随着Web服务应用的日益广泛,作为制约其进一步发展的安全问题越来越突出,Web服务通信安全的主要目标包括机密性、完整性、不可否认性、认证与授权等,传统的安全解决方案难以满足其安全需求。本文在重点研究了Web服务基础架构、WS-Security规范、XML签名、XML加密、SOAP协议和现有的保障Web服务安全的技术后,集中关注安全问题比较突出的SOAP消息,深入研究基于WS-Security规范扩展SOAP消息的方法,提出了一种混合采用目前Web服务主要安全技术的Web服务优化架构。该优化架构通过发送基于WS-Security规范扩展的SOAP消息改善消息传递的机密性、完整性和不可否认性；通过扩展消息头携带的安全令牌环实现消息源的认证并结合现有访问授权系统实现授权功能；具有SOAP消息选择压缩功能提高基于XML的SOAP消息扩展后的传输效率。最后使用Web服务框架Apache Axis2,结合支持WS-Security的Rampart安全模块进行实验,通过SOAPMonitor工具监测服务提供方和服务请求方之间的消息传递验证理论可行性。本文提出的基于WS-Security规范的Web服务优化架构能够改善Web 服务通信的安全性并具有较强的灵活性和实用性。