制进行了相关研究和探讨。 本文在深入分析了访问控制技术的发展以及应用现状的基础上，结合Web服务安全性的特点，采用通用的策略描述语言XACML，设计并用SunXACML开发包实现了一个Web服务访问控制框架。 本文的Web服务访问控制框架基于RBAC访问控制模型，避免了传统访问控制模型不灵活和不方便的缺点，提高了访问控制中授权管理的方便性和易管理性。通过分析并归纳出RABC模型到XACML规范的映射关系，用XACML语言来表达访问控制策略和实现访问控制机制，使得本文所设计的访问控制框架具备良好的通用性。 最后，检验了所实现的Web服务访问控制框架的实际运行效果，指出了不足之处和有待改进的地方，并对今后进一步的研究进行了展望。