第五十四章 安全元素的详细信息 - 详情

的目的是携带发送者和接收者可以独立使用的信息来生成相同的对称密钥。这些方可以使用该对称密钥对 SOAP 消息的相关部分进行加密、解密、签名和签名验证。

以下显示了部分示例：

<DerivedKeyToken xmlns="[parts omitted]ws-secureconversation/200512" 
                 xmlns:wsc="[parts omitted]ws-secureconversation/200512" 
                 wsu:Id="Enc-943C6673-E3F3-48E4-AA24-A7F82CCF6511">
   <SecurityTokenReference xmlns="[parts omitted]oasis-200401-wss-wssecurity-secext-1.0.

第五十三章 安全元素的详细信息 - 详情

的目的是携带可由消息接收者验证的数字签名。可以使用数字签名来检测消息更改，或者只是验证消息的某个部分是否确实由列出的实体生成。与传统的手写签名一样，数字签名是对文档的附加，只能由文档的创建者创建，并且不易伪造。

以下显示了部分示例：

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
   <SignedInfo>
      <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
      </CanonicalizationMethod>
      <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha256"></SignatureMethod>
      <Reference URI="#Timestamp-48CEE53E-E6C3-456C-9214-B7D533B2663F">
         <Transforms>
            <Transform Algorithm="http://www.w3.

第五十二章 安全元素的详细信息 - 详情

的作用是携带加密数据，部分示例如下：

<EncryptedData xmlns="http://www.w3.org/2001/04/xmlenc#" 
               Id="Enc-143BBBAA-B75D-49EB-86AC-B414D818109F" 
               Type="http://www.w3.org/2001/04/xmlenc#Content">
   <EncryptionMethod Algorithm="[parts omitted]#aes128-cbc"></EncryptionMethod>
   <CipherData>
      <CipherValue>MLwR6hvKE0gon[parts omitted]8njiQ==</CipherValue>
   </CipherData>
</EncryptedData>

详情

该元素的各部分如下：

• Id 是元素的唯一标识符。 IRIS 会自动生成此标识符。
• 表示用于加密该数据的算法。
• 携带加密数据，作为 元素中的值。在此示例中，值 MLwR6hvKE0gon[parts divided]8njiQ== 为加密数据。
• （未包含在示例中 标识对称密钥。

第五十一章 安全元素的详细信息 - 详情

详情

该元素的各部分如下：

• 表示用于加密对称密钥的算法。

在 IRIS 中，可以指定密钥传输算法（由 的 Algorithm 属性显示）。请参阅指定密钥传输算法。

• 标识用于加密此对称密钥的密钥。在 IRIS 中， 包含 ，其具有以下形式之一：
  • 对 WS-Security 标头中较早位置的 的引用，如前面的示例所示。
  • 用于唯一标识证书的信息，该证书可能是邮件收件人所拥有的。例如， 可以包含证书的 SHA1 指纹，如下所示：

<SecurityTokenReference xmlns="[parts omitted]oasis-200401-wss-wssecurity-secext-1.0.xsd">
   <KeyIdentifier EncodingType="[parts omitted]#Base64Binary" 
                  ValueType="[parts omitted]#ThumbprintSHA1">
      maedm8CNoh4zH8SMoF+3xV1MYtc=
   </KeyIdentifier>
</SecurityTokenReference>

在这两种情况下，相应的公钥都用于加密此 元素中携带的对称密钥。

如果加密使用顶级 元素，则省略此元素；请参阅 。

第五十章 安全元素的详细信息

本主题讨论 SOAP 消息中较常见的安全元素，特别是 IRIS Web 服务和客户端可以发送的变体。此信息旨在帮助那些不经常使用 SOAP 的人重温记忆。此处的详细信息也可能有助于故障排除。

