目前，在国际上有两种比较通用的对加密设备进行管理的接口。一种是 PKCS#11 标准接口，另一种是由 Microsoft 制定的 CSP（Cryptographic Service Provider） 标 准接口。其中CSP是微软专为Windows系列操作系统制定的底层加密接口，用于管理硬件或软件形 式的加密设备，实现数据加密、解密，数字签名、验证和数据摘要（即HASH等。CSP 是 Windows安全应用的基础，在 Windows操作系统上实现 https安 全浏览（即SSL安全数据通信）和实现安全隧道（如Ipsec）功能，都必需有CSP参与密码运算。1 Microsoft CSP 简介Cryptographic Service Provider （简称 CSP是 Microsoft 公司用来在 Windows 平台上提供第三方加密模块的接口标准。一个CSP模块包含了一些标准加密算法的实现，是CAPI函数的具体执行者，同时CSP模块也提供了密钥的安全存储 和使用机制。微软提出的Cryptographic Service Provider（CSP）接口标准是一个包含了标准加密算法实现的软件模块。CSP在微软操作系统安全体系中是加解密操作的实 际执行者，它直接同硬件加密设备（HSE如smart card，安全协处理器交互。 CSP模块实现了 CryptoSPI的一个子集，它实现的算法包括：*非对称加密算法RSA 1024 位对称加密算法DES 56 位3DES 168 位*摘要算法MD2MD5SHA12接口CSP vl.O 实现的CryptoSPI接口函数是:CPAcquireCo ntextCPCreateHashCPDecryptCPDeriveKeyCPDestroyHashCPDestroyKeyCPE ncryptCPExportKeyCPGe nKeyCPGe nRan domCPGetHashParamCPGetKeyParamCPGetProvParamCPGetUserKeyCPHashDataCPHashSessio nKeyCPImportKeyCPReleaseCo ntextCPSetHashParamCPSetKeyParamCPSetProvParamCPSig nHashCPVerifySig nature3 csp体系结构其中，微软基本CSP包括RSABase, DssBase等，还有提供128位以上加密密钥 的增强型CSP基本CSP只提供40位对称加密和512位RSA非对称加密，这样的密钥长度恰在可破密码的范围内，是不安全的。第三方CSP可由加密设备厂商 按照微软制定的标准接口开发，通过微软签名后安装到系统中使用。CSP的种类可以有签名型(Signature)、密钥交换型(Key Exchange)和安全通道 型 (SChannel) 等。上图的中间层CryptoAPI是Windows提供的统一安全 API接口，它由一组函数构 成，该API的全部功能都需要调用下层的 CSP服务模块来实现。4 标准及协议CAPI Cryptographic Applicati on Programmi ng In terfaceCSP Cryptographic Service ProviderCSPI Cryptographic Service Provider In terfaceS/MIME- S/MIME is a specification for secure electronic mail. S/MIME stands for Secure/Multipurpose Internet Mail Extensions and was designed to add security to e-mail messagesin MIMEformat. The security services offered are authentication (using digital signatures) and privacy (using encryption).SSL/TLS - TLS(Transport Layer Security) 1.0 is a standardized,slightlymodified version of SSL(Secure Sockets Layer) 3.0 that was issued by the Internet Engineering Task Force (IETF) in January 1999, in document RFC 2246. Because TLS has been standardized, developers are encouraged to use TLS rather than SSL. PCTis included for backward compatibility only and should not be used for new development. When the SChannel security package is used, DCOMautomatically negotiates the best protocol, dependingon the client and server capabilities.