副标题#e#
CryptoAPI编程
(1) 微软加密处事体系
微软加密处事体系CryptoAPI的布局如下图所示,微软加密处事体系包括三层布局和两个接口,别离为应用措施层、操纵系统层(OS)、加密处事提供者层(Cryptographic Service Provider,CSP),CryptoAPI接口和加密处事提供者接口(Cryptographic Service Provider Interface,CSPF)。
(2)CryptoAPI体系布局
CryptoAPI体系架构共由五大主要部门构成:根基加密函数、证书编/解码函数、证书库打点函数、简朴动静函数、底层动静函数。体系布局如下图所系:
根基加密函数:用于选择CSP、成立CSP毗连、发生密钥、互换及传输密钥等操纵。
证书编/解码函数:用于数据加密、解密、哈希等操纵。这类函数支持数据的加密/解密操纵;计较哈希、建设和校验数字签名操纵;实现证书、证书取消列表、证书请求和证书扩展等编码息争码操纵。
证书库打点函数:用于数字证书及证书库打点等操纵。这组函数用于打点证书、证书取消列表和证书信任列表的利用、存储、获取等。
简朴动静函数:用于动静处理惩罚,好比动静编码/解码、动静加/解密、数字签名及签名验证等操纵。它是把多个底层动静函数包装在一起以完成某个特定任务,利便用户的利用。
底层动静函数:底层动静函数对传输的PKCS#7数据举办编码,对接管到的PKCS#7数据举办解码,而且对吸收到的动静举办解码和验证。它可以实现简朴动静函数可以实现的所有成果,且提供更大的机动性,但一般会需要更多的函数挪用。
(3)CryptoAPI根基成果
操作CryptoAPI,开拓者可以给基于Windows的应用措施添加安详处事,包罗:ASN.1编码/解码、数据加密/解密、身份认证、数字证书打点,同时支持PKI、对称暗码技能等。
密钥打点
在CryptoAPI中,支持两种范例的密钥:会话密钥、公/私密钥对。会话密钥也成为对称密钥,用于对称加密算法。为了担保密钥的安详性,在CryptoAPI中,这些密钥都生存在CSP内部,用户可以通过CryptExpoetKey以加密密钥快形式导出。公/私钥对用于非对称加密算法。非对称加密算法主要用于加解密会话密钥和数字签名。在CryptoAPI中,一般来说,大大都CSP发生的密钥容器包括两对密钥对,一对用于加密会话密钥,称为互换密钥对,一对用于发生数字签名,称为签名密钥对。在CryptoAPI中,所有的密钥都存储在CSP中,CSP认真密钥的建设,销毁,导入导出等操纵。
数据编码/解码
CryptoAPI回收的编码方法为ASN.1,编码法则为DER,暗示发送方发送数据时先把数据抽象为ASN.1工具,然后利用DER编码法则把ASN.1工具转化为可传输的0、1串;接管方接管到数据后,操作DER解码法则把0、1串转化为ASN.1工具,然后把ASN.1工具转化为详细应用支持的数据工具。
数据加/解密
在CryptoAPI中约定加密较大的数据块时,回收对称加密算法。通过其封装好的加解密函数来实现数据解加密操纵。
哈希与数字签名
哈希与数字签名一般用于数据的完整性验证和身份辨别。CryptoAPI中,通过其封装好的哈希与数字签名函数来实现相关操纵。微软公司提供的CSP发生的数字签名遵循RSA尺度(PKCS#6).
