API Java
HSM Dinamo
|
Operaciones de codificación y descodificación según la norma SPB.
Las APIs del módulo SPB están destinadas a la codificación y decodificación de mensajes en el estándar SPB (Sistema Brasileño de Pagos), de acuerdo con el Manual de Seguridad de la RSFN (Rede Nacional do Sistema Financeiro) publicado por el BACEN (Banco Central do Brasil).
El Sistema Brasileño de Pagos (SPB) funciona con un sistema de intercambio de mensajes entre instituciones financieras en una red privada denominada RSFN. Las normas son definidas y publicadas por el Banco Central. Todos los mensajes intercambiados son encriptados y firmados digitalmente utilizando un esquema de sobre digital. El módulo SPB se encarga de gestionar la seguridad de los mensajes.
El módulo SPB realiza básicamente tres funciones: Codificación y Decodificación en mensajes SPB, y gestión de certificados SPB.
La codificación se realiza sobre los mensajes que van a la cola de salida y consiste en:
La descodificación realiza el proceso inverso, actuando sobre los mensajes que llegan a la cola de entrada;
Toda operación con claves públicas y privadas está ligada al uso de certificados X.509, por lo que además de Codificar y Decodificar el módulo SPB también necesita disponer de alguna gestión de certificados.
Cada institución se identifica en el SPB por su código ISPB (8 dígitos) y puede intercambiar mensajes en los llamados dominios de mensajes, cada uno de los cuales requiere un certificado diferente. Cada institución sólo puede tener un certificado activo a la vez en un dominio.
En el módulo SPB, las instituciones (y sus certificados equivalentes) sólo pueden identificarse mediante el código ISPB.
El módulo SPB se encarga de encriptar los mensajes de acuerdo con las definiciones del BACEN, y la estructura de comunicación SPB puede ser utilizada por otros sistemas entre instituciones financieras motivados, por ejemplo, por la aparición de nuevas aplicaciones dentro del BACEN:
En HSM, la gestión de certificados se realiza mediante Mapas, que son objetos de señalización y referencia. Todas las referencias en el módulo SPB son a Mapas, no a claves y certificados.
En cuanto a la nomenclatura interna que se describe a continuación, la idea es que las claves, certificados y mapas sean gestionados por las funciones SPB especializadas de la biblioteca cliente HSM, de forma que estas reglas de nomenclatura sean totalmente transparentes para la aplicación, que sólo tiene que buscar el código SPB.
Si las funciones de codificación y descodificación sólo tuvieran que gestionar mensajes con certificados activos, bastaría con mantener estos certificados en la base, pero hay casos, como un proceso de auditoría, en los que la aplicación necesita abrir o verificar la firma de un mensaje antiguo que se generó con un certificado que ya ha sido desactivado (o que seguirá activado en el futuro). Por eso, el HSM necesita guardar y acumular todos los certificados de la base, tanto propios como de terceros, a medida que se importan, activan y desactivan.
El manual BACEN especifica que los mensajes XML deben representarse en formato Unicode UTF-16 BE. Para mod_SPB no importa, ya que el contenido que se firmará y cifrará en Encode será exactamente el enviado por el usuario, el HSM no convierte automáticamente el texto ni en Encode ni en Decode.
El manual del BACEN menciona mensajes y punteros de archivos que pueden incluirse en el contenido de un mensaje SPB. La diferencia es que los mensajes XML deben representarse en formato UTF16-BE, mientras que los archivos no tienen este requisito.
Esta distinción entre mensaje y archivo es importante para la persona que llama, ya que decidirá si necesita convertir el formato o no antes de enviarlo al HSM.
En el caso de los mensajes que indican contenido comprimido, la premisa de la aplicación es que el remitente dispone de la infraestructura de compresión necesaria, por lo que el HSM firma y cifra lo que la aplicación pasa en Encode, mientras que en el caso del destinatario la premisa es que puede no disponer de la infraestructura de descompresión, por lo que el HSM descomprime el contenido en Decode y entrega el contenido descomprimido, lo que incluye la detección automática de si el estándar utilizado es gzip o pkzip.
Todos los mensajes enviados están firmados, y algunos pueden ser de uso público, sin destinatario especificado.