的目的是携带消息中其他元素使用的安全凭证，供消息接收者使用。安全凭证以序列化、编码的形式携带。以下显示了部分示例：

<BinarySecurityToken wsu:Id="SecurityToken-4EC1997A-AD6B-48E3-9E91-8D50C8EA3B53" 
                     EncodingType="[parts omitted]#Base64Binary" 
                     ValueType="[parts omitted]#X509v3">
             MIICnDCCAYQ[parts omitted]ngHKNhh
</BinarySecurityToken>

详细

该元素的各部分如下：

• Id 是此令牌的唯一标识符，包含该标识符以便此消息中的其他元素可以引用此令牌。如有必要， IRIS 会自动生成此标识符。
• EncodingType 表示用于生成 <`BinarySecurityToken>中的值的编码类型。在 IRIS 中，中使用的唯一编码是base-64` 编码。

第四十九章 解决安全问题 - 可能出现的错误

可能出现的错误

本节讨论 IRIS Web 服务和 Web 客户端中可能出现的与安全相关的错误：

• 如果刚刚生成了 IRIS Web 服务或客户端，则可能尚未配置为识别 WS-Security 标头。在这种情况下，当您尝试执行 Web 方法时，会收到如下一般错误：

<ZSOAP>zInvokeClient+269^%SOAP.WebClient.1

将以下内容添加到Web服务或客户端并重新编译：

Parameter SECURITYIN="REQUIRE";

这种一般错误也可能是由于错误地调用 Web 方法（例如，在 Web 方法没有返回值时引用返回值）造成的。

如果使用 WS-Policy，则此项不适用。

• 在其他情况下，当您尝试执行 Web 方法时，可能会收到以下安全错误：

ERROR #6454: No supported policy alternative in configuration 
Policy.Client.Demo1SoapConfig:service

• 入站消息可能未通过验证。如果是这样，SOAP 日志会指出这一点。例如：

08/05/2011 14:40:11 *********************
Input to Web client with SOAP action = http://www.myapp.

第四十八章 解决安全问题

本主题提供信息来帮助识别 IRIS 中 SOAP 安全问题的原因。

有关与安全无关的问题的信息，请参阅 IRIS 中的 SOAP 问题故障排除。

故障排除所需的信息

要解决 SOAP 问题，通常需要以下信息：

• WSDL 及其引用的所有外部文档。
• （在出现与消息相关的问题的情况下）某种形式的消息记录或跟踪。有以下选择：

发生安全错误时要检查的项目

这 IRIS 中的 SOAP 问题故障排除中进行了讨论。

• 在极少数情况下， SOAP 客户端会使用 `HTTP 身份验证，请注意，可以启用身份验证的日志记录；请参阅提供登录凭据。

正确处理故障也非常有用，这样就可以收到最好的信息。

第四十七章 创建和添加 SAML 令牌 - 与

与

要添加带有 （其中包含 元素）的 ，请执行以下操作：

1. 按照以编程方式检索凭证集中所述，创建 %SYS.X509Credentials 的实例。

或者使用与签署断言时使用的相同凭证集。

2. 设置 SAML 断言对象的 Subject 属性的 NameID 属性。
3. 调用 SAML 断言对象的 Subject 属性的 AddEncryptedKeyConfirmation() 方法。

method AddEncryptedKeyConfirmation(credentials As %X509.Credentials) as %Status

对于参数，请使用之前创建的 %SYS.X509Credentials实例。

以 BinarySecret 作为密钥持有者

要添加以 BinarySecret 作为 Holder-of-key 的 ，请执行以下操作：

1. 签署 SAML 断言时，请按如下方式创建签名：

set sig=##class(%XML.Security.Signature).Create(assertion,$$$SOAPWSIncludeNone,$$$SOAPWSSAML)

