深海游弋的鱼 – 默默的点滴

SM2格式数字信封加解密详解

0、参考链接

密码行业标准化技术委员会
	http://www.gmbz.org.cn/main/bzlb.html
SM2密码算法使用规范
	http://www.gmbz.org.cn/main/viewfile/2018011001400692565.html
SM2密码算法应用分析
	https://blog.csdn.net/arlaichin/article/details/23708155?utm_source=itdadao&utm_medium=referral
技术科普 | 国密算法在Ultrain区块链中的运用 
	https://blog.csdn.net/Tramp_1/article/details/111603396

密码行业标准化技术委员会

http://www.gmbz.org.cn/main/bzlb.html

SM2密码算法使用规范

http://www.gmbz.org.cn/main/viewfile/2018011001400692565.html

SM2密码算法应用分析

https://blog.csdn.net/arlaichin/article/details/23708155?utm_source=itdadao&utm_medium=referral

技术科普 | 国密算法在Ultrain区块链中的运用

https://blog.csdn.net/Tramp_1/article/details/111603396

1、SM2数字信封格式：

有效部分
公钥：04|X|Y，共65字节
私钥：整数，共32字节
SM2EnvelopedKey ::= SEQUENCE {
    symalgid        AlgorithmIdentifier,        -- 对称算法ID
    symalgkey       SM2Cipher,                  -- 对称算法密钥(被签名证书公钥加密)
    asympubkey      BIT STRING,                 -- 加密证书公钥
    asymprvkey      BIT STRING                  -- 加密证书私钥(被对称算法加密)
}

typedef struct SM2Cipher_st {
    ASN1_INTEGER *xCoordinate;                                // x分量(随机，非公钥)
    ASN1_INTEGER *yCoordinate;                                // y分量(随机，非公钥)
    ASN1_OCTET_STRING *hash;                                  // 杂凑值
    ASN1_OCTET_STRING *cipherText;                            // 密文
} SM2Cipher;

AlgorithmIdentifier ::= SEQUENCE {
    algorithm       OBJECT IDENTIFIER,
    parameters      ANY DEFINED BY algorithm OPTIONAL
}

区分普通的数字信封格式,见下图(openssl暂不支持SM2算法的私钥P7信封格式生成，但是支持SM2算法私钥的P7解密，生成P7可以在外部使用gmssl命令行生成)

typedef struct pkcs7_enveloped_st {
    ASN1_INTEGER *version;      /* version 0 */
    STACK_OF(PKCS7_RECIP_INFO) *recipientinfo;
    PKCS7_ENC_CONTENT *enc_data;
} PKCS7_ENVELOPE;

typedef struct pkcs7_recip_info_st {
    ASN1_INTEGER *version;      /* version 0 */
    PKCS7_ISSUER_AND_SERIAL *issuer_and_serial;
    X509_ALGOR *key_enc_algor;
    ASN1_OCTET_STRING *enc_key;
    X509 *cert;                 /* get the pub-key from this */
    const PKCS7_CTX *ctx;
} PKCS7_RECIP_INFO;

typedef struct pkcs7_enc_content_st {
    ASN1_OBJECT *content_type;
    X509_ALGOR *algorithm;
    ASN1_OCTET_STRING *enc_data; /* [ 0 ] */
    const EVP_CIPHER *cipher;
    const PKCS7_CTX *ctx;
} PKCS7_ENC_CONTENT;

typedef struct pkcs7_st {
    /*
     * The following is non NULL if it contains ASN1 encoding of this
     * structure
     */
    unsigned char *asn1;
    long length;
    # define PKCS7_S_HEADER  0
    # define PKCS7_S_BODY    1
    # define PKCS7_S_TAIL    2
    int state;                  /* used during processing */
    int detached;
    ASN1_OBJECT *type;
    /* content as defined by the type */
    /*
     * all encryption/message digests are applied to the 'contents', leaving
     * out the 'type' field.
     */
    union {
        char *ptr;
        /* NID_pkcs7_data */
        ASN1_OCTET_STRING *data;
        /* NID_pkcs7_signed */
        PKCS7_SIGNED *sign;
        /* NID_pkcs7_enveloped */
        PKCS7_ENVELOPE *enveloped;
        /* NID_pkcs7_signedAndEnveloped */
        PKCS7_SIGN_ENVELOPE *signed_and_enveloped;
        /* NID_pkcs7_digest */
        PKCS7_DIGEST *digest;
        /* NID_pkcs7_encrypted */
        PKCS7_ENCRYPT *encrypted;
        /* Anything else */
        ASN1_TYPE *other;
    } d;
    PKCS7_CTX ctx;
} PKCS7;

有效部分

公钥：04|X|Y，共65字节

私钥：整数，共32字节

SM2EnvelopedKey ::= SEQUENCE {

symalgid AlgorithmIdentifier, -- 对称算法ID

symalgkey SM2Cipher, -- 对称算法密钥(被签名证书公钥加密)

asympubkey BIT STRING, -- 加密证书公钥

asymprvkey BIT STRING -- 加密证书私钥(被对称算法加密)

}

typedef struct SM2Cipher_st {

ASN1_INTEGER *xCoordinate; // x分量(随机，非公钥)

ASN1_INTEGER *yCoordinate; // y分量(随机，非公钥)

ASN1_OCTET_STRING *hash; // 杂凑值

ASN1_OCTET_STRING *cipherText; // 密文

} SM2Cipher;

AlgorithmIdentifier ::= SEQUENCE {

algorithm OBJECT IDENTIFIER,

parameters ANY DEFINED BY algorithm OPTIONAL

}

区分普通的数字信封格式,见下图(openssl暂不支持SM2算法的私钥P7信封格式生成，但是支持SM2算法私钥的P7解密，生成P7可以在外部使用gmssl命令行生成)

typedef struct pkcs7_enveloped_st {

ASN1_INTEGER *version; /* version 0 */

STACK_OF(PKCS7_RECIP_INFO) *recipientinfo;

PKCS7_ENC_CONTENT *enc_data;

} PKCS7_ENVELOPE;

typedef struct pkcs7_recip_info_st {

ASN1_INTEGER *version; /* version 0 */

PKCS7_ISSUER_AND_SERIAL *issuer_and_serial;

X509_ALGOR *key_enc_algor;

ASN1_OCTET_STRING *enc_key;

X509 *cert; /* get the pub-key from this */

const PKCS7_CTX *ctx;

} PKCS7_RECIP_INFO;

typedef struct pkcs7_enc_content_st {

ASN1_OBJECT *content_type;

X509_ALGOR *algorithm;

ASN1_OCTET_STRING *enc_data; /* [ 0 ] */

const EVP_CIPHER *cipher;

const PKCS7_CTX *ctx;

} PKCS7_ENC_CONTENT;

typedef struct pkcs7_st {

* The following is non NULL if it contains ASN1 encoding of this

* structure

unsigned char *asn1;

long length;

# define PKCS7_S_HEADER 0

# define PKCS7_S_BODY 1

# define PKCS7_S_TAIL 2

int state; /* used during processing */

int detached;

ASN1_OBJECT *type;

/* content as defined by the type */

* all encryption/message digests are applied to the 'contents', leaving

* out the 'type' field.

union {

char *ptr;

/* NID_pkcs7_data */

ASN1_OCTET_STRING *data;

/* NID_pkcs7_signed */

PKCS7_SIGNED *sign;

/* NID_pkcs7_enveloped */

PKCS7_ENVELOPE *enveloped;

/* NID_pkcs7_signedAndEnveloped */

PKCS7_SIGN_ENVELOPE *signed_and_enveloped;

/* NID_pkcs7_digest */

PKCS7_DIGEST *digest;

/* NID_pkcs7_encrypted */

PKCS7_ENCRYPT *encrypted;

/* Anything else */

ASN1_TYPE *other;

} d;

PKCS7_CTX ctx;

} PKCS7;

2、代码中SM2数字信封加密解密步骤

1、将加密证书私钥转换为DER格式(二进制)
2、设置对称算法ID，公钥有效数据部分，私钥有效数据部分
	对称算法ID默认为0x2A, 0x81, 0x1C, 0xCF, 0x55, 0x01, 0x68, 0x01(即SM4_ECB，1.2.156.10197.1.104.1)
	公钥数据前缀为0xA1, 0x44, 0x03, 0x42, 0x00，截取65字节明文
	私钥数据前缀为0x02, 0x01, 0x01, 0x04, 0x20，截取32字节明文
3、创建对称密钥，加密私钥有效数据部分
	使用SM4_ECB算法和创建的128位随机密钥，加密私钥32字节得到32字节密文
4、使用签名公钥加密对称密钥，密文转换为二进制
	使用SM2算法加密128位对称密钥，得到对称密钥密文(此处我使用了openssl已实现的SM2算法加密，因此不需要按照国标文档里深入底层计算预处理结果)
5、将对称算法ID，对称密钥密文，公钥，私钥密文转换为信封格式数据(此处可以参考openssl内部代码实现结构体和i2d格式转换)
6、将DER二进制信封转换为PEM格式(Base64)，输出

1、将加密证书私钥转换为DER格式(二进制)

2、设置对称算法ID，公钥有效数据部分，私钥有效数据部分

对称算法ID默认为0x2A, 0x81, 0x1C, 0xCF, 0x55, 0x01, 0x68, 0x01(即SM4_ECB，1.2.156.10197.1.104.1)

公钥数据前缀为0xA1, 0x44, 0x03, 0x42, 0x00，截取65字节明文

私钥数据前缀为0x02, 0x01, 0x01, 0x04, 0x20，截取32字节明文

3、创建对称密钥，加密私钥有效数据部分

使用SM4_ECB算法和创建的128位随机密钥，加密私钥32字节得到32字节密文

4、使用签名公钥加密对称密钥，密文转换为二进制

使用SM2算法加密128位对称密钥，得到对称密钥密文(此处我使用了openssl已实现的SM2算法加密，因此不需要按照国标文档里深入底层计算预处理结果)

5、将对称算法ID，对称密钥密文，公钥，私钥密文转换为信封格式数据(此处可以参考openssl内部代码实现结构体和i2d格式转换)

6、将DER二进制信封转换为PEM格式(Base64)，输出

解密(将SM2数字信封格式转换为加密私钥)

1、P7(PEM格式)转二进制
2、解析二进制，得到对称算法ID，对称算法密钥密文，加密证书公钥，加密证书私钥密文二进制
3、对称算法ID转具体算法名称
	二进制字符串ID转换为OID(1.2.156.10197.1.104.1)进行匹配
4、签名私钥解密，得到对称算法密钥
	使用SM2算法解密对称密钥密文，得到对称密钥明文
5、对称算法解密，得到加密私钥有效数据，32字节
	使用SM4_ECB算法和对称密钥明文，解密私钥32字节密文得到32字节明文
6、拼接公钥，私钥得到完整加密私钥der二进制格式，有两种方式(此处拼接方法是我自己创造的，有什么其他好方法欢迎共享)
(1)"30770201010420" + 32字节私钥 + "A00A06082A811CCF5501822DA144034200" + 65字节公钥	(2)"308187020100301306072A8648CE3D020106082A811CCF5501822D046D306B0201010420" + 32字节私钥 + "A144034200" + 65字节公钥
7、转换DER得到PEM格式文件

1、P7(PEM格式)转二进制

2、解析二进制，得到对称算法ID，对称算法密钥密文，加密证书公钥，加密证书私钥密文二进制

3、对称算法ID转具体算法名称

二进制字符串ID转换为OID(1.2.156.10197.1.104.1)进行匹配

4、签名私钥解密，得到对称算法密钥

使用SM2算法解密对称密钥密文，得到对称密钥明文

5、对称算法解密，得到加密私钥有效数据，32字节

使用SM4_ECB算法和对称密钥明文，解密私钥32字节密文得到32字节明文

6、拼接公钥，私钥得到完整加密私钥der二进制格式，有两种方式(此处拼接方法是我自己创造的，有什么其他好方法欢迎共享)

(1)"30770201010420" + 32字节私钥 + "A00A06082A811CCF5501822DA144034200" + 65字节公钥 (2)"308187020100301306072A8648CE3D020106082A811CCF5501822D046D306B0201010420" + 32字节私钥 + "A144034200" + 65字节公钥

7、转换DER得到PEM格式文件

3、SM2数字信封格式详解

P7 PEM格式(Base64)
MIHtMAkGByqBHM9VAWgweQIgMtHF6qRZOKJxnT5MYSv4eK/LjJHmp7b/p7AaP6cqigkCIQCFpr2MmakaMxVH1u+Yzxf+oJSFETwiZacB4j3NohlbHwQgO50Hic8tDYBLedIbuqsS2lXvPDYtyuLUrQKyGRI1Y9gEEA5lnd3Yxujfedxk6Cam9ygDQgAEnrxloYKoCRYc3Lh96OYupmT7V7X/BBgdcfCMQnsB7nQhD6FVwgKoN0JMwMqHXGg6l891FCfuTh5N51YqOAqBwwMhAHiB9UgemN+Xz39qsdMeVl4SKdmHHkPkKmNOBJjoqHor

P7二进制
3081ED300906072A811CCF5501683079022032D1C5EAA45938A2719D3E4C612BF878AFCB8C91E6A7B6FFA7B01A3FA72A8A0902210085A6BD8C99A91A331547D6EF98CF17FEA09485113C2265A701E23DCDA2195B1F04203B9D0789CF2D0D804B79D21BBAAB12DA55EF3C362DCAE2D4AD02B219123563D804100E659DDDD8C6E8DF79DC64E826A6F728034200049EBC65A182A809161CDCB87DE8E62EA664FB57B5FF04181D71F08C427B01EE74210FA155C202A837424CC0CA875C683A97CF751427EE4E1E4DE7562A380A81C30321007881F5481E98DF97CF7F6AB1D31E565E1229D9871E43E42A634E0498E8A87A2B

主要包含(1)(2)(3)(4)

3081ED30090607
(1)对称算法ID:SM4		    			  			2A811CCF550168
(2)对称算法密钥密文(SM2加密):								3079022032d1c5eaa45938a2719d3e4c612bf878afcb8c91e6a7b6ffa7b01a3fa72a8a0902210085a6bd8c99a91a331547d6ef98cf17fea09485113c2265a701e23dcda2195b1f04203b9d0789cf2d0d804b79d21bbaab12da55ef3c362dcae2d4ad02b219123563d804100e659dddd8c6e8df79dc64e826a6f728

拆解后：
30790220
x:32d1c5eaa45938a2719d3e4c612bf878afcb8c91e6a7b6ffa7b01a3fa72a8a09
022100
y:85a6bd8c99a91a331547d6ef98cf17fea09485113c2265a701e23dcda2195b1f
0420
m:3b9d0789cf2d0d804b79d21bbaab12da55ef3c362dcae2d4ad02b219123563d8
0410
c:0e659dddd8c6e8df79dc64e826a6f728
(c结构密文)
04|x|y|m|c
0432D1C5EAA45938A2719D3E4C612BF878AFCB8C91E6A7B6FFA7B01A3FA72A8A0985A6BD8C99A91A331547D6EF98CF17FEA09485113C2265A701E23DCDA2195B1F3B9D0789CF2D0D804B79D21BBAAB12DA55EF3C362DCAE2D4AD02B219123563D80E659DDDD8C6E8DF79DC64E826A6F728

使用SM2签名私钥解密(2)后得到
对称密钥明文：EP/+Xo55MBhI3e1GTyghhQ==:10FFFE5E8E79301848DDED464F282185
(3)加密证书公钥:									  
034200
有效数据明文(65B)：049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3
(4)加密证书私钥(加密):
032100
有效数据密文(32B)：7881f5481e98df97cf7f6ab1d31e565e1229d9871e43e42a634e0498e8a87a2b

使用(2)中对称密钥解密得到SM2私钥有效数据明文
cipher.txt.bin:7881f5481e98df97cf7f6ab1d31e565e1229d9871e43e42a634e0498e8a87a2b #需要将十六进制转换为二进制文件

openssl enc -d -sm4-ecb -in cipher.txt.bin -K 10FFFE5E8E79301848DDED464F282185 -p -out plain.txt.bin #解密得到明文

加密验证
plain.txt.bin:71e49d78b44c6fd54331869f343c537c0a736954ae22cd50277ae587a7e6762e #需要将十六进制转换为二进制文件

openssl enc -e -sm4-ecb -nopad -in plain.txt.bin  -K 10FFFE5E8E79301848DDED464F282185 -p -out cipher.txt.bin #使用明文加密得到


加密证书公钥DER：
3059301306072a8648ce3d020106082a811ccf5501822d034200
049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3

