最近写程序,发现一个问题:为了调试方便,开发时程序是以普通应用程序方式运行的,也就是通过双击EXE文件进行开发、调试的。后来整合系统时,程序是以服务方式运行的,就发现了一个问题:原本开发时,调用TCM SDK(TSM)接口让TCM加载密钥时,是可以顺利加载的,但是程序以服务运行时,就加载不了,总报0x3020错误,检查tsm_error.h发现,20错误代码表示的是“TSM_E_PS_KEY_NOTFOUND”,原因是“The key cannot be found in the persistent storage database.”奇怪了,密钥明明是有的,为什么就加载不上呢?后来查了很多原因,最后发现加载不上的原因就是:TCM创建密钥时,是与当时创建密钥程序的运行方式、运行环境有关的,包括进程用户名、父进程用户名等等。
使用Process Explorer可以看到,所有的进程都是树型结构显示的,我们可以发现,通过双击运行的程序,它的父进程是explorer.exe(如下图1所示),而以服务运行的程序,其父进程是services.exe(如下图2所示),即便此服务程序以当前Windows用户为进程用户名而创建的进程,它父进程的父进程仍然是services.exe,所以这两种程序的运行环境是不一样的,造成调用TSM接口时加载的用户密钥,其用户空间是不一样的,于是就导致了上述密钥不存在的错误。
图 1 普通应用程序的父进程是explorer.exe
图 2 服务程序的父进程是services.exe
解决办法就是,密钥创建、密钥使用时,都改成调用系统空间的密钥:
Tspi_Context_GetKeyByUUID(hContext, TSM_PS_TYPE_SYSTEM, uuidSMS4Key, &hSMS4BindKey);
上面的Persistant Storage类型由“TSM_PS_TYPE_USER”改成“TSM_PS_TYPE_SYSTEM”就可以了。
创建密钥时也是一样:
Tspi_Context_RegisterKey(hContext, hSMS4BindKey, TSM_PS_TYPE_SYSTEM,
uuidSMS4Key, TSM_PS_TYPE_SYSTEM, uuidSMKKey);