一个经济有效的解决方案:AIX Cryptographic Services 提高安全性并简化管理
2010-02-24 00:00:00 来源:WEB开发网运行在用户空间中的软件通过一个 IBM PKCS 11 库访问这些服务,但子系统和设备驱动程序通过 PKCS 11 入口点直接调用内核。PKCS 11 实用程序通过提供管理治理、密匙存储操作、信任存储、性能调优和每算法(per-algorithm)硬件助手,为管理员提供了更大的灵活性和控制力。
IBM AIX Cryptographic Services 可以通过添加支持的加密硬件模块来进行增强。AIX OS 抽象可用的任意硬件模块,并允许对它们的使用进行管理控制。这提供了前所未有的灵活性,允许量身定制已针对性能和高安全性 FIPS 140 环境进行了调优的解决方案。当使用这个硬件时,Triple Data Encryption Standard、Advanced Encryption Standard 和 Rivest-Shamir-Adlemancan (RSA) 等加密算法可以针对应用程序实现显著的加速。另外,敏感数据和密匙可以在可用硬件模块提供的 FIPS 140 抗篡改和/或防篡改存储器中受到保护。
PKCS 11 概览
PKCS 11 定义一个称为加密令牌接口(cryptographic token interface,简称为 cryptoki)的 API。Cryptoki 在应用程序和加密设备之间添加一个抽象层。这允许应用程序利用多个设备并在提供移植能力的多个环境中运行。PKCS 11 已经被许多中立于供应商和跨平台的支持设备所采用,从而成为一个行业标准。
Cryptoki 为应用程序提供一个接口来通过逻辑槽访问加密设备。每个槽都可能包含一个令牌,即加密设备的逻辑视图。只要加密设备存在,就存在对应的令牌。应用程序可以通过任一或全部槽连接到令牌(见图 2)。
图 2.cryptoki 模型
更多精彩
赞助商链接