提问者:小点点

JavaIAIK Pkcs11包装器生成的密钥不持久化


有人能帮助解决以下问题吗?

我正在使用:

  • 适用于Windows的SoftHSM
  • IAIK Pkcs11JavaWrapper(v.1.4)连接到SoftHSM

我的Java应用程序通过以下步骤生成AES密钥:

  1. PKCS11会话打开,执行登录。
  2. 成功生成AES密钥。
  3. 搜索此密钥-并且找到了。
  4. 闭幕会议。

但是如果我打开新会话,我就找不到密钥了——当我关闭会话时,它就消失了,并且不会持久化到HSM。

我做错什么了吗?

应用代码是:

import java.io.IOException;

import iaik.pkcs.pkcs11.Mechanism;
import iaik.pkcs.pkcs11.Module;
import iaik.pkcs.pkcs11.Session;
import iaik.pkcs.pkcs11.Slot;
import iaik.pkcs.pkcs11.Token;
import iaik.pkcs.pkcs11.TokenException;
import iaik.pkcs.pkcs11.objects.AESSecretKey;
import iaik.pkcs.pkcs11.objects.Object;
import iaik.pkcs.pkcs11.wrapper.PKCS11Constants;

public class GenerateKeyAes {

    public static void main(String[] args) throws IOException, TokenException {

        // Init module and select slot and token
        Module module = Module.getInstance("C:\\prog\\SoftHSM2\\lib\\softhsm2.dll");
        module.initialize(null);
        Slot slot = module.getSlotList(Module.SlotRequirement.TOKEN_PRESENT)[0];
        Token token = slot.getToken();

        // Create session and login
        Session session = token.openSession(Token.SessionType.SERIAL_SESSION, Token.SessionReadWriteBehavior.RW_SESSION,
                null, null);
        session.login(Session.UserType.USER, "1111".toCharArray());

        // Prepare key template
        Mechanism keyGenerationMechanism = Mechanism.get(PKCS11Constants.CKM_AES_KEY_GEN);

        AESSecretKey secretKeyTemplate = new AESSecretKey();
        secretKeyTemplate.getValueLen().setLongValue(new Long(32));
        secretKeyTemplate.getLabel().setCharArrayValue("AES secret 1".toCharArray());
        secretKeyTemplate.getId().setByteArrayValue(new byte[] { 105 });
        secretKeyTemplate.getSign().setBooleanValue(Boolean.TRUE);
        secretKeyTemplate.getVerify().setBooleanValue(Boolean.TRUE);
        secretKeyTemplate.getToken().setBooleanValue(Boolean.FALSE);

        // Create key
        AESSecretKey secretKey = (AESSecretKey) session.generateKey(keyGenerationMechanism, secretKeyTemplate);

        System.out.println("Key generated:");
        System.out.println(secretKey.toString());
        System.out.println();

        // Find all objects to ensure that generated key was really created
        AESSecretKey template = new AESSecretKey();
        session.findObjectsInit(template);
        Object[] obs = session.findObjects(10);
        System.out.println("Found objects: " + obs.length);
        System.out.println();

        // Key is found and displayed here!!!
        for (Object ob : obs) {
            System.out.println("Found object:");
            System.out.println(ob);
            System.out.println();
        }

        // Close session
        session.findObjectsFinal();
        session.closeSession();

        // If I open new session here and perform same search - no key is found!

        module.finalize(null);
    }
}

共1个答案

匿名用户

PKCS#11对象可以按其生命周期和可见性分类为:

>

  • 令牌对象(具有CKA_TOKEN属性设置为true的对象)。
    它们对连接到令牌的所有具有足够权限的应用程序可见,并且即使在会话(应用程序和令牌之间的连接)关闭并且令牌从其插槽中移除之后仍然保留在令牌上。

    会话对象(具有CKA_TOKEN属性设置为false的对象)
    它们更具临时性-无论何时以任何方式关闭会话,该会话创建的所有会话对象都会自动销毁。此外,会话对象仅对创建它们的应用程序可见。

    我不熟悉IAIK包装器,但似乎您正在将密钥创建为会话对象。

    我会尝试改变:

    secretKeyTemplate.getToken().setBooleanValue(Boolean.FALSE);
    

    secretKeyTemplate.getToken().setBooleanValue(Boolean.TRUE);
    

    有关更多详细信息,请参阅PKCS#11 v2.20规范。