Microsoft CSP分析與設計

sclence end Tecnolay Inveor Horo科技創(chuàng )新導報學(xué)術(shù)論壇Microsoft CSP分析與設計朱節中(南京信息工程大學(xué)江蘇南京 210044)摘要:本文分析了Windows32平臺的數字加密與數字簽名體系,深人闡述了加密簽名算法的標準的CSP接口,基本組成,以及CSP的具體實(shí)現方法。關(guān)鍵詞:系統安全CSP USB 電子鑰匙數據加密中圖分類(lèi)號: G623.58文獻標識碼:A文章編號: 1674-098(2007)11(C)-0141-021引言存儲和算法實(shí)現等方面。在Windows系統中應用程序編程接口(Crypto API), 為應用程序PKI是- -個(gè)用公鑰概念與技術(shù)來(lái)實(shí)施，并PKI的應用實(shí)現途徑之一就是開(kāi)發(fā)相應的進(jìn)行數據加密和數據簽名服務(wù)。提供一套安全服務(wù)的具有一-般通用性的安全基CSP. 為了和我國密碼算法標準想結合，自行Crypto API 架構”如圖1所示，共有五個(gè)礎設施"。它涉及到多個(gè)實(shí)體之間的協(xié)作過(guò)開(kāi)發(fā)了具有自主知識產(chǎn)權的CSP,它不僅兼容部分組成: 基本加密函數、證書(shū)編解碼函數和程:認證機構、注冊機構、證書(shū)庫、密鑰備目前使用的一些通用加密算法如DS A、證書(shū)庫管理函數、簡(jiǎn)單消息雨數、低層消息份與恢復服務(wù)器、證書(shū)吊銷(xiāo)處理系統，PKIDES, SHAI 和HMAC,而且還兼容我國的加函數。其中前三個(gè)可用于對敏感信息進(jìn)行加應用接口和最終用戶(hù)等。支撐PKI安全技術(shù)密算法。本文就如何開(kāi)發(fā)CSP進(jìn)行了探討并密或箢 名處理,保證網(wǎng)絡(luò )中信息傳輸的隱秘性，的核心是公鑰密碼技術(shù),每個(gè)用戶(hù)使用一-對或給出 了相應的設計方案和實(shí)現實(shí)例。后兩者通過(guò)對證書(shū)的使用,保證網(wǎng)絡(luò )信息交流者多對公私密鑰對，PKI使用數字證書(shū)對公鑰的可管理性。進(jìn)行管理并實(shí)現其公開(kāi)性.依賴(lài)其它硬件設備2微軟數字加密與簽名體系基本加密函數用來(lái)鏈接和建立CSP操作來(lái)保證私鑰的安全性和保密性。為適應網(wǎng)絡(luò )數據安全需要.微軟32位平臺句柄，選擇特定類(lèi)型的CSP模塊,生成、保存因此智能卡, USB電子鑰匙在PKI中越來(lái)提供了一套符合PKI規范的微軟數字加密與簽和管理密鑰,設置和提取密鑰參數等。證書(shū)編越廣泛地應用于身份識別，訪(fǎng)問(wèn)控制、密鑰名體 系結構(如圖1".利用微軟提供的統一解碼函數用來(lái)計算數據摘要，加密和解密數據。證書(shū)庫管理函數用來(lái)管理數字證書(shū)集合。簡(jiǎn)單消息函數用來(lái)加解密消息和數據.簽名消息和數據、以及驗證消息和數據簽名Applcsdon的有效性。低級消息函數用來(lái)實(shí)現簡(jiǎn)單消息函數,提供對消息操作更為細致的控制。CSP服務(wù)體系從系統結構,系統調用層次方面來(lái)看，分為相互獨立的三層(如圖2CSP服務(wù)分層體系):Certhcata Encade/DecodeLon Mns1)最底層是加密服務(wù)提供層,即具體的- -個(gè)CSP,它是加密服務(wù)提供機構提供的獨立模cnptograpnic Functons塊,擔當真正的數據加密工作.包括使用不同的加密和簽名算法產(chǎn)生密鑰,交換密鑰、進(jìn)行數| Microont RSA 800-。SrmerPCoand據加密以及產(chǎn)生數據摘要、數字化簽名。它是獨立于應用層和操作系統，其提供的通用的Kay DaubKamy Dutab:sKay DatabSPI編程接口，與操作系統層進(jìn)行交互，有些CSP使用特殊硬件-起擔當加密工作，而有些則通陽(yáng)1微軟數字加密與簽名體系過(guò)RPC分散其功能，以達到更為安全。