sclence end Tecnolay Inveor Horo科技創(chuàng)新導報學術論壇Microsoft CSP分析與設計朱節(jié)中(南京信息工程大學江蘇南京 210044)摘要:本文分析了Windows32平臺的數(shù)字加密與數(shù)字簽名體系,深人闡述了加密簽名算法的標準的CSP接口,基本組成,以及CSP的具體實現(xiàn)方法。關鍵詞:系統(tǒng)安全CSP USB 電子鑰匙數(shù)據(jù)加密中圖分類號: G623.58文獻標識碼:A文章編號: 1674-098(2007)11(C)-0141-021引言存儲和算法實現(xiàn)等方面。在Windows系統(tǒng)中應用程序編程接口(Crypto API), 為應用程序PKI是- -個用公鑰概念與技術來實施，并PKI的應用實現(xiàn)途徑之一就是開發(fā)相應的進行數(shù)據(jù)加密和數(shù)據(jù)簽名服務。提供一套安全服務的具有一-般通用性的安全基CSP. 為了和我國密碼算法標準想結合，自行Crypto API 架構”如圖1所示，共有五個礎設施"。它涉及到多個實體之間的協(xié)作過開發(fā)了具有自主知識產權的CSP,它不僅兼容部分組成: 基本加密函數(shù)、證書編解碼函數(shù)和程:認證機構、注冊機構、證書庫、密鑰備目前使用的一些通用加密算法如DS A、證書庫管理函數(shù)、簡單消息雨數(shù)、低層消息份與恢復服務器、證書吊銷處理系統(tǒng)，PKIDES, SHAI 和HMAC,而且還兼容我國的加函數(shù)。其中前三個可用于對敏感信息進行加應用接口和最終用戶等。支撐PKI安全技術密算法。本文就如何開發(fā)CSP進行了探討并密或箢 名處理,保證網(wǎng)絡中信息傳輸?shù)碾[秘性，的核心是公鑰密碼技術,每個用戶使用一-對或給出 了相應的設計方案和實現(xiàn)實例。后兩者通過對證書的使用,保證網(wǎng)絡信息交流者多對公私密鑰對，PKI使用數(shù)字證書對公鑰的可管理性。進行管理并實現(xiàn)其公開性.依賴其它硬件設備2微軟數(shù)字加密與簽名體系基本加密函數(shù)用來鏈接和建立CSP操作來保證私鑰的安全性和保密性。為適應網(wǎng)絡數(shù)據(jù)安全需要.微軟32位平臺句柄，選擇特定類型的CSP模塊,生成、保存因此智能卡, USB電子鑰匙在PKI中越來提供了一套符合PKI規(guī)范的微軟數(shù)字加密與簽和管理密鑰,設置和提取密鑰參數(shù)等。證書編越廣泛地應用于身份識別，訪問控制、密鑰名體 系結構(如圖1".利用微軟提供的統(tǒng)一解碼函數(shù)用來計算數(shù)據(jù)摘要，加密和解密數(shù)據(jù)。證書庫管理函數(shù)用來管理數(shù)字證書集合。簡單消息函數(shù)用來加解密消息和數(shù)據(jù).簽名消息和數(shù)據(jù)、以及驗證消息和數(shù)據(jù)簽名Applcsdon的有效性。低級消息函數(shù)用來實現(xiàn)簡單消息函數(shù),提供對消息操作更為細致的控制。CSP服務體系從系統(tǒng)結構,系統(tǒng)調用層次方面來看，分為相互獨立的三層(如圖2CSP服務分層體系):Certhcata Encade/DecodeLon Mns1)最底層是加密服務提供層,即具體的- -個CSP,它是加密服務提供機構提供的獨立模cnptograpnic Functons塊,擔當真正的數(shù)據(jù)加密工作.包括使用不同的加密和簽名算法產生密鑰,交換密鑰、進行數(shù)| Microont RSA 800-。SrmerPCoand據(jù)加密以及產生數(shù)據(jù)摘要、數(shù)字化簽名。它是獨立于應用層和操作系統(tǒng)，其提供的通用的Kay DaubKamy Dutab:sKay DatabSPI編程接口，與操作系統(tǒng)層進行交互，有些CSP使用特殊硬件-起擔當加密工作，而有些則通陽1微軟數(shù)字加密與簽名體系過RPC分散其功能，以達到更為安全。