其中断言是 SAML 断言。请注意，在此场景中使用 Create() 方法。$$$SOAPWSSAML 引用选项创建对 SAML 断言的引用。

第四十六章 创建和添加 SAML 令牌 - 使用方法 Holder-of-key

添加元素

要将 元素添加到 %SAML.Assertion 实例，执行以下操作：

1. 创建 %SAML.Subject 的新实例。
2. 根据需要设置主题的属性。
3. 将断言对象的 Subject 属性设置为等于此实例。

添加 元素

要将 元素添加到的 %SAML.Assertion 实例，请使用以下某个小节中的步骤。

使用方法 Holder-of-key

要使用 Holder-of-key 方法添加 ，请执行以下操作：

1. 按照以编程方式检索凭证集中所述，创建 %SYS.X509Credentials 的实例。

或者使用与签署断言时使用的相同凭证集。

2. 可以选择创建并添加包含与给定凭据集关联的证书的二进制安全令牌。

要创建令牌，调用 %SOAP.Security.BinarySecurityToken 的 CreateX509Token() 类方法。例如：

 set bst=##class(%SOAP.Security.BinarySecurityToken).CreateX509Token(credset)

其中 credset 是在上一步中创建的凭证集。

第四十五章 创建和添加 SAML 令牌 - 变体：不使用

变体：不使用

包含序列化、base-64 编码格式的证书。可以忽略此令牌，而改用标识证书的信息；接收方使用此信息从相应位置检索证书。为此，请使用上述步骤，并进行以下更改：

• 跳过步骤 2 和 3。也就是说，不要创建和添加 .。
• 在步骤 4 中，使用凭证集（而不是二进制安全令牌）作为 CreateX509() 的第一个参数。例如：

 set assertion=##class(%SAML.Assertion).CreateX509(credset,referenceOption)

对于 referenceOption，可选择指定一个值，如 X.509 凭证的参考选项中所述。可以使用除 $$$SOAPWSReferenceDirect 之外的任意值。

如果指定凭证集作为第一个参数（正如我们在这个变体中所做的那样），则默认引用选项是证书的指纹。

变体：创建未签名的 SAML 断言

要创建未签名的 SAML 断言，请使用上述步骤，并进行以下更改：

• 跳过步骤 1、2 和 3。也就是说，不要创建和添加 .。
• 对于步骤 4，请使用 Create() 方法而不是 CreateX509()。此方法不带参数。例如：

 set assertion=##class(%SAML.Assertion).Create()

此方法返回

第四十四章 创建和添加 SAML 令牌

本主题描述如何将SAML 令牌添加到 WS-Security 标头元素。

另请参阅 %SAML.Assertion 的类参考和相关类。

未实现完整的 SAML 支持。 IRIS 中的 SAML 支持仅指 IRIS 中的 WS-Security 支持中列出的详细信息。

概述

借助 IRIS SOAP 支持，可以将 SAML 令牌添加到 WS-Security 标头元素。

可以选择将此 SAML 令牌用作签名或加密的密钥材料。如果这样做， IRIS 将遵循 WS-Security SAML 令牌配置文件规范。密钥材料来自 SAML 断言的 <SubjectConfirmation> 元素（带有 Holder-of-key (HOK) 方法）和 <SubjectConfirmationData> 或 <KeyInfoConfirmationData>（带有 <KeyInfo> 子元素）。

或者，可以使用 Sender-vouches (SV) 方法添加 <SubjectConfirmation>；在这种情况下，主题不包含密钥。为了保护这种情况下断言，建议您添加从消息签名到 SAML 令牌的安全令牌引用。

基本步骤

要创建 SAML 令牌并将其添加到出站 SOAP 消息，可以使用此处的基本过程或小节中描述的变体。

1. 可选择包含 %soap.

