目前，在國際上有兩種比較通用的對加密設(shè)備進(jìn)行管理的接口。一種是PKCS#11標(biāo)準(zhǔn)接口，另一種是由Microsoft制定的CSP(Cryptographic Service Provider)標(biāo)準(zhǔn)接口。其中CSP是微軟專為Windows系列操作系統(tǒng)制定的底層加密接口，用于管理硬件或軟件形式的加密設(shè)備，實(shí)現(xiàn)數(shù)據(jù)加密、解密，數(shù)字簽名、驗(yàn)證和數(shù)據(jù)摘要(即HASH)等。

CSP是Windows安全應(yīng)用的基礎(chǔ)，在Windows操作系統(tǒng)上實(shí)現(xiàn)https安全瀏覽（即SSL安全數(shù)據(jù)通信）和實(shí)現(xiàn)安全隧道(如Ipsec)功能，都必需有CSP參與密碼運(yùn)算。

1 Microsoft CSP簡介

Cryptographic Service Provider（簡稱CSP）是Microsoft公司用來在Windows平臺上提供第三方加密模塊的接口標(biāo)準(zhǔn)。一個CSP 模塊包含了一些標(biāo)準(zhǔn)加密算法的實(shí)現(xiàn)，是CAPI 函數(shù)的具體執(zhí)行者，同時CSP 模塊也提供了密鑰的安全存儲和使用機(jī)制。

微軟提出的 Cryptographic Service Provider(CSP)接口標(biāo)準(zhǔn)是一個包含了標(biāo)準(zhǔn)加密算法實(shí)現(xiàn)的軟件模塊。CSP在微軟操作系統(tǒng)安全體系中是加解密操作的實(shí)際執(zhí)行者，它直接同硬件加密設(shè)備（HSE）如smart card、安全協(xié)處理器交互。CSP模塊實(shí)現(xiàn)了CryptoSPI 的一個子集，它實(shí)現(xiàn)的算法包括：

• 非對稱加密算法

RSA 1024 位

• 對稱加密算法  

DES 56 位

3DES 168 位

• 摘要算法

MD2

MD5

SHA1

2 接口

CSP v1.0 實(shí)現(xiàn)的CryptoSPI 接口函數(shù)是：

CPAcquireContext

CPCreateHash

CPDecrypt

CPDeriveKey

CPDestroyHash

CPDestroyKey

CPEncrypt

CPExportKey

CPGenKey

CPGenRandom

CPGetHashParam

CPGetKeyParam

CPGetProvParam

CPGetUserKey

CPHashData

CPHashSessionKey

CPImportKey

CPReleaseContext

CPSetHashParam

CPSetKeyParam

CPSetProvParam

CPSignHash

CPVerifySignature

3 CSP體系結(jié)構(gòu)

其中，微軟基本CSP包括RSABase, DssBase等，還有提供128位以上加密密鑰的增強(qiáng)型CSP。基本CSP只提供40位對稱加密和512位RSA非對稱加密，這樣的密鑰長度恰在可破密碼的范圍內(nèi)，是不安全的。

第三方CSP可由加密設(shè)備廠商按照微軟制定的標(biāo)準(zhǔn)接口開發(fā)，通過微軟簽名后安裝到系統(tǒng)中使用。

CSP的種類可以有簽名型(Signature)、密鑰交換型(Key Exchange)和安全通道型(SChannel)等。

上圖的中間層CryptoAPI是Windows提供的統(tǒng)一安全API接口，它由一組函數(shù)構(gòu)成，該API的全部功能都需要調(diào)用下層的CSP服務(wù)模塊來實(shí)現(xiàn)。

4 標(biāo)準(zhǔn)及協(xié)議

CAPI – Cryptographic Application Programming Interface

CSP – Cryptographic Service Provider

CSPI – Cryptographic Service Provider Interface

S/MIME - S/MIME is a specification for secure electronic mail. S/MIME stands for Secure/Multipurpose Internet Mail Extensions and was designed to add security to e-mail messages in MIME format. The security services offered are authentication (using digital signatures) and privacy (using encryption).

SSL/TLS – TLS(Transport Layer Security) 1.0 is a standardized, slightly modified version of SSL(Secure Sockets Layer) 3.0 that was issued by the Internet Engineering Task Force (IETF) in January 1999, in document RFC 2246. Because TLS has been standardized, developers are encouraged to use TLS rather than SSL. PCT is included for backward compatibility only and should not be used for new development. When the SChannel security package is used, DCOM automatically negotiates the best protocol, depending on the client and server capabilities.