Web服务作为新一代分布式技术,它的松散耦合性、跨平台、跨语言、良好的互操作特性已为许多专家拥护并得到广大 IT公司和组织的支持。Web服务技术的应用是全球网络化高速发展的需要,它的广泛应用将是大势所趋。作为基于网络的分布式系统,安全性是不得不首先考虑的重要因素。　　Web服务通信基于SOAP协议,SOAP通信安全涉及端到端的安全、应用的独立性、传输的独立性、存储消息的安全性等特殊需求,目前常用的安全通信机制有 SSL、TLS、IPSec等,虽然在一定程度上保证了消息的机密性,但并不能完全满足上述SOAP通信安全的需求,而且这些方法缺乏良好的灵活性和可扩展性,因此不适用应用层SOAP消息的安全保护。　　本文致力于解决Web服务通信过程中SOAP消息的安全问题,实现适合Web服务特有的保护其消息机密性、消息完整性和不可否认性的方法。基于对Web服务通信机制充分理解的基础上,对其通信过程中的安全需求进行分析,给出一套在dotNet平台下实现安全Web服务的技术与开发过程。　　1. Web服务具有良好的兼容性和与平台无关互操作性,它允许在不同平台上、以不同语言编写的各种 Web服务程序以基于标准的方式相互通信。文中分析了 Web服务技术的优势、几个关键技术及其面临的安全威胁;　　2. Web服务通信过程中遇到各种安全问题,主要问题有消息被截取,泄露消息内容,篡改消息及否认消息发送动作。本文针对这几个方面的安全问题,提出需求,指出使用针对SOAP消息的安全技术来保证Web服务的通信安全的必要性;要确保 Web服务的安全,核心内容就是确保传输消息的安全,即 SOAP的安全。保护 SOAP本身的安全,可以对其进行加密和数字签名处理。本文给出了XML加解密过程,并提供一种针对SOAP消息通信中端到端的安全技术;　　3.基于对Web服务安全规范WS-Security的研究及对Web服务安全进行多方面的需求分析,结合微软开发工具VS.net2003和Web服务增强插件WSE,在此开发了符合WS-Security规范的安全Web服务框架。分别给出了使用用户名和口令进行验证、签名和加密及使用证书进行身份验证、签名和加密的开发方法及示例代码。通过上述框架开发某情报系统的Web服务,实现了Web服务系统的机密性、完整性和不可否认性需求。它们不是使用SSL来保障消息的安全性,而是采用一种全新的对SOAP消息加密的方法来实现安全的Web服务。这种安全性是在应用层上实现的,在有效提高消息安全性的前提下,更增强了系统的灵活性和可扩展性。