Circular de Tecnología

Transcripción

1 ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001.doc 20/11/ :11:00 Documento de Circular de Tecnología Perfiles de Seguridad para Web Services Interoperables Versión Octubre de 2006 ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 1 / 15

2 Índice del Contenido 1. Abstract Objeto Alcance Antecedentes Justificación Contexto General Contexto Tecnológico Estándares de Interoperabilidad sobre WS WS-I Basic Profile WS-I Attachments Profile WS-I Simple SOAP Binding Profile Estándares de Seguridad sobre WS WS-I Basic Security Profile WS-Security Implementaciones sobre WS-Security Resumen Análisis GartnerGroup WS-I Basic Profile WS-I Basic Security Profile Estándares de seguridad de Web Services Recomendaciones GartnerGroup Recomendaciones técnicas VIGENTES EMERGENTES Implementaciones de Referencia Vigencia Referencias: ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 2 / 15

3 1. Abstract La presente Circular de Tecnología se inscribe en el Plan de Sistemas y Servicios Informatizados, aplicándose en particular en contextos de SOA, interoperabilidad e intercambio de información. Este documento describe el conjunto de estándares y especificaciones referidas a tecnologías de Web Services, su interoperabilidad y aspectos de seguridad; describiéndose su estado, su grado de madurez y adopción, así como pautas de aplicación, implementaciones de referencias, y productos. Asimismo se resume un análisis de GartnerGroup sobre estos estándares y especificaciones. Finalmente, establece la adopción Institucional de estándares Web Services interoperables y seguridad sobre ellos. 2. Objeto Fijar la orientación adoptada por el Banco de Previsión Social en el ámbito de las tecnologías de Web Services (WS), su adhesión a estándares y especificaciones que establecen la seguridad e interoperabilidad de estos servicios. 3. Alcance Esta Circular de Tecnología comprende tanto los Servicios Web Internos como Externos (servicios de la Institución ofrecidos a usuarios externos y/o internos, y expuestos a través de tecnología de integración Web Services) 4. Antecedentes La tecnología de integración Web Services está convirtiendo en realidad un conocido lema ( The Network is the Computer ), al proporcionar una plataforma para la integración de las aplicaciones que brindan servicios a través de la Web. En esta plataforma las aplicaciones se adaptan a la Web y utilizan estándares basados en la Web. A la extendida y rápida adhesión al conocido stack básico de estándares HTTP, XML, SOAP, WSDL y UDDI, estándares y especificaciones abordados por organizaciones como W3C y OASIS se agrega ahora la adopción de estándares y especificaciones que atienden los aspectos de interoperabilidad y seguridad involucrados en Web Services, es decir, de aquellos que hacen al consumo seguro de servicios neutrales respecto de la plataforma donde se producen. Ahora, las aplicaciones pueden ser construidas usando una combinación de Web Services seguros e interoperables. La interoperabilidad requiere consenso, una comprensión clara de los requisitos, y una voluntad explícita de adhesión a especificaciones. Los miembros de la industria formaron ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 3 / 15