C04 | Mensaje | Archivo | Firmado | Cifrado | Con cremallera | Destinatario | Codificar | Descodifique |
---|---|---|---|---|---|---|---|---|
0 | x | x | x | |||||
1 | x | x | x | use cert not yet activated | use cert not yet activated | |||
2 | x | x | público | acepta el destino en blanco | acepta el destino en blanco | |||
3 | x | x | ||||||
4 | x | x | ||||||
6 | x | x | público | acepta el destino en blanco | acepta el destino en blanco | |||
8 | x | x | x | x | ya debería recibirlo comprimido | se descomprime automáticamente | ||
10 | x | x | x | público | ya debería recibirlo comprimido | se descomprime automáticamente |
Según la definición de Bacen, los intercambios y activaciones de certificados SPB se realizan dentro del sistema mediante mensajes específicos.
El HSM puede detectar este tipo de mensaje en Decode y promover el intercambio del certificado en la base del HSM automáticamente, sin que la aplicación tenga que llamar explícitamente a la API de activación de certificados.
Se trata de una opción de parametrización de la llamada Decode.
El HSM gestionará la descodificación GEN0007 (aviso de actualización de certificado a través de la difusión BACEN), la respuesta a un GEN0008 (una consulta de certificado digital, cuya respuesta es un GEN0008R1), la respuesta a un GEN0006, así como el GEN0018 (certificado BACEN). Para HSM, GEN0007 y la respuesta a GEN0008 son equivalentes. En el caso de GEN0018, el certificado del mensaje se importa, pero no se activa automáticamente, porque el manual especifica que BACEN envía los mensajes al menos 03 días antes de la activación; por lo que la aplicación es responsable de controlar el tiempo entre la recepción y la activación; y para activarlo basta con informar a CA y NS, porque el certificado ya estará importado en la base de HSM.
El mensaje GEN0006 es utilizado por las instituciones para informar al BACEN de la activación o actualización del estado de un certificado. En el HSM, la respuesta a este mensaje (GEN0006R1) tiene un tratamiento especial para promover la activación del certificado (a partir de la versión de firmware 5.0.16).
El flujo normal de operaciones para activar un nuevo certificado implica un mensaje GEN0006 de la institución al BACEN, que a su vez envía un mensaje de difusión GEN0007 informando a todos los participantes de que el certificado de la institución debe cambiarse. Como la propia institución también recibe este GEN0007, es en este punto (durante la descodificación) cuando la aplicación puede ordenar al HSM que active automáticamente el nuevo certificado en su base local.
Internamente, HSM sólo opera, importa y exporta certificados en formato DER (binario), pero en la biblioteca las operaciones de importación de certificados admiten tanto el formato DER como el PEM (base64), con detección automática.
El módulo SPB del HSM permite realizar operaciones de codificación y descodificación de mensajes SPB utilizando claves y certificados dentro del HSM.
Esto significa que toda la base de certificados y claves privadas de la propia entidad y de las entidades con las que el banco se comunica estará almacenada y centralizada en el HSM, sin necesidad de control externo.
La identificación de las claves y certificados a utilizar se realiza utilizando el código BIPP de las instituciones de forma natural para las aplicaciones convocantes, en lugar del modelo común de utilizar los identificadores nativos de las claves y certificados.
Para establecer esta relación entre los BIPP y las claves y certificados, se utilizó un objeto del HSM denominado map, que simplemente vincula un BIPP a una clave privada y/o un certificado. Esto permite pasar sólo el BISP a una llamada de codificación SPB en lugar de un nombre de clave.
Para facilitar su uso, se define una ley de formación para los nombres de estos objetos.
Para los nombres clave:
k_<ISPB>_<dom>_<yyyymmddhhmmss>
k:
01 carácter, literal<ISPB>
: 08 caracteres, código ISPB<dom>
hasta 05 caracteres, dominio<yyyyymmddhhmmss>
14 caracteres, fecha y hora GMT en que se generó la clave.
Total: hasta 31 caracteres, por ejemplo k_12345678_str01_20131029110223
Para nombres de certificados:
c_<ISPB>_<dom>_<yyyymmddhhmmss>
c:
01 carácter, literal<ISPB>
: 08 caracteres, código ISPB<dom>
hasta 05 caracteres, dominio<yyyymmddhhmmss>
14 caracteres, fecha y hora GMT en que se importó el certificado.