加密证书私钥DER(格式1)：
308187020100301306072A8648CE3D020106082A811CCF5501822D046D306B0201010420
私钥有效数据  						71E49D78B44C6FD54331869F343C537C0A736954AE22CD50277AE587A7E6762E
									A144034200
公钥有效数据049EBC65A182A809161CDCB87DE8E62EA664FB57B5FF04181D71F08C427B01EE74210FA155C202A837424CC0CA875C683A97CF751427EE4E1E4DE7562A380A81C3

加密证书私钥DER(格式2)：
30770201010420
私钥有效数据							71e49d78b44c6fd54331869f343c537c0a736954ae22cd50277ae587a7e6762e
a00a06082a811ccf5501822d
									a144034200													
公钥有效数据					049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3

P7 PEM格式(Base64)

MIHtMAkGByqBHM9VAWgweQIgMtHF6qRZOKJxnT5MYSv4eK/LjJHmp7b/p7AaP6cqigkCIQCFpr2MmakaMxVH1u+Yzxf+oJSFETwiZacB4j3NohlbHwQgO50Hic8tDYBLedIbuqsS2lXvPDYtyuLUrQKyGRI1Y9gEEA5lnd3Yxujfedxk6Cam9ygDQgAEnrxloYKoCRYc3Lh96OYupmT7V7X/BBgdcfCMQnsB7nQhD6FVwgKoN0JMwMqHXGg6l891FCfuTh5N51YqOAqBwwMhAHiB9UgemN+Xz39qsdMeVl4SKdmHHkPkKmNOBJjoqHor

P7二进制

3081ED300906072A811CCF5501683079022032D1C5EAA45938A2719D3E4C612BF878AFCB8C91E6A7B6FFA7B01A3FA72A8A0902210085A6BD8C99A91A331547D6EF98CF17FEA09485113C2265A701E23DCDA2195B1F04203B9D0789CF2D0D804B79D21BBAAB12DA55EF3C362DCAE2D4AD02B219123563D804100E659DDDD8C6E8DF79DC64E826A6F728034200049EBC65A182A809161CDCB87DE8E62EA664FB57B5FF04181D71F08C427B01EE74210FA155C202A837424CC0CA875C683A97CF751427EE4E1E4DE7562A380A81C30321007881F5481E98DF97CF7F6AB1D31E565E1229D9871E43E42A634E0498E8A87A2B

主要包含(1)(2)(3)(4)

3081ED30090607

(1)对称算法ID:SM4 2A811CCF550168

(2)对称算法密钥密文(SM2加密): 3079022032d1c5eaa45938a2719d3e4c612bf878afcb8c91e6a7b6ffa7b01a3fa72a8a0902210085a6bd8c99a91a331547d6ef98cf17fea09485113c2265a701e23dcda2195b1f04203b9d0789cf2d0d804b79d21bbaab12da55ef3c362dcae2d4ad02b219123563d804100e659dddd8c6e8df79dc64e826a6f728

拆解后：

30790220

x:32d1c5eaa45938a2719d3e4c612bf878afcb8c91e6a7b6ffa7b01a3fa72a8a09

022100

y:85a6bd8c99a91a331547d6ef98cf17fea09485113c2265a701e23dcda2195b1f

0420

m:3b9d0789cf2d0d804b79d21bbaab12da55ef3c362dcae2d4ad02b219123563d8

0410

c:0e659dddd8c6e8df79dc64e826a6f728

(c结构密文)

04|x|y|m|c

0432D1C5EAA45938A2719D3E4C612BF878AFCB8C91E6A7B6FFA7B01A3FA72A8A0985A6BD8C99A91A331547D6EF98CF17FEA09485113C2265A701E23DCDA2195B1F3B9D0789CF2D0D804B79D21BBAAB12DA55EF3C362DCAE2D4AD02B219123563D80E659DDDD8C6E8DF79DC64E826A6F728

使用SM2签名私钥解密(2)后得到

对称密钥明文：EP/+Xo55MBhI3e1GTyghhQ==:10FFFE5E8E79301848DDED464F282185

(3)加密证书公钥:

034200

有效数据明文(65B)：049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3

(4)加密证书私钥(加密):

032100

有效数据密文(32B)：7881f5481e98df97cf7f6ab1d31e565e1229d9871e43e42a634e0498e8a87a2b

使用(2)中对称密钥解密得到SM2私钥有效数据明文

cipher.txt.bin:7881f5481e98df97cf7f6ab1d31e565e1229d9871e43e42a634e0498e8a87a2b #需要将十六进制转换为二进制文件

openssl enc -d -sm4-ecb -in cipher.txt.bin -K 10FFFE5E8E79301848DDED464F282185 -p -out plain.txt.bin #解密得到明文

加密验证

plain.txt.bin:71e49d78b44c6fd54331869f343c537c0a736954ae22cd50277ae587a7e6762e #需要将十六进制转换为二进制文件

openssl enc -e -sm4-ecb -nopad -in plain.txt.bin -K 10FFFE5E8E79301848DDED464F282185 -p -out cipher.txt.bin #使用明文加密得到

加密证书公钥DER：

3059301306072a8648ce3d020106082a811ccf5501822d034200

049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3

加密证书私钥DER(格式1)：

308187020100301306072A8648CE3D020106082A811CCF5501822D046D306B0201010420

私钥有效数据 71E49D78B44C6FD54331869F343C537C0A736954AE22CD50277AE587A7E6762E

A144034200

公钥有效数据049EBC65A182A809161CDCB87DE8E62EA664FB57B5FF04181D71F08C427B01EE74210FA155C202A837424CC0CA875C683A97CF751427EE4E1E4DE7562A380A81C3

加密证书私钥DER(格式2)：

30770201010420

私钥有效数据 71e49d78b44c6fd54331869f343c537c0a736954ae22cd50277ae587a7e6762e

a00a06082a811ccf5501822d

a144034200

公钥有效数据 049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3

参考链接

解决在macOS上使用Flutter项目访问网络报错 "SocketException: Connection failed (OS Error: Operation not permitted, errno = 1)"

在Flutter应用中添加网络支持是一个非常常见的需求。

这主要是按照以下步骤进行。

从pub.dev中安装一个网络包，如http或dio
在您的 Flutter 应用程序中添加所有必要的网络代码
如果需要，添加任何所需的API密钥

但是，如果你在macOS上运行该应用程序，你会被这个可怕的错误所欢迎。

SocketException错误已经来拜访你了

这就是它，以更可读的格式。

DioError (DioError [DioErrorType.other]: SocketException: Connection failed (OS Error: Operation not permitted, errno = 1), address = api.themoviedb.org, port = 443
Source stack:
#0      DioMixin.fetch (package:dio/src/dio_mixin.dart:488:35)
#1      DioMixin.request (package:dio/src/dio_mixin.dart:483:12)
#2      DioMixin.get (package:dio/src/dio_mixin.dart:61:12)
#3      DioHttpService.get (package:movies_app/core/services/http/dio_http_service.dart:47:35)

DioError (DioError [DioErrorType.other]: SocketException: Connection failed (OS Error: Operation not permitted, errno = 1), address = api.themoviedb.org, port = 443

Source stack:

#0 DioMixin.fetch (package:dio/src/dio_mixin.dart:488:35)

#1 DioMixin.request (package:dio/src/dio_mixin.dart:483:12)

#2 DioMixin.get (package:dio/src/dio_mixin.dart:61:12)

#3 DioHttpService.get (package:movies_app/core/services/http/dio_http_service.dart:47:35)

所以，让我们弄清楚为什么会发生这种情况，以及如何修复它。👇

注意：如果你要给一个旧的Flutter应用添加macOS支持，你可能需要运行flutter create --platforms macos . ，把macOS添加为构建目标。我在macOS上运行我的大部分应用程序，所以在构建响应式UI时，我可以轻松地调整窗口的大小。

macOS上的客户端联网权限

macOS应用程序默认为沙盒，如果你没有添加所需的权限，就会发生SocketException 的错误。

要解决这个问题，请打开名为macos/Runner/DebugProfile.entitlements 的文件并添加以下内容。

<key>com.apple.security.network.client</key>
<true/>

1 2	<key>com.apple.security.network.client</key> <true/>

然后，打开macos/Runner/Release.entitlements ，做同样的事情。

那么iOS呢？

在iOS上，只要你连接到一个安全的https 终端，该应用就可以正常运行（不需要额外的配置）。

但请记住，在某些情况下，你可能需要定制应用程序的传输安全设置，如这里所解释的。

NSAppTransportSecurity | developer.apple.com

安卓的情况如何？

在安卓系统中，曾经需要在AndroidManifest.xml 文件中添加INTERNET权限。

<uses-permission android:name="android.permission.INTERNET" />

1	<uses-permission android:name="android.permission.INTERNET" />

但根据这个答案，现在已经不需要了，因为大多数应用程序都需要互联网访问。

参考链接

如何解决 "SocketException:连接失败（操作不允许）"，在macOS上使用Flutter

mdadm软Raid1升级容量

2块12TB做了软RAID1，需要升级成2块16TB盘

1. 查看磁盘信息，SerialNumber 等会儿会用到，防止换错盘

$ sudo hdparm -i /dev/sd{c,b}

1	$ sudo hdparm -i /dev/sd{c,b}

2. 运行 sync 命令刷写

3. 查看 md 状态

$ sudo hdparm -i /dev/sd{c,b}

1	$ sudo hdparm -i /dev/sd{c,b}

4. 查看 md 容量

$ df -h | grep md

$ mdadm --detail /dev/md127

$ df -h | grep md

$ mdadm --detail /dev/md127

剔除磁盘 /dev/sdc

$ sudo mdadm --manage /dev/md127 --fail /dev/sdc

1	$ sudo mdadm --manage /dev/md127 --fail /dev/sdc

5. 关机换盘（支持热插拔的可以开机更换）

6. 更换硬盘后加回硬盘

lsblk查看换回来的设备名称

由于是原位置更换，盘的名称还是 /dev/sdc

# cat /proc/sys/dev/raid/speed_limit_max
# 200000
# cat /proc/sys/dev/raid/speed_limit_min
# 1000
# 临时修改 raid 的同步速度限制，默认限制最低 1KB/S(1000) 同步速度太慢了，我们把这个速度限制放宽到 最低200MB/S，最高 400MB/S 。同步完成后再改回来即可，或者重启系统即可恢复成默认设置
$ sudo sysctl -w dev.raid.speed_limit_min=200000

$ sudo sysctl -w dev.raid.speed_limit_max=400000

$ sudo mdadm --manage /dev/md127 --add /dev/sdc

$ cat /proc/mdstat

# cat /proc/sys/dev/raid/speed_limit_max

# 200000

# cat /proc/sys/dev/raid/speed_limit_min

# 1000

# 临时修改 raid 的同步速度限制，默认限制最低 1KB/S(1000) 同步速度太慢了，我们把这个速度限制放宽到最低200MB/S，最高 400MB/S 。同步完成后再改回来即可，或者重启系统即可恢复成默认设置

$ sudo sysctl -w dev.raid.speed_limit_min=200000

$ sudo sysctl -w dev.raid.speed_limit_max=400000

$ sudo mdadm --manage /dev/md127 --add /dev/sdc

$ cat /proc/mdstat

7. 等待同步完成后，依照第一块盘的方式，更换掉第二块盘再次等待同步完成。

8. mdadm 扩容

$ sudo mdadm --grow --size max /dev/mdxx

1	$ sudo mdadm --grow --size max /dev/mdxx

文件系统扩容

$ sudo parted /dev/md127 "resizepart 1 100%"

# resize2fs 只能处理 ext4/ext3/ext2 
# 如果是xfs需要使用 xfs_grows 
# 如果是btrfs 则需要执行 btrfs 命令

$ sudo resize2fs /dev/md127p1 ( 这里我只分了一个分区,ext4格式)

$ sudo parted /dev/md127 "resizepart 1 100%"

# resize2fs 只能处理 ext4/ext3/ext2

# 如果是xfs需要使用 xfs_grows

# 如果是btrfs 则需要执行 btrfs 命令

$ sudo resize2fs /dev/md127p1 ( 这里我只分了一个分区,ext4格式)

如果上述命令报错

$ sudo LANG=C resize2fs /dev/md1

resize2fs 1.47.0 (5-Feb-2023)
resize2fs: Device or resource busy while trying to open /dev/md1
Couldn't find valid filesystem superblock.

$ sudo LANG=C resize2fs /dev/md1

resize2fs 1.47.0 (5-Feb-2023)

resize2fs: Device or resource busy while trying to open /dev/md1

Couldn't find valid filesystem superblock.

则执行如下命令，观察一下是否分区是 LVM分区格式

$ lsblk 
NAME                            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS

.............................................................

sda                               8:0    0  14.6T  0 disk  
└─sda1                            8:1    0  14.6T  0 part  
  └─md1                           9:1    0  10.9T  0 raid1 
    └─vg0-volume_0              252:0    0  10.9T  0 lvm   /home/data

...............................................................

sdd                               8:48   0  14.6T  0 disk  
└─sdd1                            8:49   0  14.6T  0 part  

...............................................................

$ lsblk

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS

.............................................................

sda 8:0 0 14.6T 0 disk

└─sda1 8:1 0 14.6T 0 part

└─md1 9:1 0 10.9T 0 raid1

└─vg0-volume_0 252:0 0 10.9T 0 lvm /home/data

...............................................................

sdd 8:48 0 14.6T 0 disk

└─sdd1 8:49 0 14.6T 0 part

...............................................................

并且检查文件系统是 btrfs 格式，如下：

$ df -Th
文件系统                   类型   大小    已用  可用   已用% 挂载点
tmpfs                    tmpfs  1.6G  4.8M  1.6G    1% /run
/dev/sde3                ext4   219G  105G  103G   51% /
tmpfs                    tmpfs  7.8G  336K  7.8G    1% /dev/shm
tmpfs                    tmpfs  5.0M  4.0K  5.0M    1% /run/lock
tmpfs                    tmpfs  7.8G     0  7.8G    0% /run/qemu
/dev/sde2                vfat   512M  6.2M  506M    2% /boot/efi
/dev/mapper/vg0-volume_0 btrfs   11T   11T  707G   94% /home/data
tmpfs                    tmpfs  1.6G  204K  1.6G    1% /run/user/1001
tmpfs                    tmpfs  1.6G  144K  1.6G    1% /run/user/128
tmpfs                    tmpfs  1.6G  132K  1.6G    1% /run/user/1000

$ df -Th

文件系统类型大小已用可用已用% 挂载点

tmpfs tmpfs 1.6G 4.8M 1.6G 1% /run

/dev/sde3 ext4 219G 105G 103G 51% /

tmpfs tmpfs 7.8G 336K 7.8G 1% /dev/shm

tmpfs tmpfs 5.0M 4.0K 5.0M 1% /run/lock

tmpfs tmpfs 7.8G 0 7.8G 0% /run/qemu

/dev/sde2 vfat 512M 6.2M 506M 2% /boot/efi

/dev/mapper/vg0-volume_0 btrfs 11T 11T 707G 94% /home/data

tmpfs tmpfs 1.6G 204K 1.6G 1% /run/user/1001

tmpfs tmpfs 1.6G 144K 1.6G 1% /run/user/128

tmpfs tmpfs 1.6G 132K 1.6G 1% /run/user/1000

如果类似上述情况，需要额外执行如下命令：

$ sudo mdadm --grow --size max /dev/md1

1	$ sudo mdadm --grow --size max /dev/md1

$ lsblk 
NAME                            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS

.............................................................

sda                               8:0    0  14.6T  0 disk  
└─sda1                            8:1    0  14.6T  0 part  
  └─md1                           9:1    0  14.6T  0 raid1 
    └─vg0-volume_0              252:0    0  10.9T  0 lvm   /home/data

...............................................................

sdd                               8:48   0  14.6T  0 disk  
└─sdd1                            8:49   0  14.6T  0 part  

...............................................................

$ lsblk

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS

.............................................................

sda 8:0 0 14.6T 0 disk

└─sda1 8:1 0 14.6T 0 part

└─md1 9:1 0 14.6T 0 raid1

└─vg0-volume_0 252:0 0 10.9T 0 lvm /home/data

...............................................................

sdd 8:48 0 14.6T 0 disk

└─sdd1 8:49 0 14.6T 0 part

...............................................................

