Web Services(Web服务)是基于网络的、分布式模块化组件,是建立可相互操作的分布式应用程序的新平台。Web服务作为新一代分布式技术,一经推出便以它的松散藕合性、跨平台及语言性而得到广大用户的喜爱和众多企业的支持。尽管Web服务有很多优点,但是Web服务在实际应用中遇到的安全问题,越来越制约其发展和应用推广。仅依靠传统的安全传输方案,如SSL, TLS等已不能满足Web服务的安全需要,需要增加消息安全来保证Web服务的核心——SOAP消息的安全。自从SOAP规范发布以来,在消息级安全上对SOAP规范的加密、认证和授权等安全机制一直受到人们的广泛关注。目前,SOAP规范的加密及认证国内己经取得了很多的研究成果,并提供了很好的实现机制,而对Web服务调用授权问题却不够重视,造成对这方面的研究很少,并没有具体的实施方案及实现方法。本题目“基于SOAP的Web服务访问控制设计与实现”就是在此背景下提出的。为达到设计的目的,本文主要做了以下工作:首先详细了解了访问控制的基本原理及各种访问策略,然后针对Web服务的访问控制、安全理论及安全模型进行了深入学习。在此基础上参考NIST RBAC/Web模型提出了一个基于SOAP扩展的Web服务安全模型。论文中主要对该Web服务安全模型中的基于角色的Web服务访问控制模型进行了详细的设计,并以电子商务平台中的商品信息管理为例,对该访问控制模型进行了实现应用,验证了该模型的可行性及正确性。