本演示程序用于展示如何采用自定义FHIR profile来验证数据合规性。自定义FHIR实施指南基于FHIR R4版本开发，在本例中实现了对Organization资源的扩展并用于验证数据的合规性。

安装

1. 通过Git clone下载本项目。
2. 执行docker-compose up -d构建并启动容器，初次执行时需执行需10～15分钟（视配置变化）。将构建InterSystems IRIS for Health镜像，安装FHIR服务器，导入自定义FHIR规范，使自定义FHIR 规范可用于验证数据。
3. 在Postman中导入TestCases中的测试用例文件，查看各类FHIR约束的测试效果
4. 容器启动后可查看自定义IG内容

项目代码结构

FHIRValidation
├─ ExampleIG                        
│  ├─ ig.ini
│  ├─ input
│  │  ├─ fsh
│  │  │  ├─ alias.fsh
│  │  │  ├─ codesystems.fsh
│  │  │  ├─ organization.fsh
│  │  │  └─ valuesets.fsh
│  │  └─ pagecontent
│  │     └─ index.md
│  └─ sushi-config.yaml
├─ README.

第四十三章 使用 WS-ReliableMessaging - 对 WS-ReliableMessaging 标头进行签名

对 WS-ReliableMessaging 标头进行签名

可以通过以下任一方式签署 WS-ReliableMessaging 标头。

使用 SecurityContextToken 对标头进行签名

如果还使用 WS-SecureConversation，则 Web 客户端的 SecurityContextToken 属性包含一个对称密钥，可以使用该密钥对 WS-ReliableMessaging 标头元素进行签名。为此，请在调用 %SOAP.RM.CreateSequence实例的 AddSTR() 方法，并将 SecurityContextToken 属性作为参数传递：

 do createsequence.AddSTR(client.SecurityContextToken)

在调用 %StartRMSession() 之前执行此操作。

签署消息时签署标头

还可以使用与签署消息其余部分相同的方式签署 WS-ReliableMessaging 标头。为此，在调用 %XML.Signature 的 Create() 或 CreateX509() 方法时，将值 $$$SOAPWSIncludeRMHeaders 添加到 signatureOptions 参数。

第四十二章 使用 WS-ReliableMessaging

IRIS 支持 WS-ReliableMessaging 规范的部分内容，如简介中所述。此规范提供了一种按顺序可靠地传递一系列消息的机制。本页介绍如何手动使用可靠消息传递。

从 Web 客户端发送一系列消息

要将一系列消息从 IRIS Web 客户端可靠地发送到支持 WS-ReliableMessaging 的 Web 服务，请执行以下操作：

1. 根据需要指定 Web 客户端的安全标头元素。

如果正在使用 WS-SecureConversation，请启动安全对话。

2. 调用 %SOAP.RM.CreateSequence的 Create() 类方法。这将返回该类的一个实例。

此方法具有以下签名：

classmethod Create(addressingNamespace As %String, 
                   oneWay As %Boolean = 0, 
                   retryInterval As %Float = 1.0, 
                   maxRetryCount As %Integer = 8, 
                   expires As %xsd.

挑战

在使用FHIR进行开发的过程中，我们会面对海量的FHIR规范中定义的数据结构，具体来说在FHIR规范中定义了超过150个资源、700多个资源内元素。每个定义里都包括了对自身结构的描述以及数据约束、数据绑定值集等。对于一个开发人员要记住这些内容非常困难。

同时FHIR数据，特别是Json格式的FHIR数据是典型的“有向图”结构，它的资源中嵌套元素定义、集合以及复杂的资源间“关系”，在这些复杂结构的数据间导航并操作，非常困难。

解决方案

在InterSystems IRIS for Health 2024.1之前，我们会将FHIR数据以Json文档的方式载入 %DynamicAbstractObject，例如下面的代码

   set dynObject1 = ##class(%DynamicObject).%New()
   set dynObject1.SomeNumber = 42
   set dynObject1.SomeString = "a string"
   set dynObject1.SomeArray = ##class(%DynamicArray).%New()
   set dynObject1.SomeArray."0" = "an array element"
   set dynObject1.SomeArray.