$ sudo pvresize /dev/md1

$ sudo lvextend -l +100%FREE /dev/mapper/vg0-volume_0

$ sudo pvresize /dev/md1

$ sudo lvextend -l +100%FREE /dev/mapper/vg0-volume_0

$ lsblk 
NAME                            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS

.............................................................

sda                               8:0    0  14.6T  0 disk  
└─sda1                            8:1    0  14.6T  0 part  
  └─md1                           9:1    0  14.6T  0 raid1 
    └─vg0-volume_0              252:0    0  14.6T  0 lvm   /home/data

...............................................................

sdd                               8:48   0  14.6T  0 disk  
└─sdd1                            8:49   0  14.6T  0 part  

...............................................................

$ lsblk

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS

.............................................................

sda 8:0 0 14.6T 0 disk

└─sda1 8:1 0 14.6T 0 part

└─md1 9:1 0 14.6T 0 raid1

└─vg0-volume_0 252:0 0 14.6T 0 lvm /home/data

...............................................................

sdd 8:48 0 14.6T 0 disk

└─sdd1 8:49 0 14.6T 0 part

...............................................................

$ df -Th
文件系统                   类型   大小    已用  可用   已用% 挂载点
tmpfs                    tmpfs  1.6G  4.8M  1.6G    1% /run
/dev/sde3                ext4   219G  105G  103G   51% /
tmpfs                    tmpfs  7.8G  336K  7.8G    1% /dev/shm
tmpfs                    tmpfs  5.0M  4.0K  5.0M    1% /run/lock
tmpfs                    tmpfs  7.8G     0  7.8G    0% /run/qemu
/dev/sde2                vfat   512M  6.2M  506M    2% /boot/efi
/dev/mapper/vg0-volume_0 btrfs   11T   11T  707G   94% /home/data
tmpfs                    tmpfs  1.6G  204K  1.6G    1% /run/user/1001
tmpfs                    tmpfs  1.6G  144K  1.6G    1% /run/user/128
tmpfs                    tmpfs  1.6G  132K  1.6G    1% /run/user/1000

$ df -Th

文件系统类型大小已用可用已用% 挂载点

tmpfs tmpfs 1.6G 4.8M 1.6G 1% /run

/dev/sde3 ext4 219G 105G 103G 51% /

tmpfs tmpfs 7.8G 336K 7.8G 1% /dev/shm

tmpfs tmpfs 5.0M 4.0K 5.0M 1% /run/lock

tmpfs tmpfs 7.8G 0 7.8G 0% /run/qemu

/dev/sde2 vfat 512M 6.2M 506M 2% /boot/efi

/dev/mapper/vg0-volume_0 btrfs 11T 11T 707G 94% /home/data

tmpfs tmpfs 1.6G 204K 1.6G 1% /run/user/1001

tmpfs tmpfs 1.6G 144K 1.6G 1% /run/user/128

tmpfs tmpfs 1.6G 132K 1.6G 1% /run/user/1000

$ sudo apt install btrfs-progs

$ sudo btrfs filesystem resize max /home/data
Resize device id 1 (/dev/mapper/vg0-volume_0) from 10.91TiB to max

$ sudo apt install btrfs-progs

$ sudo btrfs filesystem resize max /home/data

Resize device id 1 (/dev/mapper/vg0-volume_0) from 10.91TiB to max

$ df -Th
文件系统                   类型   大小    已用  可用   已用% 挂载点
tmpfs                    tmpfs  1.6G  5.1M  1.6G    1% /run
/dev/sde3                ext4   219G  106G  102G   52% /
tmpfs                    tmpfs  7.8G  336K  7.8G    1% /dev/shm
tmpfs                    tmpfs  5.0M  4.0K  5.0M    1% /run/lock
tmpfs                    tmpfs  7.8G     0  7.8G    0% /run/qemu
/dev/sde2                vfat   512M  6.2M  506M    2% /boot/efi
/dev/mapper/vg0-volume_0 btrfs   15T   11T  4.4T   71% /home/data
tmpfs                    tmpfs  1.6G  304K  1.6G    1% /run/user/1001
tmpfs                    tmpfs  1.6G  180K  1.6G    1% /run/user/1000

$ df -Th

文件系统类型大小已用可用已用% 挂载点

tmpfs tmpfs 1.6G 5.1M 1.6G 1% /run

/dev/sde3 ext4 219G 106G 102G 52% /

tmpfs tmpfs 7.8G 336K 7.8G 1% /dev/shm

tmpfs tmpfs 5.0M 4.0K 5.0M 1% /run/lock

tmpfs tmpfs 7.8G 0 7.8G 0% /run/qemu

/dev/sde2 vfat 512M 6.2M 506M 2% /boot/efi

/dev/mapper/vg0-volume_0 btrfs 15T 11T 4.4T 71% /home/data

tmpfs tmpfs 1.6G 304K 1.6G 1% /run/user/1001

tmpfs tmpfs 1.6G 180K 1.6G 1% /run/user/1000

删除新添加硬盘分区，并且添加新分区，保持与原磁盘一致：

$ sudo gdisk /dev/sdd
GPT fdisk (gdisk) version 1.0.10

Partition table scan:
  MBR: protective
  BSD: not present
  APM: not present
  GPT: present

Found valid GPT with protective MBR; using GPT.

Command (? for help): ?
b       back up GPT data to a file
c       change a partition's name
d       delete a partition
i       show detailed information on a partition
l       list known partition types
n       add a new partition
o       create a new empty GUID partition table (GPT)
p       print the partition table
q       quit without saving changes
r       recovery and transformation options (experts only)
s       sort partitions
t       change a partition's type code
v       verify disk
w       write table to disk and exit
x       extra functionality (experts only)
?       print this menu

Command (? for help): p 
Disk /dev/sdd: 31251759104 sectors, 14.6 TiB
Model: WUH721816ALE6L4 
Sector size (logical/physical): 512/4096 bytes
Disk identifier (GUID): C37D08FC-C28D-401A-8EE9-8A4994A47A49
Partition table holds up to 128 entries
Main partition table begins at sector 2 and ends at sector 33
First usable sector is 2048, last usable sector is 31251759070
Partitions will be aligned on 2048-sector boundaries
Total free space is 0 sectors (0 bytes)

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048     31251757055   14.6 TiB    FD00  
   2     31251757056     31251759070   1007.5 KiB  8300  Linux filesystem

Command (? for help): d 1
Partition number (1-2): 1

Command (? for help): d
Using 2

Command (? for help): p
Disk /dev/sdd: 31251759104 sectors, 14.6 TiB
Model: WUH721816ALE6L4 
Sector size (logical/physical): 512/4096 bytes
Disk identifier (GUID): C37D08FC-C28D-401A-8EE9-8A4994A47A49
Partition table holds up to 128 entries
Main partition table begins at sector 2 and ends at sector 33
First usable sector is 2048, last usable sector is 31251759070
Partitions will be aligned on 2048-sector boundaries
Total free space is 31251757023 sectors (14.6 TiB)

Number  Start (sector)    End (sector)  Size       Code  Name

Command (? for help): n       
Partition number (1-128, default 1): 
First sector (2048-31251759070, default = 2048) or {+-}size{KMGTP}: 
Last sector (2048-31251759070, default = 31251757055) or {+-}size{KMGTP}: 
Current type is 8300 (Linux filesystem)
Hex code or GUID (L to show codes, Enter = 8300): 
Changed type of partition to 'Linux filesystem'

Command (? for help): p
Disk /dev/sdd: 31251759104 sectors, 14.6 TiB
Model: WUH721816ALE6L4 
Sector size (logical/physical): 512/4096 bytes
Disk identifier (GUID): C37D08FC-C28D-401A-8EE9-8A4994A47A49
Partition table holds up to 128 entries
Main partition table begins at sector 2 and ends at sector 33
First usable sector is 2048, last usable sector is 31251759070
Partitions will be aligned on 2048-sector boundaries
Total free space is 2015 sectors (1007.5 KiB)

Number  Start (sector)    End (sector)  Size       Code  Name
   1            2048     31251757055   14.6 TiB    8300  Linux filesystem

Command (? for help): w

Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING
PARTITIONS!!

Do you want to proceed? (Y/N): Y
OK; writing new GUID partition table (GPT) to /dev/sdd.
The operation has completed successfully.

$ sudo gdisk /dev/sdd

GPT fdisk (gdisk) version 1.0.10

Partition table scan:

MBR: protective

BSD: not present

APM: not present

GPT: present

Found valid GPT with protective MBR; using GPT.

Command (? for help): ?

b back up GPT data to a file

c change a partition's name

d delete a partition

i show detailed information on a partition

l list known partition types

n add a new partition

o create a new empty GUID partition table (GPT)

p print the partition table

q quit without saving changes

r recovery and transformation options (experts only)

s sort partitions

t change a partition's type code

v verify disk

w write table to disk and exit

x extra functionality (experts only)

? print this menu

Command (? for help): p

Disk /dev/sdd: 31251759104 sectors, 14.6 TiB

Model: WUH721816ALE6L4

Sector size (logical/physical): 512/4096 bytes

Disk identifier (GUID): C37D08FC-C28D-401A-8EE9-8A4994A47A49

Partition table holds up to 128 entries

Main partition table begins at sector 2 and ends at sector 33

First usable sector is 2048, last usable sector is 31251759070

Partitions will be aligned on 2048-sector boundaries

Total free space is 0 sectors (0 bytes)

Number Start (sector) End (sector) Size Code Name

1 2048 31251757055 14.6 TiB FD00

2 31251757056 31251759070 1007.5 KiB 8300 Linux filesystem

Command (? for help): d 1

Partition number (1-2): 1

Command (? for help): d

Using 2

Command (? for help): p

Disk /dev/sdd: 31251759104 sectors, 14.6 TiB

Model: WUH721816ALE6L4

Sector size (logical/physical): 512/4096 bytes

Disk identifier (GUID): C37D08FC-C28D-401A-8EE9-8A4994A47A49

Partition table holds up to 128 entries

Main partition table begins at sector 2 and ends at sector 33

First usable sector is 2048, last usable sector is 31251759070

Partitions will be aligned on 2048-sector boundaries

Total free space is 31251757023 sectors (14.6 TiB)

Number Start (sector) End (sector) Size Code Name

Command (? for help): n

Partition number (1-128, default 1):

First sector (2048-31251759070, default = 2048) or {+-}size{KMGTP}:

Last sector (2048-31251759070, default = 31251757055) or {+-}size{KMGTP}:

Current type is 8300 (Linux filesystem)

Hex code or GUID (L to show codes, Enter = 8300):

Changed type of partition to 'Linux filesystem'

Command (? for help): p

Disk /dev/sdd: 31251759104 sectors, 14.6 TiB

Model: WUH721816ALE6L4

Sector size (logical/physical): 512/4096 bytes

Disk identifier (GUID): C37D08FC-C28D-401A-8EE9-8A4994A47A49

Partition table holds up to 128 entries

Main partition table begins at sector 2 and ends at sector 33

First usable sector is 2048, last usable sector is 31251759070

Partitions will be aligned on 2048-sector boundaries

Total free space is 2015 sectors (1007.5 KiB)

Number Start (sector) End (sector) Size Code Name

1 2048 31251757055 14.6 TiB 8300 Linux filesystem

Command (? for help): w

Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING

PARTITIONS!!

Do you want to proceed? (Y/N): Y

OK; writing new GUID partition table (GPT) to /dev/sdd.

The operation has completed successfully.

如果后续添加磁盘的时候报错:

$ sudo mdadm --manage /dev/md1 --add /dev/sdd1
mdadm: /dev/sdd1 not large enough to join array

1 2	$ sudo mdadm --manage /dev/md1 --add /dev/sdd1 mdadm: /dev/sdd1 not large enough to join array

则需要复制分区表，解决磁盘分区差异导致报错新硬盘空间不足问题，如下：

$ sudo sfdisk -d /dev/sda > part_table 

$ grep -v ^label-id part_table | sed -e 's/, *uuid=[0-9A-F-]*//' | sudo sfdisk /dev/sdd 

$ sudo sfdisk -d /dev/sda1 > part_table_1 

$ grep -v ^label-id part_table_1 | sed -e 's/, *uuid=[0-9A-F-]*//' | sudo sfdisk /dev/sdd1

$ sudo sfdisk -d /dev/sda > part_table

$ grep -v ^label-id part_table | sed -e 's/, *uuid=[0-9A-F-]*//' | sudo sfdisk /dev/sdd

$ sudo sfdisk -d /dev/sda1 > part_table_1

$ grep -v ^label-id part_table_1 | sed -e 's/, *uuid=[0-9A-F-]*//' | sudo sfdisk /dev/sdd1

如果上述命令继续报错

$ grep -v ^label-id part_table_1 | sed -e 's/, *uuid=[0-9A-F-]*//' | sudo sfdisk /dev/sdd1
请检查现在是不是有人在使用此磁盘... 好的

Disk /dev/sdd1：14.55 TiB，16000898564096 字节，31251755008 个扇区
单元：扇区 / 1 * 512 = 512 字节
扇区大小(逻辑/物理)：512 字节 / 4096 字节
I/O 大小(最小/最佳)：4096 字节 / 4096 字节
磁盘标签类型：gpt
磁盘标识符：F941003D-163E-43B8-93A6-61BE96B51BC6

旧状况：

>>> 已接受脚本标头(header)。
>>> 已接受脚本标头(header)。
>>> 已接受脚本标头(header)。
>>> 已接受脚本标头(header)。
>>> 已接受脚本标头(header)。
>>> 已接受脚本标头(header)。
>>> 完成。
脚本指定的最后一个 LBA 超出范围。
脚本指定的最后一个 LBA 超出范围。
脚本指定的最后一个 LBA 超出范围。
无法应用脚本标头(header)，未创建磁盘标签。
离开中。

$ grep -v ^label-id part_table_1 | sed -e 's/, *uuid=[0-9A-F-]*//' | sudo sfdisk /dev/sdd1

请检查现在是不是有人在使用此磁盘... 好的

Disk /dev/sdd1：14.55 TiB，16000898564096 字节，31251755008 个扇区

单元：扇区 / 1 * 512 = 512 字节

扇区大小(逻辑/物理)：512 字节 / 4096 字节

I/O 大小(最小/最佳)：4096 字节 / 4096 字节

磁盘标签类型：gpt

磁盘标识符：F941003D-163E-43B8-93A6-61BE96B51BC6

旧状况：

>>> 已接受脚本标头(header)。

>>> 完成。

脚本指定的最后一个 LBA 超出范围。

无法应用脚本标头(header)，未创建磁盘标签。

离开中。

那么就没办法与原始磁盘保持相同的分区模式了，只能是直接使用整个硬盘，不指定硬盘下的具体分区，修改命令如下：

$ sudo mdadm --manage /dev/md1 --add /dev/sdd
mdadm: added /dev/sdd

1 2	$ sudo mdadm --manage /dev/md1 --add /dev/sdd mdadm: added /dev/sdd

再次检查磁盘分区情况：

$ lsblk 
NAME                            MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS

.............................................................

sda                               8:0    0  14.6T  0 disk  
└─sda1                            8:1    0  14.6T  0 part  
  └─md1                           9:1    0  14.6T  0 raid1 
    └─vg0-volume_0              252:0    0  14.6T  0 lvm   /home/data

...............................................................

sdd                               8:48   0  14.6T  0 disk  
└─sdd1                            8:49   0  14.6T  0 part  
    └─vg0-volume_0              252:0    0  14.6T  0 lvm   /home/data

...............................................................

$ lsblk

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS

.............................................................

sda 8:0 0 14.6T 0 disk

└─sda1 8:1 0 14.6T 0 part

└─md1 9:1 0 14.6T 0 raid1

└─vg0-volume_0 252:0 0 14.6T 0 lvm /home/data

...............................................................

sdd 8:48 0 14.6T 0 disk

└─sdd1 8:49 0 14.6T 0 part

└─vg0-volume_0 252:0 0 14.6T 0 lvm /home/data

...............................................................

