Internet安全协议与标准第课.ppt

7/10/2003 Internet安全协议及标准 Internet安全协议与标准第5课 唐礼勇 博士 tly@ CryptoAPI简介 有关加密API的国际标准和规范 Generic Security Services API (GSS-API) Intel/OpenGroup CDSA Layered Services Architecture Wide industry support RSA PKCS#11 Cryptographic Token Interface (Cryptoki) Standard 目前最新版本为2.11 RSA BSAFE API 微软CryptoAPI V2.0 对微软产品的公共支持 其中，CDSA 、RSA PKCS#11和微软CryptoAPI在实际中应用得较多，也是PKI推荐使用的加密 API 其他加密算法库 openssl 由SSLeay发展而来，可免费使用 文档严重不足，接口复杂 为C语言设计，但可通过shell脚本语言扩展 / Crypto++ 使用C++设计，利用了C++的许多特性，自由软件，可免费使用 文档不足，易用性尚可 /~weidai/cryptlib.html Cryptix 使用Java实现，自由软件(要求版权提示) 功能全面，但接口复杂 / Cryptlib Peter Gutmann设计，健壮、精心组织、高效 只对非商业用途免费 为C语言设计，跨平台，支持Delphi及其他可使用ActiveX的语言 文档丰富、易用性好 http://www.cs.auckland.ac.nz/~pgut001/cryptlib PGP SDK Microsoft的密码系统框架 微软最先在1996关注密码系统问题，引入 CryptoAPI (1.0 and 2.0) 和CAPICOM 支持CryptoAPI的系统 Windows 95OSR2, Windows 98/Me Windows SP3, Windows 2000/XP .NET框架中的安全 通过引入System.Security.Cryptography名字空间 CryptoAPI功能 CryptoAPI 为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口 CryptoAPI 1.0包含对密码系统的支持 密钥交换、管理 Cryptographic Service Providers CryptoAPI 2.0 添加了对证书管理的支持 Cryptographic Service Provider 系统结构的可插入构件 可以通过使用不同的CSP来扩展不同的安全功能 CAPICOM 一系列对普通CryptoAPI 2.0功能进行包装的COM类 尽管可以直接访问CryptoAPI，但有时使用CAPICOM对象还是要容易些 CryptoAPI在系统中的地位 CryptoAPI的应用 加密服务提供者CSP(Cryptographic Service Provider) CryptoAPI应用注解 应用程序不直接和CSP通信 应用程序调用CryptoAPI函数， CryptoAPI函数通过CryptoSPI由调用实际的CSP 由CryptoAPI函数中的一个参数来指明使用哪个CSP进行给定的密码操作。 CryptoAPI 2.0的体系结构 函数分类 CryptoAPI提供5类函数 Base cryptographic functions Context functions: 连接CSP Key generation functions：生成和存储密钥 Key exchange functions: 交换或传输密钥 Certificate encode/decode functions Certificate store functions Simplified message functions, used to encrypt and decrypt messages and data sign messages and data verify the authenticity of signatures on received messages and related data Low-level message functions 关于CSP CSP是真正执行加密工作的独立的模块 物理上一个CSP由两部分组成：一个动态链接库，一个签名文件 签名文件保证提供者经过了认证，以防出现攻击者冒充CSP。 若加密算法用硬件实现，则CSP还包括硬件装置 Microsoft通过捆绑RSA Base Provider在操作系统级提供一个CSP，使用RSA公司的公钥加密算法，更多的CSP可以根据需要