.png)
InterSystems IRIS for Health™ 是全球第一个也是唯一一个专门为医疗应用程序的快速开发而设计的数据平台,用于管理全世界最重要的数据。它包括强大的开箱即用的功能:事务处理和分析、可扩展的医疗保健数据模型、基于 FHIR 的解决方案开发、对医疗保健互操作性标准的支持等等。所有这些将使开发者能够快速实现价值并构建具有突破性的应用程序。了解更多信息。
本演示程序用于展示如何采用自定义FHIR profile来验证数据合规性。自定义FHIR实施指南基于FHIR R4版本开发,在本例中实现了对Organization资源的扩展并用于验证数据的合规性。
WS-ReliableMessaging 标头进行签名可以通过以下任一方式签署 WS-ReliableMessaging 标头。
SecurityContextToken 对标头进行签名如果还使用 WS-SecureConversation,则 Web 客户端的 SecurityContextToken 属性包含一个对称密钥,可以使用该密钥对 WS-ReliableMessaging 标头元素进行签名。为此,请在调用 %SOAP.RM.CreateSequence实例的 AddSTR() 方法,并将 SecurityContextToken 属性作为参数传递:
do createsequence.AddSTR(client.SecurityContextToken)
在调用 %StartRMSession() 之前执行此操作。
Foreign Table 和 Linked Table 的区别
Linked Table
Lined Table 不能读取外部文件
对于 JDBC 和 ODBC 的数据源是分开的
Foreign Table
可以读取外部文件
不局限于同一类型的数据源
Foreign Table 的用例
当某个数据集时由外部应用程序在外部数据库中管理,而你的 IRIS 查询需要在该外部数据集中查找某些内容时,您可以使用某种 ETL 流程将数据加载到 IRIS 中,但如果外部数据经常更新,而你的查询需要访问当前的版本,那么这个过程可能会变得很棘手。可以通过 Foreign Table 将数据投射到 IRIS 并在查询时从外部源检索当前数据来解决这个问题。
IRIS 支持 WS-ReliableMessaging 规范的部分内容,如简介中所述。此规范提供了一种按顺序可靠地传递一系列消息的机制。本页介绍如何手动使用可靠消息传递。
Web 客户端发送一系列消息要将一系列消息从 IRIS Web 客户端可靠地发送到支持 WS-ReliableMessaging 的 Web 服务,请执行以下操作:
Web 客户端的安全标头元素。如果正在使用 WS-SecureConversation,请启动安全对话。
%SOAP.RM.CreateSequence的 Create() 类方法。这将返回该类的一个实例。此方法具有以下签名:
在使用FHIR进行开发的过程中,我们会面对海量的FHIR规范中定义的数据结构,具体来说在FHIR规范中定义了超过150个资源、700多个资源内元素。每个定义里都包括了对自身结构的描述以及数据约束、数据绑定值集等。对于一个开发人员要记住这些内容非常困难。
同时FHIR数据,特别是Json格式的FHIR数据是典型的“有向图”结构,它的资源中嵌套元素定义、集合以及复杂的资源间“关系”,在这些复杂结构的数据间导航并操作,非常困难。
在InterSystems IRIS for Health 2024.1之前,我们会将FHIR数据以Json文档的方式载入 %DynamicAbstractObject,例如下面的代码
我们最近在向量搜索抢险体验计划中提供了新版的 InterSystems IRIS,新版本采用了新的基于分层可导航小世界 (HNSW) 索引算法的近似最近邻索引。 这一新增功能可对大型向量数据集进行高效的近似最近邻搜索,从而显著提高查询性能和可扩缩性。
HNSW 算法旨在通过构建基于图形的结构来优化高维数据的向量搜索,从而更快地在大型向量集合中找到近似邻。 无论您使用的是推荐系统、自然语言处理,还是其他机器学习应用,HNSW 都能显著缩短搜索时间,同时允许您调整准确度水平,但准确度提高的代价是查询时间变慢。
HNSW 的主要优点包括:
• 即使数据集规模不断扩大,也能加快搜索速度
• 减少内存占用,同时保持高准确度
• 与现有的 IRIS 向量搜索功能无缝集成
最新版本现已通过向量搜索抢先体验计划提供。 要参与,请在此处注册,下载新版本并开始测试。 我们正在持续增强向量搜索的功能,因此您的反馈至关重要!