4 la organización para la interoperabilidad de los WS: Web Services Interoperability Organization (WS-I) [Cfr.: WS-I], que es un consorcio de la industria que tiene una visión del más alto nivel sobre los Web Services y determina cómo componer todas las especificaciones y estándares para conseguir que trabajen juntos en ambientes heterogéneos, marcándose como objetivo el proporcionar y promover una visión común que inspire la confianza y asegure la adopción y evolución continuada de los Web Services. Para cumplir con este objetivo la Organización WS-I introduce el concepto de Profile, entendiendo por tal un conjunto de definiciones y especificaciones comúnmente aceptadas por la industria y a partir del apoyo a estándares basados en XML, junto con un conjunto de indicaciones que recomiendan cómo se deben usar las especificaciones para desarrollar servicios web interoperables entre sí 5. Justificación 5.1. Contexto General Lo establece el PLAN ESTRATÉGICO del organismo y la conformidad con sus Directrices Estratégicas y Lineamientos de Planificación, en particular aquellas que corresponden a la construcción y operación de Sistemas de Información y Servicios Informatizados, desarrollados en los Lineamientos 3.6, 3.7 y Estos Lineamientos de planificación están indirectamente asociados a otros, para la implementación de servicios a la sociedad y mejora de gestión interna. En términos generales se plantea cumplir estos objetivos de acuerdo a la VISION de un BPS Que utilice herramientas avanzadas, especialmente Tecnologías de la Información. [Cfr.: PE 2006/2010] En el marco del PLAN ESTRATÉGICO del organismo se desarrolló y aprobó el Plan de Sistemas y Servicios Informatizados, que instrumenta los Objetivos del Plan Estratégico a través de la incorporación o adecuación de infraestructura y/o desarrollos informáticos. [Cfr.: PSSI 2006/2010] 1 Lineamientos Estratégicos y de Planificación: 3.6. Planificar y aplicar una estrategia de Sistemas de Información e informatización de servicios acorde con los objetivos estratégicos planteados. 3.7 Definir y aplicar estrategias tecnológicas con visión global del organismo teniendo en cuenta la prospectiva de mediano y largo plazo. 3.8 Fortalecer la capacidad interna para gestión de Tecnologías de la Información. ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 4 / 15

5 De las tres categorías de Objetivos se destaca la Categoría III, que refiere a los objetivos de actualización tecnológica: Mantener el nivel de actualización tecnológica alcanzado, evolucionando y mejorando en forma permanente. Esta categoría de objetivos está fuertemente relacionada con el Lineamiento de Planificación 3.7. Se denotan [Objetivo Tecnológico nn]. o Evolucionar hacia arquitecturas de software Orientadas a Servicios 2, con énfasis en la modularidad y componentización, así como en la interoperabilidad de los sistemas, de forma de facilitar la gestión tanto técnica como administrativa y contractual de sistemas en gran escala. Esto implica actividades de diseño así como incorporación de software de base capaz de ejecutar las aplicaciones en esta arquitectura. [OT-1] [OT-2] [OT-3] [OT-4] Especificar pautas para aplicación de Arquitecturas Orientadas a Servicios (SOA) en el BPS. Definir arquitecturas tipo SOA de referencia para el BPS. Especificar pautas de aplicación de las arquitecturas de referencia en los proyectos informáticos y software en general que se incorpore. Definir e incorporar software de base para ejecutar sistemas con arquitectura de tipo SOA. o Introducir en forma generalizada tecnologías de tipo Portal Web. Si bien están orientadas principalmente para los Servicios por Internet a usuarios externos junto con mecanismos genéricos de intercambio de información con instituciones externas; también interesa analizar el uso de estas tecnologías para interfases de tipo Web orientadas a funcionarios que no sean especialistas de un área funcional. [OT-5] [OT-6] [OT-7] [OT-8] [OT-9] Especificar pautas para la exposición de servicios a través de portales e interfases de tipo HTTP en general, analizando escenarios de usuarios externos e internos. Aquí se deben tener en cuenta el conjunto de características requeridas y deseables, desde las relativas a la usabilidad hasta las de robustez y seguridad. Definir arquitecturas compatibles con SOA para los servicios ofrecidos a través de portales. Especificar pautas de construcción de aplicaciones que ofrecen servicios a través de portales. Definir e incorporar software de base de tipo Portal con las características deseadas. Realizar actividades de formación asociadas a los nuevos productos. [Cfr.: PSSI 2006/2010] Este conjunto de Objetivos plantea la adopción de nuevas tecnologías basadas en estándares que aseguren la interoperabilidad de los servicios que se brinden vía Web y la seguridad tanto de la comunicación y la infraestructura, como de la información involucrada. 2 En el vocabulario técnico conocidas como: Service Oriented Architectures (SOA). ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 5 / 15