2)中間 層，即操作系統(OS)層，在此是指具體的Win9X.NT和2K及更高版本的32位操應用程序A應用程序B應用程序C應用層作平臺,在CSP體系中,以及為應用層提供統一的API接口,為加密服務(wù)提供層提供SPI接口，CryptoAPI操作系統層為應用層隔離了底層CSP和具體加密實(shí)現細節.用戶(hù)可獨立各個(gè)CSP進(jìn)行交互。系統層操作系統它擔當一-定管理功能， 包括定期驗證CSP等。CryptoSPI.3)應用層，也就是任一一用戶(hù)進(jìn)程或線(xiàn)程具體通過(guò)調用操作系統層提供的Crypto API使廠(chǎng)徽軟RSA服務(wù)智能卡服務(wù)防篡改服務(wù)服務(wù)用加密服務(wù)的應用程序。CSP#1CSP#2CSP#3提供層根據CSP服務(wù)分層體系，應用程序不必關(guān)心底層CSP的具體實(shí)現細節,利用統-的API圖2CSP服務(wù)分層體系接口進(jìn)行編程，而由操作系統通過(guò)統-的SPI接口來(lái)與具體的加密服務(wù)提供者進(jìn)行交互，由SPI接門(mén)其他的廠(chǎng)商根據服務(wù)編程接口SPI實(shí)現加密、簽名算法，有利于實(shí)現數字加密與數字簽名。1I應用程序中要實(shí)現數字加密與數字簽名算法實(shí)現時(shí),一般是調用微軟提供的應用程序編程接口1Crypto API。應用程序不能直接與加密服務(wù)提供者(CSP)通信，只能通過(guò)Crypto API操作案鑰庫中國煤化工-過(guò)Crypto SPI系統服務(wù)接二倍。CSP才是真正實(shí)現所密鍆容器廣4密鑰宿器.MYHCNMHG:模塊。圖3CSP組成3 CSP基本組成科技創(chuàng )新導報Science and Technology Innovation Hereld141007_ NO.33科技創(chuàng )新導報IScience and Technology Innovation Herald學(xué)術(shù)論壇表1用戶(hù)認證的三個(gè)區域NS Ie 4/5/6 MS OUTLOOK I文號工內容I預留空間]管理11| 廠(chǎng)商密碼長(cháng)度高層API12廣商密21營(yíng)理員密碼長(cháng)度_微軟CryptoAPI22管理員密碼16費3.1用戶(hù)密碼長(cháng)度NJU_ CSP專(zhuān)用API(蟎點(diǎn)2)PKCS411證41| 41用戶(hù)空碼計次器T51序列號標志52二I序列號碼20HS資源簀理6.1令牌名長(cháng)度NJU設備驅動(dòng)良6.2令牌名32|(端點(diǎn)1)| PC/SC驅動(dòng)1密鑰容器名長(cháng)度I 172密鑰容器名64標準USB設備驅動(dòng)(蜥點(diǎn)0)31 I公胡標志長(cháng)度82公明標志硬件身份鑰硬件; 9.1 I彩明標志長(cháng)度; 92工私朗標志陽(yáng)4 CSP設計框架，10.1 I隨機數sed長(cháng)廈 1CSP要求" Cache2是 Ceache匹配 否返回錯誤證102一個(gè)松鍋初始化?壹陸ID碼? |SCARD 用NOT AUTHENTICATED11.1 I雹鑰參數長(cháng)度PIN碼否更是I 112] 密鑰參數4012.1公私鑰對長(cháng)度更.i1ny>3< 6oche 0公鑰花鑰對384能認證卡_CONTEXT用13.1根證書(shū)2k執行||尸[132 i模證書(shū)長(cháng)廈用戶(hù)按將輸入PIN碼和對應| 認141用戶(hù)證書(shū)能認證卡?登陸ID存入Cache證142 I用戶(hù)證書(shū)長(cháng)度從用戶(hù)UI請束PIN4.3用戶(hù)PIN碼SCARD_ . CANCLLED BY _USER當一個(gè)應用要求訪(fǎng)問(wèn)用戶(hù)私鑰或其他身份信息時(shí),必須首先使用用戶(hù)身份識別碼(PIN)來(lái)圖S用戶(hù)界面獲取PIN認證用戶(hù)，如圖5用戶(hù)界面獲取PIN。通過(guò)了CSP為Windows平臺上加解密運算的最JsB Key, CSP的動(dòng)態(tài)庫就是一 一個(gè)框架,一 般認證的程序允許訪(fǎng)問(wèn)身份密鑰中的用戶(hù)敏感數核心層實(shí)現，是真正執行加密工作的獨立的模的函數實(shí)現是在 CSP的動(dòng)態(tài)庫中，而主要隔數據。 