Java SunPKCS11通过网络访问USB密码令牌

Question

我已经通过提供的acos-pkcs11.dll库(Java32bit，以便在CryptoMate64上可以使用SunPKCS11 )在SunPKCS11上使用SunPKCS11令牌的工作实现。

CryptoMate64是SunPKCS11在Windows上本地访问的一种USB令牌。Linux没有PKCS11库(没有.so文件或类似的东西)。

因为我使用的是Linux机器，为了获得一些功能，我想问一下，是否有任何方法可以通过不同计算机上通过USB连接的网络访问PCKS11设备。

其想法如下: Linux:希望使用USB CryptoMate64但没有库的应用程序。Windows:用acos-pkcs11.dll连接USB CryptoMate64。应用程序使用在Windows上连接的CryptoMate64。

在Linux机器上配置Java SunPKCS11可以通过网络远程使用它吗？还是制造商提供的PKCS11模块的一部分？

我知道HSM能够通过PKCS11通过网络进行通信，所以我的问题是，是否也可以用这种方式与USB加密令牌进行通信。

每一个建议或想法如何去做都是受欢迎的。

Answer 1

基于网络的高速移动的常用方法是让PKCS#11库执行方法调用的编组，并使用传输协议在网络上发送该数据。此应用程序传输协议通常是为TCP套接字定义的。由于数据的性质，这个传输连接应该是安全的。它至少应该提供客户端和服务器的认证，并保持机密性、真实性和完整性。可以使用带有客户端身份验证的TLS，尽管该协议不能依赖DNS命名系统来保证其安全性。

现在，网络HSM或包含HSM的系统应该包含对数据执行非编组、执行预处理并将其发送给HSM的服务。虽然不是必需的，但这可以通过使用安全的非封送数据调用非网络PKCS#11库来实现。

另一种选择是创建自己的Java安全提供程序。该提供程序可以调用服务器上的代码，并在那里调用PCKS#11库。实现Java安全提供程序也不容易，并且要求您使用Oracle提供的私钥证书(用于正常的Java安装)对提供程序进行签名。

正如您可能理解的那样，在网络上使用HSM不应掉以轻心，而应成为HSM安全的一部分。您可以自己尝试创建这样的系统，但是您不应该欺骗自己；网络HSM很可能不像本地使用的系统那样安全。通常，如果HSM供应商无法提供服务，则最好购买另一个USB令牌。当然，你也可以买一台联网的HSM。