我之前在项目里也踩过这个坑——用IAIK PKCS#11库的wrapKey函数配合SoftHSM时，默认的CKM_AES_CBC_PAD机制会抛出CKR_MECHANISM_INVALID错误。正如SoftHSM官方提到的，这个机制在SoftHSM中并不支持用于密钥封装操作，必须改用推荐的CKM_AES_KEY_WRAP、CKM_AES_KEY_WRAP_PAD或者RSA系列机制。下面是我验证过的完整实现方案，分场景给你讲解：

一、前置：初始化PKCS#11会话 #

不管用哪种封装机制，第一步都是正确初始化PKCS#11模块和会话，这部分是通用的：

import iaik.pkcs.pkcs11.*;
import iaik.pkcs.pkcs11.objects.*;
import iaik.pkcs.pkcs11.wrapper.*;

public class SoftHSMKeyWrapExample {
    public static void main(String[] args) throws Exception {
        // 加载SoftHSM的PKCS#11模块（路径根据你的安装情况调整）
        String modulePath = "/usr/lib/softhsm/libsofthsm2.so"; // Linux示例，Windows是softhsm2.dll
        Module pkcs11Module = Module.getInstance(modulePath);
        pkcs11Module.initialize(null);

        // 获取第一个插槽（假设SoftHSM的token在第一个插槽）
        Slot[] slots = pkcs11Module.getSlots(true); // 只获取有token的插槽
        Slot slot = slots[0];
        Session session = slot.openSession(Session.SESSION_TYPE_RW_PUBLIC_SESSION);

        // 登录token（默认PIN是1234）
        session.login(Session.UserType.USER, "1234".toCharArray());

        // 后续的密钥生成、封装操作都基于这个session
        // ...
    }
}

二、场景1：用AES密钥封装对称密钥（CKM_AES_KEY_WRAP） #

CKM_AES_KEY_WRAP是无填充的AES密钥封装机制，要求待封装的密钥长度是AES块大小的整数倍（通常是16/24/32字节，对应AES-128/192/256）。

实现代码： #

// 1. 生成用于封装的AES密钥（wrap密钥）
AesKey wrapKey = new AesKey();
wrapKey.getEncrypt().setBooleanValue(Boolean.TRUE);
wrapKey.getWrap().setBooleanValue(Boolean.TRUE); // 必须开启wrap权限
wrapKey.getExtractable().setBooleanValue(Boolean.TRUE);

Mechanism keyGenMechanism = Mechanism.get(PKCS11Constants.CKM_AES_KEY_GEN);
SecretKey generatedWrapKey = (SecretKey) session.generateKey(keyGenMechanism, wrapKey);

// 2. 生成待封装的对称密钥（比如另一个AES密钥）
AesKey targetKey = new AesKey();
targetKey.getExtractable().setBooleanValue(Boolean.TRUE); // 必须允许被提取/封装
targetKey.getSensitive().setBooleanValue(Boolean.TRUE);

SecretKey generatedTargetKey = (SecretKey) session.generateKey(keyGenMechanism, targetKey);

// 3. 使用CKM_AES_KEY_WRAP机制封装密钥
Mechanism wrapMechanism = Mechanism.get(PKCS11Constants.CKM_AES_KEY_WRAP);
byte[] wrappedKeyBytes = session.wrapKey(wrapMechanism, generatedWrapKey, generatedTargetKey);

// 4. 解封装（可选，验证用）
Mechanism unwrapMechanism = Mechanism.get(PKCS11Constants.CKM_AES_KEY_WRAP);
SecretKey unwrappedKey = (SecretKey) session.unwrapKey(unwrapMechanism, generatedWrapKey, wrappedKeyBytes, targetKey);

三、场景2：用AES密钥封装任意长度对称密钥（CKM_AES_KEY_WRAP_PAD） #

如果待封装的密钥长度不是AES块大小的整数倍，就用带填充的CKM_AES_KEY_WRAP_PAD机制，它支持任意长度的密钥。

实现代码： #

// 1. 生成wrap密钥（和上面一致）
AesKey wrapKey = new AesKey();
wrapKey.getEncrypt().setBooleanValue(Boolean.TRUE);
wrapKey.getWrap().setBooleanValue(Boolean.TRUE);
wrapKey.getExtractable().setBooleanValue(Boolean.TRUE);

Mechanism keyGenMechanism = Mechanism.get(PKCS11Constants.CKM_AES_KEY_GEN);
SecretKey generatedWrapKey = (SecretKey) session.generateKey(keyGenMechanism, wrapKey);

// 2. 生成待封装的任意长度对称密钥（比如DES密钥，长度8字节）
DesKey targetKey = new DesKey();
targetKey.getExtractable().setBooleanValue(Boolean.TRUE);
targetKey.getSensitive().setBooleanValue(Boolean.TRUE);