我们最近在向量搜索抢险体验计划中提供了新版的 InterSystems IRIS，新版本采用了新的基于分层可导航小世界 (HNSW) 索引算法的近似最近邻索引。 这一新增功能可对大型向量数据集进行高效的近似最近邻搜索，从而显著提高查询性能和可扩缩性。

HNSW 算法旨在通过构建基于图形的结构来优化高维数据的向量搜索，从而更快地在大型向量集合中找到近似邻。 无论您使用的是推荐系统、自然语言处理，还是其他机器学习应用，HNSW 都能显著缩短搜索时间，同时允许您调整准确度水平，但准确度提高的代价是查询时间变慢。

HNSW 的主要优点包括：

    •    即使数据集规模不断扩大，也能加快搜索速度
    •    减少内存占用，同时保持高准确度
    •    与现有的 IRIS 向量搜索功能无缝集成

如何开始使用

最新版本现已通过向量搜索抢先体验计划提供。 要参与，请在此处注册，下载新版本并开始测试。 我们正在持续增强向量搜索的功能，因此您的反馈至关重要！

我们鼓励您探索性能改进方法，并与社区分享您的想法。 如果您在抢先体验阶段遇到任何问题或有任何反馈，请联系我。

祝您编码愉快！

第四十一章 创建安全对话 - 使用

在 Web 服务使用 , 做出响应后，客户端实例和服务实例可以访问相同的对称密钥。有关此密钥的信息包含在两个实例的 SecurityContextToken 属性中。建议的程序如下：

1. 在客户端中，将 SecurityOut 属性设置为 null，以删除请求消息中使用的安全标头。

在 Web 服务中不需要这样做，因为 Web 服务会在每次调用后自动清除安全标头。

2. （可选）将 添加到 WS-Security 标头元素。为此，请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。例如：

 set SCT=..SecurityContextToken
 do ..SecurityOut.AddSecurityElement(SCT)

如果在下一步创建派生密钥令牌时使用 $$$SOAPWSReferenceSCT 引用选项，则此步骤是必需的。否则，此步骤不是必需的。

3. 根据 创建一个新的 。为此，调用 %SOAP.WSSC.DerivedKeyToken 的 Create() 方法，如下所示：

 set dkenc=##class(%SOAP.WSSC.

第四十章 创建安全对话 - 启用 IRIS Web 服务以支持 WS-SecureConversation

启用 IRIS Web 服务以支持 WS-SecureConversation

当 Web 客户端向 Web 服务发送请求安全对话的消息时，安全对话就开始了。作为响应，Web 服务发送双方都可以使用的 。

要使 IRIS Web 服务能够使用此令牌进行响应，请重写 Web 服务的 OnStartSecureConversation() 方法。此方法具有以下签名：

Method OnStartSecureConversation(RST As %SOAP.WST.RequestSecurityToken) As 
                          %SOAP.WST.RequestSecurityTokenResponseCollection

该方法应该执行以下操作：

1. 加密 SOAP 主体。OnStartSecureConversation() 发送的消息包含必须保护的信息；此信息在 SOAP 主体中携带。

根据需要，可以选择采用其他方式保护消息安全。

2. （可选）调用 %SOAP.WST.Entropy 的 CreateBinarySecret() 方法。此方法返回表示随机服务器熵的该类的实例。该方法接受一个参数，即熵的大小（以字节为单位）。

第三十九章 创建安全对话

IRIS 支持安全对话，遵循 WS-SecureConversation 1.3 规范。本页介绍如何手动创建安全对话。

概述

在安全对话中，Web 客户端向 Web 服务发出初始请求并接收包含 <`SecurityContextToken>` 的消息。此元素包含双方都可以使用的对称密钥的信息。此信息指的是只有双方知道的共享密钥。然后双方可以在后续交换中使用对称密钥，直到令牌过期或客户端取消令牌。

