当前，基于Web服务的分布式应用(如电子商务与电子政务)得到了快速的发展，而典型的Web服务正面临着各种新的安全问题，传统的安全保护方法已无法胜任。在服务使用者访问Web服务之前，有必要对Web服务的发布、读取进行严格的控制，即：不同级别Web服务的使用者可以查询到不同级别的Web服务，而Web服务的提供者根据只身的级别发布Web服务，和插入、修改和删除UDDI中WSDL文档中的内容，即对文档的控制粒度应该达到文档内的元素和属性，这便是Web服务的访问控制策略中需要解决的WSDL文档的访问控制问题。 在查询到Web服务的WSDL文档之后，可以调用Web服务，使用XACML可以对Web服务执行细粒度的访问控制策略。XACML是一个OASIS标准，但是XACML没有标准化一个完整的认证解决方案，它没有明确定义策略决策点和策略执行点之间的通信协议，所以需要一个通信标准来支持。SAML无疑是目前最好的选择，SAML是一个基于XML的架构，用于交换安全信息，该安全信息以断言或者有关主体的事实的形式来交换。如何扩展SAML2.0语法，定义XACML之间通信的协议，是Web服务的访问控制策略中应用XACML需要解决的主要问题。 本文针对Web服务的访问控制策略中这两个关键问题进行了研究，主要内容包括以下几个方面： 1、为了对WSDL文档执行细粒度的访问控制策略，本文使用了形式化的语言对WSDL文档进行了描述并且给出了WSDL文档的定义。而且定义了文档内部的函数关系，更精确地对WSDL文档内部的元素和属性等之间关系进行计算。并定义了文档内部的约束关系来更严格地限制WSDL这个特殊的文档中的元素和属性，而实验的结果也证明了该形式化文档的灵活性和实用性。 2、为了更方便、更有效地实施访问控制策略，对WSDL文档中的安全标签进行了重新定义，采用了一种优化的方法来记录文档的元素的标签，并扩展了BLP模型中密集的概念，以一种更灵活的表达方式来表示安全标签中的级别。并利用实验证明该方法可以减少计算元素标签的执行空间，提高访问控制策略执行的效率。 3、在对Web服务的访问控制上，先使用一种Web服务的通信机制来完成应用层SOAP消息的安全传输，以保证所传递消息的机密性、完整性和不可否认性，从而解决了应用层SOAP消息的安全传输。接着，本文扩展了sAML2.0语法，明确地定义XACML之间通信的协议，并通过6种查询和陈述类型来解释XACML应用中不同组件之间消息的传递。最后提出了一个Web服务访问控制模型来实现对Web服务的访问控制策略。 4、提出面向WSDL文档的访问控制系统(WSDL-ACS)，以实施对WSDL文档细粒度的访问控制策略。当对WSDL文档实施访问控制策略时，这些操作(包括读、写、更新和删除)的执行必须满足一定的条件，因此本文通过结合严格的BLP模型中的两条特性来严格定义对WSDL文档的四种操作。 WSDL-ACS具体地实现了强制访问控制策略下针对WSDL文档的操作，并对操作的条件、结果进行了分析，得到在实施访问访问控制策略时可以遵循的规律，这样，可以在得到访问请求后，选择最优算法以达到时间和空间上的最优，而实验结果也证明了这一点。同时，本文还利用实验将WSDL-ACS与其它面向WSDL文档的访问控制策略进行对比，证明了WSDL-ACS的访问控制策略的有效性、正确性、完整性和实用性。 Web服务的访问控制策略是Web服务安全的扩展研究中的核心问题之一。本文所研究的针对WSDL文档的访问控制是为解决服务请求者与服务注册中心、服务提供者与服务注册中心之间的访问控制问题。经实验表明，本文所提出的Web服务的访问控制策略是可行的，其理论基础是正确的，具有很好的使用价值，特别是在电子商务和电子政务领域。本文的研究结果为Web服务的访问控制问题提供了一种新的解决思路。它可以帮助解决Web服务中服务请求者与服务提供者之间的访问控制问题，保证了客户端到服务器端的安全通信，并可结合SAML与XACML实现细粒度的访问控制策略。