sclence end Tecnolay Inveor Horo科技創(chuàng)新導(dǎo)報學(xué)術(shù)論壇Microsoft CSP分析與設(shè)計朱節(jié)中(南京信息工程大學(xué)江蘇南京 210044)摘要:本文分析了Windows32平臺的數(shù)字加密與數(shù)字簽名體系,深人闡述了加密簽名算法的標(biāo)準(zhǔn)的CSP接口,基本組成,以及CSP的具體實現(xiàn)方法。關(guān)鍵詞:系統(tǒng)安全CSP USB 電子鑰匙數(shù)據(jù)加密中圖分類號: G623.58文獻(xiàn)標(biāo)識碼:A文章編號: 1674-098(2007)11(C)-0141-021引言存儲和算法實現(xiàn)等方面。在Windows系統(tǒng)中應(yīng)用程序編程接口(Crypto API), 為應(yīng)用程序PKI是- -個用公鑰概念與技術(shù)來實施，并PKI的應(yīng)用實現(xiàn)途徑之一就是開發(fā)相應(yīng)的進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)簽名服務(wù)。提供一套安全服務(wù)的具有一-般通用性的安全基CSP. 為了和我國密碼算法標(biāo)準(zhǔn)想結(jié)合，自行Crypto API 架構(gòu)”如圖1所示，共有五個礎(chǔ)設(shè)施"。它涉及到多個實體之間的協(xié)作過開發(fā)了具有自主知識產(chǎn)權(quán)的CSP,它不僅兼容部分組成: 基本加密函數(shù)、證書編解碼函數(shù)和程:認(rèn)證機(jī)構(gòu)、注冊機(jī)構(gòu)、證書庫、密鑰備目前使用的一些通用加密算法如DS A、證書庫管理函數(shù)、簡單消息雨數(shù)、低層消息份與恢復(fù)服務(wù)器、證書吊銷處理系統(tǒng)，PKIDES, SHAI 和HMAC,而且還兼容我國的加函數(shù)。其中前三個可用于對敏感信息進(jìn)行加應(yīng)用接口和最終用戶等。支撐PKI安全技術(shù)密算法。本文就如何開發(fā)CSP進(jìn)行了探討并密或箢 名處理,保證網(wǎng)絡(luò)中信息傳輸?shù)碾[秘性，的核心是公鑰密碼技術(shù),每個用戶使用一-對或給出 了相應(yīng)的設(shè)計方案和實現(xiàn)實例。后兩者通過對證書的使用,保證網(wǎng)絡(luò)信息交流者多對公私密鑰對，PKI使用數(shù)字證書對公鑰的可管理性。進(jìn)行管理并實現(xiàn)其公開性.依賴其它硬件設(shè)備2微軟數(shù)字加密與簽名體系基本加密函數(shù)用來鏈接和建立CSP操作來保證私鑰的安全性和保密性。為適應(yīng)網(wǎng)絡(luò)數(shù)據(jù)安全需要.微軟32位平臺句柄，選擇特定類型的CSP模塊,生成、保存因此智能卡, USB電子鑰匙在PKI中越來提供了一套符合PKI規(guī)范的微軟數(shù)字加密與簽和管理密鑰,設(shè)置和提取密鑰參數(shù)等。證書編越廣泛地應(yīng)用于身份識別，訪問控制、密鑰名體 系結(jié)構(gòu)(如圖1".利用微軟提供的統(tǒng)一解碼函數(shù)用來計算數(shù)據(jù)摘要，加密和解密數(shù)據(jù)。證書庫管理函數(shù)用來管理數(shù)字證書集合。簡單消息函數(shù)用來加解密消息和數(shù)據(jù).簽名消息和數(shù)據(jù)、以及驗證消息和數(shù)據(jù)簽名Applcsdon的有效性。