您好,欢迎阅读 九月 2024 开发人员社区通讯。
统计信息
✓ 九月发布了 45 篇新帖子:
– 39篇新文章
– 4个新公告
– 2个新问题
– 4个新公告
– 2个新问题
✓ 九月有 47 位新成员加入
✓ 所有时间发布了 2,208 篇帖子
✓ 所有时间有 2,024 位成员加入
第三十七章 验证和解密入站消息
本主题介绍如何验证 IRIS Web 服务或 Web 客户端收到的消息中的安全元素(并自动解密任何加密内容)。
概述
IRIS 网络服务和网络客户端可以验证入站 消息的 WS-Security 标头元素,以及自动解密入站消息。
服务和 客户端还可以处理已签名的 SAML 断言令牌并验证其签名。但是,验证 断言的详细信息是您的应用程序的责任。
如果使用安全策略,所有上述活动都是自动的。
在所有场景中, 都使用其根颁发机构证书集合;请参阅设置和其他常见活动。
验证 标头
要验证任何入站 SOAP 消息中包含的 标头元素,请执行以下操作:
- 在
Web服务或Web客户端中,设置 参数。使用以下值之一:REQUIRE—Web服务或Web客户端验证 标头元素,如果不匹配或缺少此元素,则会发出错误。- — 服务或
Web客户端验证 W 标头元素。
在这两种情况下, 服务或 Web 客户端都会验证
如果验证失败,则返回错误。
SECURITYIN 参数还有两个可能的值,可用于测试和故障排除:
- — 服务或客户端忽略除 之外的 标头元素,如 身份验证和
WS-Security中所述。
为了向后兼容,此值是默认值。
第三十六章 结合加密和签名 - 使用对称密钥签名并加密
使用对称密钥签名并加密
签名然后加密(使用对称密钥时):
- 按照使用 进行加密中的步骤进行操作。
- 按照使用 进行签名中的步骤进行操作。
使用元素
以下示例使用对称密钥进行签名和加密。它使用消息接收者的公钥创建一个 元素,然后使用该元素生成两个 元素,一个用于签名,一个用于加密:
// create UsernameToken
set userToken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")
//get credentials of message recipient
set x509alias = "servernopassword"
set cred = ##class(%SYS.X509Credentials).GetByAlias(x509alias)
//get EncryptedKey element
set enc=##class(%XML.Security.EncryptedKey).CreateX509(cred,$$$SOAPWSEncryptNone)
do client.SecurityOut.AddSecurityElement(enc)
// get derived keys
set dkenc=##class(%SOAP.WSSC.DerivedKeyToken).Create(enc,$$$SOAPWSReferenceEncryptedKey)
do client.SecurityOut.AddSecurityElement(dkenc)
set dksig=##class(%SOAP.WSSC.DerivedKeyToken).Create(enc,$$$SOAPWSReferenceEncryptedKey)
do client.SecurityOut.AddSecurityElement(dksig)
// create and add signature
set sig=##class(%XML.Security.Signature).Create(dksig,,$$$SOAPWSReferenceDerivedKey)
do client.SecurityOut.AddSecurityElement(sig)
// ReferenceList to encrypt Body and Username. Add after signing
set reflist=##class(%XML.Security.ReferenceList).%New()
set refopt=$$$SOAPWSReferenceDerivedKey
set encryptedData=##class(%XML.Security.EncryptedData).Create(dkenc,userToken,refopt)
set dataref=##class(%XML.Security.DataReference).Create(encryptedData)
do reflist.AddReference(dataref)
set encryptedData=##class(%XML.Security.EncryptedData).Create(dkenc,"",refopt)
