USBKEY的CSP实现.docVIP

应　用　安　全 基于 ＵＳＢ　ＫＥＹ的 ＣＳＰ 实现 杨瑞霞 山东政法学院司法信息系　　　山东　　　２５００１４ 摘要　：ＣＳＰ 是目前应用最广泛的 ＰＫＩ 密码接口。ＣＳＰ 终端用户通过 Ｗｉｎｄｏｗｓ提供的 ＣｒｙｐｔｏＡＰＩ公共接口访问密码函数， 而不需要去关心密码运算的具体实现。ＵＳＢ　ＫＥＹ 具有使用方便、安全性高、运算能力强等特点，是实现 ＰＫＩ 密码运算的理 想设备。用户可以通过调用动态库来使用 ＵＳＢＫＥＹ 的加密运算功能，从而实现 ＣＳＰ 所需要的 ＰＫＩ 密码函数。本文从 ＣＳＰ 的技 术原理出发，结合 ＵＳＢ　ＫＥＹ的功能特点，深入讨论了如何使用 ＵＳＢ　ＫＥＹ实现 ＣＳＰ 的功能。 关键词：ＣＳＰ；ＵＳＢ　ＫＥＹ；ＣＯＳ；密码运算  ０　　引言 ＣＳＰ（Ｃｒｙｐｔｏｇｒａｐｈｉｃ　Ｓｅｒｖｉｃｅ　Ｐｒｏｖｉｄｅｒｓ，密码服务供应商） 是密码服务供应商为了给用户提供方便，针对应用层提供的 标准接口函数。用户可以直接使用微软公司的 Ｃ ｒ ｙ ｐ ｔ ｏ Ａ Ｐ Ｉ （Ｃｒｙｐｔｏｇｒａｐｈｉｃ　Ａｐｐｌｉｃａｔｉｏｎ　Ｐｒｏｇｒａｍｍｉｎｇ　Ｉｎｔｅｒｆａｃｅ，密码应用 程序接口） 调用 Ｃ Ｓ Ｐ 函数来实现供应商提供的密码运算。 ＣｒｙｐｔｏＡＰＩ是一组数目众多的安全函数，这些函数是 Ｗｉｎｄｏｗｓ 操作系统的一部分。ＣｒｙｐｔｏＡＰＩ事实上是通过 ＣＳＰ 以多种方 式实现同一密码函数。ＣＳＰ 是一个独立的模块，它实现了那 些通过 ＣｒｙｐｔｏＡＰＩ公共接口访问的密码函数，即 ＣＳＰ 封装和 隐藏了密码算法的具体实现，这样用户就不需要去关心它。 ＣＳＰ 所使用的密码设备，可以是使用运算芯片的密码算 法板卡，也可以是智能卡，有的 ＣＳＰ 是基于专门进行密码运 算的计算机的。ＵＳＢ　ＫＥＹ实际上是能够直接在计算机的 ＵＳＢ 接口上使用的智能卡设备。ＵＳＢ　ＫＥＹ体积跟钥匙一般大，携 带方便，而且运算能力可以很好地满足用户的需要，现在 ＵＳＢ ＫＥＹ 已经成为广泛使用的 Ｃ Ｓ Ｐ 设备。 １　　ＣＳＰ技术原理 微软提供了一个基本 ＣＳＰ，其他商家提供的 ＣＳＰ 包含了 他们自己实现的全部或 ＣｒｙｐｔｏＡＰＩ部分函数。ＣＳＰ 的技术原 理如图 １所示。由原理框图可以看出，应用程序并没有直接使 用 ＣＳＰ，而是调用操作系统提供的 ＣｒｙｐｔｏＡＰＩ函数，然后操 作系统通过ＣｒｙｐｔｏＳＰＩ（Ｃｒｙｐｔｏｇｒａｐｈｉｃ　Ｓｙｓｔｅｍ　Ｐｒｏｇｒａｍｍｉｎｇ Ｉｎｔｅｒｆａｃｅ，密码系统程序接口）把对ＣｒｙｐｔｏＡＰＩ函数的操作请 求传递给 ＣＳＰ，让 ＣＳＰ 来完成应用程序所要求的密码操作。 由此可见，不管供应商所使用的密码设备是什么，它必 须完成 ＣｒｙｐｔｏＡＰＩ传递的应用系统要求的密码运算功能。开 发 ＣＳＰ 程序的任务就是开发一组符合 ＣｒｙｐｔｏＳＰＩ要求的接口 函数，把设备的密码运算功能封装为 ＣｒｙｐｔｏＡＰＩ所能使用的 方式。 按照功能 ＣＳＰ 可以划分为以下几大类型：ＰＲＯＶ＿ＲＳＡ＿ Ｆ Ｕ Ｌ Ｌ，Ｐ Ｒ Ｏ Ｖ ＿ Ｒ Ｓ Ａ ＿ Ｓ Ｉ Ｇ，Ｐ Ｒ Ｏ Ｖ ＿ Ｄ Ｓ Ｓ，Ｐ Ｒ Ｏ Ｖ ＿ Ｄ Ｓ Ｓ ＿ Ｄ Ｈ，  Ｐ Ｒ Ｏ Ｖ ＿ Ｄ Ｈ ＿ Ｓ Ｃ Ｈ Ａ Ｎ Ｎ Ｅ Ｌ，Ｐ Ｒ Ｏ Ｖ ＿ Ｆ Ｏ Ｒ Ｔ Ｅ Ｚ Ｚ Ａ， Ｐ Ｒ Ｏ Ｖ ＿ Ｍ Ｓ ＿ Ｅ Ｘ Ｃ Ｈ Ａ Ｎ Ｇ Ｅ，Ｐ Ｒ Ｏ Ｖ ＿ Ｒ Ｓ Ａ ＿ Ｓ Ｃ Ｈ Ａ Ｎ Ｎ Ｅ Ｌ， ＰＲＯＶ＿ＳＳＬ。这些类型的 ＣＳＰ 的区别在于它在加密和认证过 程 所 使 用 的 算 法 是 不 一 样 的 。 本 文 所 讨 论 的 Ｃ Ｓ Ｐ 是 ＰＲＯＶ＿ＲＳＡ＿ＦＵＬＬ的，即数据签名使用 ＲＳＡ 算法，数据加密 使用 ＲＣ 和 Ｄ Ｅ Ｓ 算法。 图 １　　ＣＳＰ 原理框图 ＣＳＰ 的接口函数按功能主要分为以下四大部分：ＣＳＰ 连 接函数、密钥的产生和交换函数、数据加解密函数和 Ｈ Ａ Ｓ Ｈ 及数字签名函数。 ２　　ＵＳＢ　ＫＥＹ技术 ＵＳＢ　ＫＥＹ实际上是能够直接在计算机的 ＵＳＢ 接口上使用 的智能卡设备。其结构包括数据传输模块和智能卡两大部分， 如图 ２ 所示。数据传输部分负责 ＰＣ 机与智能卡之间的数据传 输，与 ＰＣ 机的通信是使用 ＵＳＢ 协议，而与智能卡的信息交换 则必需遵循 ＩＳＯ７８１６规范。智能卡部分负责应用程序数据的 存储管理和运算，这些功能都通过智能卡的操作系统 Ｃ Ｏ Ｓ （Ｃａｒｄ　Ｏｐｅｒａｔｉｏｎ　Ｓｙｓｔｅｍ）来完成。 　图 ２　　ＵＳＢ　ＫＥＹ 的原理框图 ２．１　　智能卡的结构 与 ＣＳＰ 相关的操作都是由智能卡芯片完成的。智能卡实  62  作者简介：杨