【正文】 功能簡(jiǎn)介 通過(guò)策略解析器從 PA 獲取通信雙方相應(yīng)的策略證書(shū)，并加以匹配，確定通信過(guò)程中使用的具體算法。36 / 48參數(shù)說(shuō)明入?yún)⒄f(shuō)明 filePath[IN]： 要保存的文件路徑writeData[IN]：要寫(xiě)入文件的數(shù)據(jù)，已編碼。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 無(wú)出參說(shuō)明 無(wú)返回值 輸出已編碼后的 CRL 列表信息。 例如：　 CALG_RC4 = 26625CALG_3DES = 26115CALG_33 = 9i_symmKey[IN]： 對(duì)稱(chēng)密鑰，已 編碼。接口名稱(chēng) String AdvSymmEncrypt(int i_symmAlgo,String i_symmkey, byte[] i_indata)。 AdvGenRandom功能簡(jiǎn)介 生成一定長(zhǎng)度的隨機(jī)數(shù)/對(duì)稱(chēng)密鑰。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_checkCert [IN]：驗(yàn)證所用的證書(shū)。 AdvSignDataEx功能簡(jiǎn)介 對(duì)輸入數(shù)據(jù)進(jìn)行數(shù)字簽名。i_inData[IN]： 輸入已編碼的信封數(shù)據(jù)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_encCert[IN]： 用于加密的數(shù)字證書(shū)，已 編過(guò)碼,多個(gè) 證書(shū)間以“ ｜”隔開(kāi)。接口名稱(chēng) String AdvSealEnvelope(String i_encCert, int i_symmAlgo,byte[] i_inData)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_inCert[IN]：待 驗(yàn)證的證書(shū)，已 編碼。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_inData[IN]：要解碼的 BASE64 編碼數(shù)據(jù)出參說(shuō)明 無(wú)返回值 輸出解碼后的二進(jìn)制數(shù)據(jù)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 無(wú)出參說(shuō)明 無(wú)返回值 成功：true失?。篺alse功能簡(jiǎn)介 得到當(dāng)前狀態(tài)代碼。inStampData[IN]： 時(shí)間戳 簽名數(shù)據(jù)出參說(shuō)明 無(wú)返回值 返回蓋戳?xí)r間字符串。接口名稱(chēng) BOOL WriteToFile(BSTR fileNameBSTR writeData)。 GetAndSaveCRL功能簡(jiǎn)介 從 LDAP 服務(wù)器獲取 CRL 列表信息，并保存在本地。接口名稱(chēng) BSTR SymmDecrypt(long i_symmAlgo,BSTR i_symmkey,BSTR i_indata)。出參說(shuō)明 無(wú)返回值 返回編碼后的哈希值。i_signType[IN]：簽名值類(lèi) 型取值：0－－不包含原文（純簽名值）1――包含原文的符合 PKCS7 格式的數(shù)據(jù)出參說(shuō)明 無(wú)返回值 TRUE：成功FALSE：失敗說(shuō)明 目前的用法是：當(dāng)驗(yàn)證純簽名值時(shí)，需要輸入簽名算法或者通過(guò)策略解析器獲取匹配算法；當(dāng)驗(yàn)證 PKCS＃7 格式的簽名內(nèi)容時(shí)，由于本身自帶了簽名算法，因此沒(méi)有必要再次調(diào)用相應(yīng)的策略解析器了。 VerifySign功能簡(jiǎn)介 對(duì)輸入數(shù)據(jù)進(jìn)行數(shù)字簽名的驗(yàn)證接口名稱(chēng) BOOL VerifySign( BSTR i_checkCert, BSTR i_clearText,BSTR i_signature,int i_algoType,int i_signType)。接口名稱(chēng) BSTR SignData(BSTR i_inData,int i_algoType,int i_signType)。CALG_RC4 = 26625CALG_3DES = 26115CALG_33 = 9viaPA = 0，說(shuō)明加密過(guò)程首先將連接到 PA（策略中心）獲取相應(yīng)的參數(shù)進(jìn)行后續(xù)的工作17 / 48i_inData[IN]：　　 輸入原文信息，如是二進(jìn)制數(shù)據(jù)則已編過(guò)碼。i_symmAlgo[IN]： 信封中所用 對(duì)稱(chēng)算法標(biāo)識(shí)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_inCert[IN]：待解析的 證書(shū)，已 編碼。證書(shū)標(biāo)簽寫(xiě)在配置文件中，見(jiàn)前面 配置文件。12 / 48參數(shù)說(shuō)明入?yún)⒄f(shuō)明 hardwareType[IN]：客戶(hù)端硬件 設(shè)備類(lèi)型目前支持：1　軟件摸擬實(shí)現(xiàn)2　加密卡實(shí)現(xiàn)3　SIM 卡實(shí)現(xiàn)4 EKEY 實(shí)現(xiàn)出參說(shuō)明 無(wú)返回值 成功，則返回 TRUE失敗，則返回 FALSE Login功能簡(jiǎn)介 登錄客戶(hù)端硬件設(shè)備。