set dataref=##class(%XML.Security.DataReference).Create(encryptedData)
do reflist.AddReference(dataref)
do client.SecurityOut.AddSecurityElement(reflist)
// Add UsernameToken; force after ReferenceList so that it can decrypt properly
do client.SecurityOut.AddSecurityElement(userToken,reflist)
第三十五章 结合加密和签名
可以在同一条消息中加密和签名。在大多数情况下,只需组合前面主题中给出的方法即可。本主题讨论了多种场景。
使用非对称密钥签名并加密
要签名然后加密(使用非对称密钥时),请执行以下操作:
- 按照添加数字签名中的步骤进行操作。
- 按照加密安全标头元素中的步骤进行操作。
或者按照加密 SOAP 主体中的步骤进行操作。
使用非对称密钥加密并签名
要仅加密 SOAP 主体,然后添加数字签名(使用非对称密钥时),请执行以下操作:
- 按照加密 SOAP 主体中的步骤进行操作。
- 按照添加数字签名中的步骤进行操作。
要加密任何安全标头元素,然后添加数字签名(使用非对称密钥时),必须使用顶级
- 按照加密安全标头元素中的步骤
1 — 4进行操作。 - 对于要加密的每个安全标头元素,根据该元素创建一个 元素。为此,请调用
%XML.Security.EncryptedData的 类方法。在此过程中,指定所有三个参数:
a. 在前面的步骤中创建的加密密钥实例。
b. 要加密的安全标头元素。
c. $$$SOAPWSReferenceEncryptedKey,指定 如何使用加密密钥实例。
- 创建 元素。
欢迎来到我的 CI/CD 系列的下一个章节,我们将探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。
今天,我们来谈谈互操作性。
问题
当您有一个有效的互操作性生产时,您有两个独立的流程:一个是处理消息的可以正常运行的生产流程,另一个是更新代码、生产配置和系统默认设置的 CI/CD 流程。
显然,CI/CD 流程会影响互操作性。 但问题是:
- 更新期间究竟发生了什么?
- 我们需要做些什么以在更新期间尽可能缩短或消除生产停机时间?
经过将近四年的停顿,我的 CI/CD 系列又回来了! 这些年来,我与多个 InterSystems 客户合作,为不同的用例开发 CI/CD 管道。 希望本文中提供的信息对您有所帮助。
此系列文章探讨了使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。
我们有一系列激动人心的话题要讨论:但今天,我们来谈谈代码之外的事情 – 配置和数据。
问题
之前我们探讨过代码提升,这在某种程度上是无状态的 – 我们总是从一个(大概)空实例到完整的代码库。 但有时,我们需要提供数据或状态。 不同的数据类型包括:
- 配置:用户、Web 应用、LUT、自定义架构、任务、业务伙伴等
- 设置:环境特定的键值对
- 数据:为了让应用正常工作,通常必须提供引用表等
我们来探讨所有这些数据类型,以及如何先将它们提交到源代码控制工具中,然后进行部署。
配置
系统配置分布在许多不同的类中,但 InterSystems IRIS 可以将大多数类导出为 XML。 首先是一个安全软件包,其中包含以下信息:
- Web 应用程序
- DocDB
- 域
- 审核事件
- KMIP 服务器
- LDAP 配置
- 资源
- 角色
- SQL 特权
- SSL 配置
- 服务
- 用户
所有这些类都提供 Exists、Export 和 Import 方法,允许您在不同的环境之间移动它们。
一些注意事项:
- 用户和 SSL 配置可能包含敏感信息,例如密码。
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- Git 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- 持续交付
- GitLab 安装和配置
- GitLab CI/CD
- 为何使用容器?
- 容器基础架构
- 使用容器的 CD
- 使用 ICM 的 CD
- 容器架构
在本文中,我们将讨论如何构建并部署您自己的容器。
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- Git 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- 持续交付
- GitLab 安装和配置
- GitLab CI/CD
- 为何使用容器?
