SOA软件架构为分布式异构软件系统实现互连、互通、互操作提供了有效途径，大型信息系统的开发普遍采用SOA架构。但是，SOA环境下用户管理的分布性、业务协作的动态性和Web服务的开放性都给实施安全认证带来新的挑战。实现动态灵活的认证是保证SOA环境下安全可控的资源共享和业务协作亟需解决的关键问题之一。本文分析了SOA多域协作环境的认证需求，深入研究了数字身份管理、单点登录以及Web服务调用认证技术，设计了面向SOA环境的整体认证框架，提出了有效支持框架实施的用户跨域单点登录协议和基于身份密码体制的Web服务调用认证协议，有效实现SOA多域协作环境下用户单点登录以及Web服务调用认证。本文主要研究工作如下：1．提出适用于SOA多域协作环境的整体认证框架。为了满足SOA环境下用户身份认证和Web服务调用认证的需求，提出将分布式身份管理、用户单点登录和服务调用认证有机结合的认证框架。该框架基于SAML断言将应用层身份认证和服务层服务调用认证无缝集成，通过应用层身份认证服务器域间协作实现单点登录，通过服务层票据验证服务器域间协作实现服务调用认证。2．设计基于多域联盟的单点登录协议。为了支持SOA多域环境下用户动态单点登录，通过改进常用的单点登录协议Kerberos，提出基于多域联盟的单点登录协议（FSSO），实现域间认证关系的动态建立和跨域身份认证，简化了密钥管理。提出基于角色的Kerberos授权票据，并结合代理签名算法实现用户自主激活角色，增强了授权的灵活性。3．设计基于身份密码体制的Web服务调用认证协议。为了改进现有基于PKI的签名方案在保护身份票据安全传递时明显降低数据传输效率的问题，提出基于身份聚合签名算法的用户票据传递协议（IBSPV）。IBSPV协议通过缩短签名值和验证公钥的长度减少了签名后的SOAP消息长度，有效提高了数据传输效率。为了解决身份票据与每个SOAP请求消息绑定认证效率较低的问题，提出基于安全上下文的Web服务会话建立协议，提高了服务调用认证的效率。4．设计实现了面向SOA架构的校园网认证系统GAMS，实现了用户身份分布式管理、用户单点登录和Web服务调用认证的无缝集成。测试并分析了基于IBSPV协议的Web服务认证调用的性能，结果表明：与基于PKI签名的Web服务认证调用相比，基于IBSPV协议的服务认证调用可以有效提高服务响应速度。