【文章內容簡介】 wsXP，LINUX（ 及 Advanced ）4 開發(fā)說明描述系統為二次開發(fā)工作提供的接口、約束等。安全中間件分為客戶端和服務端 2 部分，安全中間件客戶端主要的功能是在客戶端通過對硬件存儲介質的操作完成一些密碼運算。服務端主要是通過調用密碼服務器為應用服務提供所需的密碼服務。客戶端和服務端產的數據格式都采用國際同意標準。服務端可以運算客戶端產生的數據，客戶端也可以運算服務端產生的數據。主要用的功能為客戶端進行簽名、加密，服務 端驗簽、解密或服務端簽名、加密，客戶端驗簽、解密?？蛻舳伺c服務端的數據傳輸可以由應用開發(fā)靈活處理，但要保證在傳輸前后數據的格式不發(fā)生變化。通過安全中間件提供的抽象密碼服務，為應用開發(fā)提供機密性，完整性，不可抵賴性方面的支持。完成身份認證，電子印章，責任認定，密文傳輸等應用服務。11 / 48 客戶端描述客戶端主要設備是硬件存儲介質 EKey，EKey 做為數字證書的存儲設備主要存儲用戶的簽名私鑰，加密私鑰，簽名證書，加密證書。通過調用客戶端控件可以使用 EKey 完成簽名，加密等密碼服務。 客戶端控件接口說明 AtvInit功能簡介 控件初始化。讀取客戶端證書載體信息及其它初始化工作。調用一些主要功能接口前必須先調用本接口。接口名稱 int AtvInit()參數說明入參說明 無出參說明 無返回值 成功，則返回 0失敗，則返回錯誤號,錯誤號小于 0 AtvEnd 功能簡介 進行開發(fā)包函數庫調用完畢后內部存儲區(qū)的清除工作。接口名稱 int AtvEnd()。參數說明入參說明 無出參說明 無返回值 成功，則返回 0失敗，則返回錯誤號，小于 0 SetHardWare 功能簡介 設置客戶端硬件設備類型。接口名稱 BOOL SetHardWare(long hardwareType)。12 / 48參數說明入參說明 hardwareType[IN]：客戶端硬件 設備類型目前支持：1　軟件摸擬實現2　加密卡實現3　SIM 卡實現4 EKEY 實現出參說明 無返回值 成功，則返回 TRUE失敗，則返回 FALSE Login功能簡介 登錄客戶端硬件設備。接口名稱 BOOL Login(int loginType, BSTR loginPin)。參數說明入參說明 loginType[IN]：用戶登陸類型，此處用戶請輸入 1loginPin[IN]：用戶登陸 PIN 碼出參說明 無返回值 成功，則返回 TRUE失敗，則返回 FALSE說明 調用本接口時，如果 loginPin 輸入為””空， 則會彈出輸入口令對話框；如果不為空，則不會彈出，只返回登錄是否成功。 ChangeLoginPin功能簡介 修改客戶端用戶登陸 PIN 碼。接口名稱 BOOL ChangeLoginPin(BSTR keyLabel,BSTR oldPasswd,BSTR newPasswd)。參數說明13 / 48入參說明 keyLabel[IN]： 私鑰標簽，此 處請傳入“ wellhope”oldPasswd[IN]： 舊的用戶登陸口令newPasswd[IN]：新的用戶 登陸口令 出參說明 無返回值 成功，則返回 TRUE失敗，則返回 FALSE Logout功能簡介 退出客戶端硬件登錄。接口名稱 BOOL Logout()。參數說明入參說明 無出參說明 無返回值 成功，則返回 TRUE失敗，則返回 FALSE GetCert功能簡介 根據證書標簽和證書類型讀取客戶端用戶證書。證書標簽寫在配置文件中，見前面 配置文件。接口名稱 BSTR GetCert(int certType)。參數說明入參說明 certType[IN]：證書類型 1 加密證書 2 簽名證書出參說明 無返回值 返回編碼后的證書信息。 CheckCert功能簡介 驗證證書的有效性。在驗證過程中會連接到 OCSP 服務器上進行證書的驗證。14 / 48接口名稱 BOOL CheckCert(BSTR i_inCert)。參數說明入參說明 i_inCert[IN]：待 驗證的證書，已 編碼。