- 容器基础架构
- 使用容器的 CD
- 使用 ICM 的 CD
在本文中,我们将使用 InterSystems Cloud Manager 构建持续交付。 ICM 是一个面向基于 InterSystems IRIS 的应用程序的云配置和部署解决方案。 它允许您定义所需部署配置,ICM 会自动提供这些配置。 有关详情,请参阅 ICM 概述。
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- Git 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- 持续交付
- GitLab 安装和配置
- GitLab CI/CD
- 为何使用容器
- 容器基础架构
- 使用容器的 CD
在第一篇文章中,我们介绍了 Git 基础知识、深度理解 Git 概念对现代软件开发至关重要的原因,以及如何使用 Git 开发软件。
在第二篇文章中,我们介绍了 GitLab 工作流 – 一个完整的软件生命周期流程,并介绍了持续交付。
在第三篇文章中,我们介绍了 GitLab 安装和配置以及将环境连接到 GitLab
在第四篇文章中,我们编写了 CD 配置。
在第五篇文章中,我们讨论了容器以及使用容器的方式(和原因)。
在第六篇文章中,我们将探讨运行包含容器的持续交付管道所需的主要组件以及这些组件如何协同运行。
在这篇文章中,我们将构建上一篇文章中探讨的持续交付配置。
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- 持续交付
- GitLab 安装和配置
- GitLab CI/CD
- 为何使用容器?
- 容器基础架构
- 使用容器的 GitLab CI/CD
在第一篇文章中,我们介绍了 Git 基础知识,以及为什么对 Git 概念的高层次理解对于现代软件开发如此重要,以及如何使用 Git 开发软件。
在第二篇文章中,我们介绍了 GitLab 工作流 – 一个完整的软件生命周期流程和持续交付。
在第三篇文章中,我们介绍了 GitLab 的安装和配置以及如何将环境连接到 GitLab。
在第四篇文章中,我们编写了 CD 配置。
在 第五篇文章中,我们讨论了容器与如何(以及为什么)使用它们。
在本文中,我们将探讨运行使用容器的持续交付管道所需的主要组件,以及它们如何协同工作。
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- Git 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- 持续交付
- GitLab 安装和配置
- GitLab CI/CD
- 为何使用容器
- 使用容器的 GitLab CI/CD
在第一篇文章中,我们介绍了 Git 基础知识、深度理解 Git 概念对现代软件开发至关重要的原因,以及如何使用 Git 开发软件。
在第二篇文章中,我们介绍了 GitLab 工作流 – 一个完整的软件生命周期流程,并介绍了持续交付。
在第三篇文章中,我们介绍了 GitLab 安装和配置以及将环境连接到 GitLab
在第四篇文章中,我们编写了 CD 配置。
在这篇文章中,我们将介绍容器以及使用容器的方法(和原因)。
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- Git 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- 持续交付
- GitLab 安装和配置
- GitLab CI/CD
在第一篇文章中,我们介绍了 Git 基础知识、深度理解 Git 概念对现代软件开发至关重要的原因,以及如何使用 Git 开发软件。
在第二篇文章中,我们介绍了 GitLab 工作流 – 一个完整的软件生命周期流程,并介绍了持续交付。
在第三篇文章中,我们介绍了 GitLab 安装和配置以及将环境连接到 GitLab
在这篇文章中,我们将介绍编写 CD 配置。
计划
环境
首先,我们需要多个环境以及与之对应的分支:
| 环境 | 分支 | 交付 | 有权提交的角色 | 有权合并的角色 |
|---|---|---|---|---|
| 测试 | master | 自动 | 开发者、所有者 | 开发者、所有者 |
| 预生产 | preprod | 自动 | 无 | 所有者 |
| 生产 | prod | 半自动(按下按钮进行交付) | 无 |
所有者 |
开发周期
作为示例,我们将使用 GitLab 流程开发一个新功能,并使用 GitLab CD 进行交付。
- 在功能分支中开发功能。
- 对功能分支进行审查并将其合并到 master 分支中。
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- Git 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- 持续交付
- GitLab 安装和配置
- GitLab CI/CD
在上一篇文章中,我们介绍了 Git 基础知识、深度理解 Git 概念对现代软件开发至关重要的原因,以及如何使用 Git 开发软件。 我们的侧重点仍是软件开发的实现部分,但本部分会介绍:
- GitLab 工作流 - 从想法到用户反馈的完整软件生命周期流程
- 持续交付 – 软件工程方式,团队通过这种方式在短周期内制作软件,从而确保软件可以随时实现可靠发布。 它的目的是更快速、更频繁地构建、测试和发布软件。
大家都搭建了测试环境。
有些人很幸运,可以在完全独立的环境中运行生产。
-- 佚名
.
