建立在互联网之上的Web服务结合了高效紧密的单层计算技术与面向消息的、松散耦合的Web技术,为电子商务的发展带来了新的契机.但是,由于互联网的开放自由带来的消息安全隐患,同时却也成为电子商务发展的绊脚石.因此,采取强有力的安全策略来保障电子商务的安全性,为消息传输提供端到端的安全保障,将变得尤为重要.该文首先提出SOAP消息对安全性的需求,并从传输层安全技术和XML安全技术两个层面分析现有的SOAP消息安全技术如SSL/TLS、HTTP身份验证、XML加密和XML签名等所能提供的安全保障及其缺陷,从而提出应用WS-Security规范结合现有的安全技术来为SOAP消息传输提供端对端的安全保障,并对其可行性进行分析.该文着重描述了如何应用WS-Security规范结合现有的安全技术对SOAP消息进行安全扩展,主要涉及身份验证、XML签名和XML加密三方面的安全技术应用.对于应用WS-Security后在SOAP消息中引入的新的安全问题如证书重复攻击问题,该文也提出了相应的解决方法.在实现方法,该文针对AXIS引擎的消息处理机制进行分析,通过定义对SOAP消息进行基于WS-Security规范相关的安全性处理的Handler,初步较完整地实现了AXIS引擎对WS-Security规范的支持.最后,该文对基于WS-Security的应用与实现进行了总结,并从其缺陷与不足指出今后工作中需要解决的问题.展望基于Web服务的安全性规范的不断完善与发展,相信Web服务将获得更加广泛的应用.