序

Web服务是面向对象和组件化的合理发展，它的出现激发了分布计算模式的转变，体系结构迅速从分布式对象体系结构（DOA）向面向服务的体系结构（SOA）转换。相比较而言，面向对象和组件化的方法在复杂的大型系统设计中经受住了考验，而Web服务则正在经受考验。Web服务继承了面向对象的封装、消息传递、动态绑定、服务描述和查询等基本概念；基于Web服务的发布和订阅机制，用户可以方便地进行API的网络引用，并且不必考虑API的实现细节。但是，这一优点在实际应用中带来许多便利的同时，也面临安全问题的巨大挑战。目前，安全问题是制约Web服务发展的主要瓶颈，也是Web服务能否为大众所接受，能否得以迅速推广的关键。

Web服务面临的安全挑战包括：原有系统的安全机制的影响和引用，以及针对服务发布、查找和引用过程的安全防护。《Web服务安全》一书对这些安全问题产生的原因、机理和研究现状进行了详细讨论，对基于Web服务的系统应用集成提供了多种解决方案，可帮助系统规划者在集成设计过程中，充分考虑安全因素的影响。

Web服务在企业应用集成方面有迫切的需求。特别是军事信息系统的发展，随着“以武器平台为中心”逐渐向“以网络为中心”的陆海空天一体化作战模式转变，Web服务和栅格技术相结合，为军事信息系统集成提供了合理的实施思路，并已有成功的实例。例如，美军的全球信息栅格（GIG）就是基于Web服务技术的网络核心企业服务（NCES），可在各军兵种信息系统之间实现互操作，并为此定义了9种核心服务。《Web服务安全》一书对此进行了详细的介绍，并对一些关键安全问题进行了总结和分析，为基于Web服务的应用集成提供了指导方向。

攻与防是一柄双刃剑。网格Web服务攻击体系是从攻击者角度来分析Web服务的安全问题，这些内容虽然是从攻击体系构建和攻击技术设计的角度来介绍，但从中可以更清晰地了解基于Web服务的集成系统的安全问题。

《Web服务安全》一书全面地探讨了web服务的安全问题，内容新颖，弥补了这一领域书籍稀缺的遗憾，对从事企业信息系统开发和集成的工程技术人员，以及从事网络安全技术研究的科研人员都有所裨益。

诚然，Web服务是一项正在发展中的新兴技术，本书的讨论和研究还仅仅是开始，期望作者在再版中不断引入新的观点与解决方案，以飨读者。

受本书作者马恒太和李鹏飞两位博士的盛情邀请，是为序。

卿斯汉           
谨识于北京中国科学院软件研究所
2007年10月