在这一系列文章中,我想向大家介绍并探讨使用 InterSystems 技术和 GitLab 进行软件开发可以采用的几种方式。 我将介绍以下主题:
- Git 101
- Git 流程(开发流程)
- GitLab 安装
- GitLab 工作流
- GitLab CI/CD
- 包含容器的 CI/CD
第一部分将介绍现代软件开发的基础 – Git 版本控制系统和各种 Git 流程。
第三十四章 使用派生密钥令牌进行加密和签名 - 使用 进行签名
要使用 进行签名,请使用以下步骤:
- 如果想要签署任何安全标头元素,请创建这些安全标头元素。
- 创建 并将其添加到
WS-Security标头,如创建和添加 中所述。
请注意,此步骤还会创建并添加
- 根据派生的密钥令牌创建 元素。为此,请调用
%XML.Security.Signature的 类方法。例如:
set dsig=##class(%XML.Security.Signature).Create(dkt)
此方法返回 %XML.Security.Signature 的实例,该实例表示 标头元素。签名值通过 HMAC-SHA1 摘要算法计算,使用 隐含的对称密钥。
元素适用于消息的一组默认部分;可以指定一组不同的部分。
- 将数字签名添加到
WS-Security标头元素。为此,请调用Web客户端或Web服务的 属性的 方法。对于参数,请指定上一步中创建的签名对象。例如:
do ..SecurityOut.AddSecurityElement(dsig)
例如,以下客户端代码对
第三十三章 使用派生密钥令牌进行加密和签名 - 使用
进行加密(一)
- 如果加密了任何安全标头元素,请将它们添加到
WS-Security标头元素中。为此,请调用Web客户端或Web服务的 属性的 方法。在这种情况下,需要两个参数:
a. 安全标头元素(而不是从中生成的的 %XML.Security.EncryptedData)。
b. 引用列表实例。第二个参数指定将第一个参数指定的项目放在何处。如果参数是 A、B,则 IRIS 确保 在 之后。指定此项以便收件人首先处理引用列表,然后再处理依赖于它的加密安全标头元素。
do client.SecurityOut.AddSecurityElement(userToken,reflist)
如果仅加密了 主体,系统会自动将 元素作为 例如,以下客户端代码对 的子元素。
SOAPSOAP进行加密: // Create UsernameToken
set userToken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")
// get credentials for encryption
set cred = ##class(%SYS.X509Credentials).GetByAlias("servercred")
// get EncryptedKey element to encrypt <UsernameToken)
// $$$SOAPWSEncryptNone means that this key does not encrypt the body
set enckey=##class(%XML.Security.EncryptedKey).CreateX509(cred,$$$SOAPWSEncryptNone)
//add to WS-Security Header
do client.SecurityOut.AddSecurityElement(enckey)
// get derived key to use for encryption
// second argument specifies how the derived key
// refers to the key on which it is based
set dkenc=##class(%SOAP.WSSC.DerivedKeyToken).Create(enckey,
$$$SOAPWSReferenceEncryptedKey)
//add to WS-Security Header
do client.SecurityOut.AddSecurityElement(dkenc)
// create <EncryptedData> element to contain <UserToken>
set encdata=##class(%XML.Security.EncryptedData).Create(dkenc,userToken,
$$$SOAPWSReferenceDerivedKey)
// create <EncryptedData> element to contain SOAP body
set encdata2=##class(%XML.Security.EncryptedData).Create(dkenc,"",
$$$SOAPWSReferenceDerivedKey)
// create <ReferenceList> with <DataReference> elements that
// point to these two <EncryptedData> elements
set reflist=##class(%XML.Security.ReferenceList).%New()
set dataref=##class(%XML.Security.DataReference).Create(encdata)
do reflist.AddReference(dataref)
set dataref2=##class(%XML.Security.DataReference).Create(encdata2)
do reflist.AddReference(dataref2)
// add <ReferenceList> to WS-Security header
do client.SecurityOut.AddSecurityElement(reflist)
// add encrypted <UserName> to security header;
// 2nd argument specifies position
do client.SecurityOut.AddSecurityElement(userToken,reflist)
// encrypted SOAP body is handled automatically
第三十二章 使用派生密钥令牌进行加密和签名 - 使用
进行加密
要使用 进行加密,请使用以下步骤:
- 如果要加密一个或多个安全标头元素,请创建这些安全标头元素。.