数字证书打点
数字证书主要用于安详通信中的身份辨别。CryptoAPI中,对数字证书的利用打点函数分为证书与证书库函数、证书验证函数两大部门。
#p#副标题#e#
在VC++中开拓CryptoAPI应用措施,需要预先配置一些编译情况。
1.需要包括以下头文件:
#include <windows.h>
#include <wincrypt.h>
2.包括的静态链接库:
链接CryptoAPI函数必需有静态库Crypto32.lib的支持,部门CryptoAPI函数大概还需要静态库advapi32.lib及CryptUI.lib的支持。
3.如果在VC++6.0上编译措施,则还需加上以下语句:
#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0400
#endif
在差异的版本的windows操纵系统下,大概需要界说差异的常量,详细查察wincrypt.h头文件,按照wincrypt.h上差异的预编译语句在本身的应用措施中举办差异界说。(我在VS 2008情况中编译措施,不在需要自界说这部门)。在vs2008的wincrypt.h头文件已经没有这些相关的界说。)
注:部门的CryptoAPI函数在VC++6.0上并没有界说,如CertGetNameString函数为CryptoAPI的证书打点函数,可是在VC++6.0下编译时会报错,查察相应的wincryp.h文件时会发明内里没有声明该函数。但在VC++7.0以上的版本中则界说了这个函数。办理要领是可以将VC++7.0上的wincrypt.h、crypt32.lib、advapi32.lib三个文件包围vc+6.0的相应文件。
以下先容几个编写CryptoAPI应用措施常用到得函数。
1.BOOLEAN CRYPTFUNC CryptAcquireContext(
HCRYPTPROV* phProv, CSP句柄
LPCTSTR pszContainer, 密钥容器名称,指向密钥容器的字符串指针
LPCTSTR pszProvider, 指向CSP名称的字符串指针,假如为NULL,则利用默认的CSP
DWORD dwProvType, CSP范例
DWORD dwFlags 符号
);
#p#分页标题#e#
这个函数是为了得到CSP句柄,函数通过phProv参数返回得到的CSP句柄。在CryptoAPI加密处事相关的所有操纵都在CSP实现,CSP真正实行加密相关处事的独立模块,当应用措施需要加密相关处事时,好比:加解密操纵、密钥发生于打点等,必需先获取某个CSP句柄。这时一般CryptoAPI编程的第一步。
2.BOOL CRYPTFUNC CryptGenKey(
HCRYPTPROV hProv, //CSP句柄
ALG_ID Algid, //算法符号ID值。建设会话密钥时,它指定详细的加解密算法。指定算法时应留意详细的
// CSP是否支持此算法。建设公/私密钥对时,参数应为AT_KEYEXCHANGE(互换密钥对)
//或AT_SIGNATURE(签名密钥对)。
DWORD dwFlags, //说明建设密钥的长度及其它属性。
HCRYPTKEY* phKey //新建设密钥句柄,函数通过这个参数返回建设密钥句柄。
);
在CryptoAPI中,结构密钥一般有两种要领,一通过哈希值,而通过随机数结构。上面这种就是通过随机数建设的。下面先容操作哈希值建设的函数。
BOOL CRYPTFUNC CryptDeriveKey(
HCRYPTPROV hProv,
ALG_ID Algid, //要发生密钥的对称加密算法
HCRYPTHASH hBaseData, //哈希句柄,函数按照这个哈希句柄建设密钥。
DWORD dwFlags, //指定密钥的范例。
HCRYPTKEY* phKey //密钥句柄,函数通过这个参数返回建设的密钥句柄。
);
这个函数通过输入的哈希值hBaseData来建设一个密钥,通过密钥句柄phKey参数返回。留意:这个函数只能建设会话密钥,不能用于建设公/私密钥对。
3.BOOL CRYPTFUNC CryptCreateHash(
HCRYPTPROV hProv, //CSP句柄
ALG_ID Algid, //哈希算法标识符
HCRYPTKEY hKey, // 假如哈希算法是密钥哈希,如HMACH可能MAC算法,就用此密钥句柄通报密钥。
//对付非密钥算法,此参数为NULL。
DWORD dwFlags, //保存,必需为0
HCRYPTHASH* phHash //哈希句柄,函数通过这个参数返回建设的哈希工具句柄。
);
这个函数初始化一个哈希句柄,它建设并返回一个CSP哈希句柄。
4.BOOL WINAPI CryptHashData(
HCRYPTHASH hHash, //哈希句柄,建设的哈希值通过这个句柄返回
BYTE* pbData, //指向要插手到哈希句柄的数据指针
DWORD dwDataLen, // 数据长度
DWORD dwFlags //符号
);
这个函数是计较一段数据的哈希值并插手到指定的哈希句柄中。在利用这个函数前必需通过CrpytHashData函数建设了一个哈希句柄。
5.BOOL WINAPI CryptEncodeObject(