参考链接

Python 实现国产SM3加密算法

SM3由国家密码管理局于2010年12月17日发布，主要用于数字签名及验证。

Python3代码如下：

##############################################################################
#                                                                            #
#                            国产SM3加密算法                                  #
#                                                                            #
##############################################################################

import math

class SM3:
    IV = "7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e"
    IV = int(IV.replace(" ", ""), 16)
    a = []
    for i in range(0, 8):
        a.append(0)
        a[i] = (IV >> ((7 - i) * 32)) & 0xFFFFFFFF
    IV = a

    @staticmethod
    def out_hex(list1):
        for i in list1:
            print("%08x" % i)
        print("\n")

    @staticmethod
    def rotate_left(a, k):
        k = k % 32
        return ((a << k) & 0xFFFFFFFF) | ((a & 0xFFFFFFFF) >> (32 - k))

    T_j = []
    for i in range(0, 16):
        T_j.append(0)
        T_j[i] = 0x79cc4519
    for i in range(16, 64):
        T_j.append(0)
        T_j[i] = 0x7a879d8a

    @staticmethod
    def FF_j(X, Y, Z, j):
        if 0 <= j and j < 16:
            ret = X ^ Y ^ Z
        elif 16 <= j and j < 64:
            ret = (X & Y) | (X & Z) | (Y & Z)
        return ret

    @staticmethod
    def GG_j(X, Y, Z, j):
        if 0 <= j and j < 16:
            ret = X ^ Y ^ Z
        elif 16 <= j and j < 64:
            # ret = (X | Y) & ((2 ** 32 - 1 - X) | Z)
            ret = (X & Y) | ((~ X) & Z)
        return ret

    @staticmethod
    def P_0(X):
        return X ^ (SM3.rotate_left(X, 9)) ^ (SM3.rotate_left(X, 17))

    @staticmethod
    def P_1(X):
        return X ^ (SM3.rotate_left(X, 15)) ^ (SM3.rotate_left(X, 23))

    @staticmethod
    def CF(V_i, B_i):
        W = []
        for i in range(16):
            weight = 0x1000000
            data = 0
            for k in range(i * 4, (i + 1) * 4):
                data = data + B_i[k] * weight
                weight = int(weight / 0x100)
            W.append(data)

        for j in range(16, 68):
            W.append(0)
            W[j] = SM3.P_1(W[j - 16] ^ W[j - 9] ^ (SM3.rotate_left(W[j - 3], 15))) ^ (SM3.rotate_left(W[j - 13], 7)) ^ W[j - 6]
            str1 = "%08x" % W[j]
        W_1 = []
        for j in range(0, 64):
            W_1.append(0)
            W_1[j] = W[j] ^ W[j + 4]
            str1 = "%08x" % W_1[j]

        A, B, C, D, E, F, G, H = V_i
        """
        print "00",
        out_hex([A, B, C, D, E, F, G, H])
        """
        for j in range(0, 64):
            SS1 = SM3.rotate_left(((SM3.rotate_left(A, 12)) + E + (SM3.rotate_left(SM3.T_j[j], j))) & 0xFFFFFFFF, 7)
            SS2 = SS1 ^ (SM3.rotate_left(A, 12))
            TT1 = (SM3.FF_j(A, B, C, j) + D + SS2 + W_1[j]) & 0xFFFFFFFF
            TT2 = (SM3.GG_j(E, F, G, j) + H + SS1 + W[j]) & 0xFFFFFFFF
            D = C
            C = SM3.rotate_left(B, 9)
            B = A
            A = TT1
            H = G
            G = SM3.rotate_left(F, 19)
            F = E
            E = SM3.P_0(TT2)

            A = A & 0xFFFFFFFF
            B = B & 0xFFFFFFFF
            C = C & 0xFFFFFFFF
            D = D & 0xFFFFFFFF
            E = E & 0xFFFFFFFF
            F = F & 0xFFFFFFFF
            G = G & 0xFFFFFFFF
            H = H & 0xFFFFFFFF

        V_i_1 = []
        V_i_1.append(A ^ V_i[0])
        V_i_1.append(B ^ V_i[1])
        V_i_1.append(C ^ V_i[2])
        V_i_1.append(D ^ V_i[3])
        V_i_1.append(E ^ V_i[4])
        V_i_1.append(F ^ V_i[5])
        V_i_1.append(G ^ V_i[6])
        V_i_1.append(H ^ V_i[7])
        return V_i_1

    @staticmethod
    def hash_msg(msg):
        # print(msg)
        len1 = len(msg)
        reserve1 = len1 % 64
        msg.append(0x80)
        reserve1 = reserve1 + 1
        # 56-64, add 64 byte
        range_end = 56
        if reserve1 > range_end:
            range_end = range_end + 64

        for i in range(reserve1, range_end):
            msg.append(0x00)

        bit_length = (len1) * 8
        bit_length_str = [bit_length % 0x100]
        for i in range(7):
            bit_length = int(bit_length / 0x100)
            bit_length_str.append(bit_length % 0x100)
        for i in range(8):
            msg.append(bit_length_str[7 - i])

        # print(msg)

        group_count = round(len(msg) / 64)

        B = []
        for i in range(0, group_count):
            B.append(msg[i * 64:(i + 1) * 64])

        V = []
        V.append(SM3.IV)
        for i in range(0, group_count):
            V.append(SM3.CF(V[i], B[i]))

        y = V[i + 1]
        result = ""
        for i in y:
            result = '%s%08x' % (result, i)
        return result

    @staticmethod
    def str2byte(msg):  # 字符串转换成byte数组
        ml = len(msg)
        msg_byte = []
        msg_bytearray = msg  # 如果加密对象是字符串，则在此对msg做encode()编码即可，否则不编码
        for i in range(ml):
            msg_byte.append(msg_bytearray[i])
        return msg_byte

    @staticmethod
    def byte2str(msg):  # byte数组转字符串
        ml = len(msg)
        str1 = b""
        for i in range(ml):
            str1 += b'%c' % msg[i]
        return str1.decode('utf-8')

    @staticmethod
    def hex2byte(msg):  # 16进制字符串转换成byte数组
        ml = len(msg)
        if ml % 2 != 0:
            msg = '0' + msg
        ml = int(len(msg) / 2)
        msg_byte = []
        for i in range(ml):
            msg_byte.append(int(msg[i * 2:i * 2 + 2], 16))
        return msg_byte

    @staticmethod
    def byte2hex(msg):  # byte数组转换成16进制字符串
        ml = len(msg)
        hexstr = ""
        for i in range(ml):
            hexstr = hexstr + ('%02x' % msg[i])
        return hexstr

    @staticmethod
    def KDF(Z, klen):  # Z为16进制表示的比特串（str），klen为密钥长度（单位byte）
        klen = int(klen)
        ct = 0x00000001
        rcnt = math.ceil(klen / 32)
        Zin = SM3.hex2byte(Z)
        Ha = ""
        for i in range(int(rcnt)):
            msg = Zin + SM3.hex2byte('%08x' % ct)
            # print(msg)
            Ha = Ha + SM3.hash_msg(msg)
            # print(Ha)
            ct += 1
        return Ha[0: klen * 2]

    @classmethod
    def encryptSM3(cls, msg, Hexstr=0):
        """
        封装方法，外部调用
        :param msg: 需要加密的字符串
        :param Hexstr: 0
        :return: 64位SM3加密结果
        """
        if (Hexstr):
            msg_byte = SM3.hex2byte(msg.encode())
        else:
            msg_byte = SM3.str2byte(msg.encode())
        return SM3.hash_msg(msg_byte)


if __name__ == '__main__':
    """测试"""
    print(SM3.encryptSM3('SM3Test'))  # 打印结果：901053b4681483b737dd2dd9f9a7f56805aa1b03337f8c1abb763a96776b8905

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

##############################################################################

# #

# 国产SM3加密算法 #

# #

##############################################################################

import math

class SM3:

IV = "7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e"

IV = int(IV.replace(" ", ""), 16)

a = []

for i in range(0, 8):

a.append(0)

a[i] = (IV >> ((7 - i) * 32)) & 0xFFFFFFFF

IV = a

@staticmethod

def out_hex(list1):

for i in list1:

print("%08x" % i)

print("\n")

@staticmethod

def rotate_left(a, k):

k = k % 32

return ((a << k) & 0xFFFFFFFF) | ((a & 0xFFFFFFFF) >> (32 - k))

T_j = []

for i in range(0, 16):

T_j.append(0)

T_j[i] = 0x79cc4519

for i in range(16, 64):

T_j.append(0)

T_j[i] = 0x7a879d8a

@staticmethod

def FF_j(X, Y, Z, j):

if 0 <= j and j < 16:

ret = X ^ Y ^ Z

elif 16 <= j and j < 64:

ret = (X & Y) | (X & Z) | (Y & Z)

return ret

@staticmethod

def GG_j(X, Y, Z, j):

if 0 <= j and j < 16:

ret = X ^ Y ^ Z

elif 16 <= j and j < 64:

# ret = (X | Y) & ((2 ** 32 - 1 - X) | Z)

ret = (X & Y) | ((~ X) & Z)

return ret

@staticmethod

def P_0(X):

return X ^ (SM3.rotate_left(X, 9)) ^ (SM3.rotate_left(X, 17))

@staticmethod

def P_1(X):

return X ^ (SM3.rotate_left(X, 15)) ^ (SM3.rotate_left(X, 23))

@staticmethod

def CF(V_i, B_i):

W = []

for i in range(16):

weight = 0x1000000

data = 0

for k in range(i * 4, (i + 1) * 4):

data = data + B_i[k] * weight

weight = int(weight / 0x100)

W.append(data)

for j in range(16, 68):

W.append(0)

W[j] = SM3.P_1(W[j - 16] ^ W[j - 9] ^ (SM3.rotate_left(W[j - 3], 15))) ^ (SM3.rotate_left(W[j - 13], 7)) ^ W[j - 6]

str1 = "%08x" % W[j]

W_1 = []

for j in range(0, 64):

W_1.append(0)

W_1[j] = W[j] ^ W[j + 4]

str1 = "%08x" % W_1[j]

A, B, C, D, E, F, G, H = V_i

"""

print "00",

out_hex([A, B, C, D, E, F, G, H])

"""

for j in range(0, 64):

SS1 = SM3.rotate_left(((SM3.rotate_left(A, 12)) + E + (SM3.rotate_left(SM3.T_j[j], j))) & 0xFFFFFFFF, 7)

SS2 = SS1 ^ (SM3.rotate_left(A, 12))

TT1 = (SM3.FF_j(A, B, C, j) + D + SS2 + W_1[j]) & 0xFFFFFFFF

TT2 = (SM3.GG_j(E, F, G, j) + H + SS1 + W[j]) & 0xFFFFFFFF

D = C

C = SM3.rotate_left(B, 9)

B = A

A = TT1

H = G

G = SM3.rotate_left(F, 19)

F = E

E = SM3.P_0(TT2)

A = A & 0xFFFFFFFF

B = B & 0xFFFFFFFF

C = C & 0xFFFFFFFF

D = D & 0xFFFFFFFF

E = E & 0xFFFFFFFF

F = F & 0xFFFFFFFF

G = G & 0xFFFFFFFF

H = H & 0xFFFFFFFF

V_i_1 = []

V_i_1.append(A ^ V_i[0])

V_i_1.append(B ^ V_i[1])

V_i_1.append(C ^ V_i[2])

V_i_1.append(D ^ V_i[3])

V_i_1.append(E ^ V_i[4])

V_i_1.append(F ^ V_i[5])

V_i_1.append(G ^ V_i[6])

V_i_1.append(H ^ V_i[7])

return V_i_1

@staticmethod

def hash_msg(msg):

# print(msg)

len1 = len(msg)

reserve1 = len1 % 64

msg.append(0x80)

reserve1 = reserve1 + 1

# 56-64, add 64 byte

range_end = 56

if reserve1 > range_end:

range_end = range_end + 64

for i in range(reserve1, range_end):

msg.append(0x00)

bit_length = (len1) * 8

bit_length_str = [bit_length % 0x100]

for i in range(7):

bit_length = int(bit_length / 0x100)

bit_length_str.append(bit_length % 0x100)

for i in range(8):

msg.append(bit_length_str[7 - i])

# print(msg)

group_count = round(len(msg) / 64)

B = []

for i in range(0, group_count):

B.append(msg[i * 64:(i + 1) * 64])

V = []

V.append(SM3.IV)

for i in range(0, group_count):

V.append(SM3.CF(V[i], B[i]))

y = V[i + 1]

result = ""

for i in y:

result = '%s%08x' % (result, i)

return result

@staticmethod

def str2byte(msg): # 字符串转换成byte数组

ml = len(msg)

msg_byte = []

msg_bytearray = msg # 如果加密对象是字符串，则在此对msg做encode()编码即可，否则不编码

for i in range(ml):

msg_byte.append(msg_bytearray[i])

return msg_byte

@staticmethod

def byte2str(msg): # byte数组转字符串

ml = len(msg)

str1 = b""

for i in range(ml):

str1 += b'%c' % msg[i]

return str1.decode('utf-8')

@staticmethod

def hex2byte(msg): # 16进制字符串转换成byte数组

ml = len(msg)

if ml % 2 != 0:

msg = '0' + msg

ml = int(len(msg) / 2)

msg_byte = []

for i in range(ml):

msg_byte.append(int(msg[i * 2:i * 2 + 2], 16))

return msg_byte

@staticmethod

def byte2hex(msg): # byte数组转换成16进制字符串

ml = len(msg)

hexstr = ""

for i in range(ml):

hexstr = hexstr + ('%02x' % msg[i])

return hexstr

@staticmethod

def KDF(Z, klen): # Z为16进制表示的比特串（str），klen为密钥长度（单位byte）

klen = int(klen)

ct = 0x00000001

rcnt = math.ceil(klen / 32)

Zin = SM3.hex2byte(Z)

Ha = ""

for i in range(int(rcnt)):

msg = Zin + SM3.hex2byte('%08x' % ct)

# print(msg)

Ha = Ha + SM3.hash_msg(msg)

# print(Ha)

ct += 1

return Ha[0: klen * 2]

@classmethod

def encryptSM3(cls, msg, Hexstr=0):

"""

封装方法，外部调用

:param msg: 需要加密的字符串

:param Hexstr: 0

:return: 64位SM3加密结果

"""

if (Hexstr):

msg_byte = SM3.hex2byte(msg.encode())

else:

msg_byte = SM3.str2byte(msg.encode())

return SM3.hash_msg(msg_byte)

if __name__ == '__main__':

"""测试"""

print(SM3.encryptSM3('SM3Test')) # 打印结果：901053b4681483b737dd2dd9f9a7f56805aa1b03337f8c1abb763a96776b8905

参考链接

Python 实现国产SM3加密算法

解决Visual Studio Code在Raspberry Pi 4运行特别缓慢的问题

在树莓派4通过命令行安装 Visual Studio Code 如下：

$ sudo apt update

$ sudo apt install code

$ sudo apt update

$ sudo apt install code

但是运行特别缓慢，调试 Python 代码会持续卡住，CPU 长时间 100% 占用。

目前一个可用的办法就是在 Visual Studio Code 中禁用 GPU 加速。

具体操作如下：

Open Visual Studio Code
Open the Command Palette by hitting your F1 key or the key combo Ctrl+Shift+P,或者菜单中选择 “命令面板” 如下图：
Begin typing runtime and you should see “Preferences: Configure Runtime Arguments” appear (Pictured below). Click it or hit Enter to open a configuration file called argv.json which allows us to set runtime arguments.

There should be the line "disable-hardware-acceleration": true, commented out. (Pictured below)

Uncomment the line by deleting the preceding // or add the line if it is missing entirely.
Tip: Be careful not forget the comma if the line is not the last uncommented one inside the curly braces.

Save the file and restart Visual Studio Code for the change to take effect.

