鴻蒙開發(fā)：Universal Keystore Kit密鑰管理服務(wù)簡介

Universal Keystore Kit簡介

Universal Keystore Kit（密鑰管理服務(wù)，下述簡稱為HUKS）向業(yè)務(wù)/應(yīng)用提供各類密鑰的統(tǒng)一安全操作能力，包括密鑰管理（密鑰生成/銷毀、密鑰導(dǎo)入、密鑰證明、密鑰協(xié)商、密鑰派生）及密鑰使用（加密/解密、簽名/驗(yàn)簽、訪問控制）等功能。

HUKS管理的密鑰可以由業(yè)務(wù)/應(yīng)用導(dǎo)入或調(diào)用HUKS的接口生成。同時(shí)，HUKS提供了密鑰訪問控制能力，確保存儲在HUKS中的密鑰被合法正確的訪問。

整體架構(gòu)

如圖所示，HUKS模塊可以分為如下三大部分：

SDK：提供密鑰管理的接口供開發(fā)者調(diào)用，開發(fā)者可以根據(jù)實(shí)際業(yè)務(wù)，選擇ArkTS或C API。
HUKS服務(wù)層：實(shí)現(xiàn)密鑰會話管理及存儲管理。
HUKS核心層：承載HUKS的核心功能，包括密鑰的密碼學(xué)運(yùn)算、明文密鑰的加解密、密鑰訪問控制等。
說明： 對于具備安全環(huán)境（如[TEE]、安全芯片）的系統(tǒng)/設(shè)備，HUKS核心層必須運(yùn)行在安全環(huán)境內(nèi)。由于安全環(huán)境依賴硬件支持，在開源倉中僅為模擬實(shí)現(xiàn)，需OEM廠商適配。HarmonyOS與OpenHarmony鴻蒙文檔籽料：mau123789是v直接拿

zh-cn_image_0000001736030930

核心功能

HUKS為開發(fā)者提供了密鑰全生命周期的管理能力，其核心功能按照密鑰生命周期劃分如下：

密鑰生成

功能	說明
[密鑰生成]	隨機(jī)生成密鑰，且在密鑰的全生命周期內(nèi)，其明文僅在安全環(huán)境中進(jìn)行訪問操作，不會將明文傳遞出安全環(huán)境。
[密鑰導(dǎo)入]	業(yè)務(wù)可以將外部生成的密鑰導(dǎo)入到HUKS進(jìn)行管理。

密鑰使用

功能	說明
[加密/解密]	使用密鑰將數(shù)據(jù)加密為攻擊者無法理解的密文，或使用密鑰將數(shù)據(jù)解密為業(yè)務(wù)可用的明文。
[簽名/驗(yàn)簽]	用于認(rèn)證消息內(nèi)容以及消息發(fā)送者身份的真實(shí)性。
[密鑰協(xié)商]	兩個(gè)或多個(gè)實(shí)體通過協(xié)商，共同建立會話密鑰。
[密鑰派生]	從一個(gè)現(xiàn)有密鑰派生出一個(gè)或多個(gè)新密鑰。
[訪問控制]	確保存儲在HUKS中的密鑰，不會被越權(quán)訪問。

密鑰刪除

功能	說明
[密鑰刪除]	安全地刪除存儲在HUKS中的密鑰數(shù)據(jù)。

密鑰證明

功能	說明開發(fā)前請熟悉鴻蒙開發(fā)指導(dǎo)文檔：[`gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md`]。
[密鑰證明]	為存儲在HUKS中的非對稱密鑰對中的公鑰簽發(fā)證書，從而證明密鑰的合法性（如密鑰在安全環(huán)境中生成）。

搜狗高速瀏覽器截圖20240326151547.png

與相關(guān)Kit的關(guān)系

[基于用戶身份認(rèn)證的密鑰訪問控制]=，依賴于[User Authentication Kit（用戶身份認(rèn)證）]

審核編輯黃宇

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報(bào)投訴