用戶(hù)程序對身份密鑰中用戶(hù)敏感數據的塊。CSP與Windows的接口以DLL形式實(shí)現，的核心是在硬件中實(shí)現，在 CsP的動(dòng)態(tài)庫中只訪(fǎng)問(wèn)必須在一 一個(gè)事務(wù)中完成。事務(wù)開(kāi)始前,身CSP是真正執行加密工作的獨立模塊。是函數的框架,如:加/解密,散列數據.驗證簽份鑰處 于未認證狀態(tài),事務(wù)結束后，身份密鑰仍按照CSP的不同實(shí)現方法,可分為純軟件名等,這是因為私鑰一般不導出,這些函數的實(shí)然返回未認證狀態(tài)。 為了避免每-次操作鄒實(shí)現與帶硬件的實(shí)現，其中帶硬件的實(shí)現CSP現主要在硬件設備中，保密性好。要求用戶(hù)輸入PIN,應該在CSP內部緩存用戶(hù)按照硬件芯片不同,可以分為使用智能卡芯片(3)CSP 的密鑰庫及密鑰容器,每-一個(gè)加密PIN. 所有關(guān)于用戶(hù)PIN的顯示和操作都必(內置加密算法)的加密型和不使用智能卡芯片服務(wù)提供程序都有 一個(gè)獨立的密鑰庫,它是一須從這 個(gè)緩中直接獲得:并且這個(gè)緩存的的存儲型兩種，與計算機的接口現在一-般都用個(gè) CSP內部數據庫,此數據庫包含一個(gè)和多個(gè)PIN 必須與特定登錄用戶(hù)和特定用戶(hù)身份密鑰USB,所以把CSP硬件部分稱(chēng)為USB Key.分屬于每個(gè)獨立用戶(hù)的容器，每個(gè)容器都用一同步關(guān)聯(lián)， 一旦登錄用戶(hù)改變或身份密鑰從主物理上一個(gè)CSP由這幾部分組成:動(dòng)態(tài)鏈↑獨立的標識符進(jìn)行標識。不同的密鑰容器機中取出， 就必須清除相應的PIN緩存。接庫，簽名文件，簽名文件保證提供者經(jīng)過(guò)了認內存放不同用戶(hù)的簽名密鑰對與交換密鑰對以證，操作系統能識別CSP,操作系統可利用其定及X.509數字證書(shū)。出于安全性考慮，私鑰一5 結語(yǔ)期驗證CSP,保證其未被篡改。還可以使用輔般 不可以被導出。帶硬件實(shí)現的CSP ,CSP的CSP函數接口的標準雖然都是統-的,但助的DLL實(shí)現CSP.輔助的DLL不是CSP的密鑰庫 及密鑰容器放在硬件存儲器中,純軟的是在智能 卡,USB電子鑰匙上的實(shí)現方案卻多一部分，但是包含CSP調用的函數.輔助的CSP實(shí)現是放在硬盤(pán)上的文件中。種多樣。本文詳細介紹了CSP結構與開(kāi)發(fā)技術(shù),給出了一種帶硬件設備實(shí)現的CSP的開(kāi)發(fā)DLL也必須被簽名,并且簽名文件必須可用,每個(gè)DLL在裝載庫之前被驗證簽名,每個(gè)CSP都4 CSP實(shí)現方案。目前，該實(shí)現方案完成，已捌試成功，所有一個(gè)名字和一一個(gè)類(lèi)型。若有硬件實(shí)現，則4.1 總體框架有動(dòng)態(tài)庫獲得了微軟的簽名。在嵌入式系統CSP還包括硬件裝置。CSP 邏輯上主要由以為了兼容NetScape瀏覽器等所支持的的數字加密 與數字簽名中也有非常大的用處。下部分組成(如圖3CSP組成):PKCS# 11在實(shí)現微軟的CSP時(shí)采取了如圖(1)微軟提供的SPI接口函數實(shí)現。在微4CSP設計框架。在實(shí)現PKCS#11的基礎參考文獻軟提供的SPI接口中共有23個(gè)基本密碼系統函上，通過(guò)調用PKCS#11接口實(shí)現微軟CSP服1 PKCS公鑰密碼學(xué)標準。美國RSA數據安數由應用程序通過(guò)CAPI調用,CSP必須支持務(wù)編程接口。這樣在其它操作系統平臺上實(shí)全公司, 1999.這些函數,這些函數提供了基本的功能?，FPKCS時(shí)也就方便了很多。，121 凱故開(kāi)省幫肋M(jìn)icrosoft MSDN. NET(2)加密簽名算法實(shí)現。如果是純軟件實(shí)4.2 系統存儲數據中國煤化工現的CSP與用存儲型的USB Key 實(shí)現的身份鑰智能卡中需要存儲的CSP,這些函數就在CSP的DLL或輔助DLL中1所示，包括設備認證。密碼認證MYHCNMHG實(shí)現;帶硬件設備實(shí)現的CSP ,并且用加密型的大區域。.142科技創(chuàng )新導報 Science and Technology Innovation Herald