第三十二章 使用派生密钥令牌进行加密和签名 - 使用

进行加密

要使用 <DerivedKeyToken> 进行加密，请使用以下步骤：

1. 如果要加密一个或多个安全标头元素，请创建这些安全标头元素。.
2. 创建 <DerivedKeyToken> 并将其添加到 WS-Security 标头，如创建和添加 <DerivedKeyToken> 中所述。

请注意，此步骤还会创建并添加 <EncryptedKey> 所基于的 <EncryptedKey> 元素。

第三十章 使用派生密钥令牌进行加密和签名

IRIS 支持 WS-SecureConversation 1.4 定义的 <DerivedKeyToken> 元素。可以创建并使用<DerivedKeyToken> 元素进行加密和签名，作为前三个主题中描述的方法的替代。

通常，会同时执行加密和签名。为简单起见，本主题分别介绍这些任务。有关结合加密和签名的信息，请参阅结合加密和签名。

概述

<DerivedKeyToken> 元素旨在携带发送者和接收者可以独立使用的信息来生成相同的对称密钥。这些方可以使用该对称密钥对 SOAP 消息的指定部分进行加密、签名或同时执行这两种操作。

要生成和使用 <DerivedKeyToken>，请执行以下操作：

第三十一章 使用派生密钥令牌进行加密和签名 - 变体：创建隐式

变体：创建隐式 <DerivedKeyToken>

还可以创建隐式 <DerivedKeyToken>，这是引用 <DerivedKeyToken> 的快捷方法。在此方法中：

• 消息中不包含 <DerivedKeyToken>
• 在使用 <DerivedKeyToken> 的元素中，<SecurityTokenReference> 元素指定 Nonce 属性，该属性包含用于 <DerivedKeyToken> 的 nonce 值。这向消息接收者表明派生密钥令牌是隐含的，并且是从引用的令牌派生的。

要创建隐式 <DerivedKeyToken>，请使用前面描述的一般过程，但有两处更改：

第二十九章 添加数字签名 - 指定 <KeyInfo>的规范化方法

默认情况下，<KeyInfo> 元素使用Exclusive XML Canonicalization进行规范化， 元素包括以下内容：

<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">

要使用包容性 XML 规范化来规范化此元素，请执行以下操作：

 Set sig.SignedInfo.CanonicalizationMethod.Algorithm=$$$SOAPWSc14n

其中 sig 是 %XML.Security.Signature 的实例。

在这种情况下， <KeyInfo> 包含以下内容：

第二十七章 添加数字签名 - 变体：使用签名的 SAML 断言

要添加在签名的 SAML 断言中使用证书的数字签名，请执行以下操作：

第二十五章 添加数字签名

本主题介绍如何向 IRIS Web 服务和 Web 客户端发送的 SOAP 消息添加数字签名。

通常，会同时执行加密和签名。为简单起见，本主题仅介绍签名。有关结合加密和签名的信息，请参阅主题结合加密和签名。

主题使用派生密钥令牌进行加密和签名描述了向 SOAP 消息添加数字签名的另一种方法。

数字签名概述

可以使用数字签名来检测消息是否被篡改，或者简单地验证消息的某一部分是否确实由所列实体生成。与传统的手工签名一样，数字签名是对文档的附加，只有文档的创建者才能创建，并且不容易伪造。

IRIS 对 SOAP 消息的数字签名的支持基于 WS-Security 1.1。反过来，WS-Security 遵循 XML 签名规范。根据后者的规范，要对 XML 文档进行签名：

第二十三章 加密安全标头元素

本主题介绍如何加密 Web 服务和 Web 客户端发送的消息中的 WS-Security 标头内的元素。（此处描述的工具也可单独使用或与安全标头元素结合使用来加密 SOAP 主体。）

通常，会同时执行加密和签名。为简单起见，本主题仅介绍加密。有关结合加密和签名的信息，请参阅结合加密和签名。

使用派生密钥令牌进行加密和签名主题描述了加密 SOAP 消息部分内容的另一种方法。

加密安全标头元素

与上一主题中显示的加密技术不同，加密 WS-Security 标头元素的过程要求您指定 <EncryptedData> 元素如何连接到相应的 <EncryptedKey> 元素。

要加密安全标头元素，请执行以下操作：

第二十一章 加密 SOAP 主体 - 变体：使用可识别证书的信息

<BinarySecurityToken> 包含序列化、base-64 编码格式的证书。可以忽略此令牌，而改用标识证书的信息；接收方使用此信息从相应位置检索证书。为此，请使用上述步骤，并进行以下更改：

第二十章 加密 SOAP 主体

本主题介绍如何加密 IRIS Web 服务和 Web 客户端发送的 SOAP 消息正文。

主题“加密安全标头元素”和“使用派生密钥令牌进行加密和签名”描述了如何加密安全标头元素以及加密 SOAP 主体的其他方法。

加密概述

IRIS 对 SOAP 消息加密的支持基于 WS-Security 1.1。反过来，WS-Security 遵循 XML 加密规范。根据后者规范，要加密 XML 文档：

1. 生成一个对称密钥以供临时使用。
2. 可以使用它来加密文档（或文档的选定部分）。

使用包含内容加密版本的 <EncryptedData> 元素替换文档的这些部分。

第十八章 添加时间戳和用户名令牌

本主题讨论时间戳和用户令牌。

概述

时间戳是 WS-Security 标头中的 <Timestamp> 安全元素。严格来说，时间戳不是安全元素。但是，可以使用它来避免重放攻击。时间戳对于自定义日志记录也很有用。

用户名令牌是 WS-Security 标头中的 <UsernameToken> 安全元素；它带有用户名。它还可以带有相应的密码（可选为摘要形式）。通常使用它进行身份验证，即允许 IRIS Web 客户端使用需要密码的 Web 服务。

注意：默认情况下，WS-Security 标头元素以明文形式发送。要保护 <UsernameToken> 中的密码，应该使用 SSL/TLS、加密 <UsernameToken>（如其他地方所述），或者使用这些技术的某种组合。

第十五章 WS-Policy 配置类详细信息 - 配置 XData 块的详细信息（二）

<method>

<method> 元素将策略与父 <service> 元素指定的 Web 服务或客户端内的特定 Web 方法相关联。<method> 元素包括以下项目：

我使用%SYSTEM.WorkMgr的多进程( multicompile=1)来处理数据,但是我发现执行完 WaitForComplete后,%SYSTEM.WorkMgr创建的进程没有马上结束，

Hi开发者们，

我们很高兴邀请大家参加我们的新一轮开发者竞赛，此次竞赛致力于创造有用的工具，让开发伙伴们的生活更轻松：

🏆 InterSystems 2024开发者竞赛：开发者工具（Tools） 🏆

欢迎提交有助于加快开发速度、贡献更多定性代码，并有助于使用 InterSystems IRIS 测试、部署、支持或监控您的解决方案的应用程序。

时间：2024年9月9日-29日（美国东部时间）

奖金池：14,000美元

当进程中的数据不需要持久化保存，但又需要用到global的高性能特性时，我们常常将数据保存在临时global中，也就是保存在IRISTEMP/CACHETEMP数据库中。

系统使用 IRISTEMP/CACHETEMP 数据库保存临时的数据，用户也可以进行同样的操作。

关于临时global以及IRISTEMP数据库的更多内容，可以参见文档 Temporary Globals and the IRISTEMP Database

以下情况global作为临时使用：