ASIT 20061001 CT Perfiles de Seguridad para Web Services Interoperables v0001.doc 20/11/2009 11:11:00
Documento de
Circular de Tecnología
Perfiles de Seguridad para
Web Services Interoperables
Índice del Contenido
1. Abstract ... 3 2. Objeto ... 3 3. Alcance ... 3 4. Antecedentes ... 3 5. Justificación ... 4 5.1. Contexto General ... 4 5.2. Contexto Tecnológico ... 65.2.1. Estándares de Interoperabilidad sobre WS ... 6
5.2.1.1. WS-I Basic Profile ... 6
5.2.1.2. WS-I Attachments Profile ... 7
5.2.1.3. WS-I Simple SOAP Binding Profile ... 7
5.3. Estándares de Seguridad sobre WS ... 7
5.3.1. WS-I Basic Security Profile ... 7
5.3.2. WS-Security 1.1 ... 8
5.3.3. Implementaciones sobre WS-Security ... 9
5.4. Resumen Análisis GartnerGroup ... 11
5.4.1. WS-I Basic Profile ... 11
5.4.2. WS-I Basic Security Profile ... 12
5.4.3. Estándares de seguridad de Web Services ... 12
5.4.4. Recomendaciones GartnerGroup ... 13 5.5. Recomendaciones técnicas ... 14 5.5.1. VIGENTES ... 14 5.5.2. EMERGENTES ... 14 5.6. Implementaciones de Referencia ... 14 6. Vigencia ... 15 7. Referencias: ... 15
1.
Abstract
La presente Circular de Tecnología se inscribe en el “Plan 2006-2010 de Sistemas y Servicios Informatizados”, aplicándose en particular en contextos de SOA, interoperabilidad e intercambio de información. Este documento describe el conjunto de estándares y especificaciones referidas a tecnologías de Web Services, su interoperabilidad y aspectos de seguridad; describiéndose su estado, su grado de madurez y adopción, así como pautas de aplicación, implementaciones de referencias, y productos. Asimismo se resume un análisis de GartnerGroup sobre estos estándares y especificaciones. Finalmente, establece la adopción Institucional de estándares Web Services interoperables y seguridad sobre ellos.
2.
Objeto
Fijar la orientación adoptada por el Banco de Previsión Social en el ámbito de las tecnologías de Web Services (WS), su adhesión a estándares y especificaciones que establecen la seguridad e interoperabilidad de estos servicios.
3.
Alcance
Esta Circular de Tecnología comprende tanto los Servicios Web Internos como Externos (servicios de la Institución ofrecidos a usuarios externos y/o internos, y expuestos a través de tecnología de integración Web Services)
4.
Antecedentes
La tecnología de integración Web Services está convirtiendo en realidad un conocido lema (“The Network is the Computer”), al proporcionar una plataforma para la integración de las aplicaciones que brindan servicios a través de la Web. En esta plataforma las aplicaciones se adaptan a la Web y utilizan estándares basados en la Web.
A la extendida y rápida adhesión al conocido stack básico de estándares –HTTP, XML, SOAP, WSDL y UDDI, estándares y especificaciones abordados por organizaciones como W3C y OASIS– se agrega ahora la adopción de estándares y especificaciones que atienden los aspectos de interoperabilidad y seguridad involucrados en Web Services, es decir, de aquellos que hacen al consumo seguro de servicios neutrales respecto de la plataforma donde se producen. Ahora, las aplicaciones pueden ser construidas usando una combinación de Web Services seguros e interoperables.
La interoperabilidad requiere consenso, una comprensión clara de los requisitos, y una voluntad explícita de adhesión a especificaciones. Los miembros de la industria formaron
la organización para la interoperabilidad de los WS: Web Services Interoperability Organization (WS-I) [Cfr.: WS-I], que es un consorcio de la industria que tiene una visión del más alto nivel sobre los Web Services y determina cómo componer todas las especificaciones y estándares para conseguir que trabajen juntos en ambientes heterogéneos, marcándose como objetivo el proporcionar y promover una visión común que inspire la confianza y asegure la adopción y evolución continuada de los Web Services.
Para cumplir con este objetivo la Organización WS-I introduce el concepto de “Profile”, entendiendo por tal
“un conjunto de definiciones y especificaciones comúnmente aceptadas por la industria y a partir del apoyo a estándares basados en XML, junto con un conjunto de indicaciones que recomiendan cómo se deben usar las especificaciones para desarrollar servicios web interoperables entre sí”
5.