Total: hasta 31 caracteres, por ejemplo c_12345678_spb_20131101120334
La misma ley de formación se aplica a los certificados de terceros.
El mapa es simplemente un objeto interno de HSM que almacena los Id de otros dos objetos. En el caso del módulo SPB, contiene el Id del certificado y el Id de la clave privada. Cada Id ocupa una posición dentro del mapa denominada ranura.
Dado que cada mensaje implica el procesamiento de certificados, el módulo SPB necesita una forma de identificar de forma única cada certificado para cada institución en cada dominio. Según el estándar Bacen, cada certificado tiene un número de serie (SN) de hasta 32 bytes, definido por la autoridad de certificación (CA) que lo emite, pero no hay garantía de que los números de serie sean globalmente únicos, por lo que la identificación del certificado debe incluir información de la CA (cada CA en el SPB tiene un byte de identificación) y el SN, que supera el límite de 32 caracteres para los identificadores HSM; el RFC 3280 también hace esta distinción para identificar de forma única un certificado. Los Ids de los mapas de certificados utilizados en el módulo SPB utilizan un esquema de compresión de nombres.
La solución adoptada es un hash MD5, que tiene exactamente 16 bytes (32 caracteres) y no produce colisión para este caso de uso. La definición de lo que entrará en la composición del hash es (CA+NS), donde CA y SN están compuestos por caracteres hexadecimales en mayúsculas.
ISPB@dom
. O @
se adopta para mejorar la nomenclatura en el cliente, internamente en el firmware @
se traduce en _
.El uso de @dom por parte de la aplicación llamante es opcional; la organización puede no utilizar dominios de aplicación.
Desde el punto de vista de la aplicación que llama, puede referirse a los mapas como ISPB@dom
o CA@NS
para utilizar la misma API de codificación/decodificación. La biblioteca HSM lo detecta automáticamente.
Los mapas permiten que las ranuras apunten a un FQN, lo que significa que el certificado y la clave pueden estar en particiones diferentes. En cualquier caso, el mapa debe existir siempre en la partición del usuario logueado, aunque los ids apuntados en las ranuras estén en otra partición. En principio, la mejor forma de utilizarlo es mantener todos los certificados y claves de un BIP en la misma partición, sin referencias a particiones remotas.
Para facilitar la identificación de objetos y la búsqueda de BISP, los certificados activos y los pares certificado+clave privada disponen de un MAPA con el identificador BISP.
Todos los certificados y pares certificado+clave privada, independientemente de si están activos o no, tienen un MAPA con MD5 id (CA+SN) para su identificación e historial, donde CA es el identificador de la Autoridad de Certificación y SN es el número de serie del certificado.
El nombre del objeto mapa es el identificador de la institución, que puede ser de 2 tipos:
03@00000000000000000000000087654321
12345678@MES01
La documentación de la API indica si se aceptan ambos tipos de identificador o sólo uno de ellos.
Si desea utilizar objetos en las particiones de otros usuarios, debe especificar el id de la partición en el identificador.
La indicación se realiza añadiendo el nombre de la partición donde se encuentran los objetos al principio del identificador, separado por /
.
Por ejemplo: usuario/12345678@MES01
La secuencia de APIs DSPBEncodeInit(), DSPBEncodeCont() y DSPBEncodeEnd() realiza una operación de codificación de mensajes SPB.
La estructura de llamada con secuencia init/cont/end permite a la aplicación llamante utilizar la API con cualquier tamaño de mensaje, incluidos archivos de gran tamaño.
El uso de parámetros con identificadores SPB de origen y destino en las API tiene como objetivo aumentar el nivel de comprobación entre lo que la aplicación realmente tiene (el mensaje SPB) y lo que cree que tiene (los parámetros de la API).
La operación de cifrado no modifica el formato de representación del mensaje, por lo que la aplicación debe enviar el mensaje tal y como lo defina el Banco Central (por ejemplo, UTF-16BE). El mensaje se cifrará y firmará a medida que se reciba.
La secuencia de APIs DSPBDecodeInit(), DSPBDecodeCont() y DSPBDecodeEnd() realiza una operación de descodificación de mensajes SPB.
