技術(shù)領(lǐng)域

本發(fā)明涉及計算機(jī)信息安全領(lǐng)域，具體地說是一種基于USBKEY的CSP實現(xiàn)方法。

背景技術(shù)

近十年來，信息技術(shù)尤其是計算機(jī)網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展。人們得益于信息革命帶來的巨大機(jī)遇的同時，不得不面對信息安全問題的嚴(yán)峻考驗。為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強(qiáng)的加密算法等措施之外，必須建立一種信任及信任驗證機(jī)制，保證傳輸數(shù)據(jù)的認(rèn)證、完整性、機(jī)密性和不可否認(rèn)性。

CryptoAPI是一個應(yīng)用程序編程接口，向開發(fā)人員提供信息安全方面的各種功能，包括各種加密算法、數(shù)字簽名算法以及對密鑰的管理等，這些功能實現(xiàn)了信息的保密性、完整性和不可抵賴性。CryptoAPI定義了很多函數(shù)以及與函數(shù)相關(guān)的常數(shù)、結(jié)構(gòu)?、對象，開發(fā)人員不用知道底層的細(xì)節(jié)就可以調(diào)用這些函數(shù)來實現(xiàn)相關(guān)功能。上層應(yīng)用程序通過CryptoAPI函數(shù)對CSP進(jìn)行操作，并實現(xiàn)加密、解密、簽名、驗證等過程。

CSP是密碼服務(wù)供應(yīng)商為了給用戶提供方便，針對應(yīng)用層提供的標(biāo)準(zhǔn)接口函數(shù)。CryptoAPI事實上是通過CSP以多種方式實現(xiàn)同一密碼函數(shù)。CSP是一個獨立的模塊，它實現(xiàn)了那些通過CryptoAPI公共接口訪問的密碼函數(shù)，即CSP封裝和隱藏了密碼算法的具體實現(xiàn)，這樣用戶就不需要去關(guān)心它。

PKI技術(shù)以數(shù)字證書為媒介，通過對證書的使用和管理，可在網(wǎng)絡(luò)信息交流中實現(xiàn)身份認(rèn)證并保證信息傳輸?shù)陌踩浴SBKey中存儲了數(shù)字證書和對應(yīng)的私鑰，并且不允許私鑰導(dǎo)出。即使USBKey?丟失也有口令保護(hù)，不會造成私鑰的隨意泄漏，正是USBKey?的小巧、方便易用以及高安全可靠性，使得它的應(yīng)用范圍越來越廣在證書系統(tǒng)中成為重要載體。

發(fā)明內(nèi)容

本發(fā)明的技術(shù)任務(wù)是提供一種基于USBKEY的CSP實現(xiàn)方法。

本發(fā)明的技術(shù)任務(wù)是按以下方式實現(xiàn)的，該方法步驟如下：

????在申請證書時選擇CSP，將證書下載到USBKey中，利用公鑰和證書進(jìn)行數(shù)據(jù)的加解密和簽名驗證，證書使用Crypto?API中的證書相關(guān)函數(shù)接口進(jìn)行導(dǎo)入和導(dǎo)出；USBKey的內(nèi)部保存著每個合法用戶的證書和RSA密鑰對，并且不允許導(dǎo)出私鑰，需要時對私鑰進(jìn)行的操作均在USBKey中實現(xiàn)；以數(shù)字證書為媒介，通過對證書的使用和管理，在網(wǎng)絡(luò)信息交流中實現(xiàn)身份認(rèn)證并保證信息傳輸?shù)陌踩浴?/p>

所述的Crypto?API從系統(tǒng)調(diào)用層次方面分為相互獨立的三層：

1)應(yīng)用層：用戶通過調(diào)用系統(tǒng)層提供的Crypto?API使用加密服務(wù)的應(yīng)用程序，利用統(tǒng)一的API接口進(jìn)行編程，由操作系統(tǒng)通過統(tǒng)一的SPI接口來與具體的CSP進(jìn)行交互；

2)中間層：即操作系統(tǒng)層，隔離了應(yīng)用層和底層CSP和具體加密實現(xiàn)細(xì)節(jié),為應(yīng)用層提供統(tǒng)一的API接口，為加密服務(wù)提供層提供SPI接口；

3)加密服務(wù)提供層：使用不同的加密和簽名算法產(chǎn)生密鑰，交換密鑰、數(shù)據(jù)的加密驗證。

所述的CSP的開發(fā)流程如下：

1）Crypto?SPI函數(shù)集

自定義的CSP的DLL包括所有的Crypto?SPI函數(shù)，按照功能分為4大類：連接、密鑰產(chǎn)生與交換、數(shù)據(jù)加密以及哈希和數(shù)字簽名；

2）CSP的結(jié)構(gòu)設(shè)計

CSP的結(jié)構(gòu)從下往上分為三層：硬件抽象層、功能實現(xiàn)層以及接口封裝層；

硬件抽象層：該層屏蔽了硬件的具體實現(xiàn)細(xì)節(jié)，為功能實現(xiàn)層提供一個統(tǒng)一的卡片操作函數(shù)；

功能實現(xiàn)層：該層的核心部分是卡片文件系統(tǒng)，完成卡片資源空間的分配和回收；同時該層對硬件抽象層進(jìn)一步封裝，為接口封裝層提供更友好的界面；該層可供底層開發(fā)用戶使用；

接口封裝層：該層實現(xiàn)CSP所定義的標(biāo)準(zhǔn)；

3）設(shè)計CSP動態(tài)鏈接庫

開發(fā)一個包含CSP接口函數(shù)的殼動態(tài)庫Shell.dll文件來獲取微軟簽名，殼動態(tài)庫Shell.dll是用來調(diào)用實體CSP動態(tài)庫Csp.dll；

基于USBKEY的CSP由以下四個DLL組成：?Shell.dll、Csp.dll、Token.dll和UI.dll；其中CryptoAPI函數(shù)調(diào)用Shell.dll，具體的功能都在Csp.dll實現(xiàn)，Token.dll為Csp.dll提供統(tǒng)一的卡片操作函數(shù)，UI.dll提供友好的界面函數(shù)接口；

4）CSP注冊程序