Windows加密服务架构

Windows加密是安全体系的重要基础和组成部分。现代CPU的保护模式是系统安全的硬件基石，基于CPU硬件的特权分级，Windows让自身的关键系统代码运行在高处理器特权级的内核模式，各种应用程序则运行在低处理器特权级的用户态，保证了系统层面的基本安全控制逻辑（如内存、文件等系统资源的访问控制机制等）的有效性。加密技术与系统安全控制逻辑的结合，使得用户信息在面对一定程度上不可靠的存储和传输环境时，如计算机失窃、存在网络嗅探的情形下，仍能保持其私密性、不可篡改的完整性等安全属性。

Windows加密算法以服务提供软件包（CSP）机制组织管理。Windows定义了CSP的架构及其API。系统向应用层显露的加密API称为CryptoAPI，Windows Vista以后，微软引入了下一代的CryptoAPI(CryptoAPI Next Generation缩写为CNG)通过这些API函数，应用程序可以枚举系统中存在的CSP，选择符合自己需要的CSP，使用CSP所实现的算法进行加密操作。每个CSP包含有来自某个厂商实现的一组加密算法和密钥保护机制，不同的CSP可以含有相同算法的不同实现。有的CSP是与硬件结合的，算法逻辑和密钥保护实现在独立的硬件上，这种CSP起着接口适配作用，使得应用软件与这些加密硬件的技术特性隔离开来。微软在Windows中预置了几个CSP，这些CSP所包含的加密算法在所有的Windows计算机上都可用。通过CSP框架，应用软件可以使用Windows定义的统一API，实施加密操作。这样，应用很容易适应不同的加密算法实现方式。看上去差异很大的加密实现方式，对于应用程序来说，只是CSP名称的差异。CSP的选用很容易做成可以配置的选项，由应用系统集中管控或者由终端用户自行选择。

CryptoAPI架构示意图

CNG架构示意图 

Crypto API和CNG不仅是两组API，也呈现出来了操作系统加密技术架构。以CryptoAPI为例。任何厂商都可以以自己的方式实现加密算法，按照CSP规范，实现CryptoSPI，即可把自己的算法实现加入Windows系统。用户使用操作系统定义的CryptoAPI函数，能够调用已经注册的任何算法的实现。

微软随Windows系统提供了几个CSP，这些CSP所实现的算法任何Windows程序都可以直接使用，无需依赖第三方加密软件。