Windows系统中的安全组件CryptoAPICOM
Windows操作系统为我们提供了先进的加密体系模型CryptoAPI,同时该模型也提供了丰富的函数供第三方开发使用。但使用CryptoAPI完成一些通常的操作(如:加密、签名)仍然是相当复杂的。幸好微软同时提供了CryptoAPICOM组件,封装了上述的复杂操作,使你只需要调用一两个函数,就可以完成指定的功能。CryptoAPICOM是一个COM模型的组件,可以在Windows环境下各种语言中使用。而且,CryptoAPICOM中的大多数接口都是“脚本安全”的,这意味着你可以在浏览器网页脚本中安全地使用这些接口所提供的功能。
目前,CryptoAPICOM共有两个版本:1.0版和 2.0版。其中,后者在前者的基础上,提供了一些额外的功能。
CryptoAPICOMv1.0提供如下功能:
1、 产生和验证pkcs#7格式的数字签名;
2、 使用证书加密/解密数据;
3、 使用口令加密/解密数据;
CryptoAPICOMv2.0额外提供如下功能:
1、 产生和验证代码签名;
2、 支持文件形式的证书;
3、 快速证书搜索;
4、 产生任意数据的哈希值;
5、 支持aes算法(需要windows .net server 2003 或 windows xp支持);6、 支持高级证书属性,例如:政策、模板。
CryptoAPICOM是重分发组件,也就是说它没有被包含在操作系统的中,需要单独安装注册该组件(可以从ms那里免费下载);CryptoAPICOMv1.0 要求win95、winnt 4.0或更高版本,CryptoAPICOMv2.0 要求win98 、winnt 4.0 + sp4 或更高版本。
下面对几种常用的加密操作和证书管理功能进行说明。
哈稀运算
使用对象:hasheddata 脚本安全 注意:需要CryptoAPICOMv2.0 支持。
口令加解密
使用对象:encrypteddata 脚本安全 注意:该加密结果不符合pkcs#7标准,也就是说用CryptoAPICOM加密的数据也只能用其解密。
数字信封
使用对象:envelopeddata 脚本安全 处理结果符合pkcs#7标准。
数字签名
使用对象:signeddata 脚本安全 处理结果符合pkcs#7标准。
证书管理
使用对象:certificate、store等 脚本安全 你可以利用capicom提供的一系列证书管理组件完成证书的验证、查询、存储、显示等操作。
算法搜索策略
CryptoAPICOM首先检查系统缺省csp是否支持用户指定的算法及密钥长度,如果失败,则搜索微软提供的csp,并判断其是否支持上面指定的算法和密钥长度。搜索顺序如下:
1、 系统缺省csp;
2、 microsoft enhanced cryptographic provider;
3、 microsoft strong cryptographic provider;
4、 microsoft base cryptographic provider;
由上可见,在CryptoAPICOM中,我们可以通过自定义csp并提供自己的加密算法,供上层应用程序使用。
(1)
(2)CryptoAPI体系结构
CryptoAPI体系架构共由五大主要部分组成:基本加密函数、证书编/解码函数、证书库管理函数、简单消息函数、底层消息函数。体系结构如下图所系:
-
基本加密函数:用于选择CSP、建立CSP连接、产生密钥、交换及传输密钥等操作。
-
证书编/解码函数:用于数据加密、解密、哈希等操作。这类函数支持数据的加密/解密操作;计算哈希、创建和校验数字签名操作;实现证书、证书撤销列表、证书请求和证书扩展等编码和解码操作。
-
证书库管理函数:用于数字证书及证书库管理等操作。这组函数用于管理证书、证书撤销列表和证书信任列表的使用、存储、获取等。
-
简单消息函数:用于消息处理,比如消息编码/解码、消息加/解密、数字签名及签名验证等操作。它是把多个底层消息函数包装在一起以完成某个特定任务,方便用户的使用。
-
底层消息函数:底层消息函数对传输的PKCS#7数据进行编码,对接受到的PKCS#7数据进行解码,并且对接收到的消息进行解码和验证。它可以实现简单消息函数可以实现的所有功能,且提供更大的灵活性,但一般会需要更多的函数调用。
(3)CryptoAPI基本功能
- 密钥管理
- 数据编码/解码
- 数据加/解密
- 哈希与数字签名
- 数字证书管理
在VC++中开发CryptoAPI应用程序,需要预先设置一些编译环境。
1.需要包含以下头文件:
#include <windows.h>
#include <wincrypt.h>
2.包含的静态链接库:
链接CryptoAPI函数必须有静态库Crypto32.lib的支持,部分CryptoAPI函数可能还需要静态库advapi32.lib及CryptUI.lib的支持。
3.假如在VC++6.0上编译程序,则还需加上以下语句:
#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0400
#endif
在不同的版本的windows操作系统下,可能需要定义不同的常量,具体查看wincrypt.h头文件,根据wincrypt.h上不同的预编译语句在自己的应用程序中进行不同定义。(我在VS 2008环境中编译程序,不在需要自定义这部分)。在vs2008的wincrypt.h头文件已经没有这些相关的定义。)