出參說明 無返回值 成功，則返回 TRUE失敗，則返回 FALSE GetCertInfo功能簡介 解析證書信息，并以 XML 字符串格式返回接口名稱 BSTR GetCertInfo(BSTR i_inCert)。參數說明入參說明 i_inCert[IN]：待解析的 證書，已 編碼。出參說明 無15 / 48返回值 返回采用 XML 標準結構的證書信息。[舉例]certinfoversion3/versionserialnum00000000000000000000000000000042/serialnumalgorithmSHA1RSA/algorithmissuerdn_cCN/dn_cdn_sShanghai/dn_sdn_lZhangjiang/dn_ldn_oShanghai wellhope EBussiness Certificate Authority/dn_odn_ouWELLHOPE/dn_oudn_自然人 CA/dn_/issuervaliditynotbefore2022 年 08 月 21 日/notbeforenotafter2022 年 08 月 21 日/notafter/validitysubjectdn_cCN/dn_cdn_sShanghai/dn_sdn_lZhangjiang/dn_ldn_owellhope/dn_odn_ouinfosec/dn_oudn_user5/dn_/subjectpublickey30818902818100f34d52b7fb481752a506905e5b8a0698994dc3104fc8f7d1180912c6087dee594225d4ba1946dfad58598859d3501e59fc9cbd86b50c79b2ce09630fed4896651b54c37ae98855545c1434f9f4a15e3a15e9b09997b03af16c7465f816bfe2b1a49821a0090e283f82ebf2ed7daa2e76a5ada469a14e78108dde58ac13b826fb0203010001/publickey/certinfo SealEnvelope功能簡介 數字信封加密。內部的處理過程是首先隨機生成一對稱密鑰（由入口參數指定其算法或者通過 PA 確定），然后用此對稱密鑰加密輸入的數據，最后用公鑰加密產生的此對稱密鑰。這是我們推薦的一種對數據進行加密的方法，因為它16 / 48不僅保證了加密的高效性（對稱密鑰的快速加密），還保證了加密的高強度性（公鑰的強加密）。此函數的加密輸出結果遵循 PKCS7 的編碼標準（EnvelopedData）。接口名稱 BSTR SealEnvelope( BSTR i_encCert, long i_symmAlgo,BSTR i_inData)。參數說明入參說明 i_encCert[IN]： 用于加密的數字證書，已 編過碼 。i_symmAlgo[IN]： 信封中所用 對稱算法標識。取值如下： CALG_RC4 = 26625CALG_3DES = 26115CALG_33 = 9viaPA = 0，說明加密過程首先將連接到 PA（策略中心）獲取相應的參數進行后續(xù)的工作i_inData[IN]：　　 輸入原文信息，如是二進制數據則已編過碼。出參說明 無返回值 輸出的已編碼的密文結果。 SealEnvelopeEx功能簡介 用多證書批量生成數字信封。此函數的加密輸出結果遵循 PKCS7 的編碼標準（EnvelopedData）。接口名稱 BSTR SealEnvelopeEx(BSTR i_encCert, long i_certsize, long i_symmAlgo, BSTR i_inData)。參數說明入參說明 i_encCert[IN]： 用于加密的數字證書，已 編過碼,多個 證書間以“ ｜”隔開。i_certsize[IN]： 保留參數i_symmAlgo[IN]： 信封中所用 對稱算法標識。