低級消息函數(shù)用來實現(xiàn)簡單消息函數(shù),提供對消息操作更為細(xì)致的控制。CSP服務(wù)體系從系統(tǒng)結(jié)構(gòu),系統(tǒng)調(diào)用層次方面來看，分為相互獨(dú)立的三層(如圖2CSP服務(wù)分層體系):Certhcata Encade/DecodeLon Mns1)最底層是加密服務(wù)提供層,即具體的- -個CSP,它是加密服務(wù)提供機(jī)構(gòu)提供的獨(dú)立模cnptograpnic Functons塊,擔(dān)當(dāng)真正的數(shù)據(jù)加密工作.包括使用不同的加密和簽名算法產(chǎn)生密鑰,交換密鑰、進(jìn)行數(shù)| Microont RSA 800-。SrmerPCoand據(jù)加密以及產(chǎn)生數(shù)據(jù)摘要、數(shù)字化簽名。它是獨(dú)立于應(yīng)用層和操作系統(tǒng)，其提供的通用的Kay DaubKamy Dutab:sKay DatabSPI編程接口，與操作系統(tǒng)層進(jìn)行交互，有些CSP使用特殊硬件-起擔(dān)當(dāng)加密工作，而有些則通陽1微軟數(shù)字加密與簽名體系過RPC分散其功能，以達(dá)到更為安全。2)中間 層，即操作系統(tǒng)(OS)層，在此是指具體的Win9X.NT和2K及更高版本的32位操應(yīng)用程序A應(yīng)用程序B應(yīng)用程序C應(yīng)用層作平臺,在CSP體系中,以及為應(yīng)用層提供統(tǒng)一的API接口,為加密服務(wù)提供層提供SPI接口，CryptoAPI操作系統(tǒng)層為應(yīng)用層隔離了底層CSP和具體加密實現(xiàn)細(xì)節(jié).用戶可獨(dú)立各個CSP進(jìn)行交互。系統(tǒng)層操作系統(tǒng)它擔(dān)當(dāng)一-定管理功能， 包括定期驗證CSP等。CryptoSPI.3)應(yīng)用層，也就是任一一用戶進(jìn)程或線程具體通過調(diào)用操作系統(tǒng)層提供的Crypto API使廠徽軟RSA服務(wù)智能卡服務(wù)防篡改服務(wù)服務(wù)用加密服務(wù)的應(yīng)用程序。CSP#1CSP#2CSP#3提供層根據(jù)CSP服務(wù)分層體系，應(yīng)用程序不必關(guān)心底層CSP的具體實現(xiàn)細(xì)節(jié),利用統(tǒng)-的API圖2CSP服務(wù)分層體系接口進(jìn)行編程，而由操作系統(tǒng)通過統(tǒng)-的SPI接口來與具體的加密服務(wù)提供者進(jìn)行交互，由SPI接門其他的廠商根據(jù)服務(wù)編程接口SPI實現(xiàn)加密、簽名算法，有利于實現(xiàn)數(shù)字加密與數(shù)字簽名。1I應(yīng)用程序中要實現(xiàn)數(shù)字加密與數(shù)字簽名算法實現(xiàn)時,一般是調(diào)用微軟提供的應(yīng)用程序編程接口1Crypto API。應(yīng)用程序不能直接與加密服務(wù)提供者(CSP)通信，只能通過Crypto API操作案鑰庫中國煤化工-過Crypto SPI系統(tǒng)服務(wù)接二倍。CSP才是真正實現(xiàn)所密鍆容器廣4密鑰宿器.MYHCNMHG:模塊。