注:部分的CryptoAPI函数在VC++6.0上并没有定义,如CertGetNameString函数为CryptoAPI的证书管理函数,但是在VC++6.0下编译时会报错,查看相应的wincryp.h文件时会发现里面没有声明该函数。但在VC++7.0以上的版本中则定义了这个函数。解决方法是可以将VC++7.0上的wincrypt.h、crypt32.lib、advapi32.lib三个文件覆盖vc+6.0的相应文件。
以下介绍几个编写CryptoAPI应用程序常用到得函数。
1.BOOLEAN CRYPTFUNC CryptAcquireContext(
HCRYPTPROV* phProv, CSP句柄
LPCTSTR pszContainer, 密钥容器名称,指向密钥容器的字符串指针
LPCTSTR pszProvider, 指向CSP名称的字符串指针,如果为NULL,则使用默认的CSP
DWORD dwProvType, CSP类型
DWORD dwFlags 标志
);
这个函数是为了获得CSP句柄,函数通过phProv参数返回获得的CSP句柄。在CryptoAPI加密服务相关的所有操作都在CSP实现,CSP真正实行加密相关服务的独立模块,当应用程序需要加密相关服务时,比如:加解密操作、密钥产生于管理等,必须先获取某个CSP句柄。这时一般CryptoAPI编程的第一步。
2.BOOL CRYPTFUNC CryptGenKey(
HCRYPTPROV hProv, //CSP句柄
ALG_ID Algid, //算法标志ID值。创建会话密钥时,它指定具体的加解密算法。指定算法时应注意具体的
// CSP是否支持此算法。创建公/私密钥对时,参数应为AT_KEYEXCHANGE(交换密钥对)
//或AT_SIGNATURE(签名密钥对)。
DWORD dwFlags, //说明创建密钥的长度及其它属性。
HCRYPTKEY* phKey //新创建密钥句柄,函数通过这个参数返回创建密钥句柄。
);
在CryptoAPI中,构造密钥一般有两种方法,一通过哈希值,而通过随机数构造。上面这种就是通过随机数创建的。下面介绍利用哈希值创建的函数。
BOOL CRYPTFUNC CryptDeriveKey(
HCRYPTPROV hProv,
ALG_ID Algid, //要产生密钥的对称加密算法
HCRYPTHASH hBaseData, //哈希句柄,函数根据这个哈希句柄创建密钥。
DWORD dwFlags, //指定密钥的类型。
HCRYPTKEY* phKey //密钥句柄,函数通过这个参数返回创建的密钥句柄。
);
这个函数通过输入的哈希值hBaseData来创建一个密钥,通过密钥句柄phKey参数返回。注意:这个函数只能创建会话密钥,不能用于创建公/私密钥对。
3.BOOL CRYPTFUNC CryptCreateHash(
HCRYPTPROV hProv, //CSP句柄
ALG_ID Algid, //哈希算法标识符
HCRYPTKEY hKey, // 如果哈希算法是密钥哈希,如HMACH或者MAC算法,就用此密钥句柄传递密钥。
//对于非密钥算法,此参数为NULL。
DWORD dwFlags, //保留,必须为0
HCRYPTHASH* phHash //哈希句柄,函数通过这个参数返回创建的哈希对象句柄。
);
这个函数初始化一个哈希句柄,它创建并返回一个CSP哈希句柄。
4.BOOL WINAPI CryptHashData(
HCRYPTHASH hHash, //哈希句柄,创建的哈希值通过这个句柄返回
BYTE* pbData, //指向要加入到哈希句柄的数据指针
DWORD dwDataLen, // 数据长度
DWORD dwFlags //标志
);
这个函数是计算一段数据的哈希值并加入到指定的哈希句柄中。在使用这个函数前必须通过CrpytHashData函数创建了一个哈希句柄。
5.BOOL WINAPI CryptEncodeObject(
__in DWORD dwCertEncodingType, //使用的编码类型。通常为 X509_ASN_ENCODING |
//PKCS_7_ASN_ENCODING
__in LPCSTR lpszStructType, //要编码的结构体类型
__in const void* pvStructInfo, //欲编码的结构体指针,要和lpszStructType类型一致
__out BYTE* pbEncoded, //编码后结构体指针,当设置为NULL时用于获取其长度
__in_out DWORD* pcbEncoded //编码后的结构体长度
);
这个函数用于将pvStructInfo所指向的数据按照lpszStructType结构体类型编码。
6.BOOL WINAPI CryptDecodeObject(
__in DWORD dwCertEncodingType,
__in LPCSTR lpszStructType,
__in const BYTE* pbEncoded,
__in DWORD cbEncoded,
__in DWORD dwFlags,
__out void* pvStructInfo,
__in_out DWORD* pcbStructInfo
);
这个函数是对上面编码后的数据进行解码,参数和上面编码函数的参数差不多,具体可以查看MSDN帮助文档。
