Solaris 加密框架

Solaris 加密框架提供用于处理加密要求的算法和 PKCS #11 库的公共存储区。PKCS #11 库按照以下标准实现：RSA Security Inc. 推出的 PKCS #11 加密令牌接口 (Cryptographic Token Interface, Cryptoki)。

在内核级别，框架当前处理 Kerberos 和 IPsec 的加密要求。用户级使用者包括 libsasl 和 IKE。

美国出口法要求应限制使用开放式加密接口。Solaris 加密框架通过要求对内核加密提供器和 PKCS #11 加密提供器签名来满足当前法律规定。有关进一步介绍，请参见第三方软件的二进制文件签名。

框架使加密服务的提供器可以让 Solaris 操作系统 中的许多使用者使用其服务。提供器的另外一个名称是插件。框架允许使用三种类型的插件：

• 用户级插件－使用 PKCS #11 库（如 pkcs11_softtoken.so.1）提供服务的共享对象。

• 内核级插件－提供软件中加密算法（如 AES）的实现的内核模块。

  框架中的许多算法针对 x86（使用 SSE2 指令集）和 SPARC 硬件进行了优化。

• 硬件插件－设备驱动程序及其关联的硬件加速器。硬件加速器使操作系统不再处理高开销的加密功能。Sun Crypto 加速器 1000 板就是这样一个示例。

框架为用户级提供器实现了标准接口 PKCS #11 v2.11 库。第三方应用程序可以使用该库来访问提供器。第三方也可以向框架中添加签名库、签名内核算法模块和签名设备驱动程序。pkgadd 实用程序安装该第三方软件时将添加这些插件。有关框架的主要组件图，请参见《Solaris 开发者安全性指南》中的第 8  章 “Solaris 加密框架介绍”。