La estructura de llamada con secuencia init/cont/end permite a la aplicación llamante utilizar la API con cualquier tamaño de mensaje.
El uso de parámetros ISPB de origen y destino en las API pretende aumentar el nivel de comprobación entre lo que la aplicación tiene realmente (el mensaje SPB) y lo que cree que tiene (los parámetros API).
Durante la descodificación, el firmware del HSM es capaz de detectar que el mensaje es sobre un cambio de certificado y realizar ya esta actualización y activación de forma automática (sin necesidad de más acciones por parte de la aplicación), por lo que el flag bAutoUpdateCert debe estar activado.
La operación de descifrado no cambia el formato de representación del mensaje. El mensaje se pasará a la aplicación tal y como fue descifrado.
Para facilitar la gestión y abstraer los detalles más complejos del módulo SPB, el fabricante del HSM proporciona una consola gráfica. A través de ella se pueden realizar fácilmente todas las operaciones relativas a la carga y activación de certificados, generación de claves y solicitudes de certificados, creación y visualización de dominios, autorización de particiones y muchas otras.
Consulte con su proveedor la disponibilidad de la consola de gestión HSM SPB.
Más detalles en la documentación del equipo.
Funciones | |
void | SPBActivateCertificate (String szDomain, byte bCA, String szSN) lanza una TacException |
Activa un certificado ya importado en HSM. | |
void | SPBActivateCertificate (String szDomain, byte bCA, String szSN, int dwParam) throws TacException |
Activa un certificado ya importado en HSM. | |
void | SPBSetISPBMap (String strISPB, String strKeyId, String strCertId) lanza una TacException |
Crea un mapa con la clave y el certificado de la institución en una ranura. | |
byte[] | SPBGenerateCSR (String sPrivateKeyName, String sRazaoSocial, String sISPB, String sSISBACEN, int iSequencial, boolean bProducao, String sCidade, String sUF) throws TacException |
Genera una nueva CSR basada en una clave existente (RSA 2048). | |
byte[] | SPBGenerateCSR (String sPrivateKeyName, String sSubject) throws TacException |
Genera una nueva CSR basada en una clave existente (RSA 2048). | |
byte[] | generatePKCS10CSR (String szKeyId, String szDN, int dwOutType) throws TacException |
Generar un CSR. | |
void | SPBImportCertificate (String szDomain, byte[] bCertificate) lanza una TacException |
Importar un certificado a un espacio de nombres HSM. | |
void | SPBImportCertificate (String szDomain, byte[] bCertificate, boolean isActive) lanza una TacException |
Importar un certificado a un espacio de nombres HSM. | |
void | SPBImportCertificate (String szDomain, byte[] bCertificate, boolean isActive, int dwParam) throws TacException |
Importar un certificado a un espacio de nombres HSM. | |
void | SPBImportPKCS12 (String path, String pass, String domain, boolean isActivate, int dwFlags) lanza una TacException |
Importa un certificado desde un contenedor PKCS#12 al HSM. | |
byte[] | SPBGetCertificate (String strIdCertificate) lanza una TacException |
Recupera un certificado almacenado en un espacio de nombres del HSM. | |
byte[] | SPBDecode (String szSrcISPB, String szDstISPB, byte[] pbMsgIn, boolean bAcceptExpiredCert, boolean bAutoUpdateCert) throws TacSPBException, IOException |
Descodifica un mensaje en el estándar SPB, comprobando las firmas, descifrando, pero no comprueba la codificación. | |
byte[] | SPBDecode (String szSrcISPB, String szDstISPB, byte[] pbMsgIn, boolean bAcceptExpiredCert, boolean bAutoUpdateCert, boolean bEncodingCheck) throws TacSPBException, IOException |
Descifra un mensaje en el estándar SPB, comprobando las firmas y descifrando. | |
byte[] | SPBDecode (String szSrcISPB, String szDstISPB, byte[] pbMsgIn, boolean bAcceptExpiredCert, boolean bAutoUpdateCert, boolean bEncodingCheck, int dwFlags) throws TacSPBException, IOException |
Descifra un mensaje en el estándar SPB, comprobando las firmas y descifrando. | |
byte[] | SPBDecode (String szSrcISPB, String szDstISPB, byte[] pbMsgIn) throws TacException, IOException |
byte[] | SPBEncode (String szSrcISPB, String szDstISPB, byte[] pbMsgIn, byte bSpecialTreatment) throws TacException |
Cifra un mensaje con la cabecera SPB, firmando, cifrando e incluyendo todos los campos de cabecera definidos en el manual de seguridad RSFN. | |
byte[] | SPBEncode (String szSrcISPB, String szDstISPB, byte[] pbMsgIn, byte bSpecialTreatment, int dwFlags) throws TacException |
Cifra un mensaje con la cabecera SPB, firmando, cifrando e incluyendo todos los campos de cabecera definidos en el manual de seguridad RSFN. | |
void SPBActivateCertificate | ( | Cadena | szDominio, |
byte | bCA, | ||
Cadena | szSN ) lanza una TacException |
Activa un certificado ya importado en HSM.