- 创建 并将其添加到
WS-Security标头,如创建和添加 中所述。
请注意,此步骤还会创建并添加 所基于的 元素。
- 对于要加密的每个元素,请根据该元素创建一个 元素。为此,请调用
%XML.Security.EncryptedData的Create()类方法。在此过程中,请指定以下参数:
a. 派生密钥令牌
b. 要加密的项目。省略此参数可加密正文。
c. 指定 元素如何引用 的宏。在此场景中,当前唯一支持的值是 $$$SOAPWSReferenceDerivedKey。
例如,加密 :
set refopt=$$$SOAPWSReferenceDerivedKey
set encryptedData=##class(%XML.Security.EncryptedData).Create(dkenc,userToken,refopt)
或者,加密正文:
set refopt=$$$SOAPWSReferenceDerivedKey
set encryptedData=##class(%XML.Security.EncryptedData).Create(dkenc,,refopt)
HI 各位开发者们,
📅2024年9月23日🕑14:00-15:30🕞,InterSystems将举办线上研讨会,点击🔔此处🔔报名参会。
此次研讨会以“面向未来的数据平台——InterSystems IRIS五大亮点提速数据潜力挖掘与AI应用”为主题,帮助您了解InterSystems IRIS数据平台的五大亮点:
- 使用InterSystems IRIS for Health进行FHIR开发
- 使用Python进行互操作Production开发
- InterSystems IRIS列存储
- InterSystems IRIS外部表(Foreign Table)
- InterSystems IRIS向量和基于向量检索的患者相似度匹配
第三十章 使用派生密钥令牌进行加密和签名
IRIS 支持 WS-SecureConversation 1.4 定义的 元素。可以创建并使用 元素进行加密和签名,作为前三个主题中描述的方法的替代。
通常,会同时执行加密和签名。为简单起见,本主题分别介绍这些任务。有关结合加密和签名的信息,请参阅结合加密和签名。
概述
元素旨在携带发送者和接收者可以独立使用的信息来生成相同的对称密钥。这些方可以使用该对称密钥对 SOAP 消息的指定部分进行加密、签名或同时执行这两种操作。
要生成和使用 ,请执行以下操作:
- 生成一个对称密钥以供临时使用。
- 使用要向其发送消息的实体的公钥来加密对称密钥。这将创建一个 元素。
可以从该实体的请求消息中包含的 X.509 证书中获取公钥。或者可以提前获取它。
- 通过
P_SHA1算法从原始对称密钥计算出一个新的对称密钥。
这将创建一个引用 元素的 元素。
- 使用新的对称密钥进行加密或签名。
对这些活动使用不同的对称密钥被认为是一种很好的做法,这样就可以减少用于分析的数据量。
- 在消息中包含 元素和 。
在 IRIS 中,派生密钥令牌也可以基于另一个派生密钥令牌。
创建并添加
作为参考,本节描述了后面几节中需要的常见活动。它描述了如何创建
- 可选择包含
%soap.inc
InterSystems IRIS 数据平台作为关系数据库使用时,传统上以行为单位存储数据。现在,由于底层数据结构的灵活性,您也可以按列存储数据。虽然每种选择都有其优点,但在列中存储数据(称为列式存储)可以在数据分析的业务中显著提高各种用例的性能。列存储自2022.2 版的IRIS起做实验功能引入, 2023.1 起正式支持,到目前已经迭代了几个版本。
假设一家公司使用基于行的存储来保存收到的所有订单数据,跟踪订单 ID、订单日期、客户、优先级、状态和总金额等数据,使用行存储可以被示意为下面的图形:
每一行数据在逻辑上对应一个订单,单行中的所有数据在物理上存储在一起。