2)中間 層，即操作系統(tǒng)(OS)層，在此是指具體的Win9X.NT和2K及更高版本的32位操應用程序A應用程序B應用程序C應用層作平臺,在CSP體系中,以及為應用層提供統(tǒng)一的API接口,為加密服務提供層提供SPI接口，CryptoAPI操作系統(tǒng)層為應用層隔離了底層CSP和具體加密實現(xiàn)細節(jié).用戶可獨立各個CSP進行交互。系統(tǒng)層操作系統(tǒng)它擔當一-定管理功能， 包括定期驗證CSP等。CryptoSPI.3)應用層，也就是任一一用戶進程或線程具體通過調用操作系統(tǒng)層提供的Crypto API使廠徽軟RSA服務智能卡服務防篡改服務服務用加密服務的應用程序。CSP#1CSP#2CSP#3提供層根據(jù)CSP服務分層體系，應用程序不必關心底層CSP的具體實現(xiàn)細節(jié),利用統(tǒng)-的API圖2CSP服務分層體系接口進行編程，而由操作系統(tǒng)通過統(tǒng)-的SPI接口來與具體的加密服務提供者進行交互，由SPI接門其他的廠商根據(jù)服務編程接口SPI實現(xiàn)加密、簽名算法，有利于實現(xiàn)數(shù)字加密與數(shù)字簽名。1I應用程序中要實現(xiàn)數(shù)字加密與數(shù)字簽名算法實現(xiàn)時,一般是調用微軟提供的應用程序編程接口1Crypto API。應用程序不能直接與加密服務提供者(CSP)通信，只能通過Crypto API操作案鑰庫中國煤化工-過Crypto SPI系統(tǒng)服務接二倍。CSP才是真正實現(xiàn)所密鍆容器廣4密鑰宿器.MYHCNMHG:模塊。圖3CSP組成3 CSP基本組成科技創(chuàng)新導報Science and Technology Innovation Hereld141007_ NO.33科技創(chuàng)新導報IScience and Technology Innovation Herald學術論壇表1用戶認證的三個區(qū)域NS Ie 4/5/6 MS OUTLOOK I文號工內容I預留空間]管理11| 廠商密碼長度高層API12廣商密21營理員密碼長度_微軟CryptoAPI22管理員密碼16費3.1用戶密碼長度NJU_ CSP專用API(蟎點2)PKCS411證41| 41用戶空碼計次器T51序列號標志52二I序列號碼20HS資源簀理6.1令牌名長度NJU設備驅動良6.2令牌名32|(端點1)| PC/SC驅動1密鑰容器名長度I 172密鑰容器名64標準USB設備驅動(蜥點0)31 I公胡標志長度82公明標志硬件身份鑰硬件; 9.1 I彩明標志長度; 92工私朗標志陽4 CSP設計框架，10.1 I隨機數(shù)sed長廈 1CSP要求" Cache2是 Ceache匹配 否返回錯誤證102一個松鍋初始化?壹陸ID碼? |SCARD 用NOT AUTHENTICATED11.1 I雹鑰參數(shù)長度PIN碼否更是I 112] 密鑰參數(shù)4012.1公私鑰對長度更.i1ny>3< 6oche 0公鑰花鑰對384能認證卡_CONTEXT用13.1根證書2k執(zhí)行||尸[132 i模證書長廈用戶按將輸入PIN碼和對應| 認141用戶證書能認證卡?登陸ID存入Cache證142 I用戶證書長度從用戶UI請束PIN4.3用戶PIN碼SCARD_ . CANCLLED BY _USER當一個應用要求訪問用戶私鑰或其他身份信息時,必須首先使用用戶身份識別碼(PIN)來圖S用戶界面獲取PIN認證用戶，如圖5用戶界面獲取PIN。通過了CSP為Windows平臺上加解密運算的最JsB Key, CSP的動態(tài)庫就是一 一個框架,一 般認證的程序允許訪問身份密鑰中的用戶敏感數(shù)核心層實現(xiàn)，是真正執(zhí)行加密工作的獨立的模的函數(shù)實現(xiàn)是在 CSP的動態(tài)庫中，而主要隔數(shù)據(jù)。 用戶程序對身份密鑰中用戶敏感數(shù)據(jù)的塊。CSP與Windows的接口以DLL形式實現(xiàn)，的核心是在硬件中實現(xiàn)，在 CsP的動態(tài)庫中只訪問必須在一 一個事務中完成。