一个经济有效的解决方案：AIX Cryptographic Services 提高安全性并简化管理

核心提示： Cryptoki 使用在逻辑上与每个应用程序相同的方式表示每个加密设备，因此，一个经济有效的解决方案：AIX Cryptographic Services 提高安全性并简化管理(3)，应用程序不需要与设备供应商存在直接接口，应用程序不需要设备细节；因此，或者通过 smitty 在 AIX 中访问

Cryptoki 使用在逻辑上与每个应用程序相同的方式表示每个加密设备。因此，应用程序不需要与设备供应商存在直接接口。应用程序不需要设备细节；因此，加密设备甚至可以在软件中实现。

PKCS 11 令牌是存储对象并执行加密功能的逻辑设备。 Cryptoki 提供管理 PKCS 11 对象的函数。对象类别有 3 个：数据、密匙和证书（见图 3）。密匙对象中包含公共、私有和秘密密匙 3 个子类型。Cryptoki 可以创建、销毁、复制和修改每个对象中的值。

图 3.cryptoki 结构

Cryptoki 支持两类用户：安全人员和普通用户。只有普通用户能够在打开一个会话并验证一个令牌后访问私有对象，从而获取该令牌的对象和功能。安全人员的角色是负责初始化令牌并设置普通用户的 pin，管理对象信任，允许对象删除并执行硬件助手和性能调优等管理任务。

要执行与 PKCS 11 密匙管理相关的常规任务，IBM AIX Cryptographic Services 为每种类型的用户实现了两个单独的实用程序。普通用户使用 PKCS 11 密匙管理工具，而安全人员使用 PKCS 11 管理工具。

PKCS 11 实用程序

有两个工具可用于在 AIX OS 中管理加密系统：PKCS 11 密匙管理工具和 PKCS 11 管理工具。这些工具可以通过 IBM Systems Director Console 和 HMC 访问，或者通过 smitty 在 AIX 中访问。PKCS 11 密匙管理工具是用于管理密匙、证书和 AIX OS 上的 PKCS 11 数据的集中式工具。这个工具管理的对象存储在 AIX OS 中或受支持的 PKCS 11 提供器（比如 IBM 加密适配器系列）中。