CSP功能介绍.doc

（一） 加密服务提供程序缩写为：CSP，全称为：Cryptographic Service Provider 即加密服务提供者。它是windows系统中提供的用于加密的软硬件组件。通过对微软的加密应用程序接口即CrytoAPI（或CAPI）的编程访问它来提供身份验证、编码和各种的加密、签名算法。如下图：应用程序不是直接与某个CSP通信。它会调用CAPI的函数，然后操作系统通过CrytoSPI（一个系统接口）筛选这些调用并且把这些调用传递到适合的CSP函数。然后CSP通过对参数的解析调用适当的CSP函数，最后向操作系统返回期盼值（加密操作是由特定的CSP来完成的）。每个CSP是实现全部加密操作的独立模块。每个应用程序中至少需要一个CSP完成加密操作。对于使用多个CSP的情况下，在加密函数调用时需要指定CSP。当然基本加密服务是默认绑定到CAPI的。每一个CSP对CAPI提供不同的实现，例如某些实现了对硬件的支持。CSP有多种类型，且数目在增加中，以下列举几种：Microsoft Base Cryptographic ProviderMicrosoft Strong Cryptographic ProviderMicrosoft Enhanced Cryptographic ProviderMicrosoft AES Cryptographic ProviderMicrosoft DSS Cryptographic Provider更多内容可见：/en-us/library/aa386983.aspxCAPI的功能：向应用开发人员提供对基于windows的应用程序添加验证、编码和加密的能力。CryptoSPI的功能：将CryptoAPI的调用传递给CSP，可以理解为使用CSP。（二） CryptoAPI全称：（Microsoft）Cryptography Application Programming Interface即（微软）加密应用编程接口，也缩写为：CAPI。CAPI提供一套安全相关的函数集合，用于加密、摘要、数字签名等。（三） 密钥存储区密钥可以保存在磁盘、内存或硬件密钥存储区中。例如：可以以文件的形式保存在磁盘中或保存在密钥容器中；也可以保存在例如智能卡硬件的密钥存储区中。（四） 公钥加密Windows密钥库 Windows系统提供两种密钥存储类型（级别）：用户级别：User key store存储在特定用户的 Windows 用户配置文件中计算机级别：machine key store对于所有可以登录到计算机的用户都可用，而且可以使用 ACL 限制对加密密钥信息的访问权限（五） 密钥容器Key container。密钥容器是保存密钥的最小单位，包含了密钥和其它信息。CspParameters向CSP传递执行加密操作的参数。1 指定特定的CSP。2 管理密钥容器3 指定签名密钥或交换密钥重要成员：ProviderType：指定提供程序的类型（按数值）。如下表ProviderName：指定提供程序的类型（按名字）。如下表提供程序类型数值PROV_RSA_FULL1PROV_RSA_SIG2PROV_DSS3PROV_FORTEZZA4PROV_MS_EXCHANGE5PROV_SSL6PROV_RSA_SCHANNEL12PROV_DSS_DH13PROV_EC_ECDSA_SIG14PROV_EC_ECNRA_SIG15PROV_EC_ECDSA_FULL16PROV_EC_ECNRA_FULL17PROV_DH_SCHANNEL18PROV_SPYRUS_LYNKS20PROV_RNG21PROV_INTEL_SEC22PROV_REPLACE_OWF23PROV_RSA_AES24以PROV_RSA_FULL类型为例：用途算法支持KeyExchangeRSASignatureRSAEncryptionRC2 RC4HashingMD5 SHA更多内容可见：/en-us/library/aa380244.aspxKeyNumber：指定密钥用作签名密钥还是交换密钥。交换密钥是一个不对称密钥对，用于加密会话密钥，以便可以安全地存储会话密钥并与其他用户交换会话密钥。通过Exchange值(1)指定交换密钥。与CAPI中使用的AT_KEYEXCHANGE 值对应。签名密钥是不对称密钥对，用于对数字签名的消息或文件进行身份验证。通过Signature值(2)指定签名密钥。与CAPI中使用的AT_SIGNATURE 值对应。默认情况下，KeyNumber字段指定交换密钥。对这个属性对应的有一个同名的枚举KeyNumber：Exchange一个交换密钥对，用于加密会话密钥以使它们可以安全存储并与其他用户交换。Signature一个签名密钥对，用于对数字签名的消息或文件进行身份验证。KeyContainerName：密钥容器名。通过它可以管理密钥容器：创建、获取、释放。目前，在国际上有两种比较通用的对加密设备进行管理的接口。一种是PKCS#11标准 接口，另一种是由Microsoft制定的CSP(Cryptographic Service Provider)标准接口。其中CSP是微软专为Windows系列操作系统制定的底层加密接口，用于管理硬件或软件形式的加密设备，实现数据加密、解密，数字签名、验证和数据摘要(即HASH)等。 