隨著智能卡功能的不斷完善，卡片運算速度和存貯功能的不斷加強(qiáng)，在對安全性要求較高的領(lǐng)域，智能卡的應(yīng)用開始越來越廣泛。其中作為硬件數(shù)字證書使用，也是智能卡的一項重要功能。智能卡作為硬件級的加密設(shè)備，如何同當(dāng)前使用最為廣泛的windows操作系統(tǒng)進(jìn)行無縫連接，需要開發(fā)智能卡讀卡器硬件、讀卡器驅(qū)動程序、智能卡CSP 等一系列軟硬件設(shè)施，本文將主要針對其中的智能卡CSP 開發(fā)。

　　1 CSP 簡介

　　加密服務(wù)提供者Cryptographic Service Provider（簡稱CSP）是Windows 操作系統(tǒng)加密體系的重要組成部分，它提供了一組標(biāo)準(zhǔn)API 函數(shù)（CryptoAPI）供應(yīng)用程序調(diào)用，如IE 使用SSL 訪問網(wǎng)站、Outlook 發(fā)送加密郵件等，均會調(diào)用到CryptoAPI 函數(shù)。智能卡作為一種硬件級的加密設(shè)備，要實現(xiàn)和windows 操作系統(tǒng)的無縫連接，使應(yīng)用程序能夠通過CryptoAPI 這套標(biāo)準(zhǔn)函數(shù)使用智能卡設(shè)備， 就必定要針對該種設(shè)備開發(fā)CSP 服務(wù)程序。智能卡設(shè)備CSP 在系統(tǒng)中的位置如圖1 所示。 

　　2 CSP 中的容器

　　CSP 使用容器來管理密鑰，以RSA 密鑰為例，一個容器中可以存在一對RSA 交換密鑰和一對RSA 簽名密鑰。一個智能卡中可以有多個容器。結(jié)構(gòu)如圖2 所示。Windows 系統(tǒng)中一般會存在多個CSP，既有微軟自己的純軟件型CSP，也可能有數(shù)個不同廠商的軟硬件加密設(shè)備的CSP。應(yīng)用程序可以通過CryptoAPI 函數(shù)的來指定使用哪個CSP 以及該CSP 中的哪個容器。

　　3 CSP 在智能卡中的密鑰存貯結(jié)構(gòu)

　　3.1 智能卡中私鑰的特點

　　在CSP 中私鑰的作用主要是用來做解密或簽名。智能卡這種設(shè)備的一個重要特點是私鑰可以設(shè)定為讀禁止，私鑰不能被從智能卡中讀出。當(dāng)需要用私鑰進(jìn)行解密或者簽名時，被解密或簽名的數(shù)據(jù)必須先送入智能卡，由智能卡中的處理器對數(shù)據(jù)做解密或簽名，解密或簽名后的數(shù)據(jù)再出智能卡返回計算機(jī)中。整個過程中私鑰不能被計算機(jī)讀出，解密或簽名的過程是在智能卡中進(jìn)行的，保證了私鑰的不可復(fù)制特性，避免了黑客攻入計算機(jī)，將私鑰遠(yuǎn)程拷貝走的可能。

　　3.2 私鑰、公鑰和證書的不同保護(hù)級別

　　使用私鑰時，智能卡需要驗證保護(hù)該私鑰的PIN 碼，只有PIN 碼驗證正確的情況下才能使用私鑰。但智能卡中的證書和公鑰則一般不需要PIN 碼保護(hù)，以保證使用過程中的靈活性。在CryptoAPI 的SILENT 模式中，公鑰可以隨時被讀出。另外當(dāng)智能卡插入到連接計算機(jī)的讀卡器中時，一般都需要將智能卡中的證書導(dǎo)入到windows 系統(tǒng)的證書庫中，因IE 瀏覽器不能直接識別智能卡中的證書，它需要從windows 系統(tǒng)的證書庫中去讀證書。這些情況下均需要讓智能卡不經(jīng)過PIN 碼驗證，就能使智能卡中的公鑰和證書被讀出。

