2. تاریخچه پیدایش مزایا و قابلیتها زیرساخت کلید عمومی امنیت مبتنی بر PKI توکنهای هوشمند امنیت مبتنی بر توکن معرفیPKCS#11 2
3. 3 تاریخچه پیدایش كارتهاي هوشمند و توكنهاي هوشمند USB به عنوان رايجترين توكنهاي سختافزاري امروزي شناخته ميشوند. كارتهاي هوشمند كه پيدايش اولين نمونههاي آن به اواخر دهه 70 ميلادي در اروپا (فرانسه) باز ميگردد. در مقايسه با توكنهاي هوشمند USB كه اولين نمونههاي آن در اواخر دهه 90 ميلادي توليد شدند، از قدمت بسيار بيشتري برخورداراند.
4.
5. امكان انجام اعمال رمزنگاري مانند رمزگذاري و يا امضانمودن دادهها بصورت سختافزاري
9. 6 چهارچوب زیرساخت کلید عمومی امروزه رمزنگاري نامتقارن و ساير راهحلهاي وابسته به آن چهارچوب و بستر امني را مهيا نمودهاست كه با استفاده از آنها بخش عمدهاي از دغدغههاي امينتي در سيستمهاي اطلاعاتي قابل رفع و يا حداقل كاهش جدي ميباشند. اين چهارچوب و بستر كه امروزه PKI يا چهارچوب رمزنگاري مبتني بر كليد عمومي (Public Key Infrastructure) ناميده ميشود، بطور بالقوه ميتواند بستر امنيتي مناسبي را در اختيار كاربران سيستمهاي اطلاعاتي فراهم نمايد.
11. 8 زیرساخت کلید عمومی و گواهی دیجیتال از مهمترين دغدغهها و مشكلات مطرح در رمزنگاري نامتقارن ميتوان به مسئله توزيع مناسب كليد عمومي و جلوگيري از خطاها و سوء استفادههاي احتمالي افراد خرابكار و همچنين محافظت از كليد خصوصي توسط فرد صاحب كليد، بطوريكه امكان نفوذ و دسترسي ساير افراد به آن وجود نداشته باشد، اشاره نمود. امروزه چهارچوب PKI با استفاده از مفهوم گواهي ديجيتال و مراكز صادركننده گواهيهاي ديجيتال مشكل اول كه همان توزيع مناسب كليد عمومي افراد باشد را حل نمودهاند و در حقيقت مراكز صادركننده گواهي ديجيتال از مهمترين عناصر چهارچوب PKIميباشند. هرچند تا مدتها مشكل دوم و چگونگي نگهداري از كليد خصوصي محل بحثهاي فراوان بود ولي امروزه توكنهاي هوشمند مشكل نگهداري امن و مطمئن كليد خصوصي افراد را حل نمودهاند.
13. 10 خدمات امضای دیجیتال گیرنده میتواند مطمئن باشد که اطلاعات حین انتقال تغییر نیافتهاست. گیرنده میتواند مطمئن باشد که فرستنده اطلاعات کیست. امضا كننده نمیتواند امضای اطلاعات را انکار نماید.
14. 11 PKI گیرنده فرستنده سفارش مهم مهم مهم آقای الف PUk Verify? PRk = ن/*%&6ال ن/*%&6ال Hash RSA RSA Hash PUk ن/*%&6ال معادل هش نامتقارن نامتقارن سفارش مهم مهم مهم آقای الف سفارش مهم مهم مهم آقای الف $$$؟؟/*% $$$؟؟/*% امضای دیجیتال PUk Internet Intranet نحوه امضای دیجیتال یک پیام PUk
15. 12 امنيت مبتني بر زیرساخت کلید عمومی امنسازي هر برنامه كاربردي يا نرمافزارها و سختافزارهاي مورد استفاده در سيستمهاي اطلاعاتي مقولهاي كاملا متفاوت از صرف ايجاد و توسعه آنها ميباشد. در واقع اگر در طراحي و ساخت نرمافزارها و سختافزارها موارد امنيتي ملاحظه و اجرا نشدهباشد، هيچ نرمافزار و سختافزاري به خودي خود امن نخواهد بود. بسياري از سيستمهايي كه امروز مورد استفاده قرار ميگيرند امن نيستند و بهمنظور افزودن موارد امنيتي به آنها بايد پروسه تحليل، طراحي و ساخت راه حل امنيتي مربوطه را با صرف و تخصيص منابع مورد نياز به اجرا درآورد. جهت استفاده از راهحل امنيتي چهارچوب زیرساخت کلید عمومی نيز بايد برنامههاي كاربردي را به خدمات امنيتي چهارچوب PKI مجهز نمود و بهعبارتي آنها را PK-Enabled نمود. هيچ محصولي به خودي خود امكان استفاده از خدمات امنيتي چهارچوب PKI را ندارد و به عبارتي هرمحصولي PK-Enabled نيست.