1.CERT_RDN_ATTR 结构体
typedef struct _CERT_RDN_ATTR { LPSTR pszObjId; DWORD dwValueType; CERT_RDN_VALUE_BLOB Value; } CERT_RDN_ATTR, *PCERT_RDN_ATTR;
pszObjId:对象标识符,用于标识证书属性,具体可以查看MSDN中的解析,也可以查看wincrypt.h文件查看相应的定义。譬如szOID_STATE_OR_PROVINCE_NAME,表示省名。
dwValueType:对成员Value的解析,取值查看MSDN,当主要是初始化证书属性时,Value的值主要是一些字符串时,该值可以为CERT_RDN_PRINTABLE_STRING,表示可以打印的字符串。
Value:一个结构体,在这里初始化证书属性。
typedef struct _CRYPTOAPI_BLOB { DWORD cbData; BYTE* pbData; } ,其中cbData表示大小,pbData指向一个内存空间。
2.CERT_RDN 结构体:The CERT_RDN structure contains a relative distinguished name (RDN) consisting of an array of CERT_RDN_ATTR structures.
typedef struct _CERT_RDN { DWORD cRDNAttr; PCERT_RDN_ATTR rgRDNAttr; } CERT_RDN, *PCERT_RDN;
参数:cRDNAttr:rgRDNAttr数组元素的个数;rgRDNAttr:指向CERT_RDN_ATTR结构元素的数组地址。
3.CERT_NAME_INFO 结构体:The CERT_NAME_INFO structure contains subject or issuer names.The information is represented as an array of CERT_RDN structures.
typedef struct _CERT_NAME_INFO { DWORD cRDN; PCERT_RDN rgRDN; } CERT_NAME_INFO, *PCERT_NAME_INFO;
参数:同上差不多。
4.CERT_REQUEST_INFO 证书请求结构体:这个结构体包含证书请求的主体,主体公钥,属性块等信息,这些信息都是经过编码的。
typedef struct _CERT_REQUEST_INFO { DWORD dwVersion; CERT_NAME_BLOB Subject; CERT_PUBLIC_KEY_INFO SubjectPublicKeyInfo; DWORD cAttribute; PCRYPT_ATTRIBUTE rgAttribute; } CERT_REQUEST_INFO, *PCERT_REQUEST_INFO;参数:dwVersion:证书版本号,可以为CERT_V1等,根据属性扩展情况,符合不同版本证书;Subject:证书主题;SubjectPublicKeyInfo:证书主题中的公钥信息;cAttribute:rgAttribute数组元素个数,可以为0;rgAttribute:属性参数数组,可以为NULL;以上信息都是要经过编码后的信息来填充的。5.CryptSignAndEncodeCertificate函数,用来创建自签名证书BOOL WINAPI CryptSignAndEncodeCertificate( __in HCRYPTPROV_OR_NCRYPT_KEY_HANDLE hCryptProvOrNCryptKey, __in DWORD dwKeySpec, __in DWORD dwCertEncodingType, __in LPCSTR lpszStructType, __in const void* pvStructInfo, __in PCRYPT_ALGORITHM_IDENTIFIER pSignatureAlgorithm, __in const void* pvHashAuxInfo, __out PBYTE pbEncoded, __in_out DWORD* pcbEncoded ); 参数:1,CSP句柄;2,指明公钥是来自签名公钥还是交换公钥,可以为AT_KEYEXCHANGE或者AT_SIGNATURE之一;3,指明编码类型,可以为X509_ASN_ENCODING;4,结构体类型,和第5个参数配合起来使用,可以为X509_CERT_CRL_TO_BE_SIGNED或者X509_CERT_REQUEST_TO_BE_SIGNED或者X509_CERT_TO_BE_SIGNED或者X509_KEYGEN_REQUEST_TO_BE_SIGNED,意思可以查看MSDN。6,签名算法结构体,指明签名算法,算法标识可以为szOID_RSA_MD5RSA 或者szOID_RSA_SHA1RSA 或者szOID_X957_SHA1DSA ;7,可以不用,设为NULL;8,签名后数据的长度,当设为NULL时,可以用来求数据的长度;9,用于存放数据的内存空间。
扫一扫
5257
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