Si hay otro certificado activo, se desactivará. Sólo permanecerá activo un certificado por institución, por dominio dentro de un espacio de nombres HSM.
szDominio | Dominio operativo SPB |
bCA | número de la CA que emitió el certificado |
szSN | Número de serie del certificado a activar. |
TacException |
void SPBActivateCertificate | ( | Cadena | szDominio, |
byte | bCA, | ||
Cadena | szSN, | ||
int | dwParam ) lanza una TacException |
Activa un certificado ya importado en HSM.
Si hay otro certificado activo, se desactivará. Sólo permanecerá activo un certificado por institución, por dominio dentro de un espacio de nombres HSM.
szDominio | Dominio operativo SPB | ||||||
bCA | número de la CA que emitió el certificado | ||||||
szSN | Número de serie del certificado a activar. | ||||||
dwParam | Se admite la siguiente tabla de banderas.
|
TacException |
void SPBSetISPBMap | ( | Cadena | strISPB, |
Cadena | strKeyId, | ||
Cadena | strCertId ) lanza una TacException |
Crea un mapa con la clave y el certificado de la institución en una ranura.
strISPB | - Identificación del mapa (puede ser ISPB) |
strKeyId | - Identificación de claves |
strCertId | - Identificación del certificado |
TacException | Lanza una excepción en caso de error de firma |
byte[] SPBGenerateCSR | ( | Cadena | sPrivateKeyName, |
Cadena | sMotivoSocial, | ||
Cadena | sISPB, | ||
Cadena | sSISBACEN, | ||
int | iSecuencial, | ||
booleano | bProducción, | ||
Cadena | sCiudad, | ||
Cadena | sUF ) lanza una TacException |
Genera una nueva CSR basada en una clave existente (RSA 2048).
sPrivateKeyName | Id de clave en el HSM. |
sRazónSocial | Nombre de la razón social de la organización, de conformidad con el Manual de Seguridad de RSFN. |
sISPB | Código ISPB (08 dígitos). Es el número de base del CNPJ de la institución. |
sSISBACEN | Código SISBACEN de la institución (05 caracteres). |
iSecuencial | Numeración secuencial única para generar el par de claves, de acuerdo con el Manual de Seguridad de RSFN. |
bProducción | Verdadero para indicar un certificado ambiental de producción y falso para indicar un certificado ambiental de homologación. |
sCity | Nombre de la ciudad. Parámetro opcional, puede indicar NUL. |
sUF | Nombre del estado (02 caracteres). Parámetro opcional, puede indicar NUL. |
TacException |
byte[] SPBGenerateCSR | ( | Cadena | sPrivateKeyName, |
Cadena | sSujeto ) lanza una TacException |
Genera una nueva CSR basada en una clave existente (RSA 2048).
sPrivateKeyName | Id de clave en el HSM. |
sAsunto | DN (Dinstinguished Name) del CSR para generar el campo Asunto del certificado. Los campos DN deben estar separados por '/'. |
TacException |
byte[] generatePKCS10CSR | ( | Cadena | szKeyId, |
Cadena | szDN, | ||
int | dwOutType ) lanza una TacException |
Generar un CSR.
