2. ISV 接入安全与信息加密 

     软件互联平台依托WS-Security 规范，使ISV 拥有在Web Service 应用中实施完整性、机密性和身份验证等安全需求的规范方法。现软件互联平台的Web Service Security 这部分只是要求了Signature，而对于Signature 跟ISV 是使用X.509 证书方式。

     X.509 所谓的证书，其中包括了公钥私钥对（作为签名和认证使用），证书颁发者的信息（可能是一些CA机构或者是用本地的证书生成工具自己生成）， 证书拥有者的身份信息，以及一些导入的受信第三方的公钥证书。当前的证书方式的签名认证主要有两种模式，一种是双方证书都是由第三方CA认证，同时双方都将对方的CA 作为可信的CA，那么请求发起方将会把自己的证书放入到Soap Header中，接受方接受到请求以后，获取证书，发现是受信的CA，那么就认为请求发起方身份可信，同时在作完整性摘要校对。另一种模式就是双方的证书可以没有任何权威的CA作保证，但是双方首先就需要将附带自己公钥的证书发送给对方，对方将这附带有公钥的证书分别导入到证书管理库中(java 是某个JKS，.net 是windows的当前用户或者本机的证书管理文件)。双方交互的时候不需要将证书置入Soap Header 中，但是需要将证书的引用标示（序列号或者是X.509 SubjectKeyIdentifier）传递给服务端，服务端根据标示在本地的证书库中查找并且校验，这种模式的好处就是不需要CA的认证（省钱）同时传递的时候不需要将证书带到Header 中，节省了传递报文的大小，就是双方需要互相保存对方的公钥证书到本地的证书库中。 

    
    图 10 ISV与软件互联平台的WS流程