随着Internet技术的飞速发展，人们对Web上的资源共享的要求越来越高。Web服务组合技术为有效地利用分布在Web上的软件资源提供了很好的解决方法，使企业应用集成和动态协作成为真正可能。Web服务组合语言(WSBPEL,BMPL)为企业应用集成提供了一种简单有效的方式，WSBPEL已经成为了web服务组合的一个标准，但是BPEL本身并不提供任何安全机制.Web服务本身基于的SOAP协议在提出的时候，为了简单性和易用性，没有把安全性问题考虑在内，安全问题已经严重制约了Web服务组合技术的快速发展和应用.因此，提出适当的安全架构，制定有效的安全解决方案，对于Web服务及web组合相关技术的更快发展和应用有着重要的意义.　　 本文首先分析了现有的Web服务及服务组合安全技术的不足，然后通过对Web服务组合的相关安全规范进行深入研究，提出了一个服务组合安全整体架构，它主要解决两个方面的安全问题：保证组合服务端到端消息级的安全通信和为组合服务提供访问控制机制。为了能保证组合服务端到端消息级的安全通信，本文阐述了基于安全策略的web服务组合流程，提出组合服务树表示得到的满足消息级安全需求和功能需求的组合服务，根据组合服务树生成带有安全描述信息的BPEL文档；为了保证组合服务中子服务间的消息级安全，本文提出基于安全策略的组合服务中子服务间消息级安全模型。为了给架构提供访问控制机制，提出了组合服务访问控制模型CWSAC，并详述了CWSAC模型及其处理流程，分析总结了CWSAC的特点。　　 根据提出的服务组合安全整体架构，在JAVA EE平台上，基于IBM RAD开发工具和Websphere Application Server(WAS)对服务组合安全整体架构进行初步实现。在保证消息级安全通信方面，组合服务中子服务安全模型的安全策略在WAS中通过可配置的方式提供加密、签名和身份认证等安全功能；能根据组合服务树，得到带有安全描述信息的BPEL文档，以供BPEL引擎执行。在组合服务的访问控制方面，对CWSAC访问控制模型进行实现和运行验证，PAP、PDP的实现采用web服务方式开发，PAP web服务提供图形化界面调用方式进行访问控制策略的制定，PDP web服务做出访问授权决策；结果表明，CWSAC能给组合服务提供访问控制机制且具有一定的可行性，对访问控制策略的处理采用组合的方式对策略进行预处理，在处理非法请求时可以简化事务的处理，比自然调用更加易于实现。