一个经济有效的解决方案：AIX Cryptographic Services 提高安全性并简化管理

核心提示： 运行在用户空间中的软件通过一个 IBM PKCS 11 库访问这些服务，但子系统和设备驱动程序通过 PKCS 11 入口点直接调用内核，一个经济有效的解决方案：AIX Cryptographic Services 提高安全性并简化管理(2)，PKCS 11 实用程序通过提供管理治理、密匙存储操作

运行在用户空间中的软件通过一个 IBM PKCS 11 库访问这些服务，但子系统和设备驱动程序通过 PKCS 11 入口点直接调用内核。PKCS 11 实用程序通过提供管理治理、密匙存储操作、信任存储、性能调优和每算法（per-algorithm）硬件助手，为管理员提供了更大的灵活性和控制力。

IBM AIX Cryptographic Services 可以通过添加支持的加密硬件模块来进行增强。AIX OS 抽象可用的任意硬件模块，并允许对它们的使用进行管理控制。这提供了前所未有的灵活性，允许量身定制已针对性能和高安全性 FIPS 140 环境进行了调优的解决方案。当使用这个硬件时，Triple Data Encryption Standard、Advanced Encryption Standard 和 Rivest-Shamir-Adlemancan (RSA) 等加密算法可以针对应用程序实现显著的加速。另外，敏感数据和密匙可以在可用硬件模块提供的 FIPS 140 抗篡改和/或防篡改存储器中受到保护。

PKCS 11 概览

PKCS 11 定义一个称为加密令牌接口（cryptographic token interface，简称为 cryptoki）的 API。Cryptoki 在应用程序和加密设备之间添加一个抽象层。这允许应用程序利用多个设备并在提供移植能力的多个环境中运行。PKCS 11 已经被许多中立于供应商和跨平台的支持设备所采用，从而成为一个行业标准。

Cryptoki 为应用程序提供一个接口来通过逻辑槽访问加密设备。每个槽都可能包含一个令牌，即加密设备的逻辑视图。只要加密设备存在，就存在对应的令牌。应用程序可以通过任一或全部槽连接到令牌（见图 2）。

图 2.cryptoki 模型