CALG_RC4 = 26625CALG_3DES = 26115CALG_33 = 9viaPA = 0，說明加密過程首先將連接到 PA（策略中心）獲取相應的參數進行后續(xù)的工作17 / 48i_inData[IN]：　　 輸入原文信息，如是二進制數據則已編過碼。出參說明 無返回值 輸出的已編碼的密文結果。 OpenEnvelope功能簡介 解析數字信封私鑰標簽在配置文件中定義，運行時彈出輸入框提示用戶輸入私鑰保護口令。接口名稱 BSTR OpenEnvelope(BSTR i_inData)。參數說明入參說明 i_inData[IN]： 輸入已編碼的信封數據。出參說明 無返回值 輸出原文信息, 如是二進制數據則已編過碼。 SignData功能簡介 對輸入數據進行數字簽名。私鑰標簽在配置文件中定義，運行時彈出輸入框提示用戶輸入私鑰保護口令。接口名稱 BSTR SignData(BSTR i_inData,int i_algoType,int i_signType)。參數說明入參說明 i_inData[IN]：輸入的待簽名數據，二進制數據需要做編碼處理。i_algoType[IN]：簽名算法取值如：32772 sha1RSA32771 md5RSAsha1RSA、md5RSA 說明簽名采用的是何種摘要算法＋簽名算法i_signType[IN]：簽名值類 型取值：0－－不包含原文的純簽名　　　 1－－包含原文的 PKCS7 格式數據出參說明 無返回值 輸出的已編碼的簽名數據。18 / 48 SignDataEx功能簡介 對輸入數據進行數字簽名。私鑰標簽在配置文件中定義，運行時彈出輸入框提示用戶輸入私鑰保護口令。接口名稱 BSTR SignData(BSTR i_sigCert,BSTR i_inData,int i_algoType,int i_signType)。參數說明入參說明 i_sigCert[IN]：通信對方的 證書，當需要通過 PA 獲取簽名算法時需輸入i_inData[IN]：輸入的待簽名數據，二進制數據需要做編碼處理。i_algoType[IN]：簽名算法取值如：32772 sha1RSA32771 md5RSA0 viaPA 等sha1RSA、md5RSA 說明簽名采用的是何種摘要算法＋簽名算法viaPA = 0，說明簽名過程首先將連接到 PA（策略中心）獲取相應的參數進行后續(xù)的工作i_signType[IN]：簽名值類 型取值：0－－不包含原文的純簽名　　　 1－－包含原文的符合 PKCS7 格式的數據出參說明 無返回值 輸出的已編碼的簽名數據。 VerifySign功能簡介 對輸入數據進行數字簽名的驗證接口名稱 BOOL VerifySign( BSTR i_checkCert, BSTR i_clearText,BSTR i_signature,int i_algoType,int i_signType)。參數說明入參說明 i_checkCert [IN]：驗證所用的證書。19 / 48i_clearText [IN]：簽名的原文。如 簽名值包含原文，置空即可。i_signature [IN]：待驗證的簽名數據。i_algoType[IN]：簽名算法。如簽名值不符合 PKCS＃7 標準，需要輸入簽名算法。取值如：32772 sha1RSA32771 md5RSA0 viaPA 等sha1RSA、md5RSA 說明簽名采用的是何種摘要算法＋簽名算法viaPA 參數說明簽名過程將連接到 PA（策略中心）獲取相應的簽名參數進行后續(xù)的工作。i_signType[IN]：簽名值類 型取值：0－－不包含原文（純簽名值）1――包含原文的符合 PKCS7 格式的數據出參說明 無返回值 TRUE：成功FALSE：失敗說明 目前的用法是：當驗證純簽名值時，需要輸入簽名算法或者通過策略解析器獲取匹配算法；當驗證 PKCS＃7 格式的簽名內容時，由于本身自帶了簽名算法，因此沒有必要再次調用相應的策略解析器了。 GenRandom功能簡介 生成一定長度的隨機數/對稱密鑰。接口名稱 BSTR GenRandom(int len)。參數說明入參說明 len[IN]： 指定的 長度（字節(jié)數）。出參說明 無