PKCS#11认识(二)—Object 与 Attribute

📅 2026/7/18 17:38:49 👁️ 阅读次数 📝 编程学习
PKCS#11认识(二)—Object 与 Attribute

文章目录

  • 0 背景
  • 1 什么是Object
  • 2 什么是Attribute
    • 2.1 什么是Attribute
    • 2.2 为什么设计 Attributes?
    • 2.3 Attributes分类概览
  • 3 借助工具理解概念
    • 3.1 Object
      • 3.1.1 列出现有Object
      • 3.1.2 查询 slots
      • 3.1.3 登录 Token 创建 AES Key
      • 3.1.4 再次查看Object
    • 3.2 Attribute
      • 3.2.1 属性结构
      • 3.2.2 通用属性(所有对象共有)
      • 3.2.3 密钥相关属性
      • 3.2.4 RSA 密钥特有属性
      • 3.2.5 证书相关属性
  • 4.参考文献

0 背景

  • 场景问题描述
    • 如果我们将一个私钥或者对称密钥写入到HSM/TEE,但又不允许导出密钥材料的的情况下,下次如何确认里边的密钥与预期导入的密钥一样呢
  • PKCS#11 的解决方案
    • 存储的密钥不仅仅含有密钥本身,还有会有属性,这些属性可以理解为密钥的说明书,有密钥的id,有密钥的用途,类型描述。
    • PKCS#11不仅仅定义了很多标准化的属性,还支持属性的扩展。
  • 如下图流程,可以达到不获取真实密钥而实现校验的目的

1 什么是Object

Object 是 PKCS#11 对所有安全资源(密钥、证书、数据等)的统一抽象。
它屏蔽了不同资源类型的差异,使应用程序可以通过统一的 API 创建、查找、使用、复制和销毁对象;
而对象的具体特性则由 Attributes 描述,应用程序通过 Object Handle 引用和操作这些对象。
这里的"安全资源"包括:

  • 密钥(Key)
  • 证书(Certificate)
  • 普通数据(Data)
  • 厂商扩展对象(Vendor Object)

PKCS#11 │ 管理 Object │ ┌────────┴────────┐ │ │ Handle Attributes (如何访问) (对象是什么)

2 什么是Attribute

2.1 什么是Attribute

Attribute(属性)就是用于描述 PKCS#11 Object 特征的一组键值对(Key-Value Pair)。
例如,一把 AES 密钥:

AES Key

在 PKCS#11 中并不是只有:

Key Value

而是:
一个 Object = 数据(Value)+ Attributes(元数据)

Object ├── CKA_CLASS = Secret Key ├── CKA_KEY_TYPE = AES ├── CKA_LABEL = "AES_KEY" ├── CKA_ID = 01 ├── CKA_VALUE = ******** ├── CKA_ENCRYPT = TRUE ├── CKA_DECRYPT = TRUE ├── CKA_WRAP = FALSE ├── CKA_UNWRAP = FALSE ├── CKA_SENSITIVE = TRUE ├── CKA_EXTRACTABLE= FALSE └── ...

2.2 为什么设计 Attributes?

如果没有 Attributes,一把密钥只有

00112233445566778899AABBCCDDEEFF

KCS#11 根本不知道:
是 RSA?是 ECC?是 AES?能不能签名?能不能加密?能不能导出?谁拥有它?
敲黑板:PKCS#11 不仅需要保存 Key Value,更需要保存 Key 的"身份"和"行为"

2.3 Attributes分类概览

3 借助工具理解概念

3.1 Object

3.1.1 列出现有Object

  • 上一篇文章中,在token中生成了RSA密钥
pkcs11-tool \ --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --list-objects Using slot 0 with a present token (0x7de1ea57) Private Key Object; RSA label: MyRSA_key1 ID: 01 Usage: decrypt, sign, signRecover, unwrap Access: sensitive, always sensitive, never extractable, local Public Key Object; RSA 2048 bits label: MyRSA_key1 ID: 01 Usage: encrypt, verify, verifyRecover, wrap Access: local

3.1.2 查询 slots

  • 目的:为了查询slot的 Label,下一步新建AES key的时候需要指定
softhsm2-util --show-slots Available slots: Slot 2111957591 Slot info: Description: SoftHSM slot ID 0x7de1ea57 Manufacturer ID: SoftHSM project Hardware version: 2.6 Firmware version: 2.6 Token present: yes Token info: Manufacturer ID: SoftHSM project Model: SoftHSM v2 Hardware version: 2.6 Firmware version: 2.6 Serial number: e63da68afde1ea57 Initialized: yes User PIN init.: yes Label: test1

3.1.3 登录 Token 创建 AES Key

pkcs11-tool \ --module /usr/lib/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --token-label test1 \ --keygen \ --key-type AES:16 \ --label AES_KEY_128 \ --id 02

3.1.4 再次查看Object

  • 发现已经新增了
~/Desktop$ pkcs11-tool \ --module /usr/lib/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --token-label test1 \ --list-objects

3.2 Attribute

3.2.1 属性结构

/* General Structure definitions */structCK_ATTRIBUTE{CK_ATTRIBUTE_TYPE type;void*pValue;CK_ULONG ulValueLen;};

3.2.2 通用属性(所有对象共有)

CKA_CLASS // 对象类型(密钥/证书/数据对象等) CKA_TOKEN // 是否存储在 Token 中(true=持久化, false=会话对象) CKA_PRIVATE // 是否需要登录才能访问 CKA_LABEL // 人类可读的标签名 CKA_MODIFIABLE // 属性是否可修改 CKA_COPYABLE // 是否可复制 CKA_DESTROYABLE // 是否可销毁

3.2.3 密钥相关属性

CKA_KEY_TYPE// 密钥类型(RSA/EC/AES等)CKA_ID// 密钥标识符(用于匹配公私钥对和证书)CKA_SENSITIVE// 是否敏感(true=私钥值不可读出)CKA_ENCRYPT// 是否可用于加密CKA_DECRYPT// 是否可用于解密CKA_SIGN// 是否可用于签名CKA_VERIFY// 是否可用于验签CKA_EXTRACTABLE// 密钥是否可导出CKA_VALUE_LEN// 密钥长度

3.2.4 RSA 密钥特有属性

CKA_MODULUS// 模数 nCKA_MODULUS_BITS// 模数位数(如 2048)CKA_PUBLIC_EXPONENT// 公钥指数 eCKA_PRIVATE_EXPONENT// 私钥指数 d

3.2.5 证书相关属性

CKA_CERTIFICATE_TYPE // 证书类型(X.509 等) CKA_SUBJECT // 证书主题 CKA_ISSUER // 证书颁发者 CKA_SERIAL_NUMBER // 序列号 CKA_VALUE // 证书的 DER 编码内容

4.参考文献

  1. PKCS #11 Cryptographic Token Interface Base Specification Version 2.40
    https://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html

  2. SoftHSM2
    https://github.com/softhsm/SoftHSMv2

  3. OpenSC
    https://github.com/OpenSC/OpenSC