这种模式便于快速添加或更新订单。订单可以一次添加一个,数据库的每次写入正好对应一行。当发生了订单的事务,除了要更改的行之外,无需访问或更新表中的任何数据。
让我们考虑另外的情况:假设公司想找到每个月的平均销售收入。为此,您只需要两列的信息: 订单日期和总金额。但是,如果使用基于行的存储,则必须检索每个订单的所有数据才能获得此信息。即使在 OrderDate 列上使用了索引,仍需要读取日期范围内每个订单的完整行,才能获得总金额。如果订单数量较多,这样做的效率会非常低。
这就是列式存储的作用所在。数据不是按行存储在一起,而是按列存储在一起。从逻辑上讲,表和数据之间的关联保持不变。改变的只是物理存储方法。
第三十一章 使用派生密钥令牌进行加密和签名 - 变体:创建隐式
变体:创建隐式
还可以创建隐式 ,这是引用 的快捷方法。在此方法中:
- 消息中不包含
- 在使用 的元素中, 元素指定
Nonce属性,该属性包含用于 的nonce值。这向消息接收者表明派生密钥令牌是隐含的,并且是从引用的令牌派生的。
要创建隐式 ,请使用前面描述的一般过程,但有两处更改:
- 对于派生的密钥令牌实例,将 属性设置为
1。
set dkt.Implied=1
- 请勿将 元素添加到
WS-Security标头元素。
使用 的方式与将其包含在消息中的方式完全相同。
变体:引用 的 SHA1 哈希
在此变体中(仅适用于 服务),发送者不在消息中包含 元素,而是引用密钥的 SHA1 哈希。 服务可以引用在入站消息中收到的 元素。
使用前面的一般程序,但需做以下更改:
- 步骤
2-4是可选的。. - 省略步骤 (不要添加 )。
- 在步骤 中,当您使用 创建派生密钥令牌时,若要使用从客户端收到的 ,请省略第一个参数。或者,如果您已创建 ,请将其用作第一个参数。
指定 作为第二个参数。
例如,要使用从 客户端收到的消息中的第一个 元素:
set refopt=$$$SOAPWSReferenceEncryptedKeySHA1
set dkenc=##class(%SOAP.WSSC.DerivedKeyToken).Create(,refopt)
演示程序
使用向量搜索在 IRIS for Health 上运行的病人相似性比较演示。 使用向量搜索计算相似度,在向量基础上比较不同病人之间的个人属性,如姓名、出生日期、地址等。得分越高,被比较的病人越有可能是同一个人。 本演示程序使用 sentence-transformers model 将文本转换为向量,然后使用 IRIS 向量函数来存储、读取和比较向量。
流程原理
安装
- 使用Git克隆存储库
- 演示程序将使用text2vec-base-chinese。你也可以下载任何你想要的transformer模型,并将其存储到一个 本地路径中,如 D:\Coding\EMPIDemo\image-iris\llm\text2vec-base-chinese ,然后在 docker-compose.yml 文件的 volumes 部分更改目录指向本地模型根目录。
- 启动Docker容器 请注意,程序将下载并安装 Python sentence-transformers模块,并安装 FHIR 存储库以存储患者信息,因此将占用大约 15~16GB 磁盘存储空间。
运行演示
- 访问WebUI
- 处理数据的IRIS Procuction
- 相关代码 嵌入式 python 用于调用sentence-transformers来执行向量化,可在 EMPIDemo.Util.Vector 中找到。
第二十九章 添加数字签名 - 指定
默认情况下, 元素使用Exclusive XML Canonicalization进行规范化,
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
要使用包容性 规范化来规范化此元素,请执行以下操作:
