转自:http://www.cnblogs.com/dspeeding/p/3338129.html
Crypto 提供了很多的加解密相关函数,如编码、解码、加密解密,哈希,数字证书、证书管理证书存储等、
有关加密的API的国际标准
(1)GSS-API (Generic Security Services API)
(2)CDSA
(3)RSA PKCS#11
(4)微软CryptoAPI
微软的CryptoAPI是Win32平台下为应用程序开发者提供的数据加解密和安全的编程接口。
包含了:
1、基本的ASN.1编码 解码 散列
2、数据加解密
3、数字证书等
在不安全的网络上进行安全的数据传输涉及3个方面:
1、信息隐藏 数据加解密
2、身份鉴别 数字签名和验签 数字证书
3、完整性检验 哈希值
CryptoAPI应用
为保证应用程序的安全性和移植性,应遵循的三条原则
1、应用程序不能访问密钥的内容
2、应用程序不能指定加密操作细节
3、应用程序不能处理用户的信任凭证(由CSP来完成)
CryptoAPI体系:
1、基本加密函数
2、证书编码与解码函数
3、证书存储函数
4、简化信息存储函数
5、底层信息处理函数
CryptoAPI体系结构
CryptoAPI体系架构共由五大部分组成:
(1)
基本加密函数:用于选择CSP、建立CSP连接、产生密钥、交换及传输密钥等操作
(2)
证书编解码函数:用于数据加密、解密、哈希等操作,创建和校验数字签名操作;实现证书、证书撤销列表、证书请求和证书扩展编码和解码操作。
(3)
证书库管理函数:用于数字证书及证书管理等操作。这组函数用于管理证书、证书撤销列表和证书信任列表的使用、存储、获取等。
(4)
简单的消息函数:用于消息处理,比如消息编解码,消息加解密,数字签名及签名验签等操作。它是把多个底层消息函数包装在一起以完成某个特定任务,方便用户使用。
(5)
底层消息函数:底层消息函数对传输的PKCS#7数据进行编码,对接收到的PKCS#7数据进行解码,并且对接收到的消息进行解码和验证。它可以实现简单消息函数可以实现的所有功能,且提供更大的灵活性,但一般需要更多的函数调用。
CrpytoAPI基本功能
利用CryptoAPI,开发者可以给基于windows的应用程序添加安全服务,包括:ANS.1编码/解码、数据加解密、身份认证、数字证书管理、同时支持PKI、对称密码技术等。
(1)
密钥管理
在CryptoAPI中,支持两种类型的密钥:会话密钥、公私钥对。会话密钥也称为对称密钥,用于对称密钥算法。为了保证密钥的安全性,在CryptoAPI中,这些密钥都保存在CSP内部,用户可以通过CryptExportKey以加密密钥形式导出。公私钥用于非对称加密算法。非对称加密算法主要用于加解密会话密钥和数字签名。在CryptoAPI中,一般来说,大多数CSP产生的密钥容器包含两对密钥对,一对用于加密会话密钥,称为交换密钥对,一对用于产生数字签名,称为签名密钥对。在CryptoAPI中所有的密钥都存储在CSP中,CSP负责密钥的创建,销毁,导入导出等操作。
(2)
数据编解码
CryptoAPI采用的编码方式为ASN.1,编码规则为DER,表示发送数据时先把数据抽象为ASN.1对象,然后使用DER编码规则把ASN.1对象转化为可传输的0,1串;接收方接收到数据后,利用DER解码规则把0,1串转化为ASN.1对象,然后把ASN.1对象转化为具体应用支持的数据对象。
(3)数据加解密
在CryptoAPI中约定加密较大数据块时,采用对称密钥算法。通过其封装好的加解密函数来实现数据加解密操作。
(4)哈希和数字签名
哈希和数字签名一般用于数据的完整性校验和身份鉴别。CryptoAPI中,通过其封装好的哈希与数字签名函数来实现相关操作。微软公司提供的CSP产生的数字签名遵循RSA标准(PKCS#6)
(5)数字证书管理
数字证书主要用于安全通信中的身份鉴别。CryptoAPI中,对数字证书的使用管理函数分为证书与证书库函数、证书验证函数两大部分。
具体函数应用不展开了.