Justificación
5.1.
Contexto General
Lo establece el “PLAN ESTRATÉGICO 2006-2010” del organismo y la conformidad con sus Directrices Estratégicas y Lineamientos de Planificación, en particular aquellas que corresponden a la construcción y operación de Sistemas de Información y Servicios Informatizados, desarrollados en los Lineamientos 3.6, 3.7 y 3.81.
Estos Lineamientos de planificación están indirectamente asociados a otros, para la implementación de servicios a la sociedad y mejora de gestión interna. En términos generales se plantea cumplir estos objetivos de acuerdo a la VISION de un BPS
“Que utilice herramientas avanzadas, especialmente Tecnologías de la Información”.
[Cfr.: PE 2006/2010]
En el marco del “PLAN ESTRATÉGICO 2006-2010” del organismo se desarrolló y aprobó el “Plan 2006-2010 de Sistemas y Servicios Informatizados”, que instrumenta los Objetivos del Plan Estratégico “…a través de la incorporación o adecuación de infraestructura y/o desarrollos informáticos.”
[Cfr.: PSSI 2006/2010]
1
Lineamientos Estratégicos y de Planificación:
3.6. “Planificar y aplicar una estrategia de Sistemas de Información e informatización de servicios acorde con los objetivos estratégicos planteados”.
3.7 “Definir y aplicar estrategias tecnológicas con visión global del organismo teniendo en cuenta la prospectiva de mediano y largo plazo”.
De las tres categorías de Objetivos se destaca la Categoría III, que refiere a los objetivos de actualización tecnológica:
“Mantener el nivel de actualización tecnológica alcanzado, evolucionando y mejorando en forma permanente.
Esta categoría de objetivos está fuertemente relacionada con el Lineamiento de Planificación 3.7.
Se denotan [Objetivo Tecnológico – nn].
o Evolucionar hacia arquitecturas de software “Orientadas a Servicios”2
, con énfasis en la modularidad y componentización, así como en la interoperabilidad de los sistemas, de forma de facilitar la gestión tanto técnica como administrativa y contractual de sistemas en gran escala. Esto implica actividades de diseño así como incorporación de software de base capaz de ejecutar las aplicaciones en esta arquitectura.
[OT-1] Especificar pautas para aplicación de Arquitecturas Orientadas a Servicios
(SOA) en el BPS.
[OT-2] Definir arquitecturas tipo SOA de referencia para el BPS.
[OT-3] Especificar pautas de aplicación de las arquitecturas de referencia en los
proyectos informáticos y software en general que se incorpore.
[OT-4] Definir e incorporar software de base para ejecutar sistemas con
arquitectura de tipo SOA.
o Introducir en forma generalizada tecnologías de tipo “Portal Web”. Si bien están orientadas
principalmente para los Servicios por Internet a usuarios externos junto con mecanismos genéricos de intercambio de información con instituciones externas; también interesa analizar el uso de estas tecnologías para interfases de tipo Web orientadas a funcionarios que no sean especialistas de un área funcional.
[OT-5] Especificar pautas para la exposición de servicios a través de portales e
interfases de tipo HTTP en general, analizando escenarios de usuarios externos e internos. Aquí se deben tener en cuenta el conjunto de
características requeridas y deseables, desde las relativas a la usabilidad hasta las de robustez y seguridad.
[OT-6] Definir arquitecturas compatibles con SOA para los servicios ofrecidos a
través de portales.
[OT-7] Especificar pautas de construcción de aplicaciones que ofrecen servicios a
través de portales.
[OT-8] Definir e incorporar software de base de tipo Portal con las características
deseadas.
[OT-9] Realizar actividades de formación asociadas a los nuevos productos.
[Cfr.: PSSI 2006/2010]
Este conjunto de Objetivos plantea la adopción de nuevas tecnologías basadas en estándares que aseguren la interoperabilidad de los servicios que se brinden vía Web y la seguridad tanto de la comunicación y la infraestructura, como de la información involucrada.
5.2.
Contexto Tecnológico
5.2.1.
Estándares de Interoperabilidad sobre WS
La exposición universal y segura de servicios Web comunicados mediante http sólo es posible si sus implementaciones adhieren a un conjunto de estándares, tanto del lado del productor como del lado del consumidor.
