请注意以下概念介绍和对应的示例,它们在处理加密框架时会很有用。
算法-加密算法是已确立的用于对输入执行加密或散列操作的递归计算过程。加密算法可以是对称算法,也可是非对称算法。对称算法对于加密和解密使用同一个密钥。非对称算法用于公钥加密中,要求使用两个不同的密钥。散列函数也是算法。
算法示例包括:
对称算法,如 AES 和 ECC
非对称算法,例如 Diffie-Hellman 和 RSA
散列函数,如 SHA256
使用者-提供者提供的加密服务的用户。使用者可以是应用程序、最终用户或内核操作。
使用者示例包括:
应用程序,如 IKE
最终用户,如运行 encrypt 命令的一般用户。
内核操作,例如 IPsec
密钥库-在加密框架中,密钥库是令牌对象的持久性存储,通常可与令牌互换使用。有关保留的密钥库的信息,请参见此定义列表中的 Metaslot。
例如,应用于验证的 DES 机制(如 CKM_DES_MAC)与应用于加密的 DES 机制(如 CKM_DES_CBC_PAD)不同。
Metaslot-提供框架中装入的其他插槽的功能组合的单个插槽。Metaslot 简化了处理可通过框架使用的提供者全部功能的工作。使用 metaslot 的应用程序请求某个操作时,metaslot 将确定应执行该操作的实际插槽。可以配置 metaslot 功能,但这不是必须的。缺省情况下,metaslot 处于打开状态。有关更多信息,请参见 cryptoadm(1M) 手册页。
metaslot 没有自己的密钥库。相反,metaslot 会保留使用来自加密框架中的实际插槽之一的密钥库。缺省情况下,metaslot 保留 Sun Crypto Softtoken 密钥库。metaslot 使用的密钥库不会显示为可用插槽之一。
通过设置环境变量 ${METASLOT_OBJECTSTORE_SLOT} 和 ${METASLOT_OBJECTSTORE_TOKEN},或者通过运行 cryptoadm 命令,用户可以为 metaslot 指定备用密钥库。有关更多信息,请参见 libpkcs11(3LIB)、pkcs11_softtoken (5) 和 cryptoadm(1M) 手册页。
模式-加密算法的版本。例如,模式 CBC(Cipher Block Chaining,密码块链接)与模式 ECB(Electronic Code Book,电子源码书)是不同的模式。AES 算法有两种模式:CKM_AES_ECB 和 CKM_AES_CBC。
策略-由管理员做出的要使哪些机制可用的选择。缺省情况下,所有提供者和所有机制都可用。启用或禁用任何机制是对策略的应用。有关设置和应用策略的示例,请参见管理加密框架。
提供者-使用者使用的加密服务。提供者插入到框架中,因此也称为插件。
提供者示例包括:
PKCS #11 库,例如 /var/user/$USER/pkcs11_softtoken.so
加密算法模块,例如 aes 和 arcfour
设备驱动程序及其关联的硬件加速器,例如 Sun Crypto Accelerator 6000 的 mca 驱动程序
插槽-到一个或多个加密设备的接口。对应于物理读取器或其他设备接口的每个插槽可能包含令牌。令牌提供框架中加密设备的逻辑视图。