通過(guò)調(diào)用客戶(hù)端控件可以使用 EKey 完成簽名，加密等密碼服務(wù)。服務(wù)端主要是通過(guò)調(diào)用密碼服務(wù)器為應(yīng)用服務(wù)提供所需的密碼服務(wù)。 功能? 抽象的算法服務(wù)1. 對(duì)指定的明文進(jìn)行加密的功能，包括口令加密、對(duì)稱(chēng)密鑰加密和公開(kāi)密鑰加密。LDAP目錄查詢(xún)協(xié)議( Lightweight Directory Access Protocol )本設(shè)計(jì)指輕型目錄訪問(wèn)協(xié)議 LDAP。1 / 48安全中間件二次開(kāi)發(fā)手冊(cè)Copyright 169。5 / 48 術(shù)語(yǔ)和縮寫(xiě)詞 遵循標(biāo)準(zhǔn)列出參考資料，如：? RFC 2459 PKIX PKIX 證書(shū)和 CRL 概要? IETF： PKIX 證書(shū)策略和 證書(shū)實(shí)踐框架? IETF：RFC 2510: CMP(證書(shū)管理協(xié)議)? RFC 2797: CMC(CMS 上的證書(shū)管理消息 )? RFC 2511: CRMF(證書(shū)請(qǐng)求消息格式) ? 抽象語(yǔ)法符號(hào) 1 描述() 縮寫(xiě)、術(shù)語(yǔ)解 釋PKI 公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure)CSP Cryptographic Service Provider（密碼服務(wù)提供者）CRL證書(shū)撤消列表（ Certificate Revocation List ）一個(gè)標(biāo)記一系列不再被證書(shū)發(fā)布者所信任的證書(shū)的簽名列表（通稱(chēng)黑名單）。一般來(lái)說(shuō)，安全中間件服務(wù)應(yīng)該能夠讓不懂加密、解密和簽名、驗(yàn)簽等概念的用戶(hù)也能夠透明的使用，也就是說(shuō)把密碼學(xué)算法的細(xì)節(jié)給屏8 / 48蔽掉了。安全中間件分為客戶(hù)端和服務(wù)端 2 部分，安全中間件客戶(hù)端主要的功能是在客戶(hù)端通過(guò)對(duì)硬件存儲(chǔ)介質(zhì)的操作完成一些密碼運(yùn)算。11 / 48 客戶(hù)端描述客戶(hù)端主要設(shè)備是硬件存儲(chǔ)介質(zhì) EKey，EKey 做為數(shù)字證書(shū)的存儲(chǔ)設(shè)備主要存儲(chǔ)用戶(hù)的簽名私鑰，加密私鑰，簽名證書(shū)，加密證書(shū)。接口名稱(chēng) BOOL SetHardWare(long hardwareType)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 無(wú)出參說(shuō)明 無(wú)返回值 成功，則返回 TRUE失敗，則返回 FALSE GetCert功能簡(jiǎn)介 根據(jù)證書(shū)標(biāo)簽和證書(shū)類(lèi)型讀取客戶(hù)端用戶(hù)證書(shū)。出參說(shuō)明 無(wú)返回值 成功，則返回 TRUE失敗，則返回 FALSE GetCertInfo功能簡(jiǎn)介 解析證書(shū)信息，并以 XML 字符串格式返回接口名稱(chēng) BSTR GetCertInfo(BSTR i_inCert)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_encCert[IN]： 用于加密的數(shù)字證書(shū)，已 編過(guò)碼 。i_certsize[IN]： 保留參數(shù)i_symmAlgo[IN]： 信封中所用 對(duì)稱(chēng)算法標(biāo)識(shí)。私鑰標(biāo)簽在配置文件中定義，運(yùn)行時(shí)彈出輸入框提示用戶(hù)輸入私鑰保護(hù)口令。i_algoType[IN]：簽名算法取值如：32772 sha1RSA32771 md5RSA0 viaPA 等sha1RSA、md5RSA 說(shuō)明簽名采用的是何種摘要算法＋簽名算法viaPA = 0，說(shuō)明簽名過(guò)程首先將連接到 PA（策略中心）獲取相應(yīng)的參數(shù)進(jìn)行后續(xù)的工作i_signType[IN]：簽名值類(lèi) 型取值：0－－不包含原文的純簽名　　　 1－－包含原文的符合 PKCS7 格式的數(shù)據(jù)出參說(shuō)明 無(wú)返回值 輸出的已編碼的簽名數(shù)據(jù)。取值如：32772 sha1RSA32771 md5RSA0 viaPA 等sha1RSA、md5RSA 說(shuō)明簽名采用的是何種摘要算法＋簽名算法viaPA 參數(shù)說(shuō)明簽名過(guò)程將連接到 PA（策略中心）獲取相應(yīng)的簽名參數(shù)進(jìn)行后續(xù)的工作。20 / 48參數(shù)說(shuō)明入?yún)⒄f(shuō)明 hashAlgo[IN]： 哈希算法標(biāo)識(shí) ALGO_SHA1 32772 ALGO_MD5 32771inData[IN]： 輸入數(shù)據(jù)信息，如是二進(jìn)制數(shù)據(jù)則已編碼。 