6 5.2. Contexto Tecnológico Estándares de Interoperabilidad sobre WS La exposición universal y segura de servicios Web comunicados mediante http sólo es posible si sus implementaciones adhieren a un conjunto de estándares, tanto del lado del productor como del lado del consumidor. WS-I Organization es la organización que aborda de manera global las especificaciones no propietarias de estos estándares, y lo hace mediante los llamados WS-I Basic Profile WS-I Attachments Profile WS-I Simple SOAP Binding Profile WS-I Basic Security Profile documentos que reúnen los estándares y especificaciones de W3C y OASIS poniendo foco en garantizar la interoperabilidad de los Web Services en ambientes heterogéneos. Los tres primeros Profiles se encuentran actualmente en estado Final Material Recommended Standard WS-I Basic Profile El WS-I Basic Profile (BP) 1.1 consiste en un conjunto de restricciones y pautas orientadas a contribuir con el desarrollo de Web Services interoperables. Su alcance incluye las siguientes especificaciones: Simple Object Access Protocol (SOAP) 1.1 Extensible Markup Language (XML) 1.0 (Second Edition) RFC2616: Hypertext Transfer Protocol HTTP/1.1 RFC2965: HTTP State Management Mechanism Web Services Description Language (WSDL) 1.1 XML Schema Part 1: Structures XML Schema Part 2: Datatypes UDDI Version 2.04 API Specification, Dated 19 July 2002 UDDI Version 2.03 Data Structure Reference, Dated 19 July 2002 UDDI Version 2 XML Schema RFC2818: HTTP Over TLS RFC2246: The TLS Protocol Version 1.0 The SSL Protocol Version 3.0 RFC2459: Internet X.509 Public Key Infrastructure Certificate and CRL Profile El WS-I Basic Profile 1.1 sustituye el Basic Profile 1.0, de donde se separó la serialización sobre HTTP en otro profile, el Simple SOAP Binding Profile (SSBP) 1.0. ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 6 / 15

7 WS-I Attachments Profile El WS-I Attachments Profile 1.0 consiste en un conjunto de especificaciones no propietarias sobre Web Services junto a agregados y aclaraciones de aquellas especificaciones que promueven la interoperabilidad. WS-I Attachments Profile 1.0 complementa WS-I Basic Profile 1.1 y agrega soporte para transportar mensajes SOAP interoperables basados en mensajes con archivos adjuntos -Attachments- (SwA) por medio de mensajes SOAP. Incluye las siguientes especificaciones: Extensible Markup Language (XML) 1.0 (Second Edition) Namespaces in XML 1.0 RFC2557 MIME Encapsulation of Aggregate Documents, such as HTML (MHTML) RFC2045 Multipurpose Internet Mail Extensions (MIME) Part One: Format of Internet Message Bodies RFC2046 Multipurpose Internet Mail Extensions (MIME) Part Two: Media Types RFC2392 Content-ID and Message-ID Uniform Resource Locators WSDL 1.1, Section WS-I Simple SOAP Binding Profile El WS-I Simple SOAP Binding Profile (SSBP) 1.0 (SSBP 1.0) consiste de una serie de restricciones y pautas sobre cómo serializar mensajes SOAP sobre HTTP. Incluye las siguientes especificaciones: Simple Object Access Protocol (SOAP) 1.1 Extensible Markup Language (XML) 1.0 (Second Edition) RFC2616: Hypertext Transfer Protocol HTTP/1.1 Web Services Description Language (WSDL) 1.1, Section 3 Namespaces in XML 1.0 Esto permite usar los diferentes transportes junto con el Basic Profile Estándares de Seguridad sobre WS WS-I Basic Security Profile WS-I Basic Security Profile es un conjunto de especificaciones orientadas a proveer una plataforma para la integración y la interoperabilidad de aplicaciones vía Web Services, que se construye sobre los profiles anteriores: WS-I Basic Profile, WS-I Attachments Profile, ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 7 / 15