　　3.3 CSP 密鑰容器的存貯結(jié)構(gòu)設(shè)計

　　3.3.1 CSP 密鑰容器存貯結(jié)構(gòu)圖 

　　圖3 為CSP 密鑰容器存貯結(jié)構(gòu)圖。

　　.3.2 公開目錄(DDF)：如圖3 所示，公開目錄(DDF)下的ADF 子目錄下存放RSA 加密公鑰及相應(yīng)證書、RSA 簽名公鑰及相應(yīng)證書，容器名稱為ADF 目錄的名稱，可以同時存在多個容器。公開目錄(DDF)、容器目錄（ADF）、公鑰、證書都不設(shè)置PIN 碼保護(hù)，公鑰和證書可以隨時可以被從智能卡中讀出。

　　3.3.3 私鑰目錄（DDF）：如圖3 所示，私鑰目錄(DDF)下的ADF 子目錄下存放RSA 加密密鑰對中的私鑰和RSA 簽名密鑰對中的私鑰，ADF 目錄名稱與對應(yīng)公鑰所在的ADF 目錄名稱相同。私鑰目錄(DDF)設(shè)置PIN 碼保護(hù)，要使用該目錄的子目錄下的私鑰，必須首先通過私鑰目錄(DDF)的PIN 碼驗證。

　　3.3.4 容器名稱：圖3 中的私鑰目錄(DDF)下的容器目錄(ADF)名稱必須和公開目錄(DDF)下的容器目錄(ADF)名稱對應(yīng)，比如私鑰目錄(DDF)下的
容器目錄1 和公開目錄(DDF)下的容器目錄1 的名稱必須相同，因為它們實際上是代表著同一個容器名。

　　3.3.5 容器索引文件：容器索引文件存放著智能卡中的所有容器名稱， 并且指明容器名稱和容器目錄(ADF) 之間的關(guān)系。每次調(diào)用CSP 的CPAcquireContext函數(shù)時，該函數(shù)都需要從這個文件中獲取智能卡中已有的所有容器名稱。容器索引文件的結(jié)構(gòu)可以用如下方式表示：

　　## 容器名稱1# 容器目錄1(ADF)## 容器名稱2# 容器目錄2(ADF)##......#......##

　　4 CSP 軟件架構(gòu)的設(shè)計與實現(xiàn)

　　4.1 CSP 軟件架構(gòu)的種類

　　CSP 從整體上看主要有上下文環(huán)境對象、密鑰對象、哈希對象三種數(shù)據(jù)結(jié)構(gòu)。在開發(fā)CSP 的過程有幾種方法來實現(xiàn)對這三種數(shù)據(jù)結(jié)構(gòu)對象的管理，具體如下：

　　結(jié)構(gòu)對象的管理，具體如下：
 
　　1) 上下文環(huán)境對象在CSP 中實現(xiàn)，密鑰對象和哈希對象交給微軟的純軟件型CSP 來管理。
　　2) 上下文環(huán)境對象和密鑰對象在CSP 中實現(xiàn)，哈希對象交給微軟的純軟件型CSP 來管理。
　　3) 上下文環(huán)境對象、密鑰對象和哈希對象都在CSP 中實現(xiàn)。

　　其中第3 種方法實現(xiàn)CSP 的復(fù)雜性最高，但也最為靈活，本文主要探討這種方法。由于在CSP 開發(fā)中一般都用C 語言或C++語言來實現(xiàn)，因此約定以下用到的數(shù)據(jù)結(jié)構(gòu)定義均使用C++語言來表述。

　　4.2 CSP 中幾個基本的對象類型分析

　　通過分析微軟定義的CSP 25 個基本函數(shù)，可以發(fā)現(xiàn)CSP 的上下文環(huán)境對象、密鑰對象、哈希對象是以HCRYPTPROV、HCRYPTKEY和HCRYPTHASH 三種類型存在的。

　　HCRYPTPROV 對象類型的作用是串聯(lián)起整個CSP 的上下文環(huán)境。該對象一般由CPAcquireContext 函數(shù)產(chǎn)生，由CPReleaseContext函數(shù)終止。

