OpenHarmony中HUKS组件基本介绍

最新推荐文章于 2025-03-31 09:24:33 发布
最新推荐文章于 2025-03-31 09:24:33 发布
阅读量4.5k 收藏 10
点赞数
分类专栏: OpenHarmony 文章标签: 安全 华为 harmonyos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HORHEART/article/details/119717996
版权
OpenHarmony的HUKS组件提供密钥管理及密码学操作,分为SDK、Service和Engine三层,确保密钥安全。HUKS在L2设备上运行于安全环境。安全子系统包括应用完整性保护、权限管理、设备认证和密钥管理等,其中设备认证模块负责可信设备间的关系管理。security_huks关注HUKS的框架、接口和实现,而security_deviceauth涉及设备认证的全生命周期管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OpenHarmony中HUKS组件基本介绍

HUKS简介

HUKS(Harmony Universal KeyStore,鸿蒙通用密钥库系统)向应用提供密钥库能力,包括密钥管理及密钥的密码学操作等功能。HUKS所管理的密钥可以由应用导入或者由应用调用HUKS接口生成。
HUKS是通用密钥管理服务,向应用提供KeyStore及Crypto接口API,包括密钥管理及加解密等功能。

HUKS分层

  • HUKS SDK层
    HUKS SDK层能提供HUKS API供应用调用。
  • HUKS Service层
    HUKS Service层能实现HUKS密钥管理、存储等功能。
  • HUKS Engine层
    HUKS Engine层是HUKS核心模块,负责密钥生成以及加解密等工作。对于L2设备,该部分模块在商用场景下必须在安全环境下运行,包括TEE或者具备安全能力的芯片等。由于安全环境需要特定硬件支持,因此在开源代码中为模拟实现。

HUKS框架

base/security
├── huks
│   ├── frameworks
│   │   └── huks_lite  HUKS代码实现
│   └── interfaces
│       └── innerkits
│           └── huks_lite  HUKS提供接口

相关仓

  • 1.安全子系统

    • 简介
      安全子系统包括系统安全、数据安全、应用安全等功能,为OpenHarmony提供有效保护应用和用户数据的能力。
      安全子系统当前开源的功能,包括应用完整性保护、应用权限管理、设备认证、密钥管理服务、数据分级保护。

    • 子系统框架

      /base/security
├── appverify                       # 应用完整性校验
├── dataclassification              # 数据分级保护
├── device_auth                     # 设备认证
├── huks                            # HUKS密钥管理
└── permission                      # 权限管理

    • 子系统架构
      安全子系统架构图 对外API:安全子系统的对外API,部分API只针对系统应用开放;
      应用权限管理:为程序框架子系统提供权限管理功能,并且为上层应用提供权限申请和授权状态查询接口;
      应用完整性校验:提供对应用完整性校验的能力,为应用签名、应用安装校验提供能力支撑;
      设备认证:为分布式设备互联提供密钥协商和可信设备管理能力;
      HUKS密钥管理:为系统提供密钥管理服务,用于支撑基础的设备认证。
      数据分级保护:提供数据分级相关的接口定义。

  • 2.security_huks

    • 基本框架:

      base/security/huks/
├── build                             # 编译配置文件
├── frameworks                        # 框架代码, 作为基础功能目录, 被interfaces和services使用.
│   └── huks_standard                 # huks标准模块, 即表示L2的HUKS模块
│   └── huks_lite                     # huks L0和L1代码实现
│   └── crypto_lite                   # 加解密实现
├── interfaces                        # 接口API代码
│   └── innerkits
│       └── huks_standard
│       └── huks_lite				  # huks提供接口
└── services
    └── huks_standard