我们鼓励您探索性能改进方法,并与社区分享您的想法。 如果您在抢先体验阶段遇到任何问题或有任何反馈,请联系我。
祝您编码愉快!
在 Web 服务使用 <SecurityContextToken>, 做出响应后,客户端实例和服务实例可以访问相同的对称密钥。有关此密钥的信息包含在两个实例的 SecurityContextToken 属性中。建议的程序如下:
SecurityOut 属性设置为 null,以删除请求消息中使用的安全标头。在 Web 服务中不需要这样做,因为 Web 服务会在每次调用后自动清除安全标头。
<SecurityContextToken> 添加到 WS-Security 标头元素。为此,请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。例如: set SCT=..SecurityContextToken
do ..SecurityOut.AddSecurityElement(SCT)
如果在下一步创建派生密钥令牌时使用 $$$SOAPWSReferenceSCT 引用选项,则此步骤是必需的。否则,此步骤不是必需的。
<SecurityContextToken>创建一个新的 <DerivedKeyToken> 。为此,调用 %SOAP.WSSC.DerivedKeyToken 的 Create() 方法,如下所示:IRIS Web 服务以支持 WS-SecureConversation当 Web 客户端向 Web 服务发送请求安全对话的消息时,安全对话就开始了。作为响应,Web 服务发送双方都可以使用的 <SecurityContextToken>。
要使 IRIS Web 服务能够使用此令牌进行响应,请重写 Web 服务的 OnStartSecureConversation() 方法。此方法具有以下签名:
Method OnStartSecureConversation(RST As %SOAP.WST.RequestSecurityToken) As
%SOAP.WST.RequestSecurityTokenResponseCollection
该方法应该执行以下操作:
SOAP 主体。OnStartSecureConversation() 发送的消息包含必须保护的信息;此信息在 SOAP 主体中携带。根据需要,可以选择采用其他方式保护消息安全。
IRIS 支持安全对话,遵循 WS-SecureConversation 1.3 规范。本页介绍如何手动创建安全对话。
在安全对话中,Web 客户端向 Web 服务发出初始请求并接收包含 <SecurityContextToken> 的消息。此元素包含双方都可以使用的对称密钥的信息。此信息指的是只有双方知道的共享密钥。然后双方可以在后续交换中使用对称密钥,直到令牌过期或客户端取消令牌。
双方不应该直接使用 <SecurityContextToken> 执行这些任务(不推荐),而应该从中生成一个 <SecurityContextToken>,然后使用它进行加密、签名、解密和签名验证。
共享密钥可以通过以下任一方式指定:
Web 客户端启动安全对话。要在 IRIS 中执行此操作,请在 Web 客户端中执行以下操作:
SOAP 主体。客户端发送的请求包含必须保护的信息;此信息在 SOAP 主体中携带。根据需要,可以选择采用其他方式保护请求消息。
%SOAP.WST.Entropy的 CreateBinarySecret() 方法。此方法返回表示随机客户端熵的该类的实例。该方法接受一个参数,即熵的大小(以字节为单位)。WS-Security了解 IRIS 网络服务有两个独立的机制在起作用是很有用的:IRIS 服务器和网络服务代码。
Web 应用程序指定允许的身份验证模式,从而控制对 %Service_WebGateway 服务的访问。(有关详细信息,请参阅时间戳和用户名令牌示例。有关更多背景信息,请参阅 Web 应用程序。)如果您选择密码选项,则 Web 应用程序可以接受 IRIS 用户名/密码对;这称为实例身份验证。Web 服务还可以要求 IRIS 用户名/密码对。这些机制协同工作如下:
Web 服务将检查是否存在名为 <Security> 的标头元素,而不会检查该元素的内容。<Security>标头元素并且 SECURITYIN 参数等于 REQUIRE,则 Web 服务将发出故障并退出。<Security> 标头元素包含<UsernameToken> 元素:Web 应用程序选择了密码选项,则 Web 服务将读取 <UsernameToken>元素,从中获取用户名和密码,并登录到 Web 应用程序。Web 服务对 SECURITYIN 参数的任何值(IGNOREALL 除外)都执行此操作。
