這可能是不可能的，但讓我們盡管如此探索一些可能性。

請注意，是否完全支持這些可能性取決于令牌類型和軟件/提供商，但您當(dāng)然可以嘗試。

直接使用引用可能是不可能的，因?yàn)槟仨毮軌蚴褂?HSM 操作。因此，即使您可以將密鑰嵌入到SecretKey對象中，您仍然無法使用它。您需要一個(gè)提供者特定的 API 來完成它。嘿，也許它存在。

PKCS#11 對象（包括密鑰）通常存儲在 HSM 或其他安全令牌上。秘密密鑰通常不容易提取。

您有時(shí)也可以通過將屬性設(shè)置CKA_EXTRACTABLE為 true（并CKA_SENSITIVE在生成期間設(shè)置為 false）來使密鑰可提取。這當(dāng)然也會對密鑰的安全性產(chǎn)生負(fù)面影響。如果您可以使它起作用（取決于 PKCS# 11 令牌實(shí)現(xiàn)）那么你應(yīng)該能夠?qū)㈡I值復(fù)制到內(nèi)存中。

您也可以使用您已知的包裝密鑰來包裝密鑰，然后 HSM 以這種方式提取密鑰。

SecretKeySpec一旦您能夠獲取它以將其轉(zhuǎn)換為SecretKey.

通常，在本地生成密鑰更容易（在需要且可用的情況下，使用 HSM 的令牌隨機(jī)數(shù)生成器）。然后你可以導(dǎo)入它們并設(shè)置CKA_SENSITIVE為true之后。當(dāng)然，如果您這樣做，CKA_ALWAYS_SENSITIVE將保持設(shè)置為false（CKA_NEVER_EXTRACTABLE并將保持設(shè)置為）。true

到目前為止，最簡單和最安全的方法是使用提供的提供者生成密鑰，在可用的情況下KeyGenerator放棄GenericSecretKey問題中的方法。但是，這回避了這個(gè)問題。