参考链接

Python3-使用U盾完成数据的加解密（国密算法SKF接口）

如果身边有银行的U盾，或者其他Ukey产品，可以使用这些产品完成对数据的加解密，针对个人的敏感数据进行加密处理。

1-涉及的内容

ubuntu 24.04.2 LTS

Python 3.8 / 3.11

asn1crypto 1.5.1

使用的 Python3 库 ctypes 作用：

是 Python3 的外部函数库。提供与 C语言兼容的数据类型，并允许调用 DLL 或共享库中的函数。

使用的 Python3 库 asn1crypto 作用：

是 Python3 的外部函数库。ASN.1 格式解析组装 PKCS#7 格式的报文。版本不低于 1.5.1 ，否则可能编译错误。

使用的Ukey：文鼎创的一款Key。

与Ukey使用会有配套的驱动程序（管理工具），安装之后会在【C:\Windows\System32】释放对应dll库文件，使用ctypes库调用这个dll文件。

dll的接口函数

现在各厂家的Ukey一般都支持国密算法（SKF），使用SKF中的函数，实现数据的加解密。了解到文鼎创这边提供的SKF的函数中有使用ECC非对称算法完成数据加解密。本文内容就是用里面的ECC算法完成数据分非对称加解密。

2-动态库涉及的函数及结构体

2.1 相关结构体

ECC签名结果结构体

C中的结构体声明：

// ECC 签名结构体 
// 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017

#define ECC_MAX_XCOORDINATE_BITS_LEN 512

typedef struct Struct_ECCSIGNATUREBLOB{
    BYTE r[ECC_MAX_XCOORDINATE_BITS_LEN/8];
    BYTE s[ECC_MAX_XCOORDINATE_BITS_LEN/8];
} ECCSIGNATUREBLOB, *PECCSIGNATUREBLOB

// ECC 签名结构体

// 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

#define ECC_MAX_XCOORDINATE_BITS_LEN 512

typedef struct Struct_ECCSIGNATUREBLOB{

BYTE r[ECC_MAX_XCOORDINATE_BITS_LEN/8];

BYTE s[ECC_MAX_XCOORDINATE_BITS_LEN/8];

} ECCSIGNATUREBLOB, *PECCSIGNATUREBLOB

Python的ctype库声明：

ECC_MAX_XCOORDINATE_BITS_LEN = 512

# ECC 签名结构体
# 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
class Struct_ECCSIGNATUREBLOB(Structure):
    _fields_ = [("r", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8)),
                ("s", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8))]

ECC_MAX_XCOORDINATE_BITS_LEN = 512

# ECC 签名结构体

# 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

class Struct_ECCSIGNATUREBLOB(Structure):

_fields_ = [("r", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8)),

("s", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8))]

ECC公钥结构体

C中的结构体声明：

// 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017

typedef struct Struct_ECCPUBLICKEYBLOB {
  ULONG BitLen; //模数的实际位长度 必须是 8 的倍数
  BYTE XCoordinate[ECC_MAX_XCOORDINATE_BITS_LEN/8];
  BYTE YCoordinate[ECC_MAX_YCOORDINATE_BITS_LEN/8];
}ECCPUBLICKEYBLOB, *PECCPUBLICKEYBLOB;
//ECC_MAX_XCOORDINATE_LEN为ECC算法X坐标的最大长度(512)；
//ECC_MAX_YCOORDINATE_LEN为ECC算法Y坐标的最大长度(512)。

// 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

typedef struct Struct_ECCPUBLICKEYBLOB {

ULONG BitLen; //模数的实际位长度必须是 8 的倍数

BYTE XCoordinate[ECC_MAX_XCOORDINATE_BITS_LEN/8];

BYTE YCoordinate[ECC_MAX_YCOORDINATE_BITS_LEN/8];

}ECCPUBLICKEYBLOB, *PECCPUBLICKEYBLOB;

//ECC_MAX_XCOORDINATE_LEN为ECC算法X坐标的最大长度(512)；

//ECC_MAX_YCOORDINATE_LEN为ECC算法Y坐标的最大长度(512)。

Python的ctype库声明：

# ECC 公钥结构体
# 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
class Struct_ECCPUBLICKEYBLOB(Structure):
    """官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。
       但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,
       所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题
    """
    _fields_ = [("BitLen", c_uint32),
                ("XCoordinate", c_ubyte * 64),
                ("YCoordinate", c_ubyte * 64)]

# ECC 公钥结构体

# 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

class Struct_ECCPUBLICKEYBLOB(Structure):

"""官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。

但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,

所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题

"""

_fields_ = [("BitLen", c_uint32),

("XCoordinate", c_ubyte * 64),

("YCoordinate", c_ubyte * 64)]

密文数据结构体

C中的结构体声明：

// 类型定义 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
typedef struct Struct_ECCCIPHERBLOB {
    BYTE XCoordinate[ECC_MAX_XCOORDINATE_BITS_LEN/8]; 
    BYTE YCoordinate[ECC_MAX_XCOORDINATE_BITS_LEN/8]; 
    BYTE HASH[32]; 
    ULONG CipherLen;
    BYTE Cipher[1];
} ECCCIPHERBLOB, *PECCCIPHERBLOB;

// 类型定义信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

typedef struct Struct_ECCCIPHERBLOB {

BYTE XCoordinate[ECC_MAX_XCOORDINATE_BITS_LEN/8];

BYTE YCoordinate[ECC_MAX_XCOORDINATE_BITS_LEN/8];

BYTE HASH[32];

ULONG CipherLen;

BYTE Cipher[1];

} ECCCIPHERBLOB, *PECCCIPHERBLOB;

Python的ctype库声明：

# 密文数据结构
# 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
class Struct_ECCCIPHERBLOB(Structure):
    """官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。
       但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,
       所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题
    """
    _fields_ = [("XCoordinate", c_ubyte * 64),
                ("YCoordinate", c_ubyte * 64),
                ("HASH", c_ubyte * 32),
                ("CipherLen", c_uint32),
                ("Cipher", c_ubyte * 1)]

# 密文数据结构

# 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

class Struct_ECCCIPHERBLOB(Structure):

"""官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。

但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,

所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题

"""

_fields_ = [("XCoordinate", c_ubyte * 64),

("YCoordinate", c_ubyte * 64),

("HASH", c_ubyte * 32),

("CipherLen", c_uint32),

("Cipher", c_ubyte * 1)]

2.2 相关函数

/*设备相关*/
//枚举设备
ULONG DEVAPI SKF_EnumDev(BOOL bPresent, LPSTR szNameList, ULONG *pulSize); 
//连接设备
ULONG DEVAPI SKF_ConnectDev(LPSTR szName, DEVHANDLE *phDev);
//断开连接
ULONG DEVAPI SKF_DisConnectDev(DEVHANDLE hDev);

/*应用相关*/
//枚举应用
ULONG DEVAPI SKF_EnumApplication(DEVHANDLE hDev, LPSTR szAppName, ULONG *pulSize);
//打开应用
ULONG DEVAPI SKF_OpenApplication(DEVHANDLE hDev, LPSTR szAppName, HAPPLICATION *phApplication);
//关闭应用
ULONG DEVAPI SKF_CloseApplication(HAPPLICATION hApplication);

/*容器相关*/
//枚举容器
ULONG DEVAPI SKF_EnumContainer(HAPPLICATION hApplication, LPSTR szContainerName, ULONG *pulSize);
//打开容器
ULONG DEVAPI SKF_OpenContainer(HAPPLICATION hApplication, LPSTR szContainerName, HCONTAINER *phContainer);
//关闭容器
ULONG DEVAPI SKF_CloseContainer(HCONTAINER hContainer);

/*密码服务*/
//导出公钥
ULONG DEVAPI SKF_ExportPublicKey(HCONTAINER hContainer, BOOL bSignFlag, BYTE* pbBlob, ULONG* pulBlobLen);

//ECC外来公钥加密
ULONG DEVAPI SKF_ExtECCEncrypt(DEVHANDLE hDev, ECCPUBLICKEYBLOB* pECCPubKeyBlob, BYTE* pbPlainText, ULONG ulPlainTextLen, PECCCIPHERBLOB pCipherText);

//私钥解密 bSignFlag false -- 加密私钥  true -- 签名私钥
ULONG DEVAPI SKF_ECCDecrypt(HCONTAINER hContainer, BOOL bSignFlag, const ECCCIPHERBLOB* pCipherText, BYTE *pbData, ULONG *pdwDataLen);


/*注：私钥解密接口应该是厂商的扩展接口，如果不是wdc的key，可能提供的驱动没有这个函数，那么可以使用对称算法对数据进行加解密，或者使用SKF_ExtECCDecrypt（ECC外来私钥解密）*/


/*
参数说明：
1：BOOL bPresen：为TRUE表示取当前设备状态为存在的设备列表。为FALSE表示取当前驱动支持的设备列表。
2：ULONG *pulSize： 输入时表示设备名称列表的缓冲区长度，输出时表示（一般是）前一个参数（如szNameList）需要获取的，所占用的空间大小。
3：DEVHANDLE phDev：设备的句柄
4：HAPPLICATION hApplication：应用的句柄
5：HCONTAINER hContainer：容器的句柄
6：BOOL bSignFlag：TRUE，签名证书；FALSE，加密证书
7：ECCPUBLICKEYBLOB* pECCPubKeyBlob：公钥类型参数
8：ECCCIPHERBLOB* pCipherText：待解密的数据类型
*/

// 摘要算法
ULONG DEVAPI SKF_DigestInit(DEVHANDLE hDev, ULONG ulAlgID, ECCPUBLICKEYBLOB *pPubKey, unsigned char *pucID, ULONG ulIDLen, HANDLE *phHash);

/* 
  此方法进行杂凑（国密标准里把摘要称之为杂凑）运算初始化，并指定计算消息杂凑的算法。hDev为设备句柄；ulAlgID是杂凑算法标识，这里选择SGD_SM3（0x00000001），表明使用SM3算法；pPubKey为签名用证书公钥数据；pucID为签名者的ID值；ulIDLen是签名者的ID值的长度；phHash为返回的杂凑对象句柄。加入签名者ID值是SM2数字签名的一个重要特征，默认使用"1234567812345678"这个字符串值。
*/ 

ULONG DEVAPI SKF_Digest(HANDLE hHash, BYTE *pbData, ULONG ulDataLen, BYTE *pbHashData, ULONG *pulHashLen);

/* 
  初始化后，调用此方法进行数据杂凑运算。hHash是SKF_DigestInit方法返回的杂凑对象句柄； pbData为产生签名的原文，ulDataLen是原文数据的长度，pbHashData返回杂凑数据； pulHashLen返回杂凑结果的长度。同样，因为杂凑数据的长度都是固定的，这里同样可以为pbHashData事先分配固定长度，而不用再调用两遍。
 
  注意，如果进行杂凑的数据是分组的，那就得使用下面两个方法：
 
    ULONG DEVAPI SKF_DigestUpdate(HANDLE hHash, BYTE *pbData, ULONG ulDataLen);
 
    ULONG DEVAPI SKF_DigestFinal(HANDLE hHash, BYTE *pHashData, ULONG *pulHashLen);
 
  对每一组数据都使用SKF_DigestUpdate，最后调用SKF_DigestFinal返回杂凑值。当然，在数字签名运算中不存在分块计算签名的情况，所以这里也不会把数据分块杂凑。
*/

// 数字签名
ULONG DEVAPI SKF_ECCSignData(HCONTAINER hContainer, BYTE *pbData, ULONG ulDataLen, PECCSIGNATUREBLOB pSignature);

/*  
 最后调用此方法进行数字签名。hContainer用来签名的私钥所在容器句柄，也就是遍历对比证书得到的容器句柄；pbData是被签名的数据；ulDataLen是被签名数据长度，必须小于密钥模长； pbSignature为返回的签名值。
*/

/*设备相关*/

//枚举设备

ULONG DEVAPI SKF_EnumDev(BOOL bPresent, LPSTR szNameList, ULONG *pulSize);

//连接设备

ULONG DEVAPI SKF_ConnectDev(LPSTR szName, DEVHANDLE *phDev);

//断开连接

ULONG DEVAPI SKF_DisConnectDev(DEVHANDLE hDev);

/*应用相关*/

//枚举应用

ULONG DEVAPI SKF_EnumApplication(DEVHANDLE hDev, LPSTR szAppName, ULONG *pulSize);

//打开应用

ULONG DEVAPI SKF_OpenApplication(DEVHANDLE hDev, LPSTR szAppName, HAPPLICATION *phApplication);

//关闭应用

ULONG DEVAPI SKF_CloseApplication(HAPPLICATION hApplication);

/*容器相关*/

//枚举容器

ULONG DEVAPI SKF_EnumContainer(HAPPLICATION hApplication, LPSTR szContainerName, ULONG *pulSize);

//打开容器

ULONG DEVAPI SKF_OpenContainer(HAPPLICATION hApplication, LPSTR szContainerName, HCONTAINER *phContainer);

//关闭容器

ULONG DEVAPI SKF_CloseContainer(HCONTAINER hContainer);

/*密码服务*/

//导出公钥

ULONG DEVAPI SKF_ExportPublicKey(HCONTAINER hContainer, BOOL bSignFlag, BYTE* pbBlob, ULONG* pulBlobLen);

//ECC外来公钥加密

ULONG DEVAPI SKF_ExtECCEncrypt(DEVHANDLE hDev, ECCPUBLICKEYBLOB* pECCPubKeyBlob, BYTE* pbPlainText, ULONG ulPlainTextLen, PECCCIPHERBLOB pCipherText);

//私钥解密 bSignFlag false -- 加密私钥 true -- 签名私钥

ULONG DEVAPI SKF_ECCDecrypt(HCONTAINER hContainer, BOOL bSignFlag, const ECCCIPHERBLOB* pCipherText, BYTE *pbData, ULONG *pdwDataLen);

/*注：私钥解密接口应该是厂商的扩展接口，如果不是wdc的key，可能提供的驱动没有这个函数，那么可以使用对称算法对数据进行加解密，或者使用SKF_ExtECCDecrypt（ECC外来私钥解密）*/

参数说明：

1：BOOL bPresen：为TRUE表示取当前设备状态为存在的设备列表。为FALSE表示取当前驱动支持的设备列表。

2：ULONG *pulSize：输入时表示设备名称列表的缓冲区长度，输出时表示（一般是）前一个参数（如szNameList）需要获取的，所占用的空间大小。

3：DEVHANDLE phDev：设备的句柄

4：HAPPLICATION hApplication：应用的句柄

5：HCONTAINER hContainer：容器的句柄

6：BOOL bSignFlag：TRUE，签名证书；FALSE，加密证书

7：ECCPUBLICKEYBLOB* pECCPubKeyBlob：公钥类型参数

8：ECCCIPHERBLOB* pCipherText：待解密的数据类型

// 摘要算法

ULONG DEVAPI SKF_DigestInit(DEVHANDLE hDev, ULONG ulAlgID, ECCPUBLICKEYBLOB *pPubKey, unsigned char *pucID, ULONG ulIDLen, HANDLE *phHash);

此方法进行杂凑（国密标准里把摘要称之为杂凑）运算初始化，并指定计算消息杂凑的算法。hDev为设备句柄；ulAlgID是杂凑算法标识，这里选择SGD_SM3（0x00000001），表明使用SM3算法；pPubKey为签名用证书公钥数据；pucID为签名者的ID值；ulIDLen是签名者的ID值的长度；phHash为返回的杂凑对象句柄。加入签名者ID值是SM2数字签名的一个重要特征，默认使用"1234567812345678"这个字符串值。

ULONG DEVAPI SKF_Digest(HANDLE hHash, BYTE *pbData, ULONG ulDataLen, BYTE *pbHashData, ULONG *pulHashLen);

初始化后，调用此方法进行数据杂凑运算。hHash是SKF_DigestInit方法返回的杂凑对象句柄； pbData为产生签名的原文，ulDataLen是原文数据的长度，pbHashData返回杂凑数据； pulHashLen返回杂凑结果的长度。同样，因为杂凑数据的长度都是固定的，这里同样可以为pbHashData事先分配固定长度，而不用再调用两遍。

注意，如果进行杂凑的数据是分组的，那就得使用下面两个方法：

ULONG DEVAPI SKF_DigestUpdate(HANDLE hHash, BYTE *pbData, ULONG ulDataLen);

ULONG DEVAPI SKF_DigestFinal(HANDLE hHash, BYTE *pHashData, ULONG *pulHashLen);

对每一组数据都使用SKF_DigestUpdate，最后调用SKF_DigestFinal返回杂凑值。当然，在数字签名运算中不存在分块计算签名的情况，所以这里也不会把数据分块杂凑。

// 数字签名

ULONG DEVAPI SKF_ECCSignData(HCONTAINER hContainer, BYTE *pbData, ULONG ulDataLen, PECCSIGNATUREBLOB pSignature);

最后调用此方法进行数字签名。hContainer用来签名的私钥所在容器句柄，也就是遍历对比证书得到的容器句柄；pbData是被签名的数据；ulDataLen是被签名数据长度，必须小于密钥模长； pbSignature为返回的签名值。

3-Python3实现

要求：Ukey中有SM2容器，使用SM2加密密钥对，且默认在第一个容器名中，如果不是，请自行修改。

实现内容：

使用ctype先定义好所需要到的结构体

创建一个类，实现加解密的过程

在类中在初始化中初始化句柄

在对象结束的时候释放掉对应的句柄

将句柄的获取放在一个函数中，获取句柄。

将加密结果转换为Hex字符串形式。

传入Hex密文字符进行解密。

辅助函数：

def __IntList_ToHexStr(self, int_list)：将int类型的列表转为Hex字符串

def __HexStr_ToIntList(self, str_hex)：Hex字符串转为int类型的列表

def StrHex_ToCipherText(self, str_hex)：Hex密文字符串转为密文结构体

def CipherText_ToStrHex(self, cipher_text)：将密文结构体转为Hex密文字符串

def __BuildSm2SignP7DER(self, sig_text, der_cert, sm2_r, sm2_s): 构建 P7格式的SM2签名报文

主要函数：

def ECCEncrypt(self, plain_text)：返会的是密文结构类型数据

def ECCEncrypt_Hex(self, plain_text): 返会的是密文Hex字符串

def ECCDecrypt(self, cipher_text)：传入密文结构体进行解密

def ECCDecrypt_Hex(self, cipher_hex): 传入密文Hex字符串进行解密

def VerifyPIN(self, user_pin): 验证UkeyPIN

def SM2Sign(self, plain_text): SM2签名

其他函数：获取句柄相关，比较简单。

完整代码

#!/usr/bin/env python
# -*- coding: UTF-8 -*-
"""
@File ：MySkfClass.py
"""
from ctypes import *

