随着互联网的快速发展,为了节约开发成本,提高资源共享率,企业不断增加面向互联网的各种Web服务。基于SOA架构的ESB服务执行平台作为Web服务的运行载体,在为Web服务之间的通信提供消息路由、格式转换的同时,还需要为这些Web服务提供安全管理的功能。传统的安全管理软件大多是基于CS模式设计的,本身并不是一个独立的Web服务,并不适用于ESB服务执行平台。为了确保ESB服务执行平台能够提供安全可靠的Web服务,本文设计并实现了一个基于ESB服务执行平台的安全管理服务。安全管理服务旨在为平台中部署的各种web服务提供安全保护。确保只有合法身份标识的用户才能登录到平台,并且只有被合法授权的用户才能访问相应的资源。安全管理服务包括身份管理和访问控制两个子服务。身份管理子服务与人员组织结构中心集成,使得管理员在对用户进行管理的同时,就能为用户创建身份信息卡。它采用基于身份信息卡的登录方式,既省去了用户名/密码的输入操作,又避免了密码被盗的风险,使登录更加方便安全。访问控制子服务基于WS-XACML规范,采用策略语言模型,支持灵活的、细粒度安全策略的制定,适用于分布式环境下Web服务的访问控制。安全管理服务的实现如下：身份管理子服务由身份认证中心(Identity Center),信息卡服务器(Card Server)和信息卡客户端(Selector)组成。其中身份认证中心负责为用户创建身份信息卡、并分发到信息卡服务器；信息卡服务器负责为用户管理信息卡,方便用户随时随地下载；信息卡客户端使用信息卡向身份认证中心发送消息请求安全令牌,并转发给PEP。访问控制子服务由PEP,PDP和策略编辑器(Policy Editor)组成。其中策略编辑器负责策略的编辑和创建；PDP首先通过验证安全令牌确保用户身份的正确性,然后处理请求消息并做出权限判决；PEP负责消息格式的转换、收发以及策略结果的执行。安全管理服务作为一个独立的Web服务被部署到ESB服务执行平台上为其它业务应用提供安全保护。它对于其它应用层的Web服务是透明的,具有可视化配置、可扩展性强、独立透明等优点。现已成功应用于城市集中供热系统中。