16. 13 چهارچوب PKI وتوکن های هوشمند توكنهاي هوشمند امروزه علاوه بر امكان مهم نگهداري امن كليد خصوصي و ساير اطلاعات حساس كاربر، امكان انجام سختافزاري رمزگذاري با الگوريتمهاي رمزنگاري نامتقارن را نيز دارا ميباشند. تا مدتها الگوريتمهاي مهم مورد استفاده دررمزنگاري نامتقارن مانند الگوريتمهاي رمزگذاري، رمزگشايي و همچنين توليد و بررسي امضاء ديجيتال مشكل كارايي و استفاده در موارد كاربرد عملي را دارا بودند. در واقع اجراي اين الگوريتمها بصورت نرمافزاري فوقالعاده زمانبر و كند و همچنين ناامن بودند؛ ولي امروزه توكنهاي هوشمند امكان انجام سختافزاري اين اعمال را به شكل كاملا كارا، موثر و امن فراهم نمودهاند.
17. 14 نگهداری امن کلیدهای خصوصی چهارچوب PKI وتوکن های هوشمند يكي از قابليتهاي مهم توكنهاي هوشمند امكان نگهداري امن اطلاعات حساس كاربر ميباشد؛ در نتيجه امكان نگهداري كليد خصوصي بهعنوان مهمترين و حساسترين اطلاع كاربر نيز در توكنهاي هوشمند ميسر خواهد بود و بدين ترتيب استفاده از توكنهاي هوشمند در كنار چهارچوب PKI بستري را فراهم مينمايد كه از نظر امنيتي سطح بسيار قابل قبولي از امنيت و اطمينان را در اختيار كاربران سيستمهاي اطلاعاتي قرار خواهد داد. در حقيقت دغدغه چگونگي محافظت از كليد خصوصي كه از دغدغههاي سنتي در چهارچوب PKI بودهاست. بدين ترتيب به شكل بسيار مناسبي مرتفع ميگردد. تهيه و استفاده از اين توكنهاي هوشمند نيز همانطور كه اشاره شده، بدليل قيمت مناسب و همچنين سهولت استفاده براي كاربران عادي سيستمهاي اطلاعاتي نيز به سادگي ميسر ميباشد.
18. چيپ هوشمند در واقع اصليترين و مهمترين عنصر موجود در كارتها و يواسبي توكنهاي هوشمند ميباشد. امروزه با وجود اين چيپهاي هوشمند درحقيقت كارتها و توكنهاي هوشمند به نوعي يك ميني كامپيوتر هستند كه با سيستم عامل خاص خود امكان پردازش و ذخيرهسازي اطلاعات را به شيوهاي كاملا امن، به همراه انجام موثر اعمال رمزنگاري در اختيار كاربر قرار ميدهند. 15 چیپ هوشمند
19. در يك چيپ هوشمند امروزي معمولا اجزاي اصلي شامل حافظه موقت، دائمي و قابل برنامهريزي مجدد و همچنين پردازنده و كمكپردازنده ميباشد كه بدين ترتيب امكان انجام فرآيندهاي رمزنگاري در داخل چيپ و به شكل سختافزاري فراهم ميباشد. با انجام اعمال رمزنگاري بصورت سختافزاري و در واقع به كمك پيادهسازي سختافزاري الگوريتمهاي درهمسازی رمزنگاري و توليد كليد، كاهش محسوسي در زمان انجام اعمالي نظير رمزگذاري يا رمزگشايي و توليد كليد و امضاء فراهم آمدهاست. البته لازم به ذكر است كه علاوه بر اينها، كيفيت و همچنين امنيت لازم در مورد فرآيندهاي رمزنگاري و توليد كليد نيز بدين ترتيب افزايش يافتهاست. 16 اجزای اصلی چیپ هوشمند
21. 18 امنيت مبتني بر توکنهای هوشمند توكنهاي هوشمند ابزار موثري در راهحل امنيتي سيستمهاي اطلاعاتي تلقي ميشوند ولي بايد به اين نكته مهم توجه داشت كه امكان استفاده از توكنهاي هوشمند در برنامههاي كاربردي يا نرمافزارها و سختافزارهاي مختلف به خودي خود ميسر نميباشد. در واقع استفاده از توكنهاي هوشمند بعنوان راهحل امنيتي، نيازمنديهاي خاص خود را دارد كه البته با مفهوم PK-Enabled بودن هم كاملا متفاوت است. سيستمهاي بسياري امروزه PK-Enabled هستند اما امكان استفاده از توكنهاي هوشمند در آنها وجود ندارد. افزودن و ايجاد اين امكان نيز نياز به عمليات و فرآيند ويژهاي دارد. جهت استفاده از قابليتهاي توكنهاي هوشمند در كنار برنامههاي كاربردي بايد آنها را بدين منظور مجهز نمود و به عبارتي آنها را Smart Token-Enabledنمود. هيچ محصولي به خودی خود امكان استفاده از قابليتهاي توكنهاي هوشمند را ندارد بهعبارتي هرمحصولی که PK-Enabled،لزوما Smart Token-Enabledنيست.
