摘 要 企业网络环境为企业与客户交互信息建立了一条快速通道，同时也带来了网络信息安全问题。概述了密码学的基本概念，研究了密码应用编程接口工作模式与微软信息密码系统结构。根据密码系统的基本功能设计了密码类，讨论了柔性加工单元网络信息安全内容，并实现了基于密码类的加密应用程序。
关键词 网络制造 网络安全 信息加密

1、密码学的基本概念
　　数据加密或称数据编码就是给定初始值利用某种算法把明码文本转换成一种编码文件，编码文件只有通过解码之后才能阅读。数据加密的实现手段则称为加密技术或编码技术。给定的初始值也称为密钥。根据密钥的特点，密码体制分为对称和非对称密码体制。
　　对称密码体制也称私钥或传统密码体制，微软密码接口技术中也称会话密钥(Session Key)。该体制中加密密钥和解密密钥是一样的，其算法快，但需要找到一种安全传送密钥的通道。非对称密钥体制也称双钥或公钥密码体制，该体制中加密密钥和解密密钥是不一样的。每个用户都有两把密钥：加密密钥和解密密钥。其中加密密钥公开，解密密钥由自己保存。用户A若要向B发送明文，只要利用B的公开密钥对明文加密。而B收到密文后利用只有他掌握的解密密钥解密就可得到明文。其中私钥密码体制根据对明文加密方式的不同可分为流密码和分组密码。流密码算法利用密钥流的第i个元素对明文的第i个字符加密。分组密码算法则将明文分成n组有m个字符的数组，每组明文在同一个密钥流的控制下变换成p个字符的密文组。由于两种体制下算法复杂度不同，在软件实现中，私钥流密码DES(数据加密标准)大约比公钥RSA(1977年由Rivest、Shamir和Adleman提出)算法快100倍。
　　数字签名是公钥密码体制下的一个重要应用。数字签名是绑定在明码上的一段消息串，其表现手段不同于手写签名或印签，但它们的作用基本一致。即都能保证明码发送后的完整性和验证签名者。应用RSA公钥体制进行数字签名时，若A要向B送去信息m，A可用A保密的解密密钥DA对m进行加密得到DA(m)，再用B的公开密钥EB对DA(m)进行加密得最终密文，B收到密文后先用他自己掌握的解密密钥DB对密文进行解密得到中间密文DA(m)，再用A的公开密钥EA对中间密文DA解密得到明文。由于最终密文只有A才能产生，B无法伪造或修改密文，所以A不能抵赖，这样达到签名认证的目的。

2、密码应用编程接口编程模式与微软密码系统
2.1　密码应用编程接口编程模式
　　密码应用编程接口工作模式类似于Windows图形设备接口GDI工作模式。密码应用编程接口提供了一组独立于密码服务提供商(Cryptographic Service Provider)的标准密码指令集，在应用程序与密码服务提供商之间提供一个环境外壳，负责应用程序的密码服务要求与执行密码应用程序系统中的密码功能之间的转换。所有加密操作均由密码服务提供商来完成，包括加密数据或数字签名和用户私钥保护等。密码服务提供商与图形设备驱动程序类似，是可根据需要进行增删的独立模块。密码应用编程接口的外壳模式将应用程序分隔成了用户态与核心态。应用程序在用户态下禁止直接与密码服务提供商通信，而是交给作为操作系统部分的密码应用编程接口核来完成。

2.2　微软信息密码系统
　　微软信息密码系统结构由三部分组成，它们分别是密码应用程序、操作系统和密码服务提供商(CSP)。如图1所示。

图1　微软信息密码系统体系结构

　　图中密码服务提供商是真正完成密码工作的独立模块。理想的CSP应完全独立于具体应用程序，这样任何给定应用能运行在多种CSP上。一种CSP最少由动态连接库和签名文件组成。签名文件保证操作系统识别CSP。操作系统定期认证签名确保CSP没被篡改过。而动态连接库中包含了一系列密码服务程序的具体实现。例如微软RSA基本服务提供商提供的动态库文件为RSABASE.DLL和一个签名文件，它是和视窗操作系统绑定在一起的。当安装新的CSP时，服务提供商的安装文件将自动修改系统的配置文件，同时该CSP的密码应用编程接口的配置信息将存储在注册表的本地机器位置。每一个密码服务提供商都负责管理自己的密钥库，该密钥库可作为CSP为每个用户创建的永久性密钥的仓库。每个密钥库可有一个或多个存储特定用户所有密钥对的密钥容器(container)。绝大多数的CSP通常为用户提供两组公钥/私钥对。一组密钥对又叫密钥交换对，通常用于加密会话密钥，这样会话密钥可以安全存放或与其它用户交换。另一组又叫数字签名密钥对，通常用于创建数字签名。在用户与服务提供商建立联系之前，用户必须有一个密钥库，该密钥库存储在注册表的当前用户位置。操作系统成功安装某种CSP并创建密钥库后，就可以与应用程序取得连接。应用程序通过CSP名称调用CSP联系指令。一旦连接成功，由操作系统将CSP装入内存，其密码服务功能将成为操作系统核部分运行。