SymmDecrypt功能簡(jiǎn)介 用指定產(chǎn)生的對(duì)稱(chēng)密鑰 KEY 來(lái)解密密文數(shù)據(jù)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_searchType[IN]： 查找類(lèi)型 取值范圍為 1 按用戶(hù) ID 查詢(xún) 2 按用戶(hù)郵件地址查詢(xún) 3 按證書(shū) ID 查詢(xún)i_certType[IN]： 證書(shū)類(lèi)型 取值范圍為 1 加密證書(shū) 2 簽名證書(shū) 此參數(shù)對(duì)于按證書(shū) ID 查詢(xún)無(wú)效i_searchValue[IN]： 查詢(xún)字符串信息 當(dāng) searchType 取值為 1 時(shí),此參數(shù)為用戶(hù) ID 字符串 當(dāng) searchType 取值為 2 時(shí),此參數(shù)為用戶(hù)郵件字符串當(dāng) searchType 取值為 3 時(shí),此參數(shù)為證書(shū) ID 字符串出參說(shuō)明 無(wú)返回值 輸出已編碼后的證書(shū)信息。出參說(shuō)明 無(wú)返回值 輸出已編碼過(guò)的文件數(shù)據(jù)信息 WriteToFile功能簡(jiǎn)介 將數(shù)據(jù)寫(xiě)入到本地文件。接口名稱(chēng) BSTR VerifyStamp(BSTR inData,BSTR inStampData)參數(shù)說(shuō)明入?yún)⒄f(shuō)明 inData[IN]： 加蓋時(shí)間 戳的原文數(shù)據(jù)，如是二 進(jìn)制數(shù)據(jù)則已編碼。接口名稱(chēng) boolean release()。接口名稱(chēng) byte[] AdvBase64Decode(String i_inData)。接口名稱(chēng) boolean AdvCheckCert(String i_inCert)。此函數(shù)的加密輸出結(jié)果遵循 PKCS7 的編碼標(biāo)準(zhǔn)（EnvelopedData）。接口名稱(chēng) String AdvSealEnvelopeEx(String i_encCert,int i_certnum, int i_symmAlgo,byte[] i_inData)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 keyPasswd[IN]： 解密私鑰的保護(hù)口令。i_algoType[IN]：簽名算法取值如：32772 sha1RSA32771 md5RSAsha1RSA、md5RSA 說(shuō)明簽名采用的是何種摘要算法＋簽名算法i_signType[IN]：簽名值類(lèi) 型取值：0－－不包含原文的純簽名　　　 1－－包含原文的符合 PKCS7 格式的數(shù)據(jù)出參說(shuō)明 無(wú)31 / 48返回值 輸出的已編碼的簽名數(shù)據(jù)。接口名稱(chēng) boolean AdvVerifySign(String i_checkCert, byte[] i_clearText,String i_signature,int i_algoType,32 / 48int i_signType)。i_signType[IN]：簽名值類(lèi) 型取值：0－－不包含原文的純簽名　　　 1－－包含原文的符合 PKCS7 格式的數(shù)據(jù)出參說(shuō)明 無(wú)返回值 成功：true失?。篺alse說(shuō)明 目前的用法是：當(dāng)驗(yàn)證純簽名值時(shí)，需要輸入簽名算法或者通過(guò)策略解析器獲取匹配算法；當(dāng)驗(yàn)證 PKCS＃7 格式的簽名內(nèi)容時(shí)，由于本身自帶了簽名算法，因此沒(méi)有必要再次調(diào)用相應(yīng)的策略解析器了。 AdvSymmEncrypt功能簡(jiǎn)介 用指定產(chǎn)生的對(duì)稱(chēng)密鑰 KEY 來(lái)加密數(shù)據(jù)。34 / 48參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_symmAlgo[IN]： 對(duì)稱(chēng)算法 標(biāo)識(shí)。接口名稱(chēng) String AdvGetCRLFromLDAP()。接口名稱(chēng) boolean AdvWriteToFile(String filePathString writeData)。inStampData[IN]： 時(shí)間戳 簽名數(shù)據(jù)出參說(shuō)明 無(wú)返回值 返回蓋戳?xí)r間字符串。 AdvGetPACertInfo功能簡(jiǎn)介 獲取 PA 證書(shū)的詳細(xì)信息。接口名稱(chēng) int AdvGetAttrCertInfo( PKI_DATA i_acCert, ATTR_CERTINFO o_attrCertInfo )參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_acCert[IN]： 輸入的屬性證書(shū)。出參說(shuō)明 無(wú)返回值 返回已編碼的蓋戳數(shù)據(jù)。參數(shù)說(shuō)明入?yún)⒄f(shuō)明 i_inCRL[IN]： 輸入的 CRL 列表信息，已 編碼。 AdvGetCertFromLDAP功能簡(jiǎn)介 從 LDAP 服務(wù)器查詢(xún)和獲取用戶(hù)證書(shū)。i_inData[IN]： 輸入的原文。出參說(shuō)明 無(wú)返回值 輸出已編碼的隨機(jī)數(shù)/對(duì)稱(chēng)密鑰。i_signature [