8 WS-I SSBP. Actualmente se encuentran en estado Working Group Draft (la publicación Draft más reciente de su versión 1.0 es de Agosto/2006) El WS-I Basic Security Profile especifica cómo deben interpretarse las especificaciones de OASIS WS-Security para aumentar la probabilidad de uso del WS-Security de una manera interoperable. Mientras el Basic Security Profile es consistente con BP 1.1 y SSBP 1.0, agrega funcionalidad y muestra cómo agregar características de seguridad conformes al perfil básico cuando hace falta. Está construido sobre las siguientes especificaciones: HTTP Over TLS Web Services Security: SOAP Message Security Web Services Security: UsernameToken Profile Web Services Security: X.509 Token Profile XML-Signature Syntax and Processing Web Services Security: SOAP Message Security Section 9 XML Encryption Syntax and Processing WS-Security 1.1 La entidad de normalización OASIS (Organization for the Advancement of Structured Information Standards) [Cfr.: OASIS] ha aprobado recientemente (Marzo/2006) la especificación WS-Security 1.1 como norma internacional para dar seguridad a las aplicaciones distribuidas y los servicios Web. Sustituye la versión anterior 1.0, publicada en abril de La especificación, desarrollada por el comité técnico Web Services Security (WSS) de OASIS, aporta un método de propósito general para introducir autenticación, integridad y confidencialidad en el intercambio de mensajes entre aplicaciones basadas en Web Services. Para ello, incluye certificados X.509 y Kerberos, así como las extensiones WS-Policy, WS-Trust y WS-Secure Conversation. Además, junto a la especificación central WS-Security, soporta Username Token Profile 1.1, ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 8 / 15

9 Matadata: WS- Policy Banco de Previsión Social X.509 Token Profile 1.1, Kerberos Token Profile 1.1, SAML Token Profile 1.1, Rights Expression (REL) Token Profile 1.1, SOAP With Attachments (SWA) Profile 1.1 y Schema 1.1. WS-Security ha sido adoptado por otros cuerpos de estandarización -como Liberty Alliance Project [Cfr.: LAP], que lo incorpora en su tecnología de federación de identidades-, así como por numerosos fabricantes. Entre las firmas que han contribuido al desarrollo de la versión 1.1 se encuentran Actional/Progress Software Adobe AmberPoint BEA Systems BMC Software Computer Associates EMC Forum Systems Fujitsu HP Hitachi IBM Intel Microsoft Neustar Nokia Oracle Reactivity RSA Security SAP Sun Tibco VeriSign Implementaciones sobre WS-Security La Figura 1 muestra las relaciones entre varias especificaciones de Web Services (WS-*), haciendo foco en su seguridad: Web Service Security WS-Security Policy WS-Federation WS-Trust WS-Secure Conversation WS-Security Messaging: SOAP, WS-Addressing, MTOM XML Figura 1 ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 9 / 15

10 Estándares Aprobados Propuestas Estándar (Mainstream): El estándar se ha ratificado o existe una adopción de facto a gran escala Adopción Temprana (Early Adoption): Existen implementaciones robustas y el protocolo está estandarizado o finalizado, lo que recomienda su uso por las organizaciones Experimentación (Experimentation): Algunos vendedores proporcionan implementaciones tempranas que permiten la experimentación, pero no se recomiendan para el uso en producción Especificación (Specification): Sólo existe una especificación en formato borrador. Cualquier uso requiere codificación manual Tabla de significados del estado actual de las especificaciones WS-Security Las relaciones entre las especificaciones WS-Security Estas especificaciones están diseñadas para ser usadas todas juntas, para proveer Web Services seguros, facilitando cada especificación una funcionalidad propia y distinta. Sin embargo, pese a que existen implementaciones basadas en ellas, no todas tienen el mismo grado de madurez y adopción: WS-Security. (Estándar) Constituye un estándar de OASIS (v/1.1, de Marzo2006), que describe la seguridad basada en mensajes, que pueden ser enviados a través de diferentes protocolos de transporte: HTTP, SMTP, FTP, TCP. Describe mejoras a los mensajes SOAP para proporcionar calidad de protección a través de la integridad, confidencialidad y autenticación única del mensaje. Estos mecanismos pueden usarse para adecuar una amplia variedad de modelos de seguridad y tecnologías del encriptación. Provee un mecanismo de propósito general asociando tokens de seguridad con mensajes. Describe cómo codificar certificados X.509 y tickets Kerberos además de cómo incluir claves de encriptación no transparentes. Incluye mecanismos de extensibilidad que pueden usarse para adicionalmente describir las características de las credenciales que son incluidas con un mensaje. WS-SecurityPolicy. (Experimentación) Describe las capacidades y restricciones de seguridad (y otro asuntos), las políticas sobre intermediarios y extremos (por ejemplo: tokens de seguridad requeridos, algoritmos del encriptación soportados, o partes de mensaje protegidas) WS-Trust. (Estándar) Describe un framework para modelos de confianza que habilitan servicios Web con interoperabilidad segura. ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 10 / 15

