Web服务是近年提出的一种新的面向Web的分布应用技术。它采用Internet通信协议和SOAP传输消息，代表了一种架构松散的分布应用结构。相比COBRA、DCOM、RMI，Web服务自身的特点决定了它是一种优秀的分布式技术。然而，基于Web服务的应用对外需要公开接口，因而更容易受到来自内部和外部的安全威胁。为了保证Web服务的安全，人们正在开发许多基于XML的安全标准，来解决认证、访问控制、消息安全和数据安全等问题。 本文首先介绍了Web服务面临的安全问题，研究了一些比较成熟的Web服务安全技术及相关开发工具。在此基础上，提出并实现了一种基于WS-Security规范、可扩展的安全框架-MagicBean，保证了Web服务的消息级安全，提供了签名、加密、访问控制、攻击检测等安全机制。 然后，本文围绕着研究与实现该安全框架来展开。 第三章介绍MagicBean的设计思想和体系结构，如何基于WS-Security规范实现消息级安全。 第四章详细介绍了访问控制机制，研究了基于角色的访问控制模型，然后将WS-Securitv和NET安全模型相结合，实现了Web服务的访问控制模型。 第五章对消息验证和重放检测机制进行了深入研究，在WS-Security规范的基础上提出了可行的解决方案，大大提高Web服务抵御外来攻击的能力。 最后，通过对MagicBean框架针对性的测试，给出Web服务实现方案中选择WS-Securitv还是SSL的建议。 本文的研究工作对于保证Web服务的消息级安全、实现访问控制及攻击检测具有重要的实际价值和一定的理论意义。