圖3CSP組成3 CSP基本組成科技創(chuàng)新導(dǎo)報Science and Technology Innovation Hereld141007_ NO.33科技創(chuàng)新導(dǎo)報IScience and Technology Innovation Herald學(xué)術(shù)論壇表1用戶認(rèn)證的三個區(qū)域NS Ie 4/5/6 MS OUTLOOK I文號工內(nèi)容I預(yù)留空間]管理11| 廠商密碼長度高層API12廣商密21營理員密碼長度_微軟CryptoAPI22管理員密碼16費(fèi)3.1用戶密碼長度NJU_ CSP專用API(蟎點2)PKCS411證41| 41用戶空碼計次器T51序列號標(biāo)志52二I序列號碼20HS資源簀理6.1令牌名長度NJU設(shè)備驅(qū)動良6.2令牌名32|(端點1)| PC/SC驅(qū)動1密鑰容器名長度I 172密鑰容器名64標(biāo)準(zhǔn)USB設(shè)備驅(qū)動(蜥點0)31 I公胡標(biāo)志長度82公明標(biāo)志硬件身份鑰硬件; 9.1 I彩明標(biāo)志長度; 92工私朗標(biāo)志陽4 CSP設(shè)計框架，10.1 I隨機(jī)數(shù)sed長廈 1CSP要求" Cache2是 Ceache匹配 否返回錯誤證102一個松鍋初始化?壹陸ID碼? |SCARD 用NOT AUTHENTICATED11.1 I雹鑰參數(shù)長度PIN碼否更是I 112] 密鑰參數(shù)4012.1公私鑰對長度更.i1ny>3< 6oche 0公鑰花鑰對384能認(rèn)證卡_CONTEXT用13.1根證書2k執(zhí)行||尸[132 i模證書長廈用戶按將輸入PIN碼和對應(yīng)| 認(rèn)141用戶證書能認(rèn)證卡?登陸ID存入Cache證142 I用戶證書長度從用戶UI請束PIN4.3用戶PIN碼SCARD_ . CANCLLED BY _USER當(dāng)一個應(yīng)用要求訪問用戶私鑰或其他身份信息時,必須首先使用用戶身份識別碼(PIN)來圖S用戶界面獲取PIN認(rèn)證用戶，如圖5用戶界面獲取PIN。通過了CSP為Windows平臺上加解密運(yùn)算的最JsB Key, CSP的動態(tài)庫就是一 一個框架,一 般認(rèn)證的程序允許訪問身份密鑰中的用戶敏感數(shù)核心層實現(xiàn)，是真正執(zhí)行加密工作的獨(dú)立的模的函數(shù)實現(xiàn)是在 CSP的動態(tài)庫中，而主要隔數(shù)據(jù)。 用戶程序?qū)ι矸菝荑€中用戶敏感數(shù)據(jù)的塊。CSP與Windows的接口以DLL形式實現(xiàn)，的核心是在硬件中實現(xiàn)，在 CsP的動態(tài)庫中只訪問必須在一 一個事務(wù)中完成。事務(wù)開始前,身CSP是真正執(zhí)行加密工作的獨(dú)立模塊。是函數(shù)的框架,如:加/解密,散列數(shù)據(jù).驗證簽份鑰處 于未認(rèn)證狀態(tài),事務(wù)結(jié)束后，身份密鑰仍按照CSP的不同實現(xiàn)方法,可分為純軟件名等,這是因為私鑰一般不導(dǎo)出,這些函數(shù)的實然返回未認(rèn)證狀態(tài)。 為了避免每-次操作鄒實現(xiàn)與帶硬件的實現(xiàn)，其中帶硬件的實現(xiàn)CSP現(xiàn)主要在硬件設(shè)備中，保密性好。要求用戶輸入PIN,應(yīng)該在CSP內(nèi)部緩存用戶按照硬件芯片不同,可以分為使用智能卡芯片(3)CSP 的密鑰庫及密鑰容器,每-一個加密PIN. 