Set sig.SignedInfo.CanonicalizationMethod.Algorithm=$$$SOAPWSc14n
其中 sig 是 的实例。
在这种情况下, 包含以下内容:
添加签名确认
WS-Security 1.1 功能使 客户端能够确保收到的 消息是响应 客户端发送的原始请求而生成的。客户端请求通常经过签名,但并非必须如此。在此机制中, 服务将 元素添加到安全标头元素,Web 客户端可以检查该 元素。
对于 服务,要将 元素添加到安全标头元素:
- 调用
Web服务的WSAddSignatureConfirmation()方法。对于参数,请指定安全标头元素的主签名。例如:
- 照常发送
SOAP消息。请参阅添加安全标头元素中的一般注释。
第二十八章 添加数字签名 - 指定摘要方法
指定摘要方法
默认情况下,签名的摘要值是通过 SHA-1 算法计算的,安全标头中的 元素包含如下内容:
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"></DigestMethod>
<DigestValue>waSMFeYMruQn9XHx85HqunhMGIA=</DigestValue>
可以为签名指定不同的摘要方法。为此,调用 实例的 SetDigestMethod() 方法。对于参数,请使用以下宏之一(包含在 %soap.inc 文件中):
$$$SOAPWSsha1 (the default)
-
-
$$$SOAPWSsha384 -
$$$SOAPWSsha512
do sig.SetDigestMethod($$$SOAPWSsha256)
指定签名方法
默认情况下,签名值是通过 RSA-SHA256 算法计算的,安全标头中的 元素包含如下内容:
可以为签名方法指定不同的算法。为此,调用 实例的 方法。对于参数,请使用以下宏之一(包含在 文件中):
-
$$$SOAPWSrsasha1
请注意,可以修改默认签名算法。
第二十七章 添加数字签名 - 变体:使用签名的 SAML 断言
要添加在签名的 SAML 断言中使用证书的数字签名,请执行以下操作:
- 可选择包含
%soap.inc包含文件,它定义了可能需要使用的宏。 - 如果要对任何安全标头元素进行签名,请创建这些安全标头元素。例如:
set utoken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")
- 使用
Holder-of-key方法的 元素创建签名的 SAML 断言。请参阅创建和添加SAML令牌。 - 创建 元素。创建时,使用已签名的
SAML断言作为CreateX509()类方法的第一个参数。例如:
- 将数字签名添加到 标头元素。为此,请调用 Web 客户端或 服务的 属性的 方法。对于参数,请指定上一步中创建的签名对象。例如:
do ..SecurityOut.AddSecurityElement(dsig)
- 发送 消息。请参阅添加安全标头元素中的一般注释。
将数字签名应用于特定消息部分
默认情况下,当创建数字签名并将其添加到 标头元素时,该签名将应用于 SOAP 主体、标头中的 元素(如果存在)以及任何 标头元素。
第二十六章 添加数字签名 - 示例
示例
此示例显示了对其响应消息进行签名的 Web 服务。
为了使此示例在自己的环境中运行,请首先执行以下操作:
- 为服务器创建证书。
- 将此证书加载到服务器端的
IRIS中,创建名为servercred的凭证。执行此操作时,还要加载私钥文件并提供其密码(这样Web服务在签署其响应消息时就不必提供该密码。)
该 Web 服务指的是具有此确切名称的 IRIS 凭证集。
Class DSig.DivideWS Extends %SOAP.WebService
{
/// Name of the Web service.
