PKCS#11是公钥加密标准Public-Key Cryptography Standards中的一份子，由RSA实验室发布。

 

PKCS#11标准定义了与密码令牌的独立于平台的API，API本身命名为Cryptoki，这个API已经开展成为一个通用的加密令牌的抽象层。

 

PKCS#11主要是应用于智能卡和HSM。

 

PKCS#11为使用加密Token的应用程序给予统一的编程接口，独立于设备，屏蔽加密设备的复杂性，应用程序可以方便地更换设备。

 

二、Cryptoki模型

Cryptoki：Cryptographic Token Interface Standard 密码令牌接口标准，应用程序与各种各样便携式密码设备间的一种接口。

设备的种类和所支持的能力的种类取决于专用的Cryptoki库。该标准只定义库的接口，不定义库的实现，接口实现由设备商给予。

 

Cryptoki主要目标是一个低级程序接口，将设备的细节抽象化，并把密码设备的通用模型-密码令牌给予给应用程序。第二目标是资源共享，单个设备能为一个以上的应用程序共享。

 

Cryptoki为一个或多个密码设备给予一个接口，这些设备顺利获得大量的槽在系统中运行，密码设备可以按照某一命令集执行某些密码操作，这些命令通常顺利获得标准的设备驱动程序来实现，Cryptoki的作用就是屏蔽这些硬件的差异。

 

需要注意区分令牌的逻辑视图和实际实现，因为并非所有的密码设备都有“对象”的概念或执行每种密码函数。许多设备只能执行有限的算法并使用固定的存储位置来存储密钥。并非所有的Cryptoki库和领啊皮需要支持每种对象类型。

 

 

 

8、签名和MAC

 

9、验证签名和MAC

 

10、密钥管理

 

11、随机数生成