Web服务是近年提出的一种新的面向Web的分布应用开发与集成框架,它基于面向服务的体系结构,采用Internet通信协议和XML编码传输消息,代表了一种更为松散耦合的分布应用结构。然而Web服务的安全问题是不能忽视的。如果没有安全的Web服务体系结构,Web服务技术将难以得到广泛应用。Web服务的安全问题可以划分为三个层次:(1)网络传输的安全性,(2)SOAP消息的安全性(3)应用服务层的安全。到目前为止,由于网络传输层、SOAP消息层的安全技术相对比较完善,因此更多的研究是集中在应用服务层的安全,这主要是指Web服务安全策略。这也是本文研究的主要内容。本文从目前Web服务所面临的安全问题出发,介绍了Web服务安全策略所包含的主要内容,比较了现有的几种描述语言。在此基础上,本文提出了一个基于本体的Web服务安全描述方法。该框架使用OWL-S作为基语言,从Web服务的提供者和请求者两个角度进行了考虑,涵盖了访问控制和隐私保护这两个重要方面,并且本文将该方案应用在电子商务安全中,通过安全策略在服务请求者与服务提供者之间建立信任关系。另外讨论了Web服务安全中的信任管理,鉴于目前现有信任模型存在的问题,本文提出了一个基于策略、语义、访问控制、信任的Web服务管理系统。