23. 20 احراز هویت دو فاکتوری از روشهاي رايج و سنتي در هويتشناسي، استفاده از شناسه كاربر و گذرواژه ميباشد كه امروزه ضعف امنيتي و نامناسب بودن اين روش كاملا برهمگان اثبات گرديدهاست. بعنوان روش جايگزين، امروزه احراز هویت در سيستمهاي اطلاعاتي را نيز مانند سيستمهاي معمول احراز هويت در زندگي عادي به مواردي به غير از صرفا "چيزي كه كاربر ميداند" منتسب مينمايند. ميتوان مانند سيستمهاي احراز هويت روزمره، احراز هويت را به "چيزي كه كاربر دارد" نيز منتسب نمود؛ در واقع همانطور كه داشتن يك گذرنامه ميتواند عامل احراز هويت باشد، در سيستمهاي اطلاعاتي نيز ميتوان متناظري براي آن يافت و اين ابزار متناظر در واقع همان توكنهاي هوشمند هستند كه در كنار عامل ديگر يعني گذرواژه توكن، احراز هویت موثري را فراهم مينمايد كه امروزه بعنوان احراز هويت دوفاكتوري شناخته ميگردند. در حقيقت در هويتشناسي دو فاكتوري تنها به آنچه كاربر ميداند (گذرواژه) اكتفا نميگردد و براي انجام موفقيتآميز عمل هويتشناسي كاربر بايد حتما توكن هوشمند اختصاصي خود را نيز در اختيار داشتهباشد.
25. 22 Boot Protection يكي از موارد امنيتي مهم و مورد تاكيد كاربران عادي سيستمها، امكان حفاظت موثر در برابر دسترسي افراد غير مجاز به كامپيوترهاي شخصي ميباشد. در واقع افراد بسياري تمايل دارند كه از PC يا Notebook شخصي خود محافظت نموده و امكان استفاده و دسترسي ساير افراد را مسدود نمايند. ناكارآمدي و مشكلات امنيتي روش سنتي رايج كه همان استفاده از گذرواژه بمنظور جلوگيري از بوتكردن و روشنكردن سيستم ميباشد امروز كاملا شناخته شدهاست. در واقع اين روش سنتي علاوه بر دارا بودن همه ضعفهاي گذرواژه به عنوان يك ابزار هويتشناسي، مشكل مهم ديگري را نيز دارا ميباشد؛ افراد غيرمجاز ميتوانند با از كار انداختن باتري و منبع تغذيه داخلي سيستم و يا دستكاري در BIOS آن گذرواژه را تغيير داده و يا از بين ببرند.
26. 23 Data Encryption يكي از روشهاي موثر جهت حفاظت از اطلاعات حساس كاربر و جلوگيري از دسترسي افراد غير مجاز به اين اطلاعات، رمزگذاري آنها ميباشد. در واقع با انجام يك رمزگذاري مناسب، دادهها به صورت و شكلي تبديل ميشوند كه هيچ اطلاعي در مورد حالت و وضعيت خود قبل از رمزگذاري در اختيار مشاهده كننده قرار نميدهند. به عبارت ديگر بدين ترتيب پوششي حفاظتي بر روي دادهها گسترده ميشود كه برداشتن اين پوشش حفاظتي نيز تنها توسط دارنده كليد خصوصي ميسر ميباشد. با استفاده از توكنهاي هوشمند ميتوان فرآيند رمزگذاري و حفاظت از دادههاي حساس كاربر را با امنيت و كارايي مناسب به انجام رسانيد. در يك راهحل امنيتي موثر در اين رابطه، كاربر ميتواند با متصلنمودن توكن به سيستم نسبت به رمزگذاري اطلاعات مورد نظر خود اقدام نمايد و رمزگشايي از اطلاعات رمزگذاريشده نيز تنها در صورتي ميسر خواهد بود كه كاربر دارنده توكن، توكن مذكور را مجددا به سيستم متصل نمايد. در حقيقت بدين ترتيب بدون دسترسي و مالكيت توكن فوقالذكر هيچ فردي نميتواند نسبت به رمزگشايي و اطلاع از دادههاي محافظتشده اقدام نمايد.