WS-I Organization es la organización que aborda de manera global las especificaciones no propietarias de estos estándares, y lo hace mediante los llamados
WS-I Basic Profile
WS-I Attachments Profile
WS-I Simple SOAP Binding Profile
WS-I Basic Security Profile
documentos que reúnen los estándares y especificaciones de W3C y OASIS poniendo foco en garantizar la interoperabilidad de los Web Services en ambientes heterogéneos. Los tres primeros Profiles se encuentran actualmente en estado “Final Material – Recommended Standard”
5.2.1.1.
WS-I Basic Profile
El WS-I Basic Profile (BP) 1.1 consiste en un conjunto de restricciones y pautas orientadas a contribuir con el desarrollo de Web Services interoperables. Su alcance incluye las siguientes especificaciones:
Simple Object Access Protocol (SOAP) 1.1
Extensible Markup Language (XML) 1.0 (Second Edition)
RFC2616: Hypertext Transfer Protocol — HTTP/1.1
RFC2965: HTTP State Management Mechanism
Web Services Description Language (WSDL) 1.1
XML Schema Part 1: Structures
XML Schema Part 2: Datatypes
UDDI Version 2.04 API Specification, Dated 19 July 2002
UDDI Version 2.03 Data Structure Reference, Dated 19 July 2002
UDDI Version 2 XML Schema
RFC2818: HTTP Over TLS
RFC2246: The TLS Protocol Version 1.0
The SSL Protocol Version 3.0
RFC2459: Internet X.509 Public Key Infrastructure Certificate
and CRL Profile
El WS-I Basic Profile 1.1 sustituye el Basic Profile 1.0, de donde se separó la serialización sobre HTTP en otro profile, el Simple SOAP Binding Profile (SSBP) 1.0.
5.2.1.2.
WS-I Attachments Profile
El WS-I Attachments Profile 1.0 consiste en un conjunto de especificaciones no propietarias sobre Web Services junto a agregados y aclaraciones de aquellas especificaciones que promueven la interoperabilidad. WS-I Attachments Profile 1.0 complementa WS-I Basic Profile 1.1 y agrega soporte para transportar mensajes SOAP interoperables basados en mensajes con archivos adjuntos -Attachments- (SwA) por medio de mensajes SOAP. Incluye las siguientes especificaciones:
Extensible Markup Language (XML) 1.0 (Second Edition)
Namespaces in XML 1.0
RFC2557 MIME Encapsulation of Aggregate Documents, such as
HTML (MHTML)
RFC2045 Multipurpose Internet Mail Extensions (MIME) Part One:
Format of Internet Message Bodies
RFC2046 Multipurpose Internet Mail Extensions (MIME) Part
Two: Media Types
RFC2392 Content-ID and Message-ID Uniform Resource Locators
WSDL 1.1, Section 5.0
5.2.1.3.
WS-I Simple SOAP Binding Profile
El WS-I Simple SOAP Binding Profile (SSBP) 1.0 (SSBP 1.0) consiste de una serie de restricciones y pautas sobre cómo serializar mensajes SOAP sobre HTTP. Incluye las siguientes especificaciones:
Simple Object Access Protocol (SOAP) 1.1
Extensible Markup Language (XML) 1.0 (Second Edition)
RFC2616: Hypertext Transfer Protocol — HTTP/1.1
Web Services Description Language (WSDL) 1.1, Section 3
Namespaces in XML 1.0
Esto permite usar los diferentes transportes junto con el Basic Profile 1.1
5.3.
Estándares de Seguridad sobre WS
5.3.1.
WS-I Basic Security Profile
WS-I Basic Security Profile es un conjunto de especificaciones orientadas a proveer una plataforma para la integración y la interoperabilidad de aplicaciones vía Web Services, que se construye sobre los profiles anteriores:
WS-I Basic Profile,
WS-I SSBP.
Actualmente se encuentran en estado “Working Group Draft” (la publicación Draft
más reciente de su versión 1.0 es de Agosto/2006)
El WS-I Basic Security Profile especifica cómo deben interpretarse las especificaciones de OASIS WS-Security para aumentar la probabilidad de uso del WS-Security de una manera interoperable.
