Web服务是近年来诞生的一种新的面向Web的分布式应用开发与集成框架，它采用Internet通信协议和XML来传输消息，是一种面向服务的体系结构，具有跨平台，松耦合以及穿透防火墙等优点。然而，用Web服务构建起来的应用暴露了其内部的工作流、业务逻辑和架构，因此需要对它们进行保护以免受来自内部和外部的攻击。为了保证Web服务的安全，人们正在开发许多基于XML的安全标准，来解决认证、访问控制、消息安全和数据安全等问题。 本文首先对Web服务体系结构以及关键技术——XML，SOAP，WSDL，UDDI做了简单的介绍，随后介绍了基于OGC标准的GISWeb服务。然后对Web服务的安全需求和原则进行了分析，包括服务的认证，授权，消息的机密性、完整性、不可否认性，以及审计。XML签名和加密是实现Web服务器安全的一种关键技术，也是WS-Security规范的基础，文中对其结构、算法、处理过程作了详细介绍。WS-Secufity规范提供了一个框架，使得用户可自由地将Web服务应用层协议与各种加密安全模型结合起来，以实现Web服务环境下消息的完整性，机密性和消息的认证。随后，本文对Web服务三种级别的安全模型--——平台/传输级(点对点)、应用程序级(自定义)、消息级(端对端)作了说明和对比，认为消息级是最有力和最灵活的方式。 WSE提供了在Microsoft．NET环境下开发和部署Web服务安全的一种方法，该方法将WS-Security安全协议应用到SOAP，以对进站出站的消息进行加解密。在Web服务端或者客户端，只需要对安全策略配置文件进行设置，即可方便的应用Web服务安全策略。WSE提供了多种安全断言方式供用户选择。根据GIS Web服务的特点——需要实现端对端的安全，又要兼顾异构平台等，选用了UsemameOverCertificateSecurity这种WSE安全断言来实现本文所需要的Web服务安全，即服务器端使用证书(X．509)，客户端使用简单的用户名和密码进行验证。 最后，以OGC WMS为例对基于WSE的Web服务安全策略进行了应用和实验，并对后续工作和不足进行了总结。