# SM3 算法定义
# define SGD_SM3 0x00000001
SGD_SM3 = 0x00000001

"""
// ECC 签名结构体
// 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
#define ECC_MAX_XCOORDINATE_BITS_LEN 512
typedef struct Struct_ECCSIGNATUREBLOB{
    BYTE r[ECC_MAX_XCOORDINATE_BITS_LEN/8];
    BYTE s[ECC_MAX_XCOORDINATE_BITS_LEN/8];
} ECCSIGNATUREBLOB, *PECCSIGNATUREBLOB
"""

ECC_MAX_XCOORDINATE_BITS_LEN = 512

# ECC 签名结构体
# 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
class Struct_ECCSIGNATUREBLOB(Structure):
    _fields_ = [("r", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8)),
                ("s", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8))]

# ECC 公钥结构体
# 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
class Struct_ECCPUBLICKEYBLOB(Structure):
    """官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。
       但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,
       所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题
    """
    _fields_ = [("BitLen", c_uint32),
                ("XCoordinate", c_ubyte * 64),
                ("YCoordinate", c_ubyte * 64)]

"""利用Python的动态类生成特性处理变长结构体，目前测试发现 ctypes.memmove 可能在部分ARM系统上闪退
因此，使用动态类的方式进行处理
"""
def EccCipherBlobFactory(size):
    # 密文数据结构
    # 信息安全技术 智能密码钥匙应用接口规范 GB/T 35291-2017
    class Struct_ECCCIPHERBLOB(Structure):
        """官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。
           但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,
           所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题
        """
        _fields_ = [("XCoordinate", c_ubyte * 64),
                    ("YCoordinate", c_ubyte * 64),
                    ("HASH", c_ubyte * 32),
                    ("CipherLen", c_uint32),
                    ("Cipher", c_ubyte * size)]

        def __init__(self):
            """如下代码部分代码存在歧义，由于国标没有明确 CipherLen 是否应当作为传入缓冲区的长度进行校验
                这样就造成厂商实现接口的时候出现差异，有的厂商要求必须明确设置这个长度参数，否则认定缓冲区不足（比如飞天诚信）。
                有些厂商就没有这个要求（比如：恒宝、握奇）。
             """
            self.CipherLen = c_uint32(size)

    return Struct_ECCCIPHERBLOB


class MySkfClass:
    def __init__(self, dll_path):
        self.skf_handle = cdll.LoadLibrary(dll_path)  # 加载dll,获取句柄
        self.error = 0                      # 定义错误码
        self.dev_handle = None              # 定义设备句柄
        self.app_handle = None              # 定义应用句柄
        self.cnt_handle = None              # 定义容器句柄句柄
        self.Init_handle()                # 获取设备、应用、容器句柄

    def Init_handle(self):
        """句柄获取
              获取设备、应用、容器句柄  
        """
        self.dev_name = self.__GetDevName()     # 获取设备名
        self.dev_handle = self.__ConnectDev()   # 获取设备句柄 需要用到设备名
        self.app_name = self.__GetAppName()     # 获取应用名
        self.app_handle = self.__OpenApplication()  # 获取应用句柄  需要用到应用名
        self.cnt_name = self.__GetCntNames()        # 获取容器名
        if self.error == 0:                         # 获取容器名的时候返回的error为0，正常执行
            """ 此处选择第一个容器作为ECC密钥对，如果第一个不是ECC密钥对，可能导致应用闪退
                请根据实际情况进行相关调整
            """
            self.cnt_handle = self.OpenContainer(self.cnt_name[0])

    def close_handle(self):
        """句柄释放
                释放设备、应用、容器句柄
        """
        if self.cnt_handle is not None:
            self.skf_handle.SKF_CloseContainer(self.cnt_handle)
        if self.app_handle is not None:
            self.skf_handle.SKF_CloseApplication(self.app_handle)
        if self.dev_handle is not None:
            self.skf_handle.SKF_DisConnectDev(self.dev_handle)

    def __GetDevName(self):
        """获取设备名
            多设备的情况只会获取到第一个设备
        """
        pulSize = c_uint32()  # 用于获取设备名长度
        self.error = self.skf_handle.SKF_EnumDev(True, None, byref(pulSize))
        szNameList = create_string_buffer(pulSize.value)    # 为szNameList分配内存
        self.error = self.skf_handle.SKF_EnumDev(
            True, szNameList, byref(pulSize))
        return szNameList.value

    def __ConnectDev(self):
        phDev = c_void_p()
        self.error = self.skf_handle.SKF_ConnectDev(
            self.dev_name, byref(phDev))  # 连接设备
        return phDev

    def __GetAppName(self):
        pulSize = c_uint32()                                 # 用于获取应用名长度
        self.error = self.skf_handle.SKF_EnumApplication(
            self.dev_handle, None, byref(pulSize))
        szNameList = create_string_buffer(pulSize.value)    # 为szNameList分配内存
        self.error = self.skf_handle.SKF_EnumApplication(
            self.dev_handle, szNameList, byref(pulSize))  # 获取应用名，这里默认返回第一个应用名
        return szNameList.value

    def __OpenApplication(self):
        phApp = c_void_p()
        self.error = self.skf_handle.SKF_OpenApplication(
            self.dev_handle, self.app_name, byref(phApp))  # 打开应用
        return phApp

    def __GetCntNames(self):
        pulSize = c_uint32()                                 # 用于获取应用名长度:
        self.error = self.skf_handle.SKF_EnumContainer(
            self.app_handle, None, byref(pulSize))
        szNameList = create_string_buffer(pulSize.value)    # 为szNameList分配内存
        
        # 由于szNameList是以'\0'为分隔符，获取多个容器名列表切分获取
        self.error = self.skf_handle.SKF_EnumContainer(self.app_handle, szNameList,
                                                       byref(pulSize))
        name_list = str(szNameList.raw)[2:].split('\\x00')[
            :-2]         # .raw是获取所有，.values是只读取Null结尾的
        cnt_name = [bytes(name, 'utf8') for name in name_list]          # 容器列表
        return cnt_name

    def OpenContainer(self, cnt_name):
        phCnt = c_void_p()                              # 容器句柄
        self.error = self.skf_handle.SKF_OpenContainer(
            self.app_handle, cnt_name, byref(phCnt))  # 打开容器
        return phCnt

    def ECCEncrypt(self, plain_text):
        """
            1-导出ECC的加密密钥对的公钥
            2-用公钥加密SKF_ExtECCEncrypt
        """
        plain_text = create_string_buffer(
            bytes(plain_text, 'utf8'))    # 转成byte类型
        # 计算字符长度，-1是因为byte长度比实际多1
        plain_text_len = c_uint32(len(plain_text) - 1)
        # 声明密文结构变量
        pCipherText = EccCipherBlobFactory(
            plain_text_len.value)()
        pulBlobLen = c_uint32(sizeof(Struct_ECCPUBLICKEYBLOB))
        # 创建公钥接收对象
        pbBlob = Struct_ECCPUBLICKEYBLOB()
        self.error = self.skf_handle.SKF_ExportPublicKey(
            self.cnt_handle, False, byref(pbBlob), byref(pulBlobLen))
        # 用公钥进行加密
        self.error = self.skf_handle.SKF_ExtECCEncrypt(self.dev_handle, byref(pbBlob), byref(plain_text),
                                                       plain_text_len, byref(pCipherText))

        return pCipherText

    def ECCEncrypt_Hex(self, plain_text):
        """
            1-导出ECC的加密密钥对的公钥
            2-用公钥加密SKF_ExtECCEncrypt
            3-转成Hex字符串
        """
        pCipherText = self.ECCEncrypt(plain_text)
        # 将密文结构内容转成Hex字符串
        pCipherText_Hex = self.CipherText_ToStrHex(pCipherText)
        return pCipherText_Hex

    def ECCDecrypt(self, cipher_text):
        plain_text_len = c_uint32(0)
        # 解密，传None，获得plain_text的长度
        self.error = self.skf_handle.SKF_ECCDecrypt(self.cnt_handle, False, byref(cipher_text), None,
                                                    byref(plain_text_len))
        # plain_text分配空间        
        plain_text = create_string_buffer(
            plain_text_len.value)
        # 解密
        self.error = self.skf_handle.SKF_ECCDecrypt(self.cnt_handle, False, byref(cipher_text), byref(plain_text),
                                                    byref(plain_text_len))
        # 返回明文
        return plain_text.value.decode('utf8')

    def ECCDecrypt_Hex(self, cipher_hex):
        # 判断密文是否有问题
        try:
            cipher_text = self.StrHex_ToCipherText(
                cipher_hex)  # 先将Hex密文字符串转为ECC密文结构
        except:
            return "Error: Wrong ciphertext!"
        plain_text = self.ECCDecrypt(cipher_text)           # 解密
        return plain_text

    def ECCSignEx(self, plain_text):
        # 转成byte类型
        plain_text = create_string_buffer(bytes(plain_text, "utf-8"))
        # 计算字符长度，-1是因为byte长度比实际多1
        plain_text_len = c_uint32(len(plain_text) - 1)
        # 签名返回结果
        pbBlob = Struct_ECCSIGNATUREBLOB()

        # WQ 扩展接口
        # self.error = self.skf_handle.SKF_ECCSignDataEx(
        #    self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))

        # FT/HB 扩展接口
        # self.error = self.skf_handle.SKF_ECCDigestSignData(
        #     self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))
        try:
            self.error = self.skf_handle.SKF_ECCDigestSignData(
                self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))
        except:
            self.error = self.skf_handle.SKF_ECCSignDataEx(
                self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))

        return [pbBlob.r, pbBlob.s]

    def ECCSign(self, plain_text):
        """
            1-计算原文的SM3
            2-使用私钥对SM3结果进行签名 SKF_ECCSignData
            要求签名字符串长度不得大于密钥模长
            比如 ECC256 不得大于 32个字节（模长（256） / 8）
            2-返回[r, s]
        """
        """
            在数字签名时，要指定签名所使用的证书。通过遍历本机上的证书，与签名用的证书进行对比，定位到签名证书在USBKEY中的位置，得到设备、应用和容器的句柄，然后使用证书的私钥进行签名。另外,由于数字签名会用到私钥,因此这里需要验证口令。

            1.SKF_VerifyPIN(HAPPLICATION hApplication, ULONG ulPINType, LPSTR szPIN, ULONG *pulRetryCount);

                此方法用来验证证书所在应用的PIN码，及上面说的口令，为后面的签名取得权限。hApplication是应用句柄；ulPINType是PIN类型，可以为0是管理员账户，1为普通用户，这个参数一般选择1。szPIN值是PIN码，pulRetryCount为出错后返回的重试次数。

            2.SKF_ExportPublicKey(HCONTAINER hContainer, BOOL bSignFlag, BYTE* pbBlob, ULONG* pulBlobLen);

                这个方法用来导出容器中的签名公钥，hContainer为证书所在容器句柄；bSignFlag 为导出密钥类型，TRUE表示导出签名公钥，FALSE表示导出加密公钥，这里选择TRUE；pbBlob为返回公钥的数据；pulBlobLen为数据的长度。这里这个方法可以不用调用两次，因为公钥结构是已知的，其长度也是固定的，因此可以直接为pbBlob分配固定长度的数据，以返回公钥。

            3.SKF_DigestInit(DEVHANDLE hDev, ULONG ulAlgID, ECCPUBLICKEYBLOB *pPubKey, unsigned char *pucID, ULONG ulIDLen, HANDLE *phHash);

                此方法进行杂凑（国密标准里把摘要称之为杂凑）运算初始化，并指定计算消息杂凑的算法。hDev为设备句柄；ulAlgID是杂凑算法标识，这里选择SGD_SM3（0x00000001），表明使用SM3算法；pPubKey为签名用证书公钥数据；pucID为签名者的ID值；ulIDLen是签名者的ID值的长度；phHash为返回的杂凑对象句柄。加入签名者ID值是SM2数字签名的一个重要特征，默认使用"1234567812345678"这个字符串值。

            4.SKF_Digest(HANDLE hHash, BYTE *pbData, ULONG ulDataLen, BYTE *pbHashData, ULONG *pulHashLen);

                初始化后，调用此方法进行数据杂凑运算。hHash是SKF_DigestInit方法返回的杂凑对象句柄； pbData为产生签名的原文，ulDataLen是原文数据的长度，pbHashData返回杂凑数据； pulHashLen返回杂凑结果的长度。同样，因为杂凑数据的长度都是固定的，这里同样可以为pbHashData事先分配固定长度，而不用再调用两遍。

                注意，如果进行杂凑的数据是分组的，那就得使用下面两个方法：

                    SKF_DigestUpdate(HANDLE hHash, BYTE *pbData, ULONG ulDataLen);

                    SKF_DigestFinal(HANDLE hHash, BYTE *pHashData, ULONG *pulHashLen);

                对每一组数据都使用SKF_DigestUpdate，最后调用SKF_DigestFinal返回杂凑值。当然，在数字签名运算中不存在分块计算签名的情况，所以这里也不会把数据分块杂凑。

            5.SKF_ECCSignData(HCONTAINER hContainer, BYTE *pbData, ULONG ulDataLen, PECCSIGNATUREBLOB pSignature);

                最后调用此方法进行数字签名。hContainer用来签名的私钥所在容器句柄，也就是遍历对比证书得到的容器句柄；pbData是被签名的数据；ulDataLen是被签名数据长度，必须小于密钥模长； pbSignature为返回的签名值。
        """
        # 公钥匙对象内存长度
        pulBlobLen = c_uint32(sizeof(Struct_ECCPUBLICKEYBLOB))
        # 获取公钥对象
        eccPubKey = Struct_ECCPUBLICKEYBLOB()

        # 导出计算公钥
        self.error = self.skf_handle.SKF_ExportPublicKey(
            self.cnt_handle, True, byref(eccPubKey), byref(pulBlobLen))
        # 转成byte类型
        plain_text = create_string_buffer(bytes(plain_text, "utf-8"))
        # 计算字符长度，-1是因为byte长度比实际多1
        plain_text_len = c_uint32(len(plain_text) - 1)
        # 默认签名者ID
        signerId = create_string_buffer(b'1234567812345678')
        phDigest = c_void_p()
        # 初始化计算参数，指定为 SM3
        self.error = self.skf_handle.SKF_DigestInit(
            self.dev_handle, SGD_SM3, byref(eccPubKey), byref(signerId), len(signerId) - 1, byref(phDigest))

        hash = (c_ubyte * 32)()
        hashLen = c_uint32(32)
        # 计算 SM3
        self.error = self.skf_handle.SKF_Digest(
            phDigest, byref(plain_text), plain_text_len, byref(hash), byref(hashLen))

        # 签名
        pbBlob = Struct_ECCSIGNATUREBLOB()  # 签名返回结果
        # 标准的 SKF_ECCSignData 接口目前测试来看，各个厂商的接口实现很多会报错
        # 比如现在很多都是带屏幕显示的二代UKey，交易的时候屏幕上会显示交易内容，要求
        # 用户点击确定之后才能完成交易，这种操作一般都是厂商自定义的扩展接口实现的
        # 比如最常见的 SKF_ECCSignDataEx 具体的参数可以找厂商沟通获取
        self.error = self.skf_handle.SKF_ECCSignData(
            self.cnt_handle, SGD_SM3, byref(hash), hashLen, byref(pbBlob))

        return [pbBlob.r, pbBlob.s]

    def SM2Sign(self, plain_text):
        """
            1-对原文进行SM2签名
            2-获取签名证书信息
            3-返回签名证书字符数组，SM2签名结果 [r, s]
        """
        # 签名
        [s_r, s_s] = self.ECCSignEx(plain_text)

        # 取ECC签名的后 32 位 作为SM2签名，参考
        # https://github.com/guanzhi/GmSSL/blob/master/src/skf/skf.c
        # SKF_ECCSIGNATUREBLOB_to_SM2_SIGNATURE
        sm2_r = bytes(s_r[32:])
        sm2_s = bytes(s_s[32:])

        # 导出签名证书
        pulBlobLen = c_uint32()
        self.error = self.skf_handle.SKF_ExportCertificate(
            self.cnt_handle, True, None, byref(pulBlobLen))