本主题介绍如何验证 IRIS Web 服务或 Web 客户端收到的消息中的安全元素(并自动解密任何加密内容)。
IRIS 网络服务和网络客户端可以验证入站 SOAP 消息的 WS-Security 标头元素,以及自动解密入站消息。
IRIS Web 服务和 Web 客户端还可以处理已签名的 SAML 断言令牌并验证其签名。但是,验证 SAML 断言的详细信息是您的应用程序的责任。
如果使用安全策略,所有上述活动都是自动的。
在所有场景中,IRIS 都使用其根颁发机构证书集合;请参阅设置和其他常见活动。
WS-Security 标头要验证任何入站 SOAP 消息中包含的 WS-Security 标头元素,请执行以下操作:
Web 服务或 Web 客户端中,设置 SECURITYIN 参数。使用以下值之一:
REQUIRE — Web 服务或 Web 客户端验证 WS-Security 标头元素,如果不匹配或缺少此元素,则会发出错误。ALLOW — Web 服务或 Web 客户端验证 WS-Security 标头元素。签名然后加密(使用对称密钥时):
<DerivedKeyToken> 进行加密中的步骤进行操作。<DerivedKeyToken> 进行签名中的步骤进行操作。以下示例使用对称密钥进行签名和加密。它使用消息接收者的公钥创建一个 <EncryptedKey>元素,然后使用该元素生成两个 <DerivedKeyToken> 元素,一个用于签名,一个用于加密:
可以在同一条消息中加密和签名。在大多数情况下,只需组合前面主题中给出的方法即可。本主题讨论了多种场景。
要签名然后加密(使用非对称密钥时),请执行以下操作:
或者按照加密 SOAP 主体中的步骤进行操作。
要仅加密 SOAP 主体,然后添加数字签名(使用非对称密钥时),请执行以下操作:
要加密任何安全标头元素,然后添加数字签名(使用非对称密钥时),必须使用顶级 <ReferenceList> 元素(在文档的其他地方不需要)。在这种情况下,请执行以下操作:
1 — 4 进行操作。<EncryptedData> 元素。为此,请调用 %XML.Security.EncryptedData的 Create() 类方法。在此过程中,指定所有三个参数:a. 在前面的步骤中创建的加密密钥实例。
b. 要加密的安全标头元素。
c. $$$SOAPWSReferenceEncryptedKey,指定 <EncryptedData> 如何使用加密密钥实例。
要使用 <DerivedKeyToken>进行签名,请使用以下步骤:
<DerivedKeyToken> 并将其添加到 WS-Security 标头,如创建和添加 <DerivedKeyToken> 中所述。请注意,此步骤还会创建并添加 <DerivedKeyToken> 所基于的 <EncryptedKey> 元素。
<Signature> 元素。为此,请调用 %XML.Security.Signature的 Create() 类方法。例如: set dsig=##class(%XML.Security.Signature).Create(dkt)
此方法返回 %XML.Security.Signature 的实例,该实例表示 <Signature> 标头元素。签名值通过 HMAC-SHA1 摘要算法计算,使用 <DerivedKeyToken> 隐含的对称密钥。
<Signature> 元素适用于消息的一组默认部分;可以指定一组不同的部分。
进行加密(一)
WS-Security 标头元素中。为此,请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。在这种情况下,需要两个参数:a. 安全标头元素(而不是从中生成的的 %XML.Security.EncryptedData)。
b. 引用列表实例。第二个参数指定将第一个参数指定的项目放在何处。如果参数是 A、B,则 IRIS 确保 A 在 B 之后。指定此项以便收件人首先处理引用列表,然后再处理依赖于它的加密安全标头元素。
do client.SecurityOut.AddSecurityElement(userToken,reflist)