双方不应该直接使用 执行这些任务（不推荐），而应该从中生成一个 ，然后使用它进行加密、签名、解密和签名验证。

共享密钥可以通过以下任一方式指定：

• 双方共同提供随机熵值。这是典型的情况。
• 由客户端，如果客户端提供了一个随机的客户端熵值。
• 由服务提供，如果服务提供了随机的服务熵值。

开始安全对话

Web 客户端启动安全对话。要在 IRIS 中执行此操作，请在 Web 客户端中执行以下操作：

1. 加密 SOAP 主体。客户端发送的请求包含必须保护的信息；此信息在 SOAP 主体中携带。

根据需要，可以选择采用其他方式保护请求消息。

2. 在调用 %SOAP.WST.Entropy的 CreateBinarySecret() 方法。此方法返回表示随机客户端熵的该类的实例。该方法接受一个参数，即熵的大小（以字节为单位）。

 set clientEntropy=##class(%SOAP.

第三十八章 验证和解密入站消息 - 实例身份验证和 WS-Security

实例身份验证和 WS-Security

了解 IRIS 网络服务有两个独立的机制在起作用是很有用的：IRIS 服务器和网络服务代码。

• 在管理门户中，您可以为 Web 应用程序指定允许的身份验证模式，从而控制对 %Service_WebGateway 服务的访问。（有关详细信息，请参阅时间戳和用户名令牌示例。有关更多背景信息，请参阅 Web 应用程序。）如果您选择密码选项，则 Web 应用程序可以接受 IRIS 用户名/密码对；这称为实例身份验证。
• 除此之外，Web 服务还可以要求 IRIS 用户名/密码对。

这些机制协同工作如下：

1. 收到消息后，Web 服务将检查是否存在名为 的标头元素，而不会检查该元素的内容。
2. 如果不存在 标头元素并且 SECURITYIN 参数等于 REQUIRE，则 Web 服务将发出故障并退出。
3. 如果 标头元素包含 元素：

• 如果为 Web 应用程序选择了密码选项，则 Web 服务将读取 元素，从中获取用户名和密码，并登录到 Web 应用程序。

Web 服务对 SECURITYIN 参数的任何值（IGNOREALL 除外）都执行此操作。

用户名可在 $USERNAME 特殊变量和 Web 服务的 Username 属性中找到。密码不可用。

• 如果没有选择密码选项，则不会登录。

第三十七章 验证和解密入站消息

本主题介绍如何验证 IRIS Web 服务或 Web 客户端收到的消息中的安全元素（并自动解密任何加密内容）。

概述

IRIS 网络服务和网络客户端可以验证入站 SOAP 消息的 WS-Security 标头元素，以及自动解密入站消息。

IRIS Web 服务和 Web 客户端还可以处理已签名的 SAML 断言令牌并验证其签名。但是，验证 SAML 断言的详细信息是您的应用程序的责任。

如果使用安全策略，所有上述活动都是自动的。

在所有场景中，IRIS 都使用其根颁发机构证书集合；请参阅设置和其他常见活动。

验证 WS-Security 标头

要验证任何入站 SOAP 消息中包含的 WS-Security 标头元素，请执行以下操作：

1. 在 Web 服务或 Web 客户端中，设置 SECURITYIN 参数。使用以下值之一：
   • REQUIRE — Web 服务或 Web 客户端验证 WS-Security 标头元素，如果不匹配或缺少此元素，则会发出错误。
   • ALLOW — Web 服务或 Web 客户端验证 WS-Security 标头元素。

在这两种情况下，Web 服务或 Web 客户端都会验证 &, , , , and 标头元素。它还会验证标头中 SAML 断言中的 WS-Security 签名（如果有）。如果合适，还会解密消息。

如果验证失败，则返回错误。

第三十六章 结合加密和签名 - 使用对称密钥签名并加密

使用对称密钥签名并加密

签名然后加密（使用对称密钥时）：

1. 按照使用 进行加密中的步骤进行操作。
2. 按照使用 进行签名中的步骤进行操作。

使用元素

以下示例使用对称密钥进行签名和加密。它使用消息接收者的公钥创建一个 元素，然后使用该元素生成两个 元素，一个用于签名，一个用于加密：

 // create UsernameToken
  set userToken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")

