网络信息技术的发展使得面向服务的体系结构SOA(Service-Oriented Architecture)的概念被提了出来。SOA可看作是一种组件模型,它可以将企业中应用程序分散的不同功能单元组织成可以共享的基于标准的服务,当业务需要时,这些服务能够迅速地被组合和重用,以完成企业特定的任务。由于SOA具有松散耦合、可重用、标准化服务接口、开发效率高、响应快等优点,其应用范围越来越广泛。但是SOA所具有的复杂性和接口多样性等问题,使其安全管理变得更为复杂。在这种情况下,Web服务即Web Services为解决SOA所面临的各种问题提供了一种有效方案,成为实现SOA的一种新技术。简单地说,Web服务就是一种开发模式,它可以为“软件即是服务(Software As Service)”提供技术支持,同时由于具有跨平台等特性,Web服务也主要被用于解决网络之间的应用集成问题。Web服务的蓬勃发展使其安全问题很快呈现了出来,因此研究Web服务安全策略显得尤为重要。一般来讲,Web服务安全策略至少涵盖三个方面的内容:认证策略、访问控制策略和隐私策略,其中访问控制作为安全技术中的一项重要内容,面临着巨大的挑战。传统的访问控制模型已不能适应Web服务环境下的需求,自主访问控制模型DAC由于授予权限的自主性,难以对赋予出去的访问权限进行控制;强制访问控制模型MAC的原则是严格按照安全等级进行访问授权,缺乏灵活性;基于角色的访问控制模型RBAC虽然相对灵活,容易进行权限管理,但由于角色是静态的,不能适应不断变化的Web服务环境的要求,而且不具有细的访问控制粒度;本文研究应用的基于属性的访问控制模型ABAC是根据参与决策的相关实体的属性是否满足要求来进行授权的,具有较细的访问控制粒度,而且具有高度的动态性和灵活性。针对传统访问控制模型存在的不足,本文结合RBAC和ABAC模型的优点,对基于角色的Web Services访问控制模型进行了深入研究。论文的研究内容和创新点主要有以下几方面:1.对Web Services的概念以及相关技术进行论述,对Web Services架构及其特点,Web Services的核心技术SOAP、WSDL、UDDI等进行了分析,讨论了Web Services安全技术规范,对应用较多的几种访问控制模型进行了分析并做了比较。2.提出了一种基于角色和属性的访问控制模型R-ABAC模型,该模型的小论文已在期刊《计算机技术与发展》上发表见刊。在深入分析研究基于角色的访问控制和基于属性的访问控制的基础上,提出R-ABAC模型,该模型通过综合角色访问控制和属性访问控制的优势,将属性引入角色访问控制中,把角色与属性同等地作为授权决策的依据,在进行授权时首先验证用户的角色,只有当用户的角色达到访问资源的要求时才考虑属性的因素是否满足要求,这样就形成了双重访问控制。该模型具有更高的安全性和灵活性,既能有效节省系统资源又能更细粒度地对用户访问进行控制,因此能够适应不断变化的Web Services环境的要求。3.提出了一种基于用户等级的角色授权委托模型,该模型的小论文已在期刊《微计算机》上发表见刊。该模型是在对授权委托模型进行详细分析研究的基础上,通过分析各授权委托模型的优缺点而提出的。该模型对用户的角色划分不仅仅基于用户的身份,而是综合用户的多种属性因素对用户进行属性等级划分,不同的属性等级对应不同的委托角色从而对应不同的访问权限,以达到对用户进行访问控制的目的,是一种基于属性的角色授权委托模型。4.将基于角色和属性的访问控制模型R-ABAC模型进行应用实现。对学生信息管理系统的体系结构进行了简单设计,并将R-ABAC模型应用其中,分析了其功能及应用方式。