在B2B电子商务环境中,交易伙伴之间的信息交换,存在着跨越企业边界、运行平台差异、数据结构差异等问题,采用基于SOAP通信协议的Web服务技术,可有效整合B2B电子商务系统,促进B2B电子商务的集成与分布式应用,具有十分突出的优势,但SOAP协议应用到电子商务遇到的安全性问题,制约了其发展和应用的推广,研究和解决SOAP协议在电子商务应用中的安全性问题,具有重要的现实意义和应用价值。SOAP是基于XML技术的通信协议,协议本身并没有考虑安全性问题,本文主要研究SOAP协议应用到电子商务所遇到的安全问题及解决方案,研究目标是找出基于SOAP协议的电子商务应用安全模型及实现方法。本文主要进行了以下方面的研究:①在研究SOAP协议和Web服务体系结构的基础上,分析指出了SOAP协议应用到电子商务存在的安全性问题。②在研究对称密码体系、非对称密码体系、数字签名、数字证书等传统信息安全理论的基础上,提出了传统电子商务安全的整体解决方案。在此基础上,通过对WS-Security、XML加密、XML数字签名等SOAP安全性相关协议规范的深入研究,提出了基于SOAP消息扩展的消息级安全解决方案。③将传统安全技术与Web服务安全规范协同使用,提出了基于SOAP协议,遵循WS-Security安全规范的电子商务应用安全模型,以解决SOAP协议应用到电子商务所遇到的机密性、完整性、不可否认性、身份验证和授权等安全性问题,以及如何实现对SOAP消息的选择性加解密和数字签名等问题。该安全模型对安全问题的解决包括两个方面,一是通过SOAP消息的安全扩展,解决SOAP消息的安全传输和交换,二是结合使用XACML和SAML协议规范,来共同实现对Web服务的访问控制。④最后以一个典型的B2B电子商务应用为例,在.NET平台设计实现了其原型系统,通过对原型系统的测试,验证了该安全模型的可行性和正确性。