如果仅加密了 SOAP 主体,系统会自动将 <EncryptedData> 元素作为 <Body>的子元素。
SOAP 消息。请参阅添加安全标头元素中的一般注释。例如,以下客户端代码对 SOAP 主体和 <UsernameToken>进行加密:
进行加密
要使用 <DerivedKeyToken> 进行加密,请使用以下步骤:
<DerivedKeyToken> 并将其添加到 WS-Security 标头,如创建和添加 <DerivedKeyToken> 中所述。请注意,此步骤还会创建并添加 <EncryptedKey> 所基于的 <EncryptedKey> 元素。
<EncryptedData> 元素。为此,请调用 %XML.Security.EncryptedData 的 Create() 类方法。在此过程中,请指定以下参数:a. 派生密钥令牌
b. 要加密的项目。省略此参数可加密正文。
c. 指定 <EncryptedData> 元素如何引用 <DerivedKeyToken> 的宏。在此场景中,当前唯一支持的值是 $$$SOAPWSReferenceDerivedKey。
例如,加密 <UsernameToken>:
HI 各位开发者们,
📅2024年9月23日🕑14:00-15:30🕞,InterSystems将举办线上研讨会,点击🔔此处🔔报名参会。
此次研讨会以“面向未来的数据平台——InterSystems IRIS五大亮点提速数据潜力挖掘与AI应用”为主题,帮助您了解InterSystems IRIS数据平台的五大亮点:
IRIS 支持 WS-SecureConversation 1.4 定义的 <DerivedKeyToken> 元素。可以创建并使用<DerivedKeyToken> 元素进行加密和签名,作为前三个主题中描述的方法的替代。
通常,会同时执行加密和签名。为简单起见,本主题分别介绍这些任务。有关结合加密和签名的信息,请参阅结合加密和签名。
<DerivedKeyToken> 元素旨在携带发送者和接收者可以独立使用的信息来生成相同的对称密钥。这些方可以使用该对称密钥对 SOAP 消息的指定部分进行加密、签名或同时执行这两种操作。
要生成和使用 <DerivedKeyToken>,请执行以下操作:
<EncryptedKey>元素。可以从该实体的请求消息中包含的 X.509 证书中获取公钥。或者可以提前获取它。
P_SHA1 算法从原始对称密钥计算出一个新的对称密钥。这将创建一个引用 <EncryptedKey> 元素的 <DerivedKeyToken> 元素。
对这些活动使用不同的对称密钥被认为是一种很好的做法,这样就可以减少用于分析的数据量。
<DerivedKeyToken>还可以创建隐式 <DerivedKeyToken>,这是引用 <DerivedKeyToken> 的快捷方法。在此方法中:
<DerivedKeyToken><DerivedKeyToken> 的元素中,<SecurityTokenReference> 元素指定 Nonce 属性,该属性包含用于 <DerivedKeyToken> 的 nonce 值。这向消息接收者表明派生密钥令牌是隐含的,并且是从引用的令牌派生的。要创建隐式 <DerivedKeyToken>,请使用前面描述的一般过程,但有两处更改:
Implied 属性设置为 1。 set dkt.Implied=1
<DerivedKeyToken> 元素添加到 WS-Security 标头元素。使用 <DerivedKeyToken> 的方式与将其包含在消息中的方式完全相同。
<EncryptedKey> 的 SHA1 哈希使用向量搜索在 IRIS for Health 上运行的病人相似性比较演示。 使用向量搜索计算相似度,在向量基础上比较不同病人之间的个人属性,如姓名、出生日期、地址等。得分越高,被比较的病人越有可能是同一个人。 本演示程序使用 sentence-transformers model 将文本转换为向量,然后使用 IRIS 向量函数来存储、读取和比较向量。
默认情况下,签名的摘要值是通过 SHA-1 算法计算的,安全标头中的 <Signature> 元素包含如下内容:
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"></DigestMethod>