11 WS-SecureConversation. (Estándar) Describe cómo manejar y autenticar intercambios del mensaje entre las partes, incluyendo el intercambio de contexto de seguridad y estableciendo y derivando claves de la sesión. WS-Federation. (Experimentación) Describe cómo manejar las relaciones de confianza en un ambiente federado heterogéneo, incluyendo soporte para identidades federadas. Ejemplos de implementaciones en escenarios de interoperabilidad entre Web Services utilizando WS- Security 1.0 para las plataformas.net y J2EE, pueden encontrarse en WSE 2.0 (de Microsoft) y JWSDP (Java Web services Developer Pack 1.4, de SUN) [Cfr.: WSSI] 5.4. Resumen Análisis GartnerGroup WS-I Basic Profile Definición Posición Directiva de uso Impacto en el negocio Penetración en el mercado Nivel de madurez: Productos / Vendedores Vendedores Beneficio Profile para la interoperabilidad de los web services El profile es ampliamente conocido y bastamente distribuido. Los beneficios de su adopción son apreciados suficientemente. Los usuarios deberían implementar SOAP usando el Basic Profile o eligiendo productos de acuerdo con este profile. Se hace notar que el Basic Profile evolucionará para incluir las características de SOAP 1.2 y especificaciones relacionadas, tal como SOAP Message Transmission Optimization Mechanism El WS-I Basic Profile está asegurando la interoperabilidad de los Web Services. 20 a 50% del público objetivo Tecnología probada. Vendedores, tecnología y adopción evolucionando rápidamente. 3ra. Generación. Metodologías. Más Out of box WS-I Organization Mejora en los procesos (por ejemplo, mejora en la experiencia del usuario) que será difícil de traducir en un incremento de las rentas o ahorro de gastos. ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 11 / 15

12 WS-I Basic Security Profile Definición Posición Directiva de uso Impacto en el negocio Penetración en el mercado Nivel de madurez Productos / Vendedores Vendedores Guía de WS-I para el uso de WS-Security El WS-I Basic Security Profile está siendo utilizado como el conjunto de restricciones por defecto en implementaciones emergentes de WS- Security. Los usuarios deberían cumplir con este perfil cuando implementen Web Services utilizando WS-Security El WS-I Basic Security Profile asegura que los mecanismos de seguridad utilizados por Web Services interoperarán con los otros sin interrupciones. 1 a 5% del público objetivo Emergente. Comercializado por vendedores. Pilotos y despliegues llevados a cabo por líderes de la industria. 1ra. Generación. Precio alto. Demasiada customizacion Web Services Interoperability Organization (WS-I) Estándares de seguridad de Web Services Definición Posición Directiva de uso Los estándares de seguridad para web services basados en XML incluyen Web Services Security (WS-Security), Web Services Secure Exchange (WS-SX), estándares de identidad federada y otros. El fuerte apoyo a estos estándares proviene de los vendedores más importantes de Web Services y de las organizaciones de estandarización W3C / OASIS / WS-I para casi todos los elementos. Los productos más importantes incluyen alguna compatibilidad con estándares como WS- Security, SAML, XACML y XML Encryption y desarrollan especificaciones tales como WS-Federation, protocolos Liberty Alliance, WS-SX y SPML. La mayoría de los mecanismos básicos de protección para transacciones con Web Services o bien están disponibles como estándares (WS- Security, SAML) o están actualmente especificados en el cuerpo de estándares (WS-SX, WebServices Reliable Exchange). Estándares de políticas de más alto nivel tiene aún que ser transferidos a cuerpos de ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 12 / 15

