Web服务是实现面向服务体系结构(SOA)的重要手段,是实现综合信息系统集成的技术基础。访问控制问题是Web服务安全问题的核心问题之一。Web服务访问控制需要处理跨域情况下的访问控制,传统的访问控制机制不能够很好满足这一需求。本文研究Web服务访问控制机制。在分析Web服务访问控制挑战性问题的基础上,研究了Web服务访问控制模型,在传统的基于属性访问控制模型基础上,增加了结构化属性表示能力,同时将策略规则由属性到授权关联关系描述改进为属性间关联关系,提升了策略的描述能力;将结构化知识表示方法和一阶逻辑的Horn子句逻辑结合,设计了一种结构化属性逻辑语言SALL,该语言具有结构化属性表示能力,同时能够描述属性间关联关系,因此,可以作为Web服务访问控制的基础策略语言;针对Web服务访问控制推理需要,设计并实现了SALL语言推理系统,为Web服务访问控制授权判决提供了基础理论支持;设计了基于SALL语言的通用推理引擎,简化了访问控制系统的设计与实现;设计并实现了Web服务防火墙,提供了Web服务访问控制实施平台。Web服务访问控制挑战性问题包括跨域访问控制、动态授权和标准化问题。基于属性访问控制模型依据一些属性信息进行授权判决,这是一种很灵活的非中心授权思想,使得它比其它模型更适合去解决Web服务访问控制的挑战性问题。本文对传统基于属性访问控制模型进行了改进,增加了结构化属性描述能力,同时将策略规则由属性到授权关联关系改进为属性到属性关联关系,提高了策略的描述能力。设计了具有严格形式化语法和语义的SALL语言,作为基于属性的Web服务访问控制策略的基础语言,它能够描述结构化属性,并能够表示属性间的关联关系。结构化属性是SALL语言的基本逻辑单元,它包括4个基本元素<name,owner,ca,items>,其中name表示属性名,owner表示属性拥有者,ca表示属性颁发者,items本身也是一个结构,表示属性值。结构化属性和基本一阶逻辑符号就组成SALL语言的语法系统。SALL语言的语义采用集合和集合上的函数来解释结构化属性,即每一个属性或其子项,都解释成一个0元函数,属性或子项的值都解释成集合,不再区分类和实例,这样,结构化属性可以描述各种类型的属性,可以满足更多应用场合下的属性描述需要。同时,在结构化属性有效性定义的基础上,结合逻辑符号的基本含义,给出了属性逻辑公式的有效性和逻辑蕴涵的定义。针对Web服务访问控制授权判决推理需要,设计并实现了SALL语言推理系统。该SALL语言推理系统只针一类特殊的属性逻辑公式(称为属性公式),只针对原子属性公式进行蕴涵推理。该推理系统只包含一条推理规则,称为属性归类消解规则,其基本思想就是将待求解的原子属性公式(称为求解属性)和策略规则通过属性归类建立联系,然后在这个基础上,实现推理演算。本文设计并实现了推理系统的引擎算法,并证明了推理系统的有效性和终止性。本文设计基于属性Web服务访问控制策略的基础语言—SALL语言,有效提升了访问控制策略描述的灵活性和能力。SALL语言的属性策略可以用来描述基于身份访问控制模型、基于角色访问控制模型、基于信任管理访问控制模型等的访问控制策略。这样,SALL语言推理系统可以作为很多访问控制模型授权判决推理的通用引擎,从而可以简化访问控制系统的设计与实现。基于SALL语言的访问控制框架主要包括策略执行点PEP、属性生成模块、策略描述模块和授权判决模块。其中,访问控制策略执行点的选择是系统实现的一个难点。本文分析了Windows系统环境下的Web服务工作原理,设计并实现了Web服务防火墙。Web服务防火墙是Web服务访问控制实施平台,同时它还弥补了传统防火墙系统的不足,能够检测并拦截SOAP消息中的攻击数据。