22个人对MicrosoftCSP知识所了解.doc

Microsoft CSP简介 一、有关加密API的国际标准 Generic Security Services API (GSS-API) Intel/OpenGroup CDSA RSA PKCS#11 Cryptographic Token Interface (Cryptoki) Standard RSA BSAFE API 微软CryptoAPI V2.0 其中，CDSA 、RSA PKCS#11和微软CryptoAPI在实际中应用得较多，也是PKI推荐使用的加密 API。 二、CSP简介 CSP是Cryptographic Service Provider的简称，是Microsoft 公司用来在Windows平台上提供第三方加密模块的接口标准。用于管理硬件或软件形式的加密设备，实现数据加密、解密、数字签名、验证和数据摘要等。 CSP是Windows安全应用的基础，在Windows操作系统上实现https安全浏览和实现安全隧道功能，都必需有CSP参与密码运算。一个CSP 模块包含了一些标准加密算法的实现，是CAPI 函数的具体执行者，同时CSP 模块也提供了密钥的安全存储和使用机制。CSP 在微软操作系统安全体系中是加解密操作的实际执行者，它直接同硬件加密设备（HSE）如smart card，安全协处理器交互。 三、CSP组成 CSP是Windows平台上加解密运算的最核心层实现，是真正执行加密工作独立的模块。与Windows的接口以DLL形式实现。 按照CSP的不同实现方法，可分为纯软件实现与带硬件的实现，其中带硬件的实现CSP按照硬件芯片不同，可以分为使用智能卡芯片(内置加密算法)的加密型和不使用智能卡芯片的存储型两种，与计算机的接口现在一般都用USB，所以把CSP硬件部分称为USB Key。物理上一个CSP由这几部分组成：动态链接库，签名文件，签名文件保证提供者经过了认证，操作系统能识别CSP，操作系统可利用其定期验证CSP，保证其未被篡改。还可以使用辅助的DLL实现CSP，辅助的DLL不是CSP的一部分，但是包含CSP调用的函数，辅助的DLL也必须被签名，并且签名文件必须可用，每个DLL在装载库之前被验证签名，每个CSP都有一个名字和一个类型。若有硬件实现，则CSP还包括硬件装置。 四、CSP实现 在实现微软的CSP时采取了如上图所示:CSP设计框架。通过智能密码钥匙专用API实现了微软CSP。为了兼容NetScape浏览器等所支持的PKCS#11，在实现PKCS#ll的基础上，通过调用PKCS#ll接口实现微软CSP服务编程接口。 五、CSP特点 CSP加密服务提供者(Cryptographic Service Provider)具有一下几个特点： CSP是真正执行密码运算的独立模块 物理上一个CSP由两部分组成：一个动态连接库，一个签名文件 签名文件保证密码服务提供者经过了认证，以防出现攻击者冒充CSP 若加密算法用硬件实现，则CSP还包括硬件装置 Microsoft通过捆绑RSA Base Provider，在操作系统中提供一个CSP，使用RSA公司的公钥加密算法，更多的CSP可以根据需要增加到应用中。 Windows 2000以后自带了多种不同的CSP 六、加密体系结构 Windows OS提供的加密服务体系结构可分为加密服务层、系统层和应用层。微CryptoAPI体系结构如图所示，CryptoAPI之上是应用程序，之下是加密服务提供层。操作系统根据上层的API调用来选择合适的SPI，相应的CSP 则通过统一的接口(SPI)来得到上层调用的参数，API 函数的具体实现则由具体对应的CSP提供。上层的应用程序与本层CSP具有相互独立性。应用程序可以使用任意一个CSP，而不必关心CSP的具体实现细节。当上层应用程序不使用CSP时，则加密服务层就作为透明传输。为了保证微软CryptoAPI能识别该CSP,使它成为微软合法的CSP，还必须获得微软授予的一个签名文件。 七、USB KEY应用技术 USB KEY 具有使用方便、安全性高等特点，而且USB KEY内含智能卡，能进行多种算法的运算，运算能力强。智能卡内嵌有小型操作系统COS，它可以有效控制外部对卡内数据的访问权限，必须要验证相关的密钥才能获得内部核心数据，所以具有较高的安全性。 USBKEY还支持多种加密算法，智能卡包含3DES等对称加密算法，RSA和ECC等公钥加密算法。它既能生成密钥，又能存储密钥，还可以进行签名认证，而且具有密钥生成速度快的优点。 当USB KEY经过初始化后，它才成为真正意义上的“容器”，在应用程序操作过程中产生的数据，如过程密钥、数字证书RSA 密钥对以及密码运算中的明文或密文，都能够存放到US