简单对象访问协议SOAP(Simple Object Access Protocol )在基于网络的分布式应用系统中日益获得青睐。但是必须指出,在SOAP协议中并没有定义标准的访问控制安全规范,不同的SOAP应用程序,可能会采取不同的方法处理访问控制问题,从而易导致应用程序的安全隐患。如何实现对基于SOAP协议的应用资源进行访问控制,限制对关键资源的访问,防止非法用户的侵入或者因合法用户的不慎操作所造成的破坏,已经成为SOAP研究领域的重要研究内容。在对SOAP协议的基本内容和访问控制技术充分讨论的基础之上,对其中关键技术进行了分析,总结出了基于SOAP实现访问控制的若干结论。根据给出的结论,并结合SOAP协议的具体特征,基于SOAP消息的XML(eXtensible Markup Language)元素和属性,设计了一个具细粒度访问控制特征的访问控制系统SFGACS(Fine- Granularity Access Control Based on SOAP)。通过SFGACS对应用资源的控制,可以增强应用资源的安全防护能力,提高应用程序的安全性。讨论了SFGACS的设计原则、基本要素和设计原理。然后,基于SOAP协议和恰当的访问控制技术设计了SFGACS的框架,给出了相应的算法。SFGACS包括SOAP协议系统、用户认证系统、证书系统和授权过滤系统等四个部分。SOAP协议系统负责底层的通讯、数据表示和RPC(Remote Procedure Call)调用,用户认证系统负责对用户身份进行分析,证书系统负责对证书进行分析,授权过滤系统负责处理授权过滤。基于SFGACS框架,讨论了SOAP协议和访问控制过滤器的具体实现。SOAP协议的实现包括SOAP协议封装、HTTP(Hypertext Transfer Protocol)、XML和RPC四部分;访问控制过滤器的实现包括用户数据库、事务数据库用户、IP与权限的映射关系数据库和认证引擎四部分。实验结果表明,与现有的SOAP协议相比,集成了访问控制的SFGACS可以基本消除基于应用程序的安全隐患。