PKCS#11

原文 http://www.iteye.com/problems/6228

 

配置环境：JDK5.0，支持标准PKCS#11的设备（包括Smartcard，加密卡等等），支持PKCS#11的系统（WINDOWS/LINUX /UNIX等），以及设备供应商提供的标准PKCS#11接口。（注：PKCS#11接口只是一个动态库文件，其中封装了PKCS#11标准函数，在不同 的平台上其格式不同，例如在WINDOWS上其格式是*.DLL，在LINUX上其形式是*.so）

配置方法：

在JDK5.0环境中配置访问PKCS#11的方法非常简单：只用编辑一个*.CFG文件就可以了。因为JDK5.0中已经做好了对PKCS#11的桥接。具体方法是：

1、在*.CFG文件中编辑好相应的参数和对应的值。

2、在JAVA语言中用Provider p = new sun.security.pkcs11.SunPKCS11(*.cfg文件的绝对路径)

3、进行相应的操作，具体的操作会在我的下一片文章中介绍。

具体*.cfg的内容以及格式是：

1、name=value 其中name是指明后面的value是该PKCS#11的名称。

2、library=*.dll/*.so的绝对路径 library后面是指明标准PKSC#11接口的绝对地址

3、description=value是该PKCS#11的注释，可以通过前面的Provider p的getInfo方法得到其值

4、slotListIndex = value/slot ＝ value 这个标示比较特殊，如果该PKCS#11的硬件提供商提供了多个可以支持该PKCS#11的设备，那么不同设备之间必须通过不同的slot来区分，那么， 在使用的时候必须明确的了解具体的硬件对应的slot的值，其中slotListIndex和slot中只用一个即可。如果在配置文件中不指明的话，那么 默认的是slot=0。这时如果提供商提供了多个硬件设备，则你的程序中智能调用slot=0的那个设备。所以建议在编辑该*.cfg时添加该参数。

5、其余的参数并不是很常用，欲详细了解可以访问http://java.sun.com/j2se/1.5.0/docs/guide/security/p11guide.html

解决方案：

跨平台时JAVA语言的一大特性，那么PKCS#11也应做到跨平台操作。当然，前提是该实现了PKCS#11接口的硬件可以跨平台（专有驱动或 者是无驱型）。但由于*.cfg中指定PKCS#11接口的地址是绝对地址，所以如果想要做到跨平台就要动态的产生cfg文件了。

具体的解决方案如下：

1、首先确认该硬件可以支持当前的系统。

2、确认已经安装了相应的驱动（无驱型设备的驱动是由系统提供的）

3、确认该硬件的slotListIndex或者slot值

4、使用System.getProperty(“java.home”);获得路径，做为存储*.CFG文件的目录。取名为cfgpath

5、用JFileChooser来选择PKCS#11文件，从而获得library的值，取名为LibPath

6、建立一个FileOutputStream来存储*.CFG文件，分别写入name的值，library的值（LibPath）description的值和slotListIndex的值。这样，就可以动态的创建cfg文件了。

7、然后 就可以用Provider p = new sun.security.pkcs11.SunPkcs11(cfgpath);来加载文件，从而达到通过PKCS11来访问硬件的目的。