尽管Web服务SOAP信息经常在公共频道传送，并且包含许多重要信息。这里有几个关于安全性的问题。SSL（安全套装）传送的HTTP可以保护传送中的数据，但是不受保护的文本可以在中期处理被还原。另外我们可以通过电子邮件或者通信系统传送SOAP信息。这会在周围产生很多附件。我们必须要确保SOAP信息：

　　·真实可信 

　　·未改变

　　·观测程序无法辨认

　　我们需要用这个技术创建一个SOAP信息。如果这个信息来历不明，我们可以验证它的身份，并且能够证明在传送过程中，这个信息是不可变的，对那些截取这个信息的人来说，它是毫无价值的。所有的这一切都要在确保其XML文件的自我描述功能的同时被完成。这个功能可以保证SOAP信息是独立的。在这个过程中会涉及到三种加密技术：公钥证书，信息digests以及对称密钥加密。

　　公用密码术以及公用密码基础设施

　　我们可以凭借数学知识生成一对密码键，这对密码键拥有许多重要特征。你可以用一个密码键对一个数据群进行加密，另一个密码键用于解密，但是我们无法用一个密码键计算另一个密码键。这样的话你就可以把公有密码告诉每一个人。他们可以把信息解译给你，但仅仅是你个人而已。而另一个密码持有者则可以对这个信息进行解密。因此，如果它们的公有密码可以对其解码，那么你就可以确认这个被加密信息的作者。

　　这里有一个叫做公有密码基础设施，这个基础设施是由那些令人尊敬的让人信任的部门通过数字签订的“证书”，这个证书把密码所有者的身份和他们的公有密码联系在了一起。通过为用户颁发证书，该证书建立了一个信任通道。Web服务器和浏览器中用于HTTPS和典型WS-Security的最常见证书标准叫做X.509。该标准是由ITU（国际电信联盟）。

　　对公有密码的编码和解码对CPU的要求很高。要想节省CPU的时间，WS-Security会使用一个包含两步的流程，在这个流程中对称加密中暂时关键密码会给数据块解码，我们会使用接受者的密码对其进行解码。接受者用私有密码解开临时关键码，而临时关键码而用来解码数据块。这个两步流程是可行的，因为对称加密比公有密码术的速度更快。