<DigestValue>waSMFeYMruQn9XHx85HqunhMGIA=</DigestValue>
可以为签名指定不同的摘要方法。为此,调用 %XML.Security.Signature 实例的 SetDigestMethod() 方法。对于参数,请使用以下宏之一(包含在 %soap.inc 文件中):
$$$SOAPWSsha1 (the default)-$$$SOAPWSsha256
$$$SOAPWSsha384
$$$SOAPWSsha512
do sig.SetDigestMethod($$$SOAPWSsha256)
默认情况下,签名值是通过 RSA-SHA256 算法计算的,安全标头中的 <Signature> 元素包含如下内容:
要添加在签名的 SAML 断言中使用证书的数字签名,请执行以下操作:
%soap.inc 包含文件,它定义了可能需要使用的宏。 set utoken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")
Holder-of-key 方法的<SubjectConfirmation> 元素创建签名的 SAML 断言。请参阅创建和添加 SAML 令牌。<Signature> 元素。创建时,使用已签名的 SAML 断言作为 CreateX509() 类方法的第一个参数。例如: set signature=##class(%XML.Security.EncryptedKey).CreateX509(signedassertion)
WS-Security 标头元素。为此,请调用 Web 客户端或 Web 服务的 SecurityOut 属性的 AddSecurityElement() 方法。对于参数,请指定上一步中创建的签名对象。例如: do ..SecurityOut.AddSecurityElement(dsig)
此示例显示了对其响应消息进行签名的 Web 服务。
为了使此示例在自己的环境中运行,请首先执行以下操作:
IRIS 中,创建名为 servercred 的凭证。执行此操作时,还要加载私钥文件并提供其密码(这样 Web 服务在签署其响应消息时就不必提供该密码。)该 Web 服务指的是具有此确切名称的 IRIS 凭证集。
本主题介绍如何向 IRIS Web 服务和 Web 客户端发送的 SOAP 消息添加数字签名。
通常,会同时执行加密和签名。为简单起见,本主题仅介绍签名。有关结合加密和签名的信息,请参阅主题结合加密和签名。
主题使用派生密钥令牌进行加密和签名描述了向 SOAP 消息添加数字签名的另一种方法。
可以使用数字签名来检测消息是否被篡改,或者简单地验证消息的某一部分是否确实由所列实体生成。与传统的手工签名一样,数字签名是对文档的附加,只有文档的创建者才能创建,并且不容易伪造。
IRIS 对 SOAP 消息的数字签名的支持基于 WS-Security1.1。反过来,WS-Security 遵循 XML 签名规范。根据后者的规范,要对 XML 文档进行签名:
<Signature> 元素,其中包含以下信息:以下示例调用 Web 客户端并发送已加密的 <UsernameToken>。在此示例中,正文未加密。
本主题介绍如何加密 Web 服务和 Web 客户端发送的消息中的 WS-Security 标头内的元素。(此处描述的工具也可单独使用或与安全标头元素结合使用来加密 SOAP 主体。)
通常,会同时执行加密和签名。为简单起见,本主题仅介绍加密。有关结合加密和签名的信息,请参阅结合加密和签名。
使用派生密钥令牌进行加密和签名主题描述了加密 SOAP 消息部分内容的另一种方法。
与上一主题中显示的加密技术不同,加密 WS-Security 标头元素的过程要求您指定 <EncryptedData> 元素如何连接到相应的 <EncryptedKey> 元素。
要加密安全标头元素,请执行以下操作:
%soap.inc 包含文件,它定义了可能需要使用的宏。 set userToken=##class(%SOAP.Security.UsernameToken).Create("_SYSTEM","SYS")
SOAP 消息的实体的公钥的凭证集。请参阅以编程方式检索凭证集。 set credset=..SecurityIn.Signature.X509Credentials
请务必检查返回对象的类型,看它是否是 %SYS.X509Credential的实例,如以编程方式检索凭据集中所述。