事務開始前,身CSP是真正執(zhí)行加密工作的獨立模塊。是函數(shù)的框架,如:加/解密,散列數(shù)據(jù).驗證簽份鑰處 于未認證狀態(tài),事務結束后，身份密鑰仍按照CSP的不同實現(xiàn)方法,可分為純軟件名等,這是因為私鑰一般不導出,這些函數(shù)的實然返回未認證狀態(tài)。 為了避免每-次操作鄒實現(xiàn)與帶硬件的實現(xiàn)，其中帶硬件的實現(xiàn)CSP現(xiàn)主要在硬件設備中，保密性好。要求用戶輸入PIN,應該在CSP內部緩存用戶按照硬件芯片不同,可以分為使用智能卡芯片(3)CSP 的密鑰庫及密鑰容器,每-一個加密PIN. 所有關于用戶PIN的顯示和操作都必(內置加密算法)的加密型和不使用智能卡芯片服務提供程序都有 一個獨立的密鑰庫,它是一須從這 個緩中直接獲得:并且這個緩存的的存儲型兩種，與計算機的接口現(xiàn)在一-般都用個 CSP內部數(shù)據(jù)庫,此數(shù)據(jù)庫包含一個和多個PIN 必須與特定登錄用戶和特定用戶身份密鑰USB,所以把CSP硬件部分稱為USB Key.分屬于每個獨立用戶的容器，每個容器都用一同步關聯(lián)， 一旦登錄用戶改變或身份密鑰從主物理上一個CSP由這幾部分組成:動態(tài)鏈↑獨立的標識符進行標識。不同的密鑰容器機中取出， 就必須清除相應的PIN緩存。接庫，簽名文件，簽名文件保證提供者經過了認內存放不同用戶的簽名密鑰對與交換密鑰對以證，操作系統(tǒng)能識別CSP,操作系統(tǒng)可利用其定及X.509數(shù)字證書。出于安全性考慮，私鑰一5 結語期驗證CSP,保證其未被篡改。還可以使用輔般 不可以被導出。帶硬件實現(xiàn)的CSP ,CSP的CSP函數(shù)接口的標準雖然都是統(tǒng)-的,但助的DLL實現(xiàn)CSP.輔助的DLL不是CSP的密鑰庫 及密鑰容器放在硬件存儲器中,純軟的是在智能 卡,USB電子鑰匙上的實現(xiàn)方案卻多一部分，但是包含CSP調用的函數(shù).輔助的CSP實現(xiàn)是放在硬盤上的文件中。種多樣。本文詳細介紹了CSP結構與開發(fā)技術,給出了一種帶硬件設備實現(xiàn)的CSP的開發(fā)DLL也必須被簽名,并且簽名文件必須可用,每個DLL在裝載庫之前被驗證簽名,每個CSP都4 CSP實現(xiàn)方案。目前，該實現(xiàn)方案完成，已捌試成功，所有一個名字和一一個類型。若有硬件實現(xiàn)，則4.1 總體框架有動態(tài)庫獲得了微軟的簽名。在嵌入式系統(tǒng)CSP還包括硬件裝置。CSP 邏輯上主要由以為了兼容NetScape瀏覽器等所支持的的數(shù)字加密 與數(shù)字簽名中也有非常大的用處。下部分組成(如圖3CSP組成):PKCS# 11在實現(xiàn)微軟的CSP時采取了如圖(1)微軟提供的SPI接口函數(shù)實現(xiàn)。在微4CSP設計框架。在實現(xiàn)PKCS#11的基礎參考文獻軟提供的SPI接口中共有23個基本密碼系統(tǒng)函上，通過調用PKCS#11接口實現(xiàn)微軟CSP服1 PKCS公鑰密碼學標準。美國RSA數(shù)據(jù)安數(shù)由應用程序通過CAPI調用,CSP必須支持務編程接口。這樣在其它操作系統(tǒng)平臺上實全公司, 1999.這些函數(shù),這些函數(shù)提供了基本的功能。現(xiàn)PKCS時也就方便了很多。，121 凱故開省幫肋Microsoft MSDN. NET(2)加密簽名算法實現(xiàn)。如果是純軟件實4.2 系統(tǒng)存儲數(shù)據(jù)中國煤化工現(xiàn)的CSP與用存儲型的USB Key 實現(xiàn)的身份鑰智能卡中需要存儲的CSP,這些函數(shù)就在CSP的DLL或輔助DLL中1所示，包括設備認證。密碼認證MYHCNMHG實現(xiàn);帶硬件設備實現(xiàn)的CSP ,并且用加密型的大區(qū)域。.142科技創(chuàng)新導報 Science and Technology Innovation Herald