13 estándares. El cambio es inevitable, pero las empresas que despliegan WS de alto valor a través de los firewalls pueden sentirse cómodos con el conjunto de mecanismos básicos de protección disponibles. Impacto en el negocio Penetración en el mercado Nivel de madurez Productos / Vendedores Vendedores Soportará desarrollos de nuevas aplicaciones basadas en estándares de Internet, que de otro modo podría tender a esquivar los firewalls y otros servicios de seguridad creando vulnerabilidades. 5 a 20% del público objetivo Tecnología probada. Vendedores, tecnología y adopción evolucionando rápidamente. 3ra. Generación. Metodologías. Más Out of box. Forum Systems, IBM, Intel, Microsoft, Reactivity, RSA Security, Sun Microsystems, VeriSign Recomendaciones GartnerGroup Recomendaciones para las empresas de la Gartner al respecto, incluidas en el documento G Power Players advance web services security standardization - Julio 2005 La ratificación e implementación de estas especificaciones avanza rápidamente. Los estándares futuros tendrán una tendencia a aparecer en implementaciones de vendedores de seguridad de WS para finales de 2005 y serán ubicuos para finales de 2006 Agregue WS-Security como mecanismo de seguridad y actualice la infraestructura para soportarlo. Demande que los nuevos productos incluyan las capacidades del WS-Security así como Basic Profile y Basic Security Profile. [Cfr.: GG-PPAWS 2006] ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 13 / 15

14 5.5. Recomendaciones técnicas VIGENTES Estas Recomendaciones Técnicas establecen la APLICABILIDAD INMEDIATA como Estándares Vigentes de la Institución de los siguientes Estándares internacionales: WS-I Basic Profile Versión 1.1 Abril Attachments Profile Versión 1.0 Abril Simple SOAP Binding Profile Versión 1.0 Agosto WS-Security Versión 1.1 Marzo EMERGENTES Esta Recomendación Técnica establece la APLICABILIDAD INMEDIATA como Estándar Emergente de la Institución el siguientes Working Group Approval Draft de la WS-I: WS-I Basic Security Profile Versión 1.0 Abril 2006 allí donde Basic Security Profile ya prove una guía de uso: WS-Security, Kerberos, SAML, UserName, X.509 security token formats; y en general, allí donde sea de aplicación WS-Security Implementaciones de Referencia Implementación para escenarios de interoperabilidad entre Web Services utilizando WS-Security 1.0 para la plataforma.net Web Services Enhancenment (WSE) Versión 2.0 Implementación para escenarios de interoperabilidad entre Web Services utilizando WS-Security 1.0 para la plataforma J2EE 1.4 JWSDP (Java Web services Developer Pack 1.4, de SUN) Implementaciones de las organizaciones intervinientes en el WS-I, para escenarios de interoperabilidad entre Web Services, basadas en WS-Basic Security Profile ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 14 / 15

15 6. Vigencia Esta circular entra en vigencia a partir del 01 de Octubre de Referencias: [Cfr.: PE 2006/2010] PLAN ESTRATÉGICO [Cfr.: PSSI 2006/2010] Plan de Sistemas y Servicios Informatizados [Cfr.: GG 2006] Gartner Hype Cycle for Web Services and Related Standards and Specifications, 2006 [Cfr.: GG-PPAWS 2006] Power Players Advance Web Services Security Standardization [Cfr.: WSSI] WS-Security Interoperability Using WSE 2.0 and Sun JWSDP 1.4) [Cfr.: OASIS] Organization for the Advancement of Structured Information Standards [Cfr.: W3C] World Wide Web Consortium ( [Cfr.: WS-I] Web Services Interoperability Organization Information Standards [Cfr.: LAP] Liberty Allience Project ( WS-I Attachments Profile Version WS-I Basic Profile Version WS-I Simple SOAP Binding Profile Version WS-I Basic Security Profile Version WS-Security 1.1 -Marzo The Java Web Services Tutorial -For Java Web Services Developer s Pack, v2.0 ARCHIVO: ASIT CT Perfiles de Seguridad para Web Services Interoperables v0001 Nº. PÁG: 15 / 15