Web服务是一种崭新的分布式计算模型,它由一系列相关技术和标准组成,如XML, SOAP, WSDL和UDDI等。Web服务具有完全的平台无关性、语言无关性,其主要目标就是要在现有各种异构平台的基础上构建一个通用的、与平台和语言无关的技术层,各种不同平台之上的应用依靠这个技术层来实施彼此间的连接和集成,从而建立起一种开放的分布式系统,使得任何企业和个人在任何地方,都可以快速和便宜地利用Web服务从事商业活动和其他各种活动。Web服务要求网络能够提供一种端到端的安全解决方案,而Web服务中的安全问题直接制约着Web服务的广泛应用。Web服务的安全包括身份认证和访问控制、传输双方的加密与解密以及处理各种可能面临的网上威胁等。其中,身份认证和访问控制是保障能以安全、有效的方式访问Web服务的前提,在Web服务系统安全设计中占有重要地位。单点登录(Single Sign-On)技术是解决身份认证和访问控制的一种有效方法。现有的单点登录解决方案能够很容易在Web站点身份认证中被应用,但是,它们都不能完全适用于Web服务的身份认证和授权。针对目前Web服务安全的现状及需求,应用单点登录技术,论文提出了一种基于WS-Security和SAML的Web服务单点登录系统的设计。WS-Security定义了把安全信息附加到SOAP消息的标准方法,并且利用XML签名和XML加密来保障消息的完整性和机密性,而SAML则定义了用来交换身份认证、属性和授权断言的一种格式。结合这两种规范提出的单点登录系统,提供了对安全上下文的描述,为异构安全系统间的安全信息互操作带来可能,使得用户可以方便地访问异构安全系统中的Web服务资源。另外,采用HTTP模块技术实现单点登录管理器,使得本系统具有无需修改服务或服务站点、兼容新旧系统、部署容易等优点。论文在.NET平台下实现了该系统,并通过一个示例验证了设计的可行性。论文分析了该系统在实际应用中的性能问题和可能遇到的安全问题,提出了相应的对策和解决方法。