SecretKey generatedTargetKey = (SecretKey) session.generateKey(Mechanism.get(PKCS11Constants.CKM_DES_KEY_GEN), targetKey);

// 3. 使用CKM_AES_KEY_WRAP_PAD封装
Mechanism wrapMechanism = Mechanism.get(PKCS11Constants.CKM_AES_KEY_WRAP_PAD);
byte[] wrappedKeyBytes = session.wrapKey(wrapMechanism, generatedWrapKey, generatedTargetKey);

// 4. 解封装验证
Mechanism unwrapMechanism = Mechanism.get(PKCS11Constants.CKM_AES_KEY_WRAP_PAD);
SecretKey unwrappedKey = (SecretKey) session.unwrapKey(unwrapMechanism, generatedWrapKey, wrappedKeyBytes, targetKey);

四、场景3：用RSA公钥封装对称密钥（CKM_RSA_PKCS/CKM_RSA_PKCS_OAEP） #

如果需要用RSA非对称密钥来封装对称密钥（比如密钥交换场景），可以用CKM_RSA_PKCS或更安全的CKM_RSA_PKCS_OAEP。

用CKM_RSA_PKCS的实现： #

// 1. 生成RSA密钥对
RsaPublicKey publicKeyTemplate = new RsaPublicKey();
publicKeyTemplate.getWrap().setBooleanValue(Boolean.TRUE);
publicKeyTemplate.getExtractable().setBooleanValue(Boolean.TRUE);

RsaPrivateKey privateKeyTemplate = new RsaPrivateKey();
privateKeyTemplate.getUnwrap().setBooleanValue(Boolean.TRUE);
privateKeyTemplate.getSensitive().setBooleanValue(Boolean.TRUE);

Mechanism rsaKeyGenMechanism = Mechanism.get(PKCS11Constants.CKM_RSA_PKCS_KEY_PAIR_GEN);
KeyPair rsaKeyPair = session.generateKeyPair(rsaKeyGenMechanism, publicKeyTemplate, privateKeyTemplate);

// 2. 生成待封装的AES密钥
AesKey targetKey = new AesKey();
targetKey.getExtractable().setBooleanValue(Boolean.TRUE);
targetKey.getSensitive().setBooleanValue(Boolean.TRUE);

SecretKey generatedTargetKey = (SecretKey) session.generateKey(Mechanism.get(PKCS11Constants.CKM_AES_KEY_GEN), targetKey);

// 3. 用RSA公钥封装
Mechanism wrapMechanism = Mechanism.get(PKCS11Constants.CKM_RSA_PKCS);
byte[] wrappedKeyBytes = session.wrapKey(wrapMechanism, rsaKeyPair.getPublic(), generatedTargetKey);

// 4. 用RSA私钥解封装
Mechanism unwrapMechanism = Mechanism.get(PKCS11Constants.CKM_RSA_PKCS);
SecretKey unwrappedKey = (SecretKey) session.unwrapKey(unwrapMechanism, rsaKeyPair.getPrivate(), wrappedKeyBytes, targetKey);

用CKM_RSA_PKCS_OAEP的实现（更安全）： #

// 1. 生成RSA密钥对（同上）
// ...

// 2. 设置OAEP机制参数（指定哈希算法，比如SHA-256）
CK_RSA_PKCS_OAEP_PARAMS oaepParams = new CK_RSA_PKCS_OAEP_PARAMS();
oaepParams.hashAlg = PKCS11Constants.CKM_SHA256;
oaepParams.mgf = PKCS11Constants.CKG_MGF1_SHA256;
oaepParams.source = PKCS11Constants.CKZ_DATA_SPECIFIED;
oaepParams.pSourceData = new byte[0]; // 无额外数据

Mechanism wrapMechanism = Mechanism.get(PKCS11Constants.CKM_RSA_PKCS_OAEP, oaepParams);

// 3. 封装和解封装（其余步骤和RSA_PKCS一致）
byte[] wrappedKeyBytes = session.wrapKey(wrapMechanism, rsaKeyPair.getPublic(), generatedTargetKey);
SecretKey unwrappedKey = (SecretKey) session.unwrapKey(wrapMechanism, rsaKeyPair.getPrivate(), wrappedKeyBytes, targetKey);

踩过的关键坑（必须注意） #

• 密钥权限属性：用于封装的密钥必须开启CKA_WRAP为true，待封装的密钥必须开启CKA_EXTRACTABLE为true，否则会抛出权限错误。
• 会话类型：必须用读写会话（SESSION_TYPE_RW_PUBLIC_SESSION），只读会话无法进行密钥生成和封装操作。
• SoftHSM配置：确保SoftHSM的token已经初始化（用softhsm2-util --init-token命令），并且密钥库有足够的存储空间。
• 版本兼容性：建议使用SoftHSMv2.5+和IAIK PKCS#11库1.6.0+，旧版本对部分机制的支持可能有bug。

内容的提问来源于stack exchange，提问作者zinoadidi