        # 申请内存
        cert_der = (c_ubyte * pulBlobLen.value)()
        self.error = self.skf_handle.SKF_ExportCertificate(
            self.cnt_handle, True, byref(cert_der), byref(pulBlobLen))

        # 证书转换为字符数组
        cert_der = bytes(cert_der)

        return [cert_der, [sm2_r, sm2_s]]

    def SM2SignP7DER(self, plain_text):
        """
            1-对原文进行签名
            2-获取签名证书信息
            3-对报文进行P7 DER格式封装
        """
        [cert_der, [sm2_r, sm2_s]] = self.SM2Sign(plain_text)
        return self.__BuildSm2SignP7DER(plain_text, cert_der, sm2_r, sm2_s)

    def SM2SignP7DER_Hex(self, plain_text):
        """
            对报文进行签名，并对结果进行 P7 格式封装，返回结果使用HEX格式
        """
        res = self.SM2SignP7DER(plain_text)
        return res.hex()

    def SM2SignP7PEM(self, plain_text):
        """
            对报文进行签名，并对结果进行 P7 PEM格式封装
        """
        der = self.SM2SignP7DER(plain_text)
        import base64
        return base64.b64encode(der)

    def VerifyPIN(self, user_pin):
        """
            PIN校验
            user_pin：字符串
            return：返回剩余尝试次数
        """
        user_pin = create_string_buffer(
            bytes(user_pin, 'utf8'))  # 将PIN转成byte类型数据
        ulPINType = c_uint32(1)      # PIN类型，1表示用户PIN
        pulRetryCount = c_uint32(0)  # PIN剩余尝试次数
        # 调用验证PIN接口
        self.error = self.skf_handle.SKF_VerifyPIN(
            self.app_handle, ulPINType, user_pin, byref(pulRetryCount))
        return pulRetryCount.value

    def __BuildSm2SignP7DER(self, sig_text, der_cert, sm2_r, sm2_s):
        """
            构建 P7 DER 格式的SM2签名报文
            1-sig_text 签名原文
            2-der_cert DER格式的签名证书
            3-sm2_r SM2格式签名返回的 r 32位字符数组
            4-sm2_s SM2格式签名返回的 s 32位字符数组
        """
        # pip install "asn1crypto>=1.5.1" 版本不低于 1.5.1 否则可能运行异常
        from asn1crypto import core, x509, algos, cms

        cert = x509.Certificate.load(der_cert)

        # 签名证书
        cert_set = cms.CertificateChoices({
            'certificate': cert  # 证书
        })

        # SM3 摘要算法 OID
        sm3_digest_oid = algos.DigestAlgorithmId(
            "1.2.156.10197.1.401")
        # SM3 摘要算法
        sm3_digest_algo = algos.DigestAlgorithm({
            'algorithm': sm3_digest_oid,
            'parameters': core.Null()
        })
        # SM2 签名算法 OID
        sm2_sign_oid = algos.SignedDigestAlgorithmId(
            "1.2.156.10197.1.301.1")
        # SM2 签名算法
        sm2_sign_algo = algos.SignedDigestAlgorithm({
            'algorithm': sm2_sign_oid,
            'parameters': core.Null()
        })

        # TBSCertificate
        org_tbs = cert['tbs_certificate']

        # 签名信息
        signer_info = cms.SignerInfo({
            'version': cms.CMSVersion(1),
            'sid': {  # 签名证书信息
                'issuer_and_serial_number': {
                    'issuer': org_tbs['issuer'],
                    'serial_number': org_tbs['serial_number']
                }
            },
            'digest_algorithm': sm3_digest_algo,  # 摘要算法
            'signature_algorithm': sm2_sign_algo,  # 签名算法
            # 签名信息 （OCTET STRING）
            'signature': core.OctetString(sm2_r + sm2_s)
        })

        # 构建完整证书的 ASN.1 PKCS#7 SignedData 结构
        signedData = cms.SignedData({
            'version': cms.CMSVersion(1),  # 签名版本 v1
            'digest_algorithms': [  # 摘要算法
                sm3_digest_algo # SM3
            ],
            'encap_content_info': {  # 签名载核（业务）数据
                # 载核（业务）数据类型 (PKCS #7)
                'content_type': cms.ContentType('1.2.840.113549.1.7.1'),
                # 签名载核(业务)数据
                'content': core.OctetString(sig_text.encode('utf-8')),
            },  # 签名载核数据
            'certificates': [cert_set],  # 证书集合
            'signer_infos': [signer_info]  # 签名信息
        })

        # 数据传输封装
        payloadContent = cms.ContentInfo({
            # 数据类型 (PKCS #7)
            'content_type': cms.ContentType('1.2.840.113549.1.7.2'),
            # 签名数据
            'content': signedData
        })

        # print(payloadContent.dump().hex())
        # 转换为 DER 编码
        return payloadContent.dump()

    def __IntList_ToHexStr(self, int_list):
        """
            将int类型的列表转成Hex字符串
            int_list：列表
            return：返回Hex字符串
        """
        result = []                 # 声明返回结果
        for _int in int_list:
            str_hex = (hex(_int)[2:]).upper()   # 将结果转成hex字符串，并转成大写
            if len(str_hex) % 2 != 0:            # 判断长度是否是2的倍数，不是的话签名补一个0
                str_hex = "0" + str_hex
            result.append(str_hex)
        return ''.join(result)

    def __HexStr_ToIntList(self, str_hex):
        """
            将Hex字符串转成int类型的列表
            str_hex：Hex字符串
            return：int,列表
        """
        result = []                 # 声明返回结果
        for i in range(0, len(str_hex), 2):
            s = '0x' + (str_hex[i:i + 2])       # 每两位hex的字符转成一个int类型
            int_s = int(s, 16)
            result.append(int_s)
        return result

    def StrHex_ToCipherText(self, str_hex):
        """
            将Hex字符串转成ECC密文结构
            str_hex：Hex字符串
            return：ECC密文结构
        """

        # 密文结构中 Cipher 长度（C3）
        cipher_len = int((len(str_hex) - 192) / 2)
        pCipherText = EccCipherBlobFactory(
            cipher_len)()()                # 声明pCipherText密文结构变量
        XCoordinate_hex = str_hex[0:64]         # 获取密文结构的 XCoordinate 的Hex字符串
        YCoordinate_hex = str_hex[64:128]       # 获取密文结构的 YCoordinate 的Hex字符串
        HASH_hex = str_hex[128:192]             # 获取密文结构的 HASH 的Hex字符串
        Cipher_hex = str_hex[192:]              # C2：密文结构中的Cipher
        # 为密文结构中的每部分赋值
        pCipherText.XCoordinate = (
            c_ubyte * 64)(*((0,) * 32 + tuple(self.__HexStr_ToIntList(XCoordinate_hex))))
        pCipherText.YCoordinate = (
            c_ubyte * 64)(*((0,) * 32 + tuple(self.__HexStr_ToIntList(YCoordinate_hex))))
        pCipherText.HASH = (
            c_ubyte * 32)(*tuple(self.__HexStr_ToIntList(HASH_hex)))
        # 密文部分转为ctype类型
        Cipher = (c_ubyte * cipher_len)(*self.__HexStr_ToIntList(Cipher_hex))
        memmove(pCipherText.Cipher, Cipher, cipher_len)  # 将Cipher值赋给密文结构
        return pCipherText

    def CipherText_ToStrHex(self, cipher_text):
        """
            将ECC密文结构转成Hex字符串
        """
        XCoordinate = cipher_text.XCoordinate[32:]  # 获取密文结构中 XCoordinate
        YCoordinate = cipher_text.YCoordinate[32:]  # 获取密文结构中 YCoordinate
        HASH = cipher_text.HASH[:]                  # 获取密文结构中 HASH
        XCoordinate_hex = self.__IntList_ToHexStr(
            XCoordinate)  # 将 XCoordinate 转成Hex字符串
        YCoordinate_hex = self.__IntList_ToHexStr(
            YCoordinate)  # 将 YCoordinate 转成Hex字符串
        HASH_hex = self.__IntList_ToHexStr(
            HASH)                # 将 HASH 转成Hex字符串
        Cipher_hex = self.__IntList_ToHexStr(
            cipher_text.Cipher)            # 将 Cipher 转成Hex字符串
        return XCoordinate_hex + YCoordinate_hex + HASH_hex + Cipher_hex

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

320

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

354

355

356

357

358

359

360

361

362

363

364

365

366

367

368

369

370

371

372

373

374

375

376

377

378

379

380

381

382

383

384

385

386

387

388

389

390

391

392

393

394

395

396

397

398

399

400

401

402

403

404

405

406

407

408

409

410

411

412

413

414

415

416

417

418

419

420

421

422

423

424

425

426

427

428

429

430

431

432

433

434

435

436

437

438

439

440

441

442

443

444

445

446

447

448

449

450

451

452

453

454

455

456

457

458

459

460

461

462

463

464

465

466

467

468

469

470

471

472

473

474

475

476

477

478

479

480

481

482

483

484

485

486

487

488

489

490

491

492

493

494

495

496

497

498

499

500

501

502

503

504

505

506

507

508

509

510

511

512

513

514

515

516

517

518

519

520

521

522

523

524

525

526

527

528

529

530

531

#!/usr/bin/env python

# -*- coding: UTF-8 -*-

"""

@File ：MySkfClass.py

"""

from ctypes import *

# SM3 算法定义

# define SGD_SM3 0x00000001

SGD_SM3 = 0x00000001

"""

// ECC 签名结构体

// 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

#define ECC_MAX_XCOORDINATE_BITS_LEN 512

typedef struct Struct_ECCSIGNATUREBLOB{

BYTE r[ECC_MAX_XCOORDINATE_BITS_LEN/8];

BYTE s[ECC_MAX_XCOORDINATE_BITS_LEN/8];

} ECCSIGNATUREBLOB, *PECCSIGNATUREBLOB

"""

ECC_MAX_XCOORDINATE_BITS_LEN = 512

# ECC 签名结构体

# 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

class Struct_ECCSIGNATUREBLOB(Structure):

_fields_ = [("r", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8)),

("s", c_ubyte * int(ECC_MAX_XCOORDINATE_BITS_LEN / 8))]

# ECC 公钥结构体

# 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

class Struct_ECCPUBLICKEYBLOB(Structure):

"""官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。

但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,

所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题

"""

_fields_ = [("BitLen", c_uint32),

("XCoordinate", c_ubyte * 64),

("YCoordinate", c_ubyte * 64)]

"""利用Python的动态类生成特性处理变长结构体，目前测试发现 ctypes.memmove 可能在部分ARM系统上闪退

因此，使用动态类的方式进行处理

"""

def EccCipherBlobFactory(size):

# 密文数据结构

# 信息安全技术智能密码钥匙应用接口规范 GB/T 35291-2017

class Struct_ECCCIPHERBLOB(Structure):

"""官方文档是C语言的 ULONG，不管操作系统是32位还是64位，都要求是 4个字节。

但是 ctypes.c_ulong 在64位系统下是8个字节，在32位系统下是 4个字节,

所以这部分的定义我们要改成 c_uint32，而不是 c_ulong 来解决这个问题

"""

_fields_ = [("XCoordinate", c_ubyte * 64),

("YCoordinate", c_ubyte * 64),

("HASH", c_ubyte * 32),

("CipherLen", c_uint32),

("Cipher", c_ubyte * size)]

def __init__(self):

"""如下代码部分代码存在歧义，由于国标没有明确 CipherLen 是否应当作为传入缓冲区的长度进行校验

这样就造成厂商实现接口的时候出现差异，有的厂商要求必须明确设置这个长度参数，否则认定缓冲区不足（比如飞天诚信）。

有些厂商就没有这个要求（比如：恒宝、握奇）。

"""

self.CipherLen = c_uint32(size)

return Struct_ECCCIPHERBLOB

class MySkfClass:

def __init__(self, dll_path):

self.skf_handle = cdll.LoadLibrary(dll_path) # 加载dll,获取句柄

self.error = 0 # 定义错误码

self.dev_handle = None # 定义设备句柄

self.app_handle = None # 定义应用句柄

self.cnt_handle = None # 定义容器句柄句柄

self.Init_handle() # 获取设备、应用、容器句柄

def Init_handle(self):

"""句柄获取

获取设备、应用、容器句柄

"""

self.dev_name = self.__GetDevName() # 获取设备名

self.dev_handle = self.__ConnectDev() # 获取设备句柄需要用到设备名

self.app_name = self.__GetAppName() # 获取应用名

self.app_handle = self.__OpenApplication() # 获取应用句柄需要用到应用名

self.cnt_name = self.__GetCntNames() # 获取容器名

if self.error == 0: # 获取容器名的时候返回的error为0，正常执行

""" 此处选择第一个容器作为ECC密钥对，如果第一个不是ECC密钥对，可能导致应用闪退

请根据实际情况进行相关调整

"""

self.cnt_handle = self.OpenContainer(self.cnt_name[0])

def close_handle(self):

"""句柄释放

释放设备、应用、容器句柄

"""

if self.cnt_handle is not None:

self.skf_handle.SKF_CloseContainer(self.cnt_handle)

if self.app_handle is not None:

self.skf_handle.SKF_CloseApplication(self.app_handle)

if self.dev_handle is not None:

self.skf_handle.SKF_DisConnectDev(self.dev_handle)

def __GetDevName(self):

"""获取设备名

多设备的情况只会获取到第一个设备

"""

pulSize = c_uint32() # 用于获取设备名长度

self.error = self.skf_handle.SKF_EnumDev(True, None, byref(pulSize))

szNameList = create_string_buffer(pulSize.value) # 为szNameList分配内存

self.error = self.skf_handle.SKF_EnumDev(

True, szNameList, byref(pulSize))

return szNameList.value

def __ConnectDev(self):

phDev = c_void_p()

self.error = self.skf_handle.SKF_ConnectDev(

self.dev_name, byref(phDev)) # 连接设备

return phDev

def __GetAppName(self):

pulSize = c_uint32() # 用于获取应用名长度

self.error = self.skf_handle.SKF_EnumApplication(

self.dev_handle, None, byref(pulSize))

szNameList = create_string_buffer(pulSize.value) # 为szNameList分配内存

self.error = self.skf_handle.SKF_EnumApplication(

self.dev_handle, szNameList, byref(pulSize)) # 获取应用名，这里默认返回第一个应用名

return szNameList.value

def __OpenApplication(self):

phApp = c_void_p()

self.error = self.skf_handle.SKF_OpenApplication(

self.dev_handle, self.app_name, byref(phApp)) # 打开应用

return phApp

def __GetCntNames(self):

pulSize = c_uint32() # 用于获取应用名长度:

self.error = self.skf_handle.SKF_EnumContainer(

self.app_handle, None, byref(pulSize))

szNameList = create_string_buffer(pulSize.value) # 为szNameList分配内存

# 由于szNameList是以'\0'为分隔符，获取多个容器名列表切分获取

self.error = self.skf_handle.SKF_EnumContainer(self.app_handle, szNameList,

byref(pulSize))

name_list = str(szNameList.raw)[2:].split('\\x00')[

:-2] # .raw是获取所有，.values是只读取Null结尾的

cnt_name = [bytes(name, 'utf8') for name in name_list] # 容器列表

return cnt_name

def OpenContainer(self, cnt_name):

phCnt = c_void_p() # 容器句柄

self.error = self.skf_handle.SKF_OpenContainer(

self.app_handle, cnt_name, byref(phCnt)) # 打开容器

return phCnt

def ECCEncrypt(self, plain_text):

"""

1-导出ECC的加密密钥对的公钥

2-用公钥加密SKF_ExtECCEncrypt

"""

plain_text = create_string_buffer(

bytes(plain_text, 'utf8')) # 转成byte类型

# 计算字符长度，-1是因为byte长度比实际多1

plain_text_len = c_uint32(len(plain_text) - 1)

# 声明密文结构变量

pCipherText = EccCipherBlobFactory(

plain_text_len.value)()

pulBlobLen = c_uint32(sizeof(Struct_ECCPUBLICKEYBLOB))

# 创建公钥接收对象

pbBlob = Struct_ECCPUBLICKEYBLOB()

self.error = self.skf_handle.SKF_ExportPublicKey(

self.cnt_handle, False, byref(pbBlob), byref(pulBlobLen))

# 用公钥进行加密

self.error = self.skf_handle.SKF_ExtECCEncrypt(self.dev_handle, byref(pbBlob), byref(plain_text),

plain_text_len, byref(pCipherText))

return pCipherText

def ECCEncrypt_Hex(self, plain_text):

"""

1-导出ECC的加密密钥对的公钥

2-用公钥加密SKF_ExtECCEncrypt

3-转成Hex字符串

"""

pCipherText = self.ECCEncrypt(plain_text)

