第八章 创建和使用策略

本主题介绍如何在 IRIS 中使用 WS-Policy 支持。WS-Policy 使您能够指定要使用或预期的 WS-Security 标头。它还使能够指定 WS-Addressing 标头和 MTOM 的使用（在创建 Web 服务和 Web 客户端中描述）。可以在单独的类中创建策略，而不是直接编辑 Web 服务或 Web 客户端。在大多数情况下，不需要进行低级编程。

概述

在 IRIS 中，Web 服务或客户端的策略（或策略集合）包含在单独的配置类中，即 %SOAP.Configuration的子类。编译该类时，策略生效。

通常不需要编码。但是，在某些情况下，可以通过编程指定详细信息，而不是将该元素硬编码到策略中。

第三十八章 验证和解密入站消息 - 实例身份验证和 WS-Security

实例身份验证和 WS-Security

了解 IRIS 网络服务有两个独立的机制在起作用是很有用的：IRIS 服务器和网络服务代码。

• 在管理门户中，您可以为 Web 应用程序指定允许的身份验证模式，从而控制对 %Service_WebGateway 服务的访问。（有关详细信息，请参阅时间戳和用户名令牌示例。有关更多背景信息，请参阅 Web 应用程序。）如果您选择密码选项，则 Web 应用程序可以接受 IRIS 用户名/密码对；这称为实例身份验证。
• 除此之外，Web 服务还可以要求 IRIS 用户名/密码对。

这些机制协同工作如下：

第三十九章 创建安全对话

IRIS 支持安全对话，遵循 WS-SecureConversation 1.3 规范。本页介绍如何手动创建安全对话。

概述

在安全对话中，Web 客户端向 Web 服务发出初始请求并接收包含 <SecurityContextToken> 的消息。此元素包含双方都可以使用的对称密钥的信息。此信息指的是只有双方知道的共享密钥。然后双方可以在后续交换中使用对称密钥，直到令牌过期或客户端取消令牌。

双方不应该直接使用 <SecurityContextToken> 执行这些任务（不推荐），而应该从中生成一个 <SecurityContextToken>，然后使用它进行加密、签名、解密和签名验证。

共享密钥可以通过以下任一方式指定：

第十二章 本地进程间通信（管道） - OPEN 和 USE 命令关键字

OPEN 和 USE 命令关键字

以下列表描述了用于使用OPEN和USE命令控制进程间通信管道的关键字。

/IOTABLE[=name]

默认值：如果未指定名称，则使用设备的默认 I/O 转换表。

对应K\name\参数代码，为设备建立I/O转换表。

/TRANSLATE[=n]

默认值：1

与K参数代码相关。 /TRANSLATE 或 /TRANSLATE= n （对于n的非零值）启用设备的 I/O 转换。 /TRANSLATE= n如果n值为零，则会禁用设备的 I/O 转换。

第三十一章 TCP 高级主题

本页讨论使用 TCP/IP 在 IRIS 数据平台进程之间进行通信的几个高级主题。

连接管理

服务器一次仅维护一个连接。如果在另一个连接打开时第二个客户端尝试连接，TCP/IP 会将该客户端放入队列中。在队列中时，第二个客户端可以向端口写入数据，就像已连接一样。第二个客户端写入的数据保留在缓冲区中，直到第一个连接关闭并且第二个客户端连接为止。

如果第二个客户端在连接存在之前发出READ，则会挂起。当第二个客户端在队列中时，第三个客户端的任何连接尝试都会失败。

如果已经打开 TCP 设备的客户端在第一个连接仍然存在时尝试第二次连接，则第二个OPEN命令会导致错误。将这种情况视为错误而不是USE命令可以防止出现意外的结果。如果错误的程序认为它已打开新连接，而实际上它正在重用可能具有不同目标或不同参数的现有连接，则可能会出现此类意外结果。

第四十一章 创建安全对话 - 使用

在 Web 服务使用 <SecurityContextToken>, 做出响应后，客户端实例和服务实例可以访问相同的对称密钥。有关此密钥的信息包含在两个实例的 SecurityContextToken 属性中。建议的程序如下：

1. 在客户端中，将 SecurityOut 属性设置为 null，以删除请求消息中使用的安全标头。

在 Web 服务中不需要这样做，因为 Web 服务会在每次调用后自动清除安全标头。

第四十二章 使用 WS-ReliableMessaging

IRIS 支持 WS-ReliableMessaging 规范的部分内容，如简介中所述。此规范提供了一种按顺序可靠地传递一系列消息的机制。本页介绍如何手动使用可靠消息传递。