要使用签名的 SAML 断言中的证书中包含的公钥进行加密,请执行以下操作:
1–4。Holder-of-key 方法的 <SubjectConfirmation>元素创建签名的 SAML 断言。请参阅创建和添加 SAML 令牌。<EncryptedKey> 元素。执行此操作时,使用签名的 SAML 断言作为 CreateX509() 类方法的第一个参数。例如: set enckey=##class(%XML.Security.EncryptedKey).CreateX509(signedassertion)
在此示例中,Web 客户端(未显示)发送签名的请求消息,而 Web 服务发送加密响应。
Web 服务从请求消息签名中的客户端证书中获取公钥,并使用该公钥在其响应中添加一个加密的 <EncryptedKey> 元素。 <EncryptedKey> 元素使用客户端的公钥加密,它包含用于加密响应消息正文的对称密钥。
Web服务如下:
<BinarySecurityToken> 包含序列化、base-64 编码格式的证书。可以忽略此令牌,而改用标识证书的信息;接收方使用此信息从相应位置检索证书。为此,请使用上述步骤,并进行以下更改:
3 和 4。也就是说,不要添加 <BinarySecurityToken>。5(创建加密密钥)中,使用步骤 1 中设置的凭据(而不是二进制安全令牌)作为 CreateX509() 的第一个参数。例如: set enckey=##class(%XML.Security.EncryptedKey).CreateX509(credset,,referenceOption)
对于第三个参数(referenceOption),可以指定<Signature> 元素如何使用证书。
如果指定一个凭据集作为第一个参数(正如我们在此变体中所做的那样),则referenceOption的默认值为$$$SOAPWSReferenceThumbprint。 可以选择指定一个值,如本节所述。 可以使用除$$$SOAPWSReferenceDirect之外的任何值。
X.509 证书的参考选项WS-Security 标头简介部分介绍了在 SOAP 消息中使用证书的一种方法。在该示例中,数字签名由两个标头元素组成:
本主题主要介绍如何手动向 IRIS Web 服务和 IRIS Web 客户端发送的消息中添加安全元素。
以下主题提供了有关特定安全任务的详细信息。
要将安全元素添加到 WS-Security 标头元素,请在 Web 客户端或 Web 服务中使用以下常规过程:
Create() 或 CreateX509() 的方法(具体取决于类)。该实例表示 WS-Security 标头元素之一,例如 <Username> or <EncryptedKey>。Web 服务的 SecurityOut 属性,将每个实例添加到 WS-Security 标头元素。为此,请调用 AddSecurityElement() 方法。SOAP 消息。WS-Security 标头包含在消息中,并包含添加到其中的元素。Web 客户端,SecurityOut 属性保持不变,以便此实例的后续出站消息包含添加的安全标头。如果不希望这样,请将 SecurityOut 属性设置为 null。Web 服务,在第一个出站 SOAP 消息之后,SecurityOut属性会自动设置为null`。本主题介绍如何加密 IRIS Web 服务和 Web 客户端发送的 SOAP 消息正文。
主题“加密安全标头元素”和“使用派生密钥令牌进行加密和签名”描述了如何加密安全标头元素以及加密 SOAP 主体的其他方法。
IRIS 对 SOAP 消息加密的支持基于 WS-Security1.1。反过来,WS-Security 遵循 XML 加密规范。根据后者规范,要加密 XML 文档:
使用包含内容加密版本的 <EncryptedData> 元素替换文档的这些部分。
可以从该实体的请求消息中包含的 X.509 证书中获取公钥。或者可以提前获取它。
<EncryptedKey> 元素中包含加密的对称密钥。 <EncryptedKey> 元素直接或间接地提供信息,使接收者能够确定用于解密此元素的密钥。此信息可以包含在 <EncryptedKey> 元素中,或者 <EncryptedKey> 元素可以包含对包含 X.509 证书或签名的 SAML 断言的二进制安全令牌的直接引用。在后一种情况下,必须在添加 <Signature>元素之前将安全令牌添加到消息中。