获取加密服务的应用程序、库或内核模块称作使用者。通过框架向使用者提供加密服务的应用程序称作提供者,或称作插件。用来实现加密操作的软件称作机制。机制不只是算法,还包括算法的应用方式。例如,应用于验证机制的 DES(数据加密标准)算法被视为一个单独的机制,应用于逐块加密的 DES 则是另一个机制。
令牌是可以执行加密的设备的抽象术语。此外,令牌可以存储要用在加密操作中的信息。一个令牌可以支持一个或多个机制。令牌可以代表硬件,例如加速器板中的部件。仅代表软件的令牌称作软令牌。令牌可以插入到插槽中,插槽也是一种物理比喻。插槽是使用加密服务的应用程序的连接点。
除了提供者的特定插槽以外,Oracle Solaris 实现还提供一个名为 metaslot 的特殊插槽。metaslot 是 Oracle Solaris 加密框架库 (libpkcs11.so) 的一个组件。metaslot 起着一个虚拟插槽的作用,该插槽具有已经安装在框架中的所有令牌和插槽的组合功能。使用 metaslot,应用程序可以通过单个插槽与任何可用加密服务之间有效地实现透明连接。当应用程序请求加密服务时,metaslot 将指向最适合的插槽,这简化了插槽的选择过程。在某些情况下可能需要一个不同的插槽,此时,应用程序必须显式地执行单独的搜索。metaslot 由系统自动启用,而且只能由系统管理员通过显式的操作来禁用。
会话是令牌与使用加密服务的应用程序之间的连接。PKCS #11 标准使用两种对象:令牌对象和会话对象。会话对象是暂时的对象,即它只在会话期间存在。在会话结束之后仍存在的对象称作令牌对象。
令牌对象的缺省位置是 $HOME/.sunw/pkcs11_softtoken。或者,可以将令牌对象存储到 $SOFTTOKEN_DIR/pkcs11_softtoken 中。专用令牌对象由个人识别码 (personal identification number, PIN) 保护。要创建或更改令牌对象,需要对用户进行验证,除非用户访问的是专用令牌对象。