摘要：Web服務安全問題集中表現在信任建立、端到端消息安全保障以及資源訪問控制等方面.傳統的Web安全框架如Atlassian Seraph和Apache Shiro無法同時解決消息安全保護和跨域訪問控制的問題.本文提出并實現一種基于Kerberos的Web服務安全框架——KBW2SF,它包括用戶認證、消息安全通信、服務訪問控制三個核心功能.用戶認證使用Kerberos作為底層協議在服務請求發和提供方之間建立信任關系;安全通信使用WSSecurity規范及Kerberos票據中的密鑰保證消息端到端的完整性和機密性;服務訪問控制基于Kerberos票據中的用戶角色信息,由服務提供方對來訪用戶進行角色映射（跨域訪問）和權限鑒定,以此保護服務資源不被非法或者低權限用戶訪問.同時,KBW2SF引入緩存管理機制提高應用效率,降低安全機制對Web服務應用的影響程度.通過應用場景的實驗分析,該框架不但能夠有效解決Web服務消息的安全性以及跨域訪問控制問題,而且具有較高的效率,具備一定的實際應用價值.