為Web服務提供安全功能和組件的模型需要把現有的流程和技術與將來的應用程序的安全性需求集成起來。統一的安全技術就必須把應用程序對安全的需求從特定的機制中抽象出來。目的是讓開發者能夠容易地使用異類系統建立可互操作的安全解決方案。成功的Web服務安全方法需要一組靈活的、可互操作的基本元素，通過策略和配置，這些安全性基本元素可以使多種安全解決方案成為可行的方案。可行的Web服務安全性機制需要滿足和包括下列組件的要求：

網絡安全性

支持如SSL等提供機密性和完整性的安全傳輸機制。

XML消息安全性

1)XML數字簽名，以便接收方可以證明消息發送方的身份。

2)XML加密，提供數據元素的機密性使能夠驗證交換。W3C發布XML密鑰管理服務(XML Key Management Services，簡稱XKMS)的備忘錄，幫助分發及管理在端點之間進行安全通信所需的密鑰。

端點驗證及授權

1)支持在企業之間交換信息的合同中定義哪些雇員可以使用哪些服務。中介體負責審計和服務原始性證明。

2)支持網絡內部的、可信任的第三方驗證服務，例如Kerberos。

安全性服務描述

1)描述是否支持數字簽名、加密、驗證和授權以及如何支持它們。Web服務請求者使用服務描述的安全性元素，來查找符合政策要求及其安全性方法的服務端點。

2)OASIS成立了一個技術委員會來定義授權和驗證斷言(Authorization and Authentication Assertions，簡稱SAML)，幫助端點接受和決斷訪問控制權。

3)OASIS同時成立了另一個技術委員會來標準化訪問控制權的表達 (eXtensible Access Control Markup Language，簡稱XACML)，幫助端點能夠以一致的方式解析SAML斷言。

XML相關標準化團體"Organization for the Advancement of Structured Information Standards（OASIS）"的加盟企業成立了制定Web服務安全標準"Web Services Security（WS-Security）"的技術委員會"Web Services Security Technical Committee（WS-Security TC）"。這是OASIS于美國當地時間2002年7月23日宣布的。

WS-Security標準的目的是確保Web服務應用軟件處理數據的完整性及保密性，規定了Web服務協議SOAP的擴展及消息頭（Message Header）。這是由IBM、微軟和VeriSign共同研究制定的。 WS-Security融合了多種安全模式、結構和技術，是面向Web服務的標準規格之一。各種系統可以通過平臺及不依賴語言的方法確保相互兼容。

WS-Security 描述通過消息完整性、消息機密性和單獨消息認證提供保護質量對 SOAP 消息傳遞的增強。這些機制可以用于提供多種安全性模型和加密技術。WS-Security 還提供關聯安全性令牌和消息的通用機制。WS-Security 不需要特定類型的安全性令牌。它在設計上就是可擴展的（例如支持多安全性令牌格式）。舉例來說，客戶機可能會提供身份證明和他們有特定商業認證的證明。

另外，WS-Security 還描述如何對二進制安全性令牌編碼。此規范特別描述如何對 X.509 證書和 Kerberos 票據編碼以及如何加入難于理解的加密密鑰。它還包括可以用于進一步描述消息中包含的憑證特征的擴展性機制。

WS-Security 很靈活，它被設計成用來構建多種安全性模型（包括 PKI、Kerberos 和 SSL）的基礎。WS-Security 特別為多安全性令牌、多信任域、多簽名格式和多加密技術提供支持。規范提供了三種主要的機制：安全性令牌傳播、消息完整性和消息機密性。這些機制本身并不提供完整的安全性解決方案。相反，WS-Security 是一種構件，它可以與其它 Web 服務擴展和更高級的特定于應用程序的協議聯合使用，以適應多種安全性模型和加密技術。這些機制可以獨立使用（例如傳送安全性令牌），或以緊密集成的方式使用（例如，對消息簽名和加密，并提供與用于簽名和加密的密鑰相關的安全性令牌層次結構）。