在 SafeW 官网，您将了解到如何为旧系统集成国密算法的密钥接口。

SafeW 中国国家密码管理局算法的应用及定位

SafeW把国密算法视为一条「合规可审计」的加密基线，而非简单的算法替换。它将SM2密钥对、SM3摘要、SM4分组加密封装成一套「国密Provider」，供旧系统通过JCE、PKCS#11或REST三种形态调用。核心关键词「SafeW国密接口」首次出现，后续简称「国密Provider」。

与原生的OpenSSL相比，SafeW在以下两个方面进行了增强：首先，它将私钥锁定在手机的TEE+SE安全环境中，确保云端不存储任何私钥信息；其次，每一次签名操作都会生成一份无法篡改的审计日志，并直接导出为欧盟MiCA和美国TIA标准都可识别的CSV格式。通过实际观察发现，尽管在CPU占用率相同的情况下，SM2签名的处理时间比ECDSA P-256大约慢20%，但它换来了国家密码管理局的合规性以及更便捷的审计功能，对于金融和政企领域已有的系统而言，反而能减少二次审查的成本。

版本演变之路：v5.9如何蜕变为v6.3.0

v5.9仅提供SM2静态库，需要开发者自己写JNI；v6.1把SM2/SM3/SM4打包进「RegCheck」模块，但只支持移动端本地调用；v6.3.0新增「Legacy Bridge」子进程，专门给Windows/Linux老后台用，通过本地回环HTTP+JSON转发，实现「零改造」嵌入。只要旧系统能发HTTP POST，十分钟内即可接入国密。

版本差异带来的坑：v6.2之前生成的SM2私钥是PKCS#8明文，v6.3.0默认用SM4-CBC包裹，旧系统若直接读PEM会报「invalid private key」。SafeW在升级时自动把老密钥转格式，但只保留30天，逾期需用助记词重新导入。

必备条件：需要检查软硬件配置是否符合合规清单要求。

手机端：Android 10+/iOS 15+，且已升级至SafeW v6.3.0（截至当前的最新版本）
对于桌面端用户，需要使用Windows 10 22H2、Windows服务器系统 2016或Ubuntu 20.04 LTS及更新的版本，并确保已安装Legacy Bridge组件。您可以在官网的“Business”板块，通过“Download”页面下载“Legacy Bridge (SM)”。
关于国密资质的要求是：服务器端必须拥有国家密码管理局颁发的二级或以上《商用密码产品认证证书》，或者直接采用SafeW预置的白标云HSM。
网络配置要求：Legacy Bridge 和手机需置于同一局域网内，或者通过手机的 USB 网络共享连接。请关闭代理，以免证书固定失效。

若不满足上述任一要求，RegCheck审计报告将显示「环境不合规」，并立即启动SafeW的「强制离线」机制：届时，所有签名相关的接口将返回403错误，直至再次通过检查。

通过三个简单的步骤即可完成接口配置。

第一步：在手机上创建SM2密钥对

在SafeW中，依次进入「工具箱」、「国密中心」并选择「生成密钥」。将「用途」设为「遗留系统调用」，算法会自动选择SM2。接着，系统会询问「是否将私钥锁定至TEE」，请选择「是」。操作完成后，将生成一个包含证书序列号（SN）和端点IP的二维码，其有效期为30分钟。

温馨提示：即使在 iOS 设备上启用了“iCloud 钥匙串”备份功能，您的私钥也不会被上传。该功能仅会同步您的公钥证书到 iCloud，以便在不同设备间便捷地获取，这并不会影响合规性。

第二步：在桌面端启动 Legacy Bridge

在Windows系统中，您需要依次点击“开始”菜单，找到“SafeW Legacy Bridge”，然后右键选择“以管理员身份运行”。首次启动时，系统会提示您进行防火墙授权，请务必勾选“专用网络”。对于Linux系统，请先解压文件，然后执行相关操作。sudo ./sm-bridge --daemon系统默认在127.0.0.1的2626端口上进行监听。

完成手机扫码操作后，Bridge将自动完成配置写入：~/.safew/bridge.json（Windows系统下的路径是%ProgramData%\SafeW\bridge.json如果扫码超时，您可以在手机上的“国密中心”->“遗留系统”中，选择“手动输入IP”，然后填写电脑的内网地址。

第三步：对旧系统进行HTTP POST请求的测试。

旧系统只需兼容HTTP，无需额外驱动。此处提供一个简易的Python示例，用于验证SM2签名：

import requests, base64
payload = {
  "api": "sm2_sign",
  "data": "48656c6c6f",  # Hex格式
  "key_sn": "SM2-12345678"
}
r = requests.post("http://127.0.0.1:2626/gw", json=payload)
print(base64.b64decode(r.json()["sig"]))

若返回200且sig长度64字节，即表示链路打通。此时SafeW手机端会弹出「生物识别确认」弹窗，指纹/人脸通过后签名回传，全程私钥不离开TEE。

平台差异速查

平台	最短路径	注意点
Android	在侧边栏找到“国密中心”，然后点击“生成密钥”。	若要成功通过 USB 共享网络，请务必开启「附近设备」权限。
iOS	点击底部导航栏的“工具箱”，再进入“国密中心”。	使用Lightning网线连接时，建议禁用“私有地址”功能，以防止IP地址出现不稳定的情况。
Windows服务器系统	在开始菜单中找到 Legacy Bridge（以管理员身份运行）。	若出现代码为0xD4的蓝屏故障，需要用户手动安装KB600317补丁进行修复
Ubuntu	./sm-bridge --daemon	需要libssl1.1支持；如果在22.04版本中找不到，可以...`通过apt命令安装libssl1.1t库。`

