pki技术理论及实现_pki技术_pki技术的原理与应用(9)

Entrust也为其产品提供了一套API，如Entrust证书管理服务API（CMSAPI，Entrust'sCertificateManagementServicesAPI），该API允许应用使用Entrust的证书管理和分发服务。在1996年指定，并与1997年更新的PKIXInternet草案"ArchitectureforPublicKeyInfrastructure"定义了PKI结构，并建议了许多标准，其中就包括API。

目前，在API市场处于领先地位的是Microsoft的CryptoAPI和Intel的公用数据安全框架CDSA（CommonDataSecurityArchitecture），他们凭借自己的产品优势相互竞争。Microsoft利用其广泛的操作系统市场，而Intel则凭借其PC芯片的优势，并与其它厂商，如IBM、Entrust和Netscape等进行联合，共同支持CDSA。现在也有很多厂商的PKI产品同时支持这两种API，如Entrust等。PKIX在很多情况下支持CDSA，并建议其为"ArchitectureforPublicKeyInfrastructure"草案的标准。

除此之外，Entrust、IBM、Intel、Netscape和TIS等联合向开放组织（OpenGroup）提议了一个基于CDSA的加密和证书管理接口，并使用了Entrust的CMSAPI、IBM的密钥恢复API。但开放组织同时也在考虑使用PKCS#11作为安全API接口。

下面介绍目前两个比较常用的安全API接口：CryptoAPI和CDSA接口。

5.1CryptoAPI

微软加密应用程序接口CryptoAPI（MicrosoftCryptographicApplicationProgrammingIntece）为Win32应用程序提供了认证、编码、加密和签名等安全处理，它可使用户在对复杂的加密机制和加密算法不了解的情况下，而对应用程序增加安全功能。这样很符合Windows的设计风格，就像用户可是使用图形库而不需要了解图形硬件一样。

目前CryptoAPI的最新版本是2.0版，在包含CryptoAPI1.0的全部功能外，还增加了证书管理功能，为网络身份认证提供的基本保证。

CryptoAPI通过一系列的库函数来对应用程序提供PKI安全服务，其整体系统结构如图3所示：

图3 CryptoAPI

CryptoAPI的编程模型同Windows系统的图形设备接口GDI比较类似，其中加密服务提供者CSP（CryptographicServiceProviders）等同于图形设备驱动程序，加密硬件（可选）等同于图形硬件，其上层的应用程序也类似，都不需要同设备驱动程序和硬件直接打交道

CryptoAPI共有五部分组成：简单消息函数（SimplifiedMessageFunctions）、低层消息函数（Low-levelMessageFunctions）、基本加密函数（BaseCryptographicFunctions）、证书编解码函数（CertificateEncode/DecodeFunctions）和证书库管理函数（CertificateStoreFunctions）。其中前三者可用于对敏感信息进行加密或签名处理，可保证网络传输信心的私有性；后两者通过对证书的使用，可保证网络信息交流中的认证性。

5.2CDSA

CDSA（CommonDataSecurityArchitecture）为安全应用服务提供了一个整体框架和解决方案，提供了诸如证书管理等许多PKI功能。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22547-9.html