__in DWORD dwCertEncodingType, //利用的编码范例。凡是为 X509_ASN_ENCODING |
//PKCS_7_ASN_ENCODING
__in LPCSTR lpszStructType, //要编码的布局体范例
__in const void* pvStructInfo, //欲编码的布局体指针,要和lpszStructType范例一致
__out BYTE* pbEncoded, //编码后布局体指针,当配置为NULL时用于获取其长度
__in_out DWORD* pcbEncoded //编码后的布局体长度
);
这个函数用于将pvStructInfo所指向的数据凭据lpszStructType布局体范例编码。
6.BOOL WINAPI CryptDecodeObject(
__in DWORD dwCertEncodingType,
__in LPCSTR lpszStructType,
__in const BYTE* pbEncoded,
__in DWORD cbEncoded,
__in DWORD dwFlags,
__out void* pvStructInfo,
__in_out DWORD* pcbStructInfo
);
这个函数是对上面编码后的数据举办解码,参数和上面编码函数的参数差不多,详细可以查察MSDN辅佐文档。
1.CERT_RDN_ATTR 布局体
typedef struct _CERT_RDN_ATTR {
LPSTR pszObjId;
DWORD dwValueType;
CERT_RDN_VALUE_BLOB Value;
} CERT_RDN_ATTR,
*PCERT_RDN_ATTR;
pszObjId:工具标识符,用于标识证书属性,详细可以查察MSDN中的理会,也可以查察wincrypt.h文件查察相应的界说。譬如szOID_STATE_OR_PROVINCE_NAME,暗示省名。
#p#分页标题#e#
dwValueType:对成员Value的理会,取值查察MSDN,当主要是初始化证书属性时,Value的值主要是一些字符串时,该值可觉得CERT_RDN_PRINTABLE_STRING,暗示可以打印的字符串。
Value:一个布局体,在这里初始化证书属性。
typedef struct _CRYPTOAPI_BLOB {
DWORD cbData;
BYTE* pbData;
} ,个中cbData暗示巨细,pbData指向一个内存空间。
2.CERT_RDN 布局体:The CERT_RDN structure contains a relative distinguished name (RDN) consisting of an array of CERT_RDN_ATTR structures.
typedef struct _CERT_RDN {
DWORD cRDNAttr;
PCERT_RDN_ATTR rgRDNAttr;
} CERT_RDN,
*PCERT_RDN;
参数:cRDNAttr:rgRDNAttr数组元素的个数;rgRDNAttr:指向CERT_RDN_ATTR布局元素的数组地点。
3.CERT_NAME_INFO 布局体:The CERT_NAME_INFO structure contains subject or issuer names.The information is represented as an array of CERT_RDN structures.
typedef struct _CERT_NAME_INFO {
DWORD cRDN;
PCERT_RDN rgRDN;
} CERT_NAME_INFO,
*PCERT_NAME_INFO;
参数:同上差不多。
4.CERT_REQUEST_INFO 证书请求布局体:这个布局体包括证书请求的主体,主体公钥,属性块等信息,这些信息都是颠末编码的。
typedef struct _CERT_REQUEST_INFO {
DWORD dwVersion;
CERT_NAME_BLOB Subject;
CERT_PUBLIC_KEY_INFO SubjectPublicKeyInfo;
DWORD cAttribute;
PCRYPT_ATTRIBUTE rgAttribute;
} CERT_REQUEST_INFO,
*PCERT_REQUEST_INFO;
参数:dwVersion:证书版本号,可觉得CERT_V1等,按照属性扩展环境,切合差异版本证书;Subject:证书主题;SubjectPublicKeyInfo:证书主题中的公钥信息;cAttribute:rgAttribute数组元素个数,可觉得0;rgAttribute:属性参数数组,可觉得NULL;
以上信息都是要颠末编码后的信息来填充的。
5.CryptSignAndEncodeCertificate函数,用来建设自签名证书
BOOL WINAPI CryptSignAndEncodeCertificate(
__in HCRYPTPROV_OR_NCRYPT_KEY_HANDLE hCryptProvOrNCryptKey,
__in DWORD dwKeySpec,
__in DWORD dwCertEncodingType,
__in LPCSTR lpszStructType,
__in const void* pvStructInfo,
__in PCRYPT_ALGORITHM_IDENTIFIER pSignatureAlgorithm,
__in const void* pvHashAuxInfo,
__out PBYTE pbEncoded,
__in_out DWORD* pcbEncoded
);
