MicrosoftCryptoAPI加密技术.docVIP

转载〉Microsoft CryptoAPI加密技术（一） Microsoft CryptoAPI加密技术（一）作者:Cuick 下载本文示例源代码在这个信息爆炸的时代，我们不得不对信息的安全提高警惕。加密作为保障数据信息安全的一种方式，越来越受到人们的关注。下面，我将把自己对Microsoft CryptoAPI的一些肤浅的理解与大家共享，有什么不妥之处望不吝赐教。 一、 加密方法：当初，计算机的研究就是为了破解德国人的密码，人们并没有想到计算机给今天带来的信息革命。随着计算机的发展，运算能力的增强，密码学已经取得了巨大的进展。大体来说有以下几种形式。1、 公用密钥加密技术加密和解密使用不同的密钥，分别叫做“公钥”和“私钥”。顾名思义，“私钥”就是不能让别人知道的，而“公钥”就是可以公开的。这两个必须配对使用，用公钥加密的数据必须用与其对应的私钥才能解开。这种技术安全性高，得到广泛运用，但是效率太低。2、 对称密钥加密技术要求加密和解密过程使用相同的密钥，这样，密钥必须只能被加解密双方知道，否则就不安全。这种技术安全性不高，但是效率高。3、 结合公用和对称密钥加密技术公钥加密技术以速度为代价换取了高安全性，而对称加密以低安全换取高性能，所以另一种常见的加密方法就是结合以上两种技术。用对称加密算法对数据进行加密，然后使用更安全的但效率更低的公钥加密算法对对称密钥进行加密。4、 数字签名和鉴别就是对已经加密的数据“签名”，这样接收者可以知道加密的数据的来源，以及是否被更改。 二、 CryptoAPI微软的CryptoAPI是PKI推荐使用的加密 API。其功能是为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。CryptoAPI处于应用程序和CSP（cryptographic service provider）之间（见图一）。 CryptoAPI的编程模型同Windows系统的图形设备接口 GDI比较类似，其中加密服务提供者CSP等同于图形设备驱动程序 ，加密硬件（可选）等同于图形硬件，其上层的应用程序也类似，都不需要同设备驱动程序和硬件直接打交道。 CryptoAPI共有五部分组成：简单消息函数（Simplified Message Functions）、低层消息函数（Low-level Message Functions）、基本加密函数（Base Cryptographic Functions）、证书编解码函数（Certificate Encode/Decode Functions）和证书库管理函数（Certificate Store Functions）。其中前三者可用于对敏感信息进行加密或签名处理，可保证网络传输信心的私有性；后两者通过对证书的使用，可保证网络信息交流中的认证性。 三、 CSP看到这里，大家也许对CSP还比较迷惑。其实CSP是真正实行加密的独立模块，他既可以由软件实现也可以由硬件实现。但是他必须符合CryptoAPI接口的规范。 每个CSP都有一个名字和一个类型。每个CSP的名字是唯一的，这样便于CryptoAPI找到对应的CSP。目前已经有9种CSP类型，并且还在增长。下表列出出它们支持的密钥交换算法、签名算法、对称加密算法和Hash算法。(表一) CSP类型 交换算法 签名算法 对称加密算法 Hash算法 PROV_RSA_FULL RSA RSA RC2RC4 MD5SHA PROV_RSA_SIG none RSA none MD5SHA PROV_RSA_SCHANNEL RSA RSA RC4DESTriple DES MD5SHA PROV_DSS DSS none DSS MD5SHA PROV_DSS_DH DH DSS CYLINK_MEK MD5SHA PROV_DH_SCHANNEL DH DSS DESTriple DES MD5SHA PROV_FORTEZZA KEA DSS Skipjack SHA PROV_MS_EXCHANGE RSA RSA CAST MD5 PROV_SSL RSA RSA Varies Varies 从图一可以看到，每个CSP有一个密钥库，密钥库用于存储密钥。而每个密钥库包括一个或多个密钥容器（ Containers）。每个密钥容器中含属于一个特定用户的所有密钥对。每个密钥容器被赋予一个唯一的名字。在销毁密钥容器前CSP将永久保存每一个密钥容器，包括保存每个密钥容器中的公/私钥对（见图二）。 四、 创建密钥容器，得到CSP句柄说了这么多只是一些理论性的东西，后面将详细介绍一下Microsoft CryptoAPI的使用方法。 我们已经提过