  //get credentials of message recipient
  set x509alias = "servernopassword"
  set cred = ##class(%SYS.X509Credentials).GetByAlias(x509alias) 

  //get EncryptedKey element
  set enc=##class(%XML.Security.EncryptedKey).CreateX509(cred,$$$SOAPWSEncryptNone)
  do client.SecurityOut.

第三十五章 结合加密和签名

可以在同一条消息中加密和签名。在大多数情况下，只需组合前面主题中给出的方法即可。本主题讨论了多种场景。

使用非对称密钥签名并加密

要签名然后加密（使用非对称密钥时），请执行以下操作：

1. 按照添加数字签名中的步骤进行操作。
2. 按照加密安全标头元素中的步骤进行操作。

或者按照加密 SOAP 主体中的步骤进行操作。

使用非对称密钥加密并签名

要仅加密 SOAP 主体，然后添加数字签名（使用非对称密钥时），请执行以下操作：

1. 按照加密 SOAP 主体中的步骤进行操作。
2. 按照添加数字签名中的步骤进行操作。

要加密任何安全标头元素，然后添加数字签名（使用非对称密钥时），必须使用顶级 元素（在文档的其他地方不需要）。在这种情况下，请执行以下操作：

1. 按照加密安全标头元素中的步骤 1 — 4 进行操作。
2. 对于要加密的每个安全标头元素，根据该元素创建一个 元素。为此，请调用 %XML.Security.EncryptedData的 Create() 类方法。在此过程中，指定所有三个参数：

a. 在前面的步骤中创建的加密密钥实例。

b. 要加密的安全标头元素。

c. $$$SOAPWSReferenceEncryptedKey，指定 如何使用加密密钥实例。

第三十四章 使用派生密钥令牌进行加密和签名 - 使用 进行签名

要使用 进行签名，请使用以下步骤：

1. 如果想要签署任何安全标头元素，请创建这些安全标头元素。
2. 创建 并将其添加到 WS-Security 标头，如创建和添加 中所述。

请注意，此步骤还会创建并添加 所基于的 元素。

3. 根据派生的密钥令牌创建 元素。为此，请调用 %XML.Security.Signature的 Create() 类方法。例如：

 set dsig=##class(%XML.Security.Signature).Create(dkt)

此方法返回 %XML.Security.Signature 的实例，该实例表示 标头元素。签名值通过 HMAC-SHA1 摘要算法计算，使用 隐含的对称密钥。

元素适用于消息的一组默认部分；可以指定一组不同的部分。

4. 将数字签名添加到 WS-Security 标头元素。为此，请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。对于参数，请指定上一步中创建的签名对象。例如：

 do .

8. 发送 SOAP 消息。请参阅添加安全标头元素中的一般注释。

例如，以下客户端代码对 SOAP 主体和 进行加密：

  // Create UsernameToken
  set userToken=##class(%SOAP.Security.UsernameToken).

第三十二章 使用派生密钥令牌进行加密和签名 - 使用

进行加密

要使用 进行加密，请使用以下步骤：

1. 如果要加密一个或多个安全标头元素，请创建这些安全标头元素。.
2. 创建 并将其添加到 WS-Security 标头，如创建和添加 中所述。

请注意，此步骤还会创建并添加 所基于的 元素。

3. 对于要加密的每个元素，请根据该元素创建一个 元素。为此，请调用 %XML.Security.EncryptedData 的 Create() 类方法。在此过程中，请指定以下参数：

a. 派生密钥令牌 b. 要加密的项目。省略此参数可加密正文。 c. 指定 元素如何引用 的宏。在此场景中，当前唯一支持的值是 $$$SOAPWSReferenceDerivedKey。

例如，加密 ：

 set refopt=$$$SOAPWSReferenceDerivedKey
 set encryptedData=##class(%XML.Security.EncryptedData).Create(dkenc,userToken,refopt) 

或者，加密正文：

 set refopt=$$$SOAPWSReferenceDerivedKey
 set encryptedData=##class(%XML.Security.