从 Web 客户端发送一系列消息

要将一系列消息从 IRIS Web 客户端可靠地发送到支持 WS-ReliableMessaging 的 Web 服务，请执行以下操作：

1. 根据需要指定 Web 客户端的安全标头元素。

如果正在使用 WS-SecureConversation，请启动安全对话。

2. 调用 %SOAP.RM.CreateSequence的 Create() 类方法。这将返回该类的一个实例。

此方法具有以下签名：

第三十五章 终端输入 输出 - 特殊变量显示 I O 条件

WRITE * and $X and $Y

WRITE *不会更改$X和$Y。因此，可以将控制序列发送到终端， $X和$Y仍将反映真实的光标位置。某些控制序列确实会移动光标，因此可以在需要时直接设置$X或$Y 。

$X 和 $Y 示例

在以下示例中，控制序列将 VT100 终端中的光标移动到第 10 行、第 20 列，并相应地设置$X和$Y 。

第一章 使用 SOAP 保护 Web 服务

IRIS 支持 WS-Security、WS-Policy、WS-SecureConversation 和 WS-ReliableMessaging 规范的部分内容，这些规范描述了如何为 Web 服务和 Web 客户端添加安全性。本主题总结了这些工具并列出了支持的标准。

如果 IRIS Web 客户端使用需要身份验证的 Web 服务，并且有特殊原因，则可以使用较旧的 WS-Security 登录功能。请参阅使用 WS-Security 登录功能。

IRIS 中与 SOAP 安全相关的工具

IRIS 提供以下与 Web 服务和 Web 客户端安全相关的工具：

第二章 I O 输入输出简介 - Open 命令

Open 命令

OPEN建立指定设备的所有权并打开指定设备的 I/O 通道。此所有权将持续存在，直到发出CLOSE命令、进程终止或某些物理操作关闭设备。对于物理 I/O 设备或进程间通信（例如 TCP 连接），此所有权会阻止所有其他进程访问该设备。对于逻辑 I/O 设备（例如顺序文件），此所有权可能允许其他进程以某种形式共享访问该文件。打开同一顺序文件的多个进程的处理高度依赖于平台。强烈建议使用LOCK命令来限制对顺序文件的访问。

语法

OPEN device{:{(parameters)}{:{timeout}{:"mnespace"}}}

device

所需的设备名称、ID 号或助记符。设备的最大长度为 256 个字符。

第三十一章 使用派生密钥令牌进行加密和签名 - 变体：创建隐式

变体：创建隐式 <DerivedKeyToken>

还可以创建隐式 <DerivedKeyToken>，这是引用 <DerivedKeyToken> 的快捷方法。在此方法中：

• 消息中不包含 <DerivedKeyToken>
• 在使用 <DerivedKeyToken> 的元素中，<SecurityTokenReference> 元素指定 Nonce 属性，该属性包含用于 <DerivedKeyToken> 的 nonce 值。这向消息接收者表明派生密钥令牌是隐含的，并且是从引用的令牌派生的。

要创建隐式 <DerivedKeyToken>，请使用前面描述的一般过程，但有两处更改：

第三章 I O 输入输出简介 - Use 命令

Use 命令

此命令使指定设备成为当前设备，并将特殊变量$IO设置为该设备。要使用主设备以外的设备，必须首先对其发出OPEN命令；否则，将收到错误。参数的含义与OPEN命令中的相同。

语法

USE device:(args):"mnespace"

device

所需的设备名称、ID 号或别名。设备的最大长度为 256 个字符。

args

可选— 某些设备所需的附加信息。管道（进程间通信） 、文件和终端 I/O的可用参数不同。

mnespace

可选— IRIS 例程的名称，包含控制助记符的定义，当将 I/O 定向到该设备时，可以与WRITE /mnemonic 命令一起使用。

第四章 设置和其他常见活动

作为参考，本主题介绍了用于保护 Web 服务的常见活动。

执行设置任务

对于大多数与 SOAP 安全相关的任务，必须首先执行以下任务：

• 提供可信证书供 IRIS 使用
• 创建 IRIS 凭证集

这些任务也是使用 XML 工具中描述的某些任务的先决条件。

可能还需要创建 SSL/TLS 配置。有关信息，请参阅 TLS 指南。