PKCS#11及CSP接口标准.docx

PKCS#11及CSP接口标准RSA非对称密码算法的三个创始人的姓的第一个字母联合起来就是RSA了，他们三个创建的公司的名字也就叫做RSA。在RSA有一个著名的公钥算法的实验室，这个实验室颁发的一系列行业标准就称作为PKCS标准，其中PKCS#11（简称P11）就是针对密码设备的接口指令标准。目前最新的版本应该是2.3了。P11模型中重要的概念之一是slot，也称为槽。一个slot为一个密码设备对象。某个打开的slot会话称之为session。Session之间存在不同的验证权限。而同一个slot的不同的session之间存在操作的互相影响性，同时在某些状况下，权限会发生同步。另外一个重要的概念是对象。P11中支持几种重要的对象，如公钥、私钥、对称密钥，数据对象等。PKCS#11创建和支持下列对象：对象说明CKO_DATA应用程序定义的对象。对象的数据结构可由应用程序任意定义，但是数据意义的解释由应用程序负责。CKO_SECRET_KEY对称加密算法使用的密钥。CKO_CERTIFICATEX.509CKO_PUBLIC_KEYRSACKO_PRIVATE_KEYRSACKO_MECHANISM算法对象PKCS#11的对象可根据其生命期长短的不同分成两大类：一类是持久存储的类对象，这类对象被保存在USBKey的安全存储区域当中，直到应用程序主动删除这些对象；另一类是会话对象，这类对象只存在于运行时建立的特定会话（Session对象）当中，一旦会话结束，这类对象也跟着被删除。决定对象生命期的模板属性是CKA_TOKEN，这是个布尔值，所有的对象都有这一属性。当该值为TRUE时，该对象将被保存到Key内的存储空间，否则，该对象保存在会话空间中，当会话结束后，该对象即销毁。PKCS#11的对象除了生命期长短有分别之外，在访问权限上也有限制。所有的对象都可根据访问权限的不同分成两大类：一类是公开对象，这类对象是任何用户都可以访问的；另一类是私有对象，这一类对象只有身份被验证的用户才有权访问。决定对象的访问限制类型的模板属性是CKA_PRIVATE。这是个布尔值，所有的对象都有这一属性。应用程序可根据需要决定对象应为私有对象还是公开对象。P11标准颁发了70余条指令。其中部分指令简介如下表：接口类型函数名称描述通用接口函数C_Initialize初始化CryptokiC_Finalize整理各种适合Cryptoki的资源C_GetInfo获得关于Cryptoki的通用信息C_GetFunctionList获得Cryptoki库函数的进入点槽和令牌管理函数C_GetSlotList获得系统中槽的名单C_GetSlotInfo获得关于特殊槽的信息C_GetTokenInfo获得关于特殊令牌的信息C_WaitForSlotEvent等待槽事件(令牌插入，转移等)的发生C_GetMechanismList获得由令牌支持的机制的名单C_GetMechanismInfo获得关于特殊机制的信息C_InitToken初始化一个令牌C_InitPIN初始化普通用户的PINC_SetPIN改变现在用户的PIN会话管理函数C_OpenSession打开一个应用程序和特殊令牌之间的连接或安装一个应用程序呼叫返回令牌插入C_CloseSession关闭一个会话C_CloseAllSessions用令牌关闭所有的会话C_GetSessionInfo获得关于会话的信息C_GetOperationState获得会话的加密操作状态C_SetOperationState设置会话的加密操作状态C_Login注册一个令牌C_Logout从一个令牌注销对象管理函数C_CreateObject建立一个对象C_CopyObject建立一个对象的拷贝C_DestroyObject销毁一个对象C_GetObjectSize获取字节中一个对象的大小C_GetAttributeValue获取一个对象的属性值C_SetAttributeValue改变一个对象的属性值C_FindObjectsInit初始化一个对象的搜索操作C_FindObjects继续一个对象搜索操作C_FindObjectsFinal完成一个对象搜索操作加密函数C_EncryptInit初始化一个加密操作C_Encrypt加密单部分数据C_EncryptUpdate继续一个多部分加密操作C_EncryptFinal完成一个多部分加密操作解密函数C_DecryptInit初始化一个解密操作C_Decrypt解密单部分加密数据C_DecryptUpdate继续一个多部分解密操作C_DecryptFinal完成一个多部分解密操作消息解密函数C_DigestInit初始化一个消息摘要操作C_Digest摘要单部分数据C_DigestUpdate继续一个多部分摘要操作C_DigestKey摘要一个密钥C_DigestFinal完成一个多部分摘要操作签名和消息鉴别函数C_SignInit初始化一个签名操作C_Sign签名单部分数据C_SignUpdate继续一个多部分签名操作C_SignFinal完成一个多部分签名操作C_SignRecoverInit初始化一个签名操作，在操作中数据能从签名中恢复C_SignRecover签名单部分数据，在操作中数据能从签名中恢复签名鉴定消息鉴别函数C_VerifyInit初始化一个鉴定操作C_Verify在单部分数据上鉴定一个签名C_VerifyUpdate继续一个多部分鉴定操作C_VerifyFinal完成一个多部分鉴定操作C_VerifyRecoverInit初始化一个鉴定操作，在操作中数据能从签名中恢复C_VerifyRecover在单部分数据上鉴定一个签名，在操作中数据能从签名中恢复双效加密函数C_DigestEncryptUpdate继续类似的多部分摘要和加密操作C_DecryptDigestUpdate继续类似的多部分解密和摘要操作C_SignEncryptUpdate继续类似的多部分签名和加密操作C_DecryptVerifyUpdate继续类似的多部分解密和鉴定操作密钥管理函数C_GenerateKey产生一个保密密钥C_GenerateKeyPair产生一个公共/私钥对C_WrapKey加密一个密钥C_UnwrapKey解密一个密钥C_DeriveKey从基础密钥派生一个密钥随机数生成函数C_SeedRandom把一个附加种子材料加入随机数字生成器C_GenerateRandom生成随机数并行功能管理函数C_GetFunctionStatus已废弃函数，返回CKR_FUNCTION_NOT_PARALLELC_CancelFunction已废弃函数，返回CKR_FUNCTION_NOT_PARALLEL3、CSP接口标准CSP接口标准为微软所颁发，在windows操作系统上通行。CSP中重要的概念是容器（container）。一个容器中具有一对公私钥。而证书却是这一对密钥的附加属性了。CSP总共有23个函数接口。简介如下：接口类型函数名称描述CSP连接函数CPAcquireContext为应用程序创建一个上下文CPGetProvParam返回CSP相关的信息CPReleaseContext释放CPAcquireContext创建的上下文CPSetProvParam设置CSP的参数操作CSP密钥生成和交换函数CPDeriveKey从一个数据散列中生成一个会话密钥，它保证生成的密钥互不相同CPDestroyKey释放一个密钥句柄，释放后，句柄将无效，密钥将无法再被访问CPExportKey从CSP容器中导出密钥CPGenKey用来生成密钥或密钥对CPGenRandom使用随机数填充一个缓冲CPGetKeyParam用来得到加密操作密钥的属性CPGetUserKey用来获取CSP容器中的持久密钥对CPImportKey从一个blob中导入密钥到CSP容器中CPSetKeyParam设置密钥的属性CSP加解密函数CPDecrypt用来解密先前被加密的数据CPEncrypt用来加密明文CSP散列和数字签名函数CPCreateHash初始化并散列输入数据CPDestroyHash删除一个散列对象句柄CPDuplicateHash创建一个散列对象的拷贝CPGetHashParam获取散列对象的计算结果CPHashData散列输入的数据CPSetHash