HI 各位开发者们，

📅2024年9月23日🕑14:00-15:30🕞，InterSystems将举办线上研讨会，点击🔔此处🔔报名参会。

此次研讨会以“面向未来的数据平台——InterSystems IRIS五大亮点提速数据潜力挖掘与AI应用”为主题，帮助您了解InterSystems IRIS数据平台的五大亮点：

• 使用InterSystems IRIS for Health进行FHIR开发
• 使用Python进行互操作Production开发
• InterSystems IRIS列存储
• InterSystems IRIS外部表(Foreign Table)
• InterSystems IRIS向量和基于向量检索的患者相似度匹配

第三十章 使用派生密钥令牌进行加密和签名

IRIS 支持 WS-SecureConversation 1.4 定义的 元素。可以创建并使用 元素进行加密和签名，作为前三个主题中描述的方法的替代。

通常，会同时执行加密和签名。为简单起见，本主题分别介绍这些任务。有关结合加密和签名的信息，请参阅结合加密和签名。

概述

元素旨在携带发送者和接收者可以独立使用的信息来生成相同的对称密钥。这些方可以使用该对称密钥对 SOAP 消息的指定部分进行加密、签名或同时执行这两种操作。

要生成和使用 ，请执行以下操作：

1. 生成一个对称密钥以供临时使用。
2. 使用要向其发送消息的实体的公钥来加密对称密钥。这将创建一个 元素。

可以从该实体的请求消息中包含的 X.509 证书中获取公钥。或者可以提前获取它。

3. 通过 P_SHA1 算法从原始对称密钥计算出一个新的对称密钥。

这将创建一个引用 元素的 元素。

4. 使用新的对称密钥进行加密或签名。

对这些活动使用不同的对称密钥被认为是一种很好的做法，这样就可以减少用于分析的数据量。

5. 在消息中包含 元素和 。

在 IRIS 中，派生密钥令牌也可以基于另一个派生密钥令牌。

创建并添加

作为参考，本节描述了后面几节中需要的常见活动。它描述了如何创建 并将其添加到 WS-Security 标头。您可以使用以下步骤或各小节中描述的变体。

1. 可选择包含 %soap.

第三十一章 使用派生密钥令牌进行加密和签名 - 变体：创建隐式

变体：创建隐式

还可以创建隐式 ，这是引用 的快捷方法。在此方法中：

• 消息中不包含
• 在使用 的元素中， 元素指定 Nonce 属性，该属性包含用于 的 nonce 值。这向消息接收者表明派生密钥令牌是隐含的，并且是从引用的令牌派生的。

要创建隐式 ，请使用前面描述的一般过程，但有两处更改：

1. 对于派生的密钥令牌实例，将 Implied 属性设置为 1。

 set dkt.Implied=1

2. 请勿将 元素添加到 WS-Security 标头元素。

使用 的方式与将其包含在消息中的方式完全相同。

变体：引用 的 SHA1 哈希

在此变体中（仅适用于 Web 服务），发送者不在消息中包含 元素，而是引用密钥的 SHA1 哈希。Web 服务可以引用在入站消息中收到的 元素。

使用前面的一般程序，但需做以下更改：

• 步骤 2-4 是可选的。.
• 省略步骤 5（不要添加 ）。
• 在步骤 6 中，当您使用 Create() 创建派生密钥令牌时，若要使用从客户端收到的 ，请省略第一个参数。或者，如果您已创建 ，请将其用作第一个参数。

指定 $$$SOAPWSReferenceEncryptedKeySHA1