Parameter SERVICENAME = "DigitalSignatureDemo";
/// SOAP namespace for the Web service
Parameter NAMESPACE = "http://www.myapp.org";
/// use in documentation
Method Divide(arg1 As %Numeric = 2, arg2 As %Numeric = 8) As %Numeric [ WebMethod ]
{
Do ..SignResponses()
Try {
Set ans=arg1 / arg2
}Catch{
Do ..ApplicationError("division error")
}
Quit ans
}
/// use in documentation
/// signs and includes a binary security token
Method SignResponses()
{
//Add timestamp because that's commonly done
Set ts=##class(%SOAP.Security.Timestamp).Create()
Do ..SecurityOut.AddSecurityElement(ts)
//access previously stored server certificate & private key file
//no need to use private key file password, because that has been saved
Set x509alias = "servercred"
Set cred = ##class(%SYS.X509Credentials).GetByAlias(x509alias)
set bst=##class(%SOAP.Security.BinarySecurityToken).CreateX509Token(cred)
do ..SecurityOut.AddSecurityElement(bst)
//Create WS-Security Signature object
Set signature=##class(%XML.Security.Signature).CreateX509(bst)
//Add WS-Security Signature object to the outbound message
Do ..SecurityOut.AddSecurityElement(signature)
Quit
}
/// Create our own method to produce application specific SOAP faults.
Method ApplicationError(detail As %String)
{
Set fault=##class(%SOAP.Fault).%New()
Set fault.faultcode=$$$FAULTServer
Set fault.detail=detail
Set fault.faultstring="Application error"
// ReturnFault must be called to send the fault to the client.
// ReturnFault will not return here.
Do ..ReturnFault(fault)
}
}
第二十五章 添加数字签名
本主题介绍如何向 IRIS Web 服务和 Web 客户端发送的 SOAP 消息添加数字签名。
通常,会同时执行加密和签名。为简单起见,本主题仅介绍签名。有关结合加密和签名的信息,请参阅主题结合加密和签名。
主题使用派生密钥令牌进行加密和签名描述了向 消息添加数字签名的另一种方法。
数字签名概述
可以使用数字签名来检测消息是否被篡改,或者简单地验证消息的某一部分是否确实由所列实体生成。与传统的手工签名一样,数字签名是对文档的附加,只有文档的创建者才能创建,并且不容易伪造。
对 SOAP 消息的数字签名的支持基于 WS-Security 。反过来, 遵循 签名规范。根据后者的规范,要对 XML 文档进行签名:
- 使用摘要函数来计算文档一个或多个部分的哈希值。
- 将摘要值连接起来。
- 使用私钥加密串联摘要。(这是只有才能执行的计算。)
- 创建 元素,其中包含以下信息:
- 对已签名部分的引用(以表明该签名适用于消息的哪些部分)。
- 加密的摘要值。
- 使接收者能够识别用于解密加密摘要值的公钥的信息。
此信息可以包含在元素中,或者 元素可以包含对包含 证书或签名的 断言的二进制安全令牌的直接引用。在后一种情况下,必须在添加 元素之前将安全令牌添加到消息中。
此信息还可以让收件人验证您是公钥/私钥对的所有者。
使用派生密钥令牌进行加密和签名主题介绍了一种向
第二十四章 加密安全标头元素 - 基本示例
以下示例调用 Web 客户端并发送已加密的 。在此示例中,正文未加密。
Set client=##class(XMLEncrSecHeader.Client.XMLEncrSecHeaderSoap).%New()
// Create UsernameToken
set user="_SYSTEM"
set pwd="SYS"
set userToken=##class(%SOAP.Security.UsernameToken).Create(user,pwd)
//get credentials for encryption
set cred = ##class(%SYS.X509Credentials).GetByAlias("servernopassword")
//get EncryptedKey element and add it
set encropt=$$$SOAPWSEncryptNone ; means do not encrypt body
set enckey=##class(%XML.Security.EncryptedKey).CreateX509(cred,encropt)
//create EncryptedData and add a reference to it from EncryptedKey
set encdata=##class(%XML.Security.EncryptedData).Create(,userToken)
set dataref=##class(%XML.Security.DataReference).Create(encdata)
do enckey.AddReference(dataref)
//add EncryptedKey to security header
do client.SecurityOut.AddSecurityElement(enckey)
//add UsernameToken and place it after EncryptedKey
do client.SecurityOut.AddSecurityElement(userToken,enckey)
Quit client.Divide(1,2)