27. 24 Program/Data Change Protection گاهي اطلاعات و دادههاي كاربر از چنان اهميت و حساسيتي برخوردار نيست كه نيازمند رمزگذاري باشد ولي كاربر تمايل دارد اين دادهها بدون تغيير مانده و يا تغييرات احتمالي رخ داده در اين دادهها به وي اطلاع دادهشود. به عبارت ديگر كاربر تمايل دارد لايهاي حفاظتي بر روي دادههاي مورد نظر خود قرار دهد بطوريكه هر نوع تغيير احتمالي در اين دادهها به اطلاع وي رسانده شود و در واقع كاربر از هرگونه تغييرات احتمالي رخ داده در دادههاي مورد نظر خود مطلع گردد. اين عمل در مورد برنامههاي كاربردي نيز به همين ترتيب و مفهموم قابل تصور است. با استفاده از توكنهاي هوشمند كاربر ميتواند به نحوي موثر و غير قابل خدشه نسبت به ايجاد چنين لايه حفاظتي بر روي دادهها و برنامههاي مورد نظر خود اقدام نموده و در نتيجه از كليه تغييرات احتمالي رخداده در آنها مطلع شود. بدين ترتيب تنها كاربر دارنده توكن است كه ميتواند نسبت به ايجاد اين لايه حفاظتي اقدام نموده و هيچ فرد ديگري نميتواند نسبت به تغيير يا ايجاد مجدد اين لايه حفاظتي اقدام نمايد. امكان بررسي و اطلاع از تغييرات احتمالي دادهها نيز تنها توسط شخص دارنده توكن ميسر خواهد بود.
31. 27 Network Logon از نظر امنيتي ورود امن و مطمئن كاربر مجاز به شبكه و يا به سيستم ويندوز كه در اصطلاح، Loginكردن كاربر ناميده ميشود، از اهميت ويژهاي برخوردار ميباشد. در واقع جهت دسترسي به شبكه يا سيستم ويندوز در نخستين گام از كاربر احرازهويت به عمل آمده و هنگامي كه فرآيند احرازهویت با موفقيت به انجام رسيد، ادامه كار و فعاليت براي كاربر ميسر خواهد گرديد. روش سنتي و رايج بدين منظور استفاده از شناسه كاربر و گذرواژه ميباشد كه روشي كاملا ناامن و با درجه امنيتي بسيار پايين ميباشد. امكان نفوذ به سيستمهايي كه صرفا با استفاده از گذرواژه يا همان روش احرازهویت سنتي در سيستمهاي اطلاعاتي فعاليت مينمايند، بسيار بالاست و در مواردي كه دغدغه مسائل امنيتي وجود دارد به هيچ عنوان استفاده از اين روش جهت هويتشناسي كاربران توصيه نميگردد.