szKeyId | nombre clave |
szDN | Cadena terminada en cero de longitud máxima CORE_P10_CSR_DN_MAX_LEN, que contiene el DN (Dinstinguished Name) para generar el CSR. Los campos DN deben estar separados por "/". |
dwOutType | Formato de salida P10_CSR_DER(1) o P10_CSR_PEM(2) |
TacException |
void SPBImportCertificate | ( | Cadena | szDominio, |
byte[] | bCertificado ) lanza una TacException |
Importar un certificado a un espacio de nombres HSM.
szDominio | nombre del dominio al que se importará el certificado |
bCertificado | matriz de bytes que contiene el certificado (formato PEM o DER) |
TacException |
void SPBImportCertificate | ( | Cadena | szDominio, |
byte[] | bCertificado, | ||
booleano | isActive ) lanza una TacException |
Importar un certificado a un espacio de nombres HSM.
szDominio | nombre del dominio al que se importará el certificado |
bCertificado | matriz de bytes que contiene el certificado (formato PEM o DER) |
isActive | activa el certificado tras la importación |
TacException |
void SPBImportCertificate | ( | Cadena | szDominio, |
byte[] | bCertificado, | ||
booleano | isActive, | ||
int | dwParam ) lanza una TacException |
Importar un certificado a un espacio de nombres HSM.
szDominio | nombre del dominio al que se importará el certificado | ||||||||
bCertificado | matriz de bytes que contiene el certificado (formato PEM o DER) | ||||||||
isActive | activa el certificado tras la importación | ||||||||
dwParam | Se admite la siguiente tabla de banderas.
|
TacException |
void SPBImportPKCS12 | ( | Cadena | ruta, |
Cadena | pase, | ||
Cadena | dominio, | ||
booleano | isActivate, | ||
int | dwFlags ) lanza una TacException |
Importa un certificado desde un contenedor PKCS#12 al HSM.
ruta | Ruta del archivo | ||||||||
pase | Contraseña | ||||||||
dwFlags | Parámetros clave adicionales.
| ||||||||
dominio | Dominio de importación | ||||||||
isActivate | Activa el certificado durante la importación |
TacException |
byte[] SPBGetCertificate | ( | Cadena | strIdCertificado | ) | lanza una TacException |
Recupera un certificado almacenado en un espacio de nombres del HSM.
strIdCertificado | identificação do certificado no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". |
TacException |
byte[] SPBDecode | ( | Cadena | szSrcISPB, |
Cadena | szDstISPB, | ||
byte[] | pbMsgIn, | ||
booleano | bAcceptExpiredCert, | ||
booleano | bAutoUpdateCert ) throws TacSPBException, IOException |
Descodifica un mensaje en el estándar SPB, comprobando las firmas, descifrando, pero no comprueba la codificación.
szSrcISPB | identificação do ISPB de origem no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". |
szDstISPB | identificação do ISPB de destino no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". |
pbMsgIn | mensaje codificado en el estándar SPB pasado como una matriz de bytes |
bAcceptExpiredCert | true si el HSM debe aceptar certificados caducados en los mensajes de intercambio de certificados |
bAutoUpdateCert | true para indicar que el HSM debe actualizar automáticamente el certificado de la institución que envió un mensaje de intercambio de certificados SPB |
TacException | Error en el funcionamiento del HSM. |
IOException | Error de escritura en la memoria de descodificación (secuencias). |
byte[] SPBDecode | ( | Cadena | szSrcISPB, |
Cadena | szDstISPB, | ||
byte[] | pbMsgIn, | ||
booleano | bAcceptExpiredCert, | ||
booleano | bAutoUpdateCert, | ||
booleano | bEncodingCheck ) lanza TacSPBException, IOException |
Descifra un mensaje en el estándar SPB, comprobando las firmas y descifrando.
szSrcISPB | identificação do ISPB de origem no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". |
szDstISPB | identificação do ISPB de destino no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". |
pbMsgIn | mensaje codificado en el estándar SPB pasado como una matriz de bytes |
bAcceptExpiredCert | true si el HSM debe aceptar certificados caducados en los mensajes de intercambio de certificados |
bAutoUpdateCert | true para indicar que el HSM debe actualizar automáticamente el certificado de la institución que envió un mensaje de intercambio de certificados SPB |
bEncodingCheck | activar la validación de la gama de codificación |
TacException | Error en el funcionamiento del HSM. |
IOException | Error de escritura en la memoria de descodificación (secuencias). |
byte[] SPBDecode | ( | Cadena | szSrcISPB, |
Cadena | szDstISPB, | ||
byte[] | pbMsgIn, | ||
booleano | bAcceptExpiredCert, | ||
booleano | bAutoUpdateCert, | ||
booleano | bEncodingCheck, | ||
int | dwFlags ) throws TacSPBException, IOException |
Descifra un mensaje en el estándar SPB, comprobando las firmas y descifrando.
