PKCS#11认识(二)—Object 与 Attribute
📅 2026/7/18 17:38:49
👁️ 阅读次数
📝 编程学习
文章目录
- 0 背景
- 1 什么是Object
- 2 什么是Attribute
- 2.1 什么是Attribute
- 2.2 为什么设计 Attributes?
- 2.3 Attributes分类概览
- 3 借助工具理解概念
- 3.1 Object
- 3.1.1 列出现有Object
- 3.1.2 查询 slots
- 3.1.3 登录 Token 创建 AES Key
- 3.1.4 再次查看Object
- 3.2 Attribute
- 3.2.1 属性结构
- 3.2.2 通用属性(所有对象共有)
- 3.2.3 密钥相关属性
- 3.2.4 RSA 密钥特有属性
- 3.2.5 证书相关属性
- 4.参考文献
0 背景
- 场景问题描述
- 如果我们将一个私钥或者对称密钥写入到HSM/TEE,但又不允许导出密钥材料的的情况下,下次如何确认里边的密钥与预期导入的密钥一样呢
- PKCS#11 的解决方案
- 存储的密钥不仅仅含有密钥本身,还有会有属性,这些属性可以理解为密钥的说明书,有密钥的id,有密钥的用途,类型描述。
- PKCS#11不仅仅定义了很多标准化的属性,还支持属性的扩展。
- 如下图流程,可以达到不获取真实密钥而实现校验的目的
1 什么是Object
Object 是 PKCS#11 对所有安全资源(密钥、证书、数据等)的统一抽象。
它屏蔽了不同资源类型的差异,使应用程序可以通过统一的 API 创建、查找、使用、复制和销毁对象;
而对象的具体特性则由 Attributes 描述,应用程序通过 Object Handle 引用和操作这些对象。
这里的"安全资源"包括:
- 密钥(Key)
- 证书(Certificate)
- 普通数据(Data)
- 厂商扩展对象(Vendor Object)
PKCS#11 │ 管理 Object │ ┌────────┴────────┐ │ │ Handle Attributes (如何访问) (对象是什么)2 什么是Attribute
2.1 什么是Attribute
Attribute(属性)就是用于描述 PKCS#11 Object 特征的一组键值对(Key-Value Pair)。
例如,一把 AES 密钥:
AES Key在 PKCS#11 中并不是只有:
Key Value而是:
一个 Object = 数据(Value)+ Attributes(元数据)
Object ├── CKA_CLASS = Secret Key ├── CKA_KEY_TYPE = AES ├── CKA_LABEL = "AES_KEY" ├── CKA_ID = 01 ├── CKA_VALUE = ******** ├── CKA_ENCRYPT = TRUE ├── CKA_DECRYPT = TRUE ├── CKA_WRAP = FALSE ├── CKA_UNWRAP = FALSE ├── CKA_SENSITIVE = TRUE ├── CKA_EXTRACTABLE= FALSE └── ...2.2 为什么设计 Attributes?
如果没有 Attributes,一把密钥只有
00112233445566778899AABBCCDDEEFFKCS#11 根本不知道:
是 RSA?是 ECC?是 AES?能不能签名?能不能加密?能不能导出?谁拥有它?
敲黑板:PKCS#11 不仅需要保存 Key Value,更需要保存 Key 的"身份"和"行为"
2.3 Attributes分类概览
3 借助工具理解概念
3.1 Object
3.1.1 列出现有Object
- 上一篇文章中,在token中生成了RSA密钥
pkcs11-tool \ --module /usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --list-objects Using slot 0 with a present token (0x7de1ea57) Private Key Object; RSA label: MyRSA_key1 ID: 01 Usage: decrypt, sign, signRecover, unwrap Access: sensitive, always sensitive, never extractable, local Public Key Object; RSA 2048 bits label: MyRSA_key1 ID: 01 Usage: encrypt, verify, verifyRecover, wrap Access: local3.1.2 查询 slots
- 目的:为了查询slot的 Label,下一步新建AES key的时候需要指定
softhsm2-util --show-slots Available slots: Slot 2111957591 Slot info: Description: SoftHSM slot ID 0x7de1ea57 Manufacturer ID: SoftHSM project Hardware version: 2.6 Firmware version: 2.6 Token present: yes Token info: Manufacturer ID: SoftHSM project Model: SoftHSM v2 Hardware version: 2.6 Firmware version: 2.6 Serial number: e63da68afde1ea57 Initialized: yes User PIN init.: yes Label: test13.1.3 登录 Token 创建 AES Key
pkcs11-tool \ --module /usr/lib/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --token-label test1 \ --keygen \ --key-type AES:16 \ --label AES_KEY_128 \ --id 023.1.4 再次查看Object
- 发现已经新增了
~/Desktop$ pkcs11-tool \ --module /usr/lib/softhsm/libsofthsm2.so \ --login \ --pin 123456 \ --token-label test1 \ --list-objects3.2 Attribute
3.2.1 属性结构
/* General Structure definitions */structCK_ATTRIBUTE{CK_ATTRIBUTE_TYPE type;void*pValue;CK_ULONG ulValueLen;};3.2.2 通用属性(所有对象共有)
CKA_CLASS // 对象类型(密钥/证书/数据对象等) CKA_TOKEN // 是否存储在 Token 中(true=持久化, false=会话对象) CKA_PRIVATE // 是否需要登录才能访问 CKA_LABEL // 人类可读的标签名 CKA_MODIFIABLE // 属性是否可修改 CKA_COPYABLE // 是否可复制 CKA_DESTROYABLE // 是否可销毁3.2.3 密钥相关属性
CKA_KEY_TYPE// 密钥类型(RSA/EC/AES等)CKA_ID// 密钥标识符(用于匹配公私钥对和证书)CKA_SENSITIVE// 是否敏感(true=私钥值不可读出)CKA_ENCRYPT// 是否可用于加密CKA_DECRYPT// 是否可用于解密CKA_SIGN// 是否可用于签名CKA_VERIFY// 是否可用于验签CKA_EXTRACTABLE// 密钥是否可导出CKA_VALUE_LEN// 密钥长度3.2.4 RSA 密钥特有属性
CKA_MODULUS// 模数 nCKA_MODULUS_BITS// 模数位数(如 2048)CKA_PUBLIC_EXPONENT// 公钥指数 eCKA_PRIVATE_EXPONENT// 私钥指数 d3.2.5 证书相关属性
CKA_CERTIFICATE_TYPE // 证书类型(X.509 等) CKA_SUBJECT // 证书主题 CKA_ISSUER // 证书颁发者 CKA_SERIAL_NUMBER // 序列号 CKA_VALUE // 证书的 DER 编码内容4.参考文献
PKCS #11 Cryptographic Token Interface Base Specification Version 2.40
https://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.htmlSoftHSM2
https://github.com/softhsm/SoftHSMv2OpenSC
https://github.com/OpenSC/OpenSC
编程学习
技术分享
实战经验