32. يك شبکه خصوصی مجازی مطلوب در واقع شبكه به شدت حفاظت شدهاي است كه امكان دسترسي افراد يك مجموعه خاص به اطلاعات و برنامههاي كاربردي ويژهاي را از نقاط مختلف و در مواردي از طريق اينترنت يا وب فراهم مينمايد. امنيت درVPN ها معمولا با استفاده از چهارچوب PKI تامين ميگردد؛ در واقع در اين نوع شبكهها كليه تبادلات اطلاعاتي بين كاربر و سيستم به صورت رمزگذاريشده انجام گرديده و همچنين دسترسي به هر برنامه كاربردي يا مجموعه اطلاعات در اين شبكه نيازمند انجام عمليات هويتشناسي و احراز هويت كاربر ميباشد. همانطور كه اشاره شد روش سنتي هويتشناسي، يعني استفاده از گذرواژه به هيچ عنوان مناسب اين نوع كاربردهاي حساس نميباشد، ضمن اينكه معمولا در يك VPN كاربر بايد جهت دسترسيهاي مختلف گذرواژههاي متعددي نيز را نگهداري و در خاطر بسپارد. 28 Virtual Private Network
33. 29 Single Sign On احراز هویت یکپارچه در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسهها و گذرواژههاي متعدد به منظور دسترسي به مجموعهاي از برنامههاي كاربردي و خدمات گوناگون در شبكههاي كامپيوتري مورد استفاده قرار ميگيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائهشده توسط سرويسدهندگان متعدد شبكه عمليات هويتشناسي و احراز هويت را به طور مجزا انجام دهد، در روش دسترسيهاي مختلف تنها از يك مجرا تنها كافيست كه در يك سرويسدهنده ويژه كه به همين منظور در اولين نقطه تماس كاربر با شبكه تعبيه شدهاست، عمل هويتشناسي انجام شده و سپس امكان دسترسي به خدمات و سرويسهاي ساير سرويسدهندگان شبكه نيز براي كاربر مهيا ميگردد. بديهي است كه انجام اين تنها عمل هويتشناسي نيازمند دقت نظر و توجه بيشتري باشد و در نتيجه استفاده از روشهاي موثر هويتشناسي مانند هويتشناسي دوفاكتوري در اين مورد به طوري جدي مورد تاكيد است.
35. 31 Authentication احراز هویت در وب و اينترنت از اهميت فوقالعادهاي برخوردار ميباشد. در حقيقت در دنياي مجازي وب و اينترنت كاربران به نوعي كاملا گمناماند و هويت واقعيشان گاه بهكلي متفاوت از آنچه وانمود ميكنند، ميباشد. هرچند اين خصيصه شايد يكي از ويژگيهاي مثبت وب و اينترنت تلقي شود ولي در مواردي و حداقل در برخي كاربردها و خدمات، كاملا ميتواند مشكل آفرين باشد. موارد بسيار متعدد و فراواني را ميتوان نام برد كه در آن اطلاع از اينكه كاربر چه كسي است و آيا اجازه لازم يا ارتباط لازم را دارد يا نه از اهميت برخوردار است؛ در كليه اين موارد احرازهویت و احرازهويت كاربران اهميت خواهد داشت و البته همانطور كه در بخشهاي قبل نيز گفته شد، احرازهویت با استفاده از روش سنتي يعني شناسه كاربر و گذرواژه از نظر امنيتي كاملا نامناسب و نا مطلوب ميباشد.
36. 32 Email Security پست الكترونيك به نوعي همچون سيستم پست غير الكترونيك، دغدغههاي امنيتي مشابهي را دارا ميباشد. از جمله مهمترين اين نگرانيهاي امنيتي ميتوان به اطمينان از ارسال و دريافت صحيح نامه، اطمينان از هويت فرستنده و دريافتكننده نامه، اطمينان از عدم تغيير محتويات نامه، اطمينان از عدم بازشدن و خواندهشدن نامه توسط ديگران، ارسال نامههاي محرمانه و رمزگذاري و رمزگشايي آنها و مواردي مانند آن اشاره نمود. جهت رفع و كاهش اين نگرانيهاي امنيتي در حوزه پست الكترونيك از بدو پيدايش اين فناوري تا به امروز راهحلهاي متفاوت و متنوعي ارائه گرديده كه هر كدام به نوعي بخش كوچك يا بزرگي از دغدغههاي امنيتي در اين حوزه را پوشش ميدهند. با استفاده از چهارچوب PKI و توكنهاي هوشمند در اين برنامههاي دغدغه امنيت مراسلات در پست الكترونيك تا مقدار زيادي كاهش مييابد. درواقع بدين ترتيب فرد دارنده توكن ميتواند نامههاي رمزگذاري يا امضاشده ارسال داشته و همچنين نامههاي دريافتي را نيز تنها خود رمزگشايي نمايد؛ در واقع رمزگشايي و توليد امضاء ديجيتال تنها و تنها توسط مالك توكن هوشمند ميسر خواهد بود.