Mientras el Basic Security Profile es consistente con BP 1.1 y SSBP 1.0, agrega funcionalidad y muestra cómo agregar características de seguridad conformes al perfil básico cuando hace falta. Está construido sobre las siguientes especificaciones:
HTTP Over TLS
Web Services Security: SOAP Message Security
Web Services Security: UsernameToken Profile
Web Services Security: X.509 Token Profile
XML-Signature Syntax and Processing
Web Services Security: SOAP Message Security Section 9
XML Encryption Syntax and Processing
5.3.2.
WS-Security 1.1
La entidad de normalización OASIS (Organization for the Advancement of Structured Information Standards) [Cfr.: OASIS] ha aprobado recientemente (Marzo/2006) la especificación WS-Security 1.1 como norma internacional para dar seguridad a las aplicaciones distribuidas y los servicios Web. Sustituye la versión anterior 1.0, publicada en abril de 2004.
La especificación, desarrollada por el comité técnico Web Services Security (WSS) de OASIS, aporta un método de propósito general para introducir autenticación, integridad y confidencialidad en el intercambio de mensajes entre aplicaciones basadas en Web Services. Para ello, incluye
certificados X.509 y
Kerberos,
así como las extensiones
WS-Policy,
WS-Trust y
WS-Secure Conversation.
Además, junto a la especificación central WS-Security, soporta
X.509 Token Profile 1.1,
Kerberos Token Profile 1.1,
SAML Token Profile 1.1,
Rights Expression (REL) Token Profile 1.1,
SOAP With Attachments (SWA) Profile 1.1 y
Schema 1.1.
WS-Security ha sido adoptado por otros cuerpos de estandarización -como
Liberty Alliance Project [Cfr.: LAP], que lo incorpora en su tecnología de federación de identidades-, así como por numerosos fabricantes. Entre las firmas que han contribuido al desarrollo de la versión 1.1 se encuentran
Actional/Progress Software Intel
Adobe Microsoft
AmberPoint Neustar
BEA Systems Nokia
BMC Software Oracle
Computer Associates Reactivity
EMC RSA Security
Forum Systems SAP
Fujitsu Sun
HP Tibco
Hitachi VeriSign
IBM
5.3.3.
Implementaciones sobre WS-Security
La Figura 1 muestra las relaciones entre varias especificaciones de Web Services (WS-*), haciendo foco en su seguridad:
Figura 1 M a tada ta: W S -P olic y
Web Service Security
WS-Security Policy
WS-Trust WS-Federation
WS-Security
Messaging: SOAP, WS-Addressing, MTOM XML
WS-Secure Conversation
Estándares Aprobados
Estándar(Mainstream):
El estándar se ha ratificado o existe una adopción de facto a gran escala
Adopción Temprana(Early Adoption):
Existen implementaciones robustas y el protocolo está estandarizado o finalizado, lo que recomienda su uso por las organizaciones
Propuestas
Experimentación(Experimentation):
Algunos vendedores proporcionan implementaciones tempranas que permiten la experimentación, pero no se recomiendan para el uso en producción
Especificación(Specification):
Sólo existe una especificación en formato borrador. Cualquier uso requiere codificación manual
Tabla de significados del estado actual de las especificaciones WS-Security
Las relaciones entre las especificaciones WS-Security
Estas especificaciones están diseñadas para ser usadas todas juntas, para proveer Web Services seguros, facilitando cada especificación una funcionalidad propia y distinta. Sin embargo, pese a que existen implementaciones basadas en ellas, no todas tienen el mismo grado de madurez y adopción:
WS-Security. (Estándar) Constituye un estándar de OASIS (v/1.1, de Marzo2006), que describe la seguridad basada en mensajes, que pueden ser enviados a través de diferentes protocolos de transporte: HTTP, SMTP, FTP, TCP.
Describe mejoras a los mensajes SOAP para proporcionar calidad de protección a través de la integridad, confidencialidad y autenticación única del mensaje. Estos mecanismos pueden usarse para adecuar una amplia variedad de modelos de seguridad y tecnologías del encriptación. Provee un mecanismo de propósito general asociando tokens de seguridad con mensajes. Describe cómo codificar certificados X.509 y tickets Kerberos además de cómo incluir claves de encriptación no transparentes. Incluye mecanismos de extensibilidad que pueden usarse para adicionalmente describir las características de las credenciales que son incluidas con un mensaje.