参数:1,CSP句柄;2,指明公钥是来自签名公钥照旧互换公钥,可觉得AT_KEYEXCHANGE可能AT_SIGNATURE之一;3,指明编码范例,可觉得X509_ASN_ENCODING;4,布局体范例,和第5个参数共同起来利用,可觉得X509_CERT_CRL_TO_BE_SIGNED可能X509_CERT_REQUEST_TO_BE_SIGNED可能X509_CERT_TO_BE_SIGNED可能X509_KEYGEN_REQUEST_TO_BE_SIGNED,意思可以查察MSDN。
6,签名算法布局体,指明签名算法,算法标识可觉得szOID_RSA_MD5RSA 可能szOID_RSA_SHA1RSA 可能szOID_X957_SHA1DSA ;7,可以不消,设为NULL;8,签名后数据的长度,当设为NULL时,可以用来求数据的长度;9,用于存放数据的内存空间。
(4)利用CryptoAPI建设一个自签名证书
下面的 c + + 示例演示如何利用 CertCreateSelfSignCertificate API 来建设一个自签名的证书。将计较机设置文件中建设私钥/公钥和证书将存储该同一设置文件的受信任根 CA 存储中:
#include "stdio.h"
#include "conio.h"
#include "windows.h"
#include "wincrypt.h"
#include "tchar.h"int SelfSignedCertificateTest()
{
// CREATE KEY PAIR FOR SELF-SIGNED CERTIFICATE IN MACHINE PROFILEHCRYPTPROV hCryptProv = NULL;
HCRYPTKEY hKey = NULL;__try
{
// Acquire key container
_tprintf(_T("CryptAcquireContext... "));
if (!CryptAcquireContext(&hCryptProv, _T("alejacma"), NULL, PROV_RSA_FULL, CRYPT_MACHINE_KEYSET))
{
// Error
_tprintf(_T("Error 0x%x\n"), GetLastError());// Try to create a new key container
_tprintf(_T("CryptAcquireContext... "));
if (!CryptAcquireContext(&hCryptProv, _T("alejacma"), NULL, PROV_RSA_FULL, CRYPT_NEWKEYSET | CRYPT_MACHINE_KEYSET))
{
// Error
_tprintf(_T("Error 0x%x\n"), GetLastError());
return 0;
}
else
{
_tprintf(_T("Success\n"));
}
}
else
{
_tprintf(_T("Success\n"));
}// Generate new key pair
_tprintf(_T("CryptGenKey... "));
if (!CryptGenKey(hCryptProv, AT_SIGNATURE, 0x08000000 /*RSA-2048-BIT_KEY*/, &hKey))
{
// Error
_tprintf(_T("Error 0x%x\n"), GetLastError());
return 0;
}
else
{
_tprintf(_T("Success\n"));
}
}
__finally
{
// Clean upif (hKey)
{
_tprintf(_T("CryptDestroyKey... "));
CryptDestroyKey(hKey);
_tprintf(_T("Success\n"));
}
if (hCryptProv)
{
_tprintf(_T("CryptReleaseContext... "));
CryptReleaseContext(hCryptProv, 0);
_tprintf(_T("Success\n"));
}
}// CREATE SELF-SIGNED CERTIFICATE AND ADD IT TO ROOT STORE IN MACHINE PROFILE
PCCERT_CONTEXT pCertContext = NULL;
BYTE *pbEncoded = NULL;
HCERTSTORE hStore = NULL;
HCRYPTPROV_OR_NCRYPT_KEY_HANDLE hCryptProvOrNCryptKey = NULL;
BOOL fCallerFreeProvOrNCryptKey = FALSE;__try
{
// Encode certificate Subject
//