　　HCRYPTKEY 對象類型起到密鑰句柄的作用。其存在周期一般是從密鑰的產(chǎn)生或者密鑰導(dǎo)入開始，經(jīng)歷密鑰的使用，最后到密鑰句柄被釋放的過程。

　　HCRYPTHASH 對象類型起到哈希句柄的作用。其存在周期一般是從哈希的產(chǎn)生，到哈希的使用，最后是哈希句柄被釋放的過程。 

{$page$}

　　4.3 三種對象類型的設(shè)計與實現(xiàn) 

　　在CSP 的具體設(shè)計與實現(xiàn)中，HCRYPTPROV 對象類型、HCRYPTKEY對象類型和HCRYPTHASH 對象類型之間的相互關(guān)系如圖4 所示。

　　ProvQueue 鏈表為CSP 上下文環(huán)境句柄鏈表，KeyQueue 鏈表為密鑰句柄鏈表，HashQueue 鏈表為哈希句柄鏈表。

　　CProvContext 為CSP 上下文環(huán)境類、CCryptKey 為密鑰句柄類、CCryptHash 為哈希句柄類，這幾個類的具體設(shè)計見下文。 

　　4.3.1 CSP 上下文環(huán)境對象的實現(xiàn)

　　CSP 的上下文環(huán)境由HCRYPTPROV 對象類型實現(xiàn)，在實現(xiàn)過程中可以定義一個CProvContext 的類，具體定義如下： 

　　該類包含有在當(dāng)前上下文環(huán)境中使用的容器名ContainerName，通過SetProvParam 成員函數(shù)可以對當(dāng)前上下文環(huán)境屬性進(jìn)行設(shè)置，通過GetProvParam 成員函數(shù)可以得到當(dāng)前上下文環(huán)境的屬性。將該類強(qiáng)制轉(zhuǎn)換成HCRYPTPROV 類型，即可實現(xiàn)CSP 上下文環(huán)境的數(shù)據(jù)類型。

　　如果在同一個進(jìn)程中通過CryptoAPI 的CryptAcquireContext 函數(shù)同時打開多個不同的容器，此時就會有多個CProvContext 類實例，因此需要通過鏈表來管理多個實例。這里定義一個ProvQueue 的鏈表，在同一個進(jìn)程中每當(dāng)打開一個容器或新建一個容器時，就產(chǎn)生一個CProvContext 類的實例，將該實例加入到ProvQueue 鏈表中，通過prevContext 指針指向前一個實例， 通過nextContext 指針指向后一個實例。

　　CSP 25 個函數(shù)中都有CSP 的上下文環(huán)境句柄，25 個函數(shù)之間的關(guān)系可以通過這個句柄得到聯(lián)系。比如調(diào)用CPEncryt 函數(shù)時，首先檢查CPEncryt 傳入HCRYPTPROV 句柄是否在ProvQueue 中存在，如果存在，則ProvQueue 鏈表中對應(yīng)的該條記錄即為當(dāng)前的上下文環(huán)境句柄，該記錄中包含有當(dāng)前的容器名、相關(guān)的密鑰隊列(KeyQueue)和哈希隊列(HashQueue)，從密鑰隊列(KeyQueue)中可以獲取CPEncryt 函數(shù)需要使用的密鑰對象。對象之間的關(guān)系可參見圖4。

　　4.3.2 HCRYPTKEY 密鑰對象類型

　　HCRYPTKEY 密鑰對象類型可以定義一個CCryptKey 的類，在使用過程中將該類強(qiáng)制轉(zhuǎn)換成HCRYPTKEY 類型，該類具體定義如下： 

　　該類包含有當(dāng)前密鑰所對應(yīng)的算法(KeyAlgid)、dwFlags 參數(shù)以及當(dāng)前密鑰隸屬于的CSP 上下文環(huán)境對象(pProContext)。通過SetKeyParam 成員函數(shù)可以對當(dāng)前密鑰屬性進(jìn)行設(shè)置，通過GetKeyParam 成員函數(shù)可以得到當(dāng)前密鑰的屬性。