CSP是Windows安全应用的基础，在Windows操作系统上实现https安全浏览（即SSL安全数据通信）和实现安全隧道(如Ipsec)功能，都必需有CSP参与密码运算。1 Microsoft CSP简介Cryptographic Service Provider （简称CSP）是Microsoft 公司用来在Windows平台上提供第三方加密模块的接口标准。一个CSP 模块包含了一些标准加密算法的实现，是CAPI 函数的具体执行者，同时CSP 模块也提供了密钥的安全存储和使用机制。 微软提出的 Cryptographic Service Provider(CSP)接口标准是一个包含了标准加密算法实现的软件模块。CSP 在微软操作系统安全体系中是加解密操作的实际执行者，它直接同硬件加密设备（HSE）如smart card，安全协处理器交互。CSP模块实现了CryptoSPI 的一个子集，它实现的算法包括： 非对称加密算法 RSA 1024 位 对称加密算法 DES 56 位 3DES 168 位 摘要算法 MD2 MD5 SHA12 接口CSP v1.0 实现的CryptoSPI 接口函数是： CPAcquireContext CPCreateHash CPDecrypt CPDeriveKey CPDestroyHash CPDestroyKey CPEncrypt CPExportKey CPGenKey CPGenRandom CPGetHashParam CPGetKeyParam CPGetProvParam CPGetUserKey CPHashData CPHashSessionKey CPImportKey CPReleaseContext CPSetHashParam CPSetKeyParamCPSetProvParam CPSignHash CPVerifySignature3 csp体系结构其中，微软基本CSP包括RSABase, DssBase等，还有提供128位以上加密密钥的增强型CSP。基本CSP只提供40位对称加密和512位RSA非对称加密，这样的密钥长度恰在可破密码的范围内，是不安全的。第三方CSP可由加密设备厂商按照微软制定的标准接口开发，通过微软签名后安装到系统中使用。CSP的种类可以有签名型(Signature)、密钥交换型(Key Exchange)和安全通道型(SChannel)等。上图的中间层CryptoAPI是Windows提供的统一安全API接口，它由一组函数构成，该API的全部功能都需要调用下层的CSP服务模块来实现。4 标准及协议CAPI Cryptographic Application Programming InterfaceCSP Cryptographic Service ProviderCSPI Cryptographic Service Provider InterfaceS/MIME - S/MIME is a specification for secure electronic mail. S/MIMEstands for Secure/Multipurpose Internet Mail Extensions and was designedto add security to e-mail messages in MIME format. The security servicesoffered are authentication (using digital signatures) and privacy (using encryption).SSL/TLS TLS(Transport Layer Security) 1.0 is a standardized, slightlymodified version of SSL(Secure Sockets Layer) 3.0 that was issued by theInternet Engineering Task Force (IETF) in January 1999, in document RFC2246. Because TLS has been standardized, developers are encouraged to useTLS rather than SSL. PCT is included for backward compatibility only andshould not be used for new development. When the SChannel securitypackage is used, DCOM automatically negotiates the best protocol, dependingon the client and server capabilities.CSP技术原理微软提供了一个基本CSP，其他商家提供的CSP 包含了他们自己实现的全部或CryptoAPI部分函数。CSP 的技术原理如图1所示。由原理框图可以看出，应用程序并没有直接使用CSP，而是调用操作系统提供的CryptoAPI函