CryptoAPI是安全加密应用服务框架,它给出了在Win32环境下用认证、编码、加密与签名等安全服务的标准加密接口,用来加强应用程序的安全性与可控性。应用开发者在不清楚繁杂的加密机制与加密算法的前提下,可便捷地开发出标准、通用并易于扩展的安全加密应用程序。
CryptoAPI是一组函数,为了计算,一定得含密码服务提供者模块。Microsoft通过RSA Base Provider在操作系统级有一个CSP,用RSA公钥加密算法,更多的CSP可因需求加到应用中。实际上,CSP有可能与硬件设备共同加密数据。CryptoAPI接口可由简单的函数调用加密数据、交换公钥、哈希一个消息来建立摘要并生成数字签名。CryptoAPI还给了高级安全性服务很多的密码操作,含在加密客户机/服务器消息,及各平台间传机密数据与密钥的PFX、代码签名等。
1.基本加密函数
用来选取CSP、建立CSP连接、产生密钥、交换及传输密钥等。
2.证书编解码函数
用来进行数据加密、解密、哈希等。这类函数支持数据的加/解密操作:计算哈希、签发和验证数字签名操作;实现证书、证书撤销列表、证书请求和证书扩展等编码和解码操作。
3.证书库管理函数
用在数字证书及证书库管理等。这组函数用在管理证书、证书撤销列表和证书信任列表的使用、存储、获取等。
4.简单消息函数
用于消息处理,比如消息编码/解码、消息加/解密、数字签名及签名验证等。它把多个低层消息函数包装好来完成某个特定任务,方便用户使用。
5.低层消息函数
低层消息函数数据编码传输的PKCS#7,数据解码收到的PKCS#7,且解码和验证收到的消息。它可达到简单消息函数的全部功能,且更灵活,但需更多的函数调用。
每类函数的命名前缀都有约定,前缀约定如下:基本加密函数Crypt、证书编码与解码函数Cert、证书库管理函数Store、简单消息函数Message、低层消息函数Msg Cryp to AP之上是应用程序,之下是CSP。CSP可真的进行加密的独立模块,特别的有微软RSA Base Provider。任意加密服务提供者要想是合法的CSP,就一定得得到微软授权的签名文件,该文件确保了CSP的合法性与CryptoAPI能辨别它。CryptoAPI使用系统注册表存储一个CSP数据库,CSP数据库中记了全部装到电脑中的CSP。
每个CSP均有一个名字和类型,名字仅有一个,方便CryptoAPI找到相应的CSP。现今已有10种CSP类型,并且还会继续增长。
每个CSP均有一个密钥库,库里存储着由CSP保存的算法密钥。每个密钥库都有一个或多个密钥容器,每个容器都含一到多个密钥对。每个密钥容器均有一个名字,它是程序要得到此容器句柄时传给函数的参数。