　　在同一個CSP 上下文環(huán)境對象中可以同時產(chǎn)生多個不同的密鑰句柄，因此需要通過密鑰句柄鏈表來管理這些密鑰句柄。定義一個KeyQueue 的鏈表，在同一個CSP 上下文環(huán)境對象中每當(dāng)產(chǎn)生一個新的密鑰或?qū)胍粋€新的密鑰時，就會產(chǎn)生一個CCryptKey類的實例，將該實例加入到KeyQueue 鏈表中，通過prevCryptKey 指針指向前一個實例， 通過nextCryptKey 指針指向后一個實例。

　　通過圖4，可以看到密鑰與密鑰鏈表之間的關(guān)系，具體使用某個密鑰時需要先從KeyQueue 鏈表中找到對應(yīng)的密鑰句柄。比如調(diào)用CPEncryt 函數(shù)時，先檢查CPEncryt 函數(shù)傳入的HCRYPTKEY 句柄是否在KeyQueue 鏈表中已經(jīng)存在，如果存在，則KeyQueue 鏈表中對應(yīng)的該條記錄即為當(dāng)前的密鑰句柄，該記錄中包含有當(dāng)前密鑰的算法(KeyAlgid)、dwFlags 等參數(shù)。

　　4.3.3 HCRYPTHASH 哈希對象類型

　　HCRYPTHASH 哈希對象類型的定義和HCRYPTKEY 密鑰對象類型的定義相似，定義一個CCryptHash 的類，在使用過程中將該類強(qiáng)制轉(zhuǎn)換成HCRYPTHASH 類型，該類具體定義如下： 

　　該類中包含有當(dāng)前哈希所對應(yīng)的算法(HashAlgid)、dwFlags 參數(shù)以及當(dāng)前哈希隸屬于的CSP 上下文環(huán)境對象(pProContext)。通過SetHashParam 成員函數(shù)可以對當(dāng)前哈希屬性進(jìn)行設(shè)置，通過GetHashParam 成員函數(shù)可以得到當(dāng)前哈希的屬性。

　　在同一個CSP 上下文環(huán)境對象中可以同時產(chǎn)生多個不同的哈希句柄，因此需要通過哈希句柄鏈表來管理這些哈希句柄。定義一個HashQueue 的鏈表，在同一CSP 上下文環(huán)境中每當(dāng)產(chǎn)生一個新的哈希時，就會產(chǎn)生一個CCryptHash 類的實例，將該實例加入到HashQueue 鏈表中，通過prevCryptHash 指針指向前一個實例， 通過nextCryptHash 指針指向后一個實例。

　　通過圖4，可以看到哈希與哈希鏈表之間的關(guān)系，具體使用某個哈希時需要先從HashQueue 鏈表中找到對應(yīng)的哈希句柄。比如調(diào)用CPHashData 函數(shù)時， 先檢查CPHashData 函數(shù)傳入的HCRYPTHASH 句柄是否在HashQueue 鏈表中已經(jīng)存在， 如果存在，則HashQueue 鏈表中對應(yīng)的該條記錄即為當(dāng)前的哈希句柄，該記錄中包含有當(dāng)前哈希的算法(HashAlgid)、dwFlags 等參數(shù)。

　　5 綜述

　　綜上所述，由于微軟對于CSP 只是定義了基本的函數(shù)接口，具體在CSP 的設(shè)計與實現(xiàn)過程中有很強(qiáng)的靈活性，除了本文提到的幾種CSP 的設(shè)計和實現(xiàn)方法外，可能還會有其它的CSP 設(shè)計和實現(xiàn)方法，CSP 中密鑰存貯結(jié)構(gòu)的設(shè)計方法也有很多。隨著智能卡技術(shù)的不斷發(fā)展，以及智能卡在各行各業(yè)中應(yīng)用的普及，各行各業(yè)對智能卡CSP 功能上的要求可能會有不同，安全性方面的要求可能也會有差異，因此CSP 軟件架構(gòu)如何設(shè)計，對應(yīng)的密鑰存貯結(jié)構(gòu)如何設(shè)計，主要還是看CSP 的具體用途 。