# 将密文结构内容转成Hex字符串

pCipherText_Hex = self.CipherText_ToStrHex(pCipherText)

return pCipherText_Hex

def ECCDecrypt(self, cipher_text):

plain_text_len = c_uint32(0)

# 解密，传None，获得plain_text的长度

self.error = self.skf_handle.SKF_ECCDecrypt(self.cnt_handle, False, byref(cipher_text), None,

byref(plain_text_len))

# plain_text分配空间

plain_text = create_string_buffer(

plain_text_len.value)

# 解密

self.error = self.skf_handle.SKF_ECCDecrypt(self.cnt_handle, False, byref(cipher_text), byref(plain_text),

byref(plain_text_len))

# 返回明文

return plain_text.value.decode('utf8')

def ECCDecrypt_Hex(self, cipher_hex):

# 判断密文是否有问题

try:

cipher_text = self.StrHex_ToCipherText(

cipher_hex) # 先将Hex密文字符串转为ECC密文结构

except:

return "Error: Wrong ciphertext!"

plain_text = self.ECCDecrypt(cipher_text) # 解密

return plain_text

def ECCSignEx(self, plain_text):

# 转成byte类型

plain_text = create_string_buffer(bytes(plain_text, "utf-8"))

# 计算字符长度，-1是因为byte长度比实际多1

plain_text_len = c_uint32(len(plain_text) - 1)

# 签名返回结果

pbBlob = Struct_ECCSIGNATUREBLOB()

# WQ 扩展接口

# self.error = self.skf_handle.SKF_ECCSignDataEx(

# self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))

# FT/HB 扩展接口

# self.error = self.skf_handle.SKF_ECCDigestSignData(

# self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))

try:

self.error = self.skf_handle.SKF_ECCDigestSignData(

self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))

except:

self.error = self.skf_handle.SKF_ECCSignDataEx(

self.cnt_handle, SGD_SM3, byref(plain_text), plain_text_len, byref(pbBlob))

return [pbBlob.r, pbBlob.s]

def ECCSign(self, plain_text):

"""

1-计算原文的SM3

2-使用私钥对SM3结果进行签名 SKF_ECCSignData

要求签名字符串长度不得大于密钥模长

比如 ECC256 不得大于 32个字节（模长（256） / 8）

2-返回[r, s]

"""

在数字签名时，要指定签名所使用的证书。通过遍历本机上的证书，与签名用的证书进行对比，定位到签名证书在USBKEY中的位置，得到设备、应用和容器的句柄，然后使用证书的私钥进行签名。另外,由于数字签名会用到私钥,因此这里需要验证口令。

1.SKF_VerifyPIN(HAPPLICATION hApplication, ULONG ulPINType, LPSTR szPIN, ULONG *pulRetryCount);

此方法用来验证证书所在应用的PIN码，及上面说的口令，为后面的签名取得权限。hApplication是应用句柄；ulPINType是PIN类型，可以为0是管理员账户，1为普通用户，这个参数一般选择1。szPIN值是PIN码，pulRetryCount为出错后返回的重试次数。

2.SKF_ExportPublicKey(HCONTAINER hContainer, BOOL bSignFlag, BYTE* pbBlob, ULONG* pulBlobLen);

这个方法用来导出容器中的签名公钥，hContainer为证书所在容器句柄；bSignFlag 为导出密钥类型，TRUE表示导出签名公钥，FALSE表示导出加密公钥，这里选择TRUE；pbBlob为返回公钥的数据；pulBlobLen为数据的长度。这里这个方法可以不用调用两次，因为公钥结构是已知的，其长度也是固定的，因此可以直接为pbBlob分配固定长度的数据，以返回公钥。

3.SKF_DigestInit(DEVHANDLE hDev, ULONG ulAlgID, ECCPUBLICKEYBLOB *pPubKey, unsigned char *pucID, ULONG ulIDLen, HANDLE *phHash);

4.SKF_Digest(HANDLE hHash, BYTE *pbData, ULONG ulDataLen, BYTE *pbHashData, ULONG *pulHashLen);

注意，如果进行杂凑的数据是分组的，那就得使用下面两个方法：

SKF_DigestUpdate(HANDLE hHash, BYTE *pbData, ULONG ulDataLen);

SKF_DigestFinal(HANDLE hHash, BYTE *pHashData, ULONG *pulHashLen);

5.SKF_ECCSignData(HCONTAINER hContainer, BYTE *pbData, ULONG ulDataLen, PECCSIGNATUREBLOB pSignature);

"""

# 公钥匙对象内存长度

pulBlobLen = c_uint32(sizeof(Struct_ECCPUBLICKEYBLOB))

# 获取公钥对象

eccPubKey = Struct_ECCPUBLICKEYBLOB()

# 导出计算公钥

self.error = self.skf_handle.SKF_ExportPublicKey(

self.cnt_handle, True, byref(eccPubKey), byref(pulBlobLen))

# 转成byte类型

plain_text = create_string_buffer(bytes(plain_text, "utf-8"))

# 计算字符长度，-1是因为byte长度比实际多1

plain_text_len = c_uint32(len(plain_text) - 1)

# 默认签名者ID

signerId = create_string_buffer(b'1234567812345678')

phDigest = c_void_p()

# 初始化计算参数，指定为 SM3

self.error = self.skf_handle.SKF_DigestInit(

self.dev_handle, SGD_SM3, byref(eccPubKey), byref(signerId), len(signerId) - 1, byref(phDigest))

hash = (c_ubyte * 32)()

hashLen = c_uint32(32)

# 计算 SM3

self.error = self.skf_handle.SKF_Digest(

phDigest, byref(plain_text), plain_text_len, byref(hash), byref(hashLen))

# 签名

pbBlob = Struct_ECCSIGNATUREBLOB() # 签名返回结果

# 标准的 SKF_ECCSignData 接口目前测试来看，各个厂商的接口实现很多会报错

# 比如现在很多都是带屏幕显示的二代UKey，交易的时候屏幕上会显示交易内容，要求

# 用户点击确定之后才能完成交易，这种操作一般都是厂商自定义的扩展接口实现的

# 比如最常见的 SKF_ECCSignDataEx 具体的参数可以找厂商沟通获取

self.error = self.skf_handle.SKF_ECCSignData(

self.cnt_handle, SGD_SM3, byref(hash), hashLen, byref(pbBlob))

return [pbBlob.r, pbBlob.s]

def SM2Sign(self, plain_text):

"""

1-对原文进行SM2签名

2-获取签名证书信息

3-返回签名证书字符数组，SM2签名结果 [r, s]

"""

# 签名

[s_r, s_s] = self.ECCSignEx(plain_text)

# 取ECC签名的后 32 位作为SM2签名，参考

# https://github.com/guanzhi/GmSSL/blob/master/src/skf/skf.c

# SKF_ECCSIGNATUREBLOB_to_SM2_SIGNATURE

sm2_r = bytes(s_r[32:])

sm2_s = bytes(s_s[32:])

# 导出签名证书

pulBlobLen = c_uint32()

self.error = self.skf_handle.SKF_ExportCertificate(

self.cnt_handle, True, None, byref(pulBlobLen))

# 申请内存

cert_der = (c_ubyte * pulBlobLen.value)()

self.error = self.skf_handle.SKF_ExportCertificate(

self.cnt_handle, True, byref(cert_der), byref(pulBlobLen))

# 证书转换为字符数组

cert_der = bytes(cert_der)

return [cert_der, [sm2_r, sm2_s]]

def SM2SignP7DER(self, plain_text):

"""

1-对原文进行签名

2-获取签名证书信息

3-对报文进行P7 DER格式封装

"""

[cert_der, [sm2_r, sm2_s]] = self.SM2Sign(plain_text)

return self.__BuildSm2SignP7DER(plain_text, cert_der, sm2_r, sm2_s)

def SM2SignP7DER_Hex(self, plain_text):

"""

对报文进行签名，并对结果进行 P7 格式封装，返回结果使用HEX格式

"""

res = self.SM2SignP7DER(plain_text)

return res.hex()

def SM2SignP7PEM(self, plain_text):

"""

对报文进行签名，并对结果进行 P7 PEM格式封装

"""

der = self.SM2SignP7DER(plain_text)

import base64

return base64.b64encode(der)

def VerifyPIN(self, user_pin):

"""

PIN校验

user_pin：字符串

return：返回剩余尝试次数

"""

user_pin = create_string_buffer(

bytes(user_pin, 'utf8')) # 将PIN转成byte类型数据

ulPINType = c_uint32(1) # PIN类型，1表示用户PIN

pulRetryCount = c_uint32(0) # PIN剩余尝试次数

# 调用验证PIN接口

self.error = self.skf_handle.SKF_VerifyPIN(

self.app_handle, ulPINType, user_pin, byref(pulRetryCount))

return pulRetryCount.value

def __BuildSm2SignP7DER(self, sig_text, der_cert, sm2_r, sm2_s):

"""

构建 P7 DER 格式的SM2签名报文

1-sig_text 签名原文

2-der_cert DER格式的签名证书

3-sm2_r SM2格式签名返回的 r 32位字符数组

4-sm2_s SM2格式签名返回的 s 32位字符数组

"""

# pip install "asn1crypto>=1.5.1" 版本不低于 1.5.1 否则可能运行异常

from asn1crypto import core, x509, algos, cms

cert = x509.Certificate.load(der_cert)

# 签名证书

cert_set = cms.CertificateChoices({

'certificate': cert # 证书

})

# SM3 摘要算法 OID

sm3_digest_oid = algos.DigestAlgorithmId(

"1.2.156.10197.1.401")

# SM3 摘要算法

sm3_digest_algo = algos.DigestAlgorithm({

'algorithm': sm3_digest_oid,

'parameters': core.Null()

})

# SM2 签名算法 OID

sm2_sign_oid = algos.SignedDigestAlgorithmId(

"1.2.156.10197.1.301.1")

# SM2 签名算法

sm2_sign_algo = algos.SignedDigestAlgorithm({

'algorithm': sm2_sign_oid,

'parameters': core.Null()

})

# TBSCertificate

org_tbs = cert['tbs_certificate']

# 签名信息

signer_info = cms.SignerInfo({

'version': cms.CMSVersion(1),

'sid': { # 签名证书信息

'issuer_and_serial_number': {

'issuer': org_tbs['issuer'],

'serial_number': org_tbs['serial_number']

}

'digest_algorithm': sm3_digest_algo, # 摘要算法

'signature_algorithm': sm2_sign_algo, # 签名算法

# 签名信息（OCTET STRING）

'signature': core.OctetString(sm2_r + sm2_s)

})

# 构建完整证书的 ASN.1 PKCS#7 SignedData 结构

signedData = cms.SignedData({

'version': cms.CMSVersion(1), # 签名版本 v1

'digest_algorithms': [ # 摘要算法

sm3_digest_algo # SM3

'encap_content_info': { # 签名载核（业务）数据

# 载核（业务）数据类型 (PKCS #7)

'content_type': cms.ContentType('1.2.840.113549.1.7.1'),

# 签名载核(业务)数据

'content': core.OctetString(sig_text.encode('utf-8')),

}, # 签名载核数据

'certificates': [cert_set], # 证书集合

'signer_infos': [signer_info] # 签名信息

})

# 数据传输封装

payloadContent = cms.ContentInfo({

# 数据类型 (PKCS #7)

'content_type': cms.ContentType('1.2.840.113549.1.7.2'),

# 签名数据

'content': signedData

})

# print(payloadContent.dump().hex())

# 转换为 DER 编码

return payloadContent.dump()

def __IntList_ToHexStr(self, int_list):

"""

将int类型的列表转成Hex字符串

int_list：列表

return：返回Hex字符串

"""

result = [] # 声明返回结果

for _int in int_list:

str_hex = (hex(_int)[2:]).upper() # 将结果转成hex字符串，并转成大写

if len(str_hex) % 2 != 0: # 判断长度是否是2的倍数，不是的话签名补一个0

str_hex = "0" + str_hex

result.append(str_hex)

return ''.join(result)

def __HexStr_ToIntList(self, str_hex):

"""

将Hex字符串转成int类型的列表

str_hex：Hex字符串

return：int,列表

"""

result = [] # 声明返回结果

for i in range(0, len(str_hex), 2):

s = '0x' + (str_hex[i:i + 2]) # 每两位hex的字符转成一个int类型

int_s = int(s, 16)

result.append(int_s)

return result

def StrHex_ToCipherText(self, str_hex):

"""

将Hex字符串转成ECC密文结构

str_hex：Hex字符串

return：ECC密文结构

"""

# 密文结构中 Cipher 长度（C3）

cipher_len = int((len(str_hex) - 192) / 2)

pCipherText = EccCipherBlobFactory(

cipher_len)()() # 声明pCipherText密文结构变量

XCoordinate_hex = str_hex[0:64] # 获取密文结构的 XCoordinate 的Hex字符串

YCoordinate_hex = str_hex[64:128] # 获取密文结构的 YCoordinate 的Hex字符串

HASH_hex = str_hex[128:192] # 获取密文结构的 HASH 的Hex字符串

Cipher_hex = str_hex[192:] # C2：密文结构中的Cipher

# 为密文结构中的每部分赋值

pCipherText.XCoordinate = (

c_ubyte * 64)(*((0,) * 32 + tuple(self.__HexStr_ToIntList(XCoordinate_hex))))

pCipherText.YCoordinate = (

c_ubyte * 64)(*((0,) * 32 + tuple(self.__HexStr_ToIntList(YCoordinate_hex))))

pCipherText.HASH = (

c_ubyte * 32)(*tuple(self.__HexStr_ToIntList(HASH_hex)))

# 密文部分转为ctype类型

Cipher = (c_ubyte * cipher_len)(*self.__HexStr_ToIntList(Cipher_hex))

memmove(pCipherText.Cipher, Cipher, cipher_len) # 将Cipher值赋给密文结构

return pCipherText

def CipherText_ToStrHex(self, cipher_text):

"""

将ECC密文结构转成Hex字符串

"""

XCoordinate = cipher_text.XCoordinate[32:] # 获取密文结构中 XCoordinate

YCoordinate = cipher_text.YCoordinate[32:] # 获取密文结构中 YCoordinate

HASH = cipher_text.HASH[:] # 获取密文结构中 HASH

XCoordinate_hex = self.__IntList_ToHexStr(

XCoordinate) # 将 XCoordinate 转成Hex字符串

YCoordinate_hex = self.__IntList_ToHexStr(

YCoordinate) # 将 YCoordinate 转成Hex字符串

HASH_hex = self.__IntList_ToHexStr(

HASH) # 将 HASH 转成Hex字符串

Cipher_hex = self.__IntList_ToHexStr(

cipher_text.Cipher) # 将 Cipher 转成Hex字符串

return XCoordinate_hex + YCoordinate_hex + HASH_hex + Cipher_hex

4-测试结果

from MySkfClass import *

# 输入dll库文件的绝对地址
dll_path = "C:\WINDOWS\system32\XXXXXX.dll"

test = MySkfClass(dll_path)

print(test.dev_name)

# 加密前需要验证一次PIN
test.VerifyPIN("123456")

plain = "123 456 Hello word 你好世界 ！。"
print("待加密明文：",plain)

for i in range(1, 6):
  print("***********************Test {}***********************".format(i))
  cipher_text_hex = test.ECCEncrypt_Hex(plain)
  print("plain_text的加密结果为：",cipher_text_hex)
  
  plain_text = test.ECCDecrypt_Hex(cipher_text_hex)
  print("cipher_text_hex解密结果：",plain_text)
  print()

sign_text = test.SM2SignP7PEM(plain)
print("plain_text的签名结果为：", sign_text)

from MySkfClass import *

# 输入dll库文件的绝对地址

dll_path = "C:\WINDOWS\system32\XXXXXX.dll"

test = MySkfClass(dll_path)

print(test.dev_name)

# 加密前需要验证一次PIN

test.VerifyPIN("123456")

plain = "123 456 Hello word 你好世界！。"

print("待加密明文：",plain)

for i in range(1, 6):

print("***********************Test {}***********************".format(i))

cipher_text_hex = test.ECCEncrypt_Hex(plain)

print("plain_text的加密结果为：",cipher_text_hex)

plain_text = test.ECCDecrypt_Hex(cipher_text_hex)

print("cipher_text_hex解密结果：",plain_text)

print()

sign_text = test.SM2SignP7PEM(plain)

print("plain_text的签名结果为：", sign_text)

继续阅读Python3-使用U盾完成数据的加解密（国密算法SKF接口）

2025 年 2 月
一	二	三	四	五	六	日
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28