37. 33 Web Single Sign On احراز هویت یکپارچه در وب همانند مورد مشابه در شبكههاي كوچكتر در واقع امكاني است كه بمنظور كاهش پيچيدگي استفاده از شناسهها و گذرواژههاي متعدد به منظور دسترسي به مجموعهاي از برنامههاي كاربردي و خدمات گوناگون ارائهشده توسط يك شركت يا موسسه در وب مورد استفاده قرار ميگيرد. در حقيقت كاربر به جاي اينكه لازم باشد جهت دسترسي و استفاده از هر برنامه كاربردي يا سرويس ارائهشده توسط سرورهای متعدد شبكه عمليات احراز هویت را به طور مجزا انجام دهد. توكنهاي هوشمند ميتوانند ضمن فراهم آوردن امكان انجام روش موثر احراز هویت دو فاكتوري، دغدغه احراز هویت موثر در روش دسترسيهاي مختلف يكپارچه را مرتفع نمايند. در حقيقت در اين روش ميتوان با استفاده از تنها يك توكن هوشمند و با به خاطرسپاري تنها يك گذرواژه كه همان پينكد توكن هوشمند ميباشد، امكان احرازهویت و دسترسي به برنامههاي كاربردي و خدمات متعدد سرويسدهندگان يك شبكه را فراهم نمود. توكنهاي هوشمند امكان نگهداري شناسهها و اطلاعات لازم براي برنامههاي كاربردي متعدد را نيز دارا ميباشد.
39. 35 استاندارد PKCS#11 در مباحث رمزنگاري، PKCS#11 يکي از اعضاي مجموعه استانداردهاي رمزنگاري کليد عمومي ميباشد. در اين استاندارد يک واسط برنامهسازي مستقل از سيستم عامل (platform) براي توکنها، مانند ماجولهاي امنيتي سختافزاري و کارتهاي هوشمند، تعريف شدهاست. استاندارد PKCS#11، اين واسط برنامهسازي را "Cryptoki" مينامد که از ادغام کلمات عبارت"Cryptographic Token Interface" حاصل شدهاست. ولي اکثراً از عنوان PKCS#11 براي ارجاع به واسط برنامهسازي مذکور استفاده ميکنند. از آن جهت که استاندارد رسمي براي توکنها با کاربرد رمزنگاري وجود ندارد، اين واسط برنامهسازي به منظور فراهمآوردن يک لايه انتزاعي براي عموم توکنها با کاربرد رمزنگاري، توسعه يافتهاست. واسط برنامهسازيPKCS#11، بسياري از انواع شيءهاي رمزنگاري (کليدهاي RSA، گواهيهاي X.509 کليدهاي DES و 3DES و ...) و تمامي توابع مورد نياز براي استفاده از آنها مانند ايجاد، تغيير و حذف اين اشياء را تعريف نمودهاست. نرمافزار اکثر مراکز گواهي تجاري از PKCS#11 براي دسترسي به کليد امضاي کاربران از توكن استفاده میکنند. نرمافزار مستقل از سيستم عامل که نياز به استفاده از توكن هوشمند دارد، PKCS#11 را بکار ميبرد. Mozilla Firefox/Thunderbird و Adobe Professional از جمله اين نرمافزارها ميباشند.
40. 36 استاندارد PKCS#11 در استاندارد PKCS#11 به هر ارتباطي که بين نرمافزار و يک توکن برقرار ميشود، نشست گفته ميشود که به دو دسته نشست R/O و نشست R/W تقسيم ميشود. در يک نشست R/O ، کاربر فقط جهت خواندن به اشياي ذخيرهشده در توکن دسترسي دارد ولي در نشست R/W کاربر هم دسترسي خواندن و هم دسترسي نوشتن روي اشياي ذخيرهشده در توکن را دارا ميباشد. هرگاه توسط يکي از نشستهاي نرمافزار هويت کاربر براي توكن احراز شود(Login شود)، تمام نشستهاي اين نرمافزار نسبت به توکن وضعيت Login پيدا ميکنند و هرگاه يک نشست با توکن در وضعيت Logout قرار گيرد تمام نشستهاي ديگر نرمافزار نيز در وضعيت Logout قرار ميگيرند. در Cryptoki توابع و نوعهاي دادهاي مورد نياز جهت پيادهسازي عمليات فوق معرفي و پيشنهاد شدهاست. نرمافزارهايي که براي ويندوز نوشته شده باشند، ممکن است به جاي PKCS#11 از واسط برنامهسازي MS-CAPI استفاده کنند که به سيستم عامل وابسته ميباشد.
41. 37 استاندارد PKCS#11 در رابط برنامهنويسي Cryptoki عملياتي که در يک نشست تشکيل شده بين نرمافزار و توکن، قابل پيادهسازي ميباشد به سه دسته کلي زير تقسيم ميشود:
42. ما بدان مقصد عالی نتوانیم رسید هم مگر پیش نهد لطف شما، گامی چند (حافظ) با تشکر از توجه شما با سپاس 38