跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
Oracle Solaris 加密框架提供了一个包含算法和 PKCS #11 库的公共存储区来处理加密要求。PKCS #11 库依据以下标准实现:RSA Security Inc. 的 PKCS #11 加密令牌接口 (Cryptographic Token Interface, Cryptoki)。
在内核级别,该框架目前可处理 Kerberos 和 IPsec 加密要求。用户级使用者包括 libsasl 和 IKE。
美国出口法要求应限制使用开放式加密接口。Oracle Solaris 加密框架通过要求对内核加密服务提供者和 PKCS #11 加密服务提供者进行签名来满足现行法律规定。有关进一步介绍,请参见第三方软件的二进制文件签名。
该框架允许加密服务提供者让 Oracle Solaris OS 中的许多使用者使用其服务。提供者的另一个名称是插件。框架允许使用三种类型的插件:
用户级插件-使用 PKCS #11 库(如 pkcs11_softtoken.so.1)提供服务的共享对象。
内核级插件-在软件中提供加密算法(如 AES)实现的内核模块。
框架中的许多算法针对 x86(使用 SSE2 指令集)和 SPARC 硬件进行了优化。
硬件插件-设备驱动程序及其关联的硬件加速器。Niagara 芯片、ncp 和 n2cp 设备驱动程序就是其示例。硬件加速器承担了操作系统的高开销加密功能负载。Sun Crypto Accelerator 6000 板就是一个示例。
框架为用户级提供者实现了标准接口 PKCS #11 v2.11 库。第三方应用程序可以使用该库来访问提供者。第三方也可以向框架中添加签名库、签名内核算法模块和签名设备驱动程序。pkgadd 实用程序在安装第三方软件时将添加这些插件。有关说明框架主要组件的图示,请参见《Oracle Solaris 开发者安全性指南》中的第 8 章 "Oracle Solaris 加密框架介绍"。