szSrcISPB | identificação do ISPB de origem no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". Também pode ser passado o nome do map correspondente, fora do padrão de nomenclatura do módulo SPB em casos específicos, ver dwFlags . | ||||||||||
szDstISPB | identificação do ISPB de destino no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". Também pode ser passado o nome do map correspondente, fora do padrão de nomenclatura do módulo SPB em casos específicos, ver dwFlags . | ||||||||||
pbMsgIn | mensaje codificado en el estándar SPB pasado como una matriz de bytes | ||||||||||
bAcceptExpiredCert | true si el HSM debe aceptar certificados caducados en los mensajes de intercambio de certificados | ||||||||||
bAutoUpdateCert | true para indicar que el HSM debe actualizar automáticamente el certificado de la institución que envió un mensaje de intercambio de certificados SPB | ||||||||||
bEncodingCheck | activar la validación de la gama de codificación | ||||||||||
dwFlags | Define los detalles de descodificación y puede adoptar los siguientes valores descritos en la tabla siguiente.
|
TacException | Error en el funcionamiento del HSM. |
IOException | Error de escritura en la memoria de descodificación (secuencias). |
byte[] SPBDecode | ( | Cadena | szSrcISPB, |
Cadena | szDstISPB, | ||
byte[] | pbMsgIn ) throws TacException, IOException |
Este es un método proporcionado por conveniencia. Difiere del método anterior únicamente en la lista de argumentos que deben utilizarse.
byte[] SPBEncode | ( | Cadena | szSrcISPB, |
Cadena | szDstISPB, | ||
byte[] | pbMsgIn, | ||
byte | bTratamientoEspecial ) lanza una TacException |
Cifra un mensaje con la cabecera SPB, firmando, cifrando e incluyendo todos los campos de cabecera definidos en el manual de seguridad RSFN.
szSrcISPB | identificação do ISPB de origem no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". |
szDstISPB | identificação do ISPB de destino no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". |
pbMsgIn | Mensaje pasado como matriz de bytes. HSM no realiza conversiones automáticas de formato. En el estándar SPB, el formato definido es UTF16-BE, y corresponde a quien llama a la API asegurarse de que el mensaje utiliza el formato correcto. |
bTratamientoEspecial | Indicador de tratamiento especial. Punto 5.6 del manual de cabecera de seguridad RSFN. |
TacException |
byte[] SPBEncode | ( | Cadena | szSrcISPB, |
Cadena | szDstISPB, | ||
byte[] | pbMsgIn, | ||
byte | bTratamientoEspecial, | ||
int | dwFlags ) lanza una TacException |
Cifra un mensaje con la cabecera SPB, firmando, cifrando e incluyendo todos los campos de cabecera definidos en el manual de seguridad RSFN.
szSrcISPB | identificação do ISPB de origem no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". Também pode ser passado o nome do map correspondente, fora do padrão de nomenclatura do módulo SPB em casos específicos, ver dwFlags . | ||||||||||
szDstISPB | identificação do ISPB de destino no formato "<ISPB>@<Dominio>". Por exemplo: "11223344@SPR". Também pode ser passado o nome do map correspondente, fora do padrão de nomenclatura do módulo SPB em casos específicos, ver dwFlags . | ||||||||||
pbMsgIn | Mensaje pasado como matriz de bytes. HSM no realiza conversiones automáticas de formato. En el estándar SPB, el formato definido es UTF16-BE, y corresponde a quien llama a la API asegurarse de que el mensaje utiliza el formato correcto. | ||||||||||
bTratamientoEspecial | Indicador de tratamiento especial. Punto 5.6 del manual de cabecera de seguridad RSFN. | ||||||||||
dwFlags | Define los detalles de descodificación y puede adoptar los siguientes valores descritos en la tabla siguiente.
|
TacException |