所有關(guān)于用戶PIN的顯示和操作都必(內(nèi)置加密算法)的加密型和不使用智能卡芯片服務(wù)提供程序都有 一個獨(dú)立的密鑰庫,它是一須從這 個緩中直接獲得:并且這個緩存的的存儲型兩種，與計算機(jī)的接口現(xiàn)在一-般都用個 CSP內(nèi)部數(shù)據(jù)庫,此數(shù)據(jù)庫包含一個和多個PIN 必須與特定登錄用戶和特定用戶身份密鑰USB,所以把CSP硬件部分稱為USB Key.分屬于每個獨(dú)立用戶的容器，每個容器都用一同步關(guān)聯(lián)， 一旦登錄用戶改變或身份密鑰從主物理上一個CSP由這幾部分組成:動態(tài)鏈↑獨(dú)立的標(biāo)識符進(jìn)行標(biāo)識。不同的密鑰容器機(jī)中取出， 就必須清除相應(yīng)的PIN緩存。接庫，簽名文件，簽名文件保證提供者經(jīng)過了認(rèn)內(nèi)存放不同用戶的簽名密鑰對與交換密鑰對以證，操作系統(tǒng)能識別CSP,操作系統(tǒng)可利用其定及X.509數(shù)字證書。出于安全性考慮，私鑰一5 結(jié)語期驗證CSP,保證其未被篡改。還可以使用輔般 不可以被導(dǎo)出。帶硬件實現(xiàn)的CSP ,CSP的CSP函數(shù)接口的標(biāo)準(zhǔn)雖然都是統(tǒng)-的,但助的DLL實現(xiàn)CSP.輔助的DLL不是CSP的密鑰庫 及密鑰容器放在硬件存儲器中,純軟的是在智能 卡,USB電子鑰匙上的實現(xiàn)方案卻多一部分，但是包含CSP調(diào)用的函數(shù).輔助的CSP實現(xiàn)是放在硬盤上的文件中。種多樣。本文詳細(xì)介紹了CSP結(jié)構(gòu)與開發(fā)技術(shù),給出了一種帶硬件設(shè)備實現(xiàn)的CSP的開發(fā)DLL也必須被簽名,并且簽名文件必須可用,每個DLL在裝載庫之前被驗證簽名,每個CSP都4 CSP實現(xiàn)方案。目前，該實現(xiàn)方案完成，已捌試成功，所有一個名字和一一個類型。若有硬件實現(xiàn)，則4.1 總體框架有動態(tài)庫獲得了微軟的簽名。在嵌入式系統(tǒng)CSP還包括硬件裝置。CSP 邏輯上主要由以為了兼容NetScape瀏覽器等所支持的的數(shù)字加密 與數(shù)字簽名中也有非常大的用處。下部分組成(如圖3CSP組成):PKCS# 11在實現(xiàn)微軟的CSP時采取了如圖(1)微軟提供的SPI接口函數(shù)實現(xiàn)。在微4CSP設(shè)計框架。在實現(xiàn)PKCS#11的基礎(chǔ)參考文獻(xiàn)軟提供的SPI接口中共有23個基本密碼系統(tǒng)函上，通過調(diào)用PKCS#11接口實現(xiàn)微軟CSP服1 PKCS公鑰密碼學(xué)標(biāo)準(zhǔn)。美國RSA數(shù)據(jù)安數(shù)由應(yīng)用程序通過CAPI調(diào)用,CSP必須支持務(wù)編程接口。這樣在其它操作系統(tǒng)平臺上實全公司, 1999.這些函數(shù),這些函數(shù)提供了基本的功能?，F(xiàn)PKCS時也就方便了很多。，121 凱故開省幫肋M(jìn)icrosoft MSDN. NET(2)加密簽名算法實現(xiàn)。如果是純軟件實4.2 系統(tǒng)存儲數(shù)據(jù)中國煤化工現(xiàn)的CSP與用存儲型的USB Key 實現(xiàn)的身份鑰智能卡中需要存儲的CSP,這些函數(shù)就在CSP的DLL或輔助DLL中1所示，包括設(shè)備認(rèn)證。密碼認(rèn)證MYHCNMHG實現(xiàn);帶硬件設(shè)備實現(xiàn)的CSP ,并且用加密型的大區(qū)域。.142科技創(chuàng)新導(dǎo)報 Science and Technology Innovation Herald