权衡与选择：不宜采用国密接口的场景

1. 海外业务为主：若用户集中在北美、欧盟，SM2证书默认不在浏览器信任链，需要额外植入根证书，维护成本高于直接用ECDSA P-256。

2. 高频低延迟场景：经验性观察，SM2签名+TEE弹窗确认整体耗时约600-900 ms，而传统软签ECDSA仅20 ms。交易所撮合引擎、游戏实时背包等场景会明显卡顿。

3. 纯离线环境：Legacy Bridge依赖手机在线，若机房禁止任何无线信号，则无法完成生物识别确认，只能回退到预置密钥卡，失去SafeW「私钥零导出」优势。

注意：RegCheck报告生成后，会被追加记录到StealthVault 2.0的日志中，且无法删除。如果在测试阶段希望“擦除记录”，请前往“设置”>“实验室”>“国密沙盒”开启“沙盒模式”。启用沙盒模式后，日志将仅存储在设备本地，不会上传到区块链。

故障排除：签名请求被拒绝（403 NoPerm）

具体表现为：旧系统在 POST 请求后会收到 403 错误，而手机端则没有弹出任何提示。
可能出现此问题，是因为RegCheck检测到您的电脑系统时间误差超过了5分钟。
请在Bridge的日志中进行查找以确认。clock_skew该字段若数值超过5000，则视为符合条件。
解决方案：在电脑上开启NTP时间同步功能，然后重启Bridge，之后便可再次发起请求。

若日志出现cert_chain_exired，则是手机端证书已过有效期（默认1年），需在「国密中心」→「续期」里重新扫码，旧系统的key_sn会保持不动，无需改代码。

哪些场景适合使用，哪些不适合

维度	适用	不适用
行业合规	金融、政府、企业和医疗等行业需要通过国家密码管理局的检测。	专注于海外的Web3游戏开发和NFT发行业务。
并发量	<200次/分钟，可接受TEE延迟	实现快速交易撮合，并能即时下发物联网指令
改造预算	无需编写代码，通过HTTP即可快速集成。	一些老旧系统所使用的编程语言（例如COBOL）不具备原生的HTTP库支持。
离线要求	允许临时断开连接，但需在48小时内完成数据同步。	长时间不在线，并且没有可用的移动设备。

可直接张贴上墙的最佳实践指南

上线前先在「沙盒模式」跑1000笔签名，确认无403/500再切正式
将 Bridge 的监听端口从默认的 2626 更改为一个非常规端口，并通过防火墙策略仅允许旧系统 IP 地址进行访问。
为防范因证书过期而在凌晨触发告警，建议每季度执行一次续期模拟演练。
审计用的 CSV 文件，请使用 Git LFS 进行归档，并保存七年。文件名需要包含 UTC 时间戳，以便 MiCA 抽检时能够快速查找。
当业务量激增需要水平扩展时，可以在多台电脑上启动 Bridge 服务。通过手机端的“多设备授权”功能，将同一密钥映射到这些 Bridge 实例上，然后采用轮询（Round-Robin）方式进行负载均衡即可。

常见问题解答（结构化数据格式）

老旧的系统仅支持PKCS#11协议，是否可以不使用HTTP连接？

可以，SafeW v6.3.0的Legacy Bridge已包含该功能。libsw_pkcs11.so（适用于Windows系统sw_pkcs11.dll），把驱动路径填入旧系统即可，接口仍是HTTP，只是被驱动封装成C_Login/C_Sign，无需改业务代码。

TEE弹窗连续失败三次导致账号被锁定，该如何快速处理？

用助记词在「设置→安全→冷恢复」里重新生成密钥对，旧key_sn即刻作废，需在旧系统配置里更新对应证书。整个过程约3分钟，RegCheck会写入「应急恢复」事件，不影响审计连续性。

Bridge日志占用的磁盘空间急剧增多，请问有什么清理方法？

Linux下执行logrotate -f /etc/logrotate.d/safew-bridge在Windows中，请前往“设置→日志→归档”，并勾选“保留最近30天”。请务必避免直接删除日志文件，否则RegCheck会因“日志缺失”而报错。

结语与下一步

SafeW的国密接口把「合规」「零改造」「可审计」三件事打包成一条HTTP通道，对预算紧张、排期紧凑的遗留系统尤其友好。记住：先沙盒、再续期、最后归档，三步走稳，MiCA/BaFin抽查就能一次过。

接下来，请获取最新版本的 Legacy Bridge，并在测试环境中运行您提供的 Python 脚本。然后，将签名耗时和审计 CSV 文件大小这两项指标设定为基准值，以此作为未来版本升级效果的衡量标准。如果需要更高的并发处理能力，您可以参考 SafeWare 官方发布的《TEE 并行调度模型》白皮书。不过，该白皮书目前尚未正式发布，社区流传的内容仅为初步观察，请勿将其应用于生产环境的承诺。