WS-SecurityPolicy. (Experimentación) Describe las capacidades y restricciones de seguridad (y otro asuntos), las políticas sobre intermediarios y extremos (por ejemplo: tokens de seguridad requeridos, algoritmos del encriptación soportados, o partes de mensaje protegidas) WS-Trust. (Estándar) Describe un framework para modelos de confianza
WS-SecureConversation. (Estándar) Describe cómo manejar y autenticar intercambios del mensaje entre las partes, incluyendo el intercambio de contexto de seguridad y estableciendo y derivando claves de la sesión. WS-Federation. (Experimentación) Describe cómo manejar las relaciones
de confianza en un ambiente federado heterogéneo, incluyendo soporte para identidades federadas.
Ejemplos de implementaciones en escenarios de interoperabilidad entre Web Services utilizando
WS-Security 1.0 para las plataformas .NET y J2EE, pueden encontrarse en WSE 2.0 (de Microsoft) y
JWSDP (Java Web services Developer Pack 1.4, de SUN)
[Cfr.: WSSI]
5.4.
Resumen Análisis GartnerGroup
5.4.1.WS-I Basic Profile
Definición Profile para la interoperabilidad de los web services
Posición
El profile es ampliamente conocido y bastamente distribuido. Los beneficios de su adopción son apreciados suficientemente.
Directiva de uso
Los usuarios deberían implementar SOAP usando el Basic Profile o eligiendo productos de acuerdo con este profile.
Se hace notar que el Basic Profile evolucionará para incluir las
características de SOAP 1.2 y especificaciones relacionadas, tal como SOAP Message Transmission Optimization Mechanism
Impacto en el negocio
El WS-I Basic Profile está asegurando la interoperabilidad de los Web Services.
Penetración en el
mercado
20 a 50% del público objetivo
Nivel de madurez:
Tecnología probada. Vendedores, tecnología y adopción evolucionando rápidamente.
Productos / Vendedores
3ra. Generación. Metodologías. Más Out of box
Vendedores WS-I Organization
Beneficio
Mejora en los procesos (por ejemplo, mejora en la experiencia del usuario) que será difícil de traducir en un incremento de las rentas o ahorro de gastos.
5.4.2.
WS-I Basic Security Profile
Definición Guía de WS-I para el uso de WS-Security
Posición
El WS-I Basic Security Profile está siendo utilizado como el conjunto de restricciones por defecto en implementaciones emergentes de WS-Security.
Directiva de uso
Los usuarios deberían cumplir con este perfil cuando implementen Web Services utilizando WS-Security
Impacto en el negocio
El WS-I Basic Security Profile asegura que los mecanismos de seguridad utilizados por Web Services interoperarán con los otros sin
interrupciones.
Penetración
en el mercado 1 a 5% del público objetivo Nivel de
madurez
Emergente. Comercializado por vendedores. Pilotos y despliegues llevados a cabo por líderes de la industria.
Productos /
Vendedores 1ra. Generación. Precio alto. Demasiada “customizacion” Vendedores Web Services Interoperability Organization (WS-I)
5.4.3.
Estándares de seguridad de Web Services
Definición
Los estándares de seguridad para web services basados en XML incluyen Web Services Security (WS-Security), Web Services Secure Exchange (WS-SX), estándares de identidad federada y otros.
Posición
El fuerte apoyo a estos estándares proviene de los vendedores más importantes de Web Services y de las organizaciones de estandarización
W3C / OASIS / WS-I para casi todos los elementos. Los productos más importantes incluyen alguna compatibilidad con estándares como WS-Security, SAML, XACML y XML Encryption y desarrollan
especificaciones tales como WS-Federation, protocolos Liberty Alliance, WS-SX y SPML.
Directiva de uso
La mayoría de los mecanismos básicos de protección para transacciones con Web Services o bien están disponibles como estándares (
WS-Security, SAML) o están actualmente especificados en el cuerpo de estándares (WS-SX, WebServices Reliable Exchange). Estándares de políticas de más alto nivel tiene aún que ser transferidos a cuerpos de
estándares. El cambio es inevitable, pero las empresas que despliegan WS de alto valor a través de los firewalls pueden sentirse cómodos con el conjunto de mecanismos básicos de protección disponibles.
Impacto en el negocio
Soportará desarrollos de nuevas aplicaciones basadas en estándares de Internet, que de otro modo podría tender a esquivar los firewalls y otros servicios de seguridad creando vulnerabilidades.
Penetración
en el mercado 5 a 20% del público objetivo Nivel de
madurez
Tecnología probada. Vendedores, tecnología y adopción evolucionando rápidamente.
Productos /
Vendedores 3ra. Generación. Metodologías. Más Out of box. Vendedores
Forum Systems, IBM, Intel, Microsoft, Reactivity, RSA Security, Sun Microsystems, VeriSign.
5.4.4.
Recomendaciones GartnerGroup
Recomendaciones para las empresas de la Gartner al respecto, incluidas en el documento G00129842 – “Power Players advance web services security
standardization” - Julio 2005
La ratificación e implementación de estas especificaciones avanza rápidamente. Los estándares futuros tendrán una tendencia a aparecer en implementaciones de vendedores de seguridad de WS para finales de 2005 y serán ubicuos para finales de 2006
Agregue WS-Security como mecanismo de seguridad y actualice la infraestructura para soportarlo. Demande que los nuevos productos incluyan las capacidades del WS-Security así como Basic Profile y Basic Security Profile.
5.5.
Recomendaciones técnicas
5.5.1.VIGENTES
Estas Recomendaciones Técnicas establecen la APLICABILIDAD INMEDIATA como Estándares Vigentes de la Institución de los siguientes Estándares internacionales:
5.5.1.1. WS-I Basic Profile Versión 1.1 –Abril 2006
5.5.1.2. Attachments Profile Versión 1.0 –Abril 2006
5.5.1.3. Simple SOAP Binding Profile Versión 1.0 –Agosto 2004
5.5.1.4. WS-Security Versión 1.1 –Marzo 2006
5.5.2.
EMERGENTES
Esta Recomendación Técnica establece la APLICABILIDAD INMEDIATA como Estándar Emergente de la Institución el siguientes Working Group Approval Draft de la WS-I:
5.5.2.1. WS-I Basic Security Profile Versión 1.0 –Abril 2006
allí donde Basic Security Profile ya prove una guía de uso: WS-Security, Kerberos, SAML, UserName, X.509 security token formats; y en general, allí donde sea de aplicación WS-Security.
5.6.
Implementaciones de Referencia
Implementación para escenarios de interoperabilidad entre Web Services utilizando WS-Security 1.0 para la plataforma .NET
Web Services Enhancenment (WSE) Versión 2.0
Implementación para escenarios de interoperabilidad entre Web Services utilizando WS-Security 1.0 para la plataforma J2EE 1.4
JWSDP (Java Web services Developer Pack 1.4, de SUN)
Implementaciones de las organizaciones intervinientes en el WS-I, para escenarios de interoperabilidad entre Web Services, basadas en WS-Basic Security Profile 1.0
6.
Vigencia
Esta circular entra en vigencia a partir del 01 de Octubre de 2006.
7.
Referencias:
[Cfr.: PE 2006/2010] PLAN ESTRATÉGICO 2006-2010
[Cfr.: PSSI 2006/2010] Plan 2006-2010 de Sistemas y Servicios Informatizados
[Cfr.: GG 2006] Gartner Hype Cycle for Web Services and Related Standards and
Specifications, 2006
[Cfr.: GG-PPAWS 2006] Power Players Advance Web Services Security Standardization
[Cfr.: WSSI] WS-Security Interoperability Using WSE 2.0 and Sun JWSDP 1.4)
[Cfr.: OASIS] Organization for the Advancement of Structured Information Standards
[Cfr.: W3C] World Wide Web Consortium (http://www.w3.org/Consortium/)
[Cfr.: WS-I] Web Services Interoperability Organization Information Standards
[Cfr.: LAP] Liberty Allience Project (http://www.projectliberty.org/liberty/)
WS-I Attachments Profile Version 1.0
http://www.ws-i.org/deliverables/workinggroup.aspx?wg=basicprofile
WS-I Basic Profile Version 1.1
http://www.ws-i.org/deliverables/workinggroup.aspx?wg=basicprofile
WS-I Simple SOAP Binding Profile Version 1.0
http://www.ws-i.org/deliverables/workinggroup.aspx?wg=basicprofile
WS-I Basic Security Profile Version 1.0
http://www.ws-i.org/deliverables/workinggroup.aspx?wg=basicsecurity
WS-Security 1.1 -Marzo2006
http://www.oasis-open.org/committees/documents.php?wg_abbrev=wss
The Java™ Web Services Tutorial -For Java Web Services Developer’s Pack, v2.0