  • 3.security_deviceauth

    • 简介
      在OpenHarmony中,设备认证模块作为安全子系统的子模块,负责设备间可信关系的建立、维护、使用、撤销等全生命周期的管理,实现可信设备间的互信认证和安全会话密钥协商,是搭载OpenHarmony的设备进行可信互联的基础平台能力。
    • 基本框架:
      /base/security/deviceauth
├── frameworks                   # 设备认证框架层代码
├── hals                         # 平台相关工具库抽象层
│   ├── inc                      # 工具库头文件
│   └── src                      # 工具库源文件
├── interfaces                   # 对外接口目录
└── services                     # 设备认证服务层代码
    ├── common                   # 公共代码库
    ├── group_auth               # 设备群组认证模块
    ├── group_manager            # 设备群组管理模块
    ├── module                   # 认证器模块(包括帐号无关点对点设备认证器)
    └── session                  # 调度及会话管理模块
    • 系统架构图
      在这里插入图片描述
我的第一个基于HarmonyOS的 (鸿蒙 OS)TV
禅思院
09-27 2万+
距离鸿蒙 OS 2.0 发布已经过去一些日子了,由于公司项目的事情比较多,一直没有怎么去关注,这位国产的HarmonyOS,闲暇之余,我看了下这个HarmonyOS,感觉还不错,支持java和JavaScript开发,对于做作为前端开发人员,也顺便了解下! HarmonyOS 是什么? 在官网上是这样说的: HarmonyOS是一款“面向未来”、面向全场景(移动办公、运动健康、社交通信、媒体娱乐等)的分布式操作系统。在传统的单设备系统能力的基础上,HarmonyOS提出了基于同一套系统能力、适配多种终端形
openharmony安全子系统之密钥管理服务(Universal Keystore,下述简称为HUKS)
weixin_40010764的博客
01-16 527
HarmonyOS入门之HUKS解析
cnzzs的博客
07-10 822
在个人移动设备上,数据安全是至关重要的。HarmonyOS推出的通用密钥库系统(HarmonyOS Universal KeyStore,简称HUKS)为应用提供了全面的密钥管理服务。本文将深入探讨HUKS的工作原理、开发实践和实际应用案例,为开发者提供一个全面的HUKS使用指南。HUKS概述HUKSHarmonyOS提...
OpenHarmony子系统开发 - 安全(四)
最新发布
__Benco的博客
03-31 759
各子系统在处理、流转各类用户数据时,可以调用DSLM模块提供的接口,获取相关设备的安全等级信息。并结合其所处理数据的实际情况,决策数据的进一步处理。为方便开发者对于“凭据文件”的进一步理解,设备安全等级管理模块提供了凭据工具,该工具是一个python脚本,基于OPENSSL命令行的简单封装,可以便捷的提供凭据文件的签发和验证功能。其使用方法如下:凭据文件的生成:生成一个名为cred.txt的凭据文件,并指定设备型号为rk3568、设备版本号为3.0.0、设备安全等级为SL3等payload信息。
OpenHarmony-HUKS模块梳理(修正)
b_erb的博客
11-18 1525
OpenHarmony-HUKS模块frameworks0.crypto_lite [AES/RSA加解密]1.frameworks/huks_lite/hw_keystore_sdk部分:2.frameworks/huks_standard/main部分:servicesinterfaces合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的
OpenHarmony安全模块与HUKS分析(2)
qq_45766510的博客
12-24 648
OpenHarmony安全模块诞生的目的是主要是为了实现用户数据在设备互联场景下在各个设备之间的安全流转,保证设备之间相互正确可信,即设备和设备之间建立信任关系,并能够在验证信任关系后,搭建安全的连接通道,实现用户数据的安全传输。 本文将继续进行分析介绍OpenHarmony安全模块以及服务于数据安全HUKS组件。 1.HUKS组件回顾 为高效化IoT设备间信任关系的建立,鸿蒙系统提出了基于密钥管理和存储服务(HUKS,Huawei Universal Keystore Service)的系列安全
Huks功能之frameworks解析:hks_access.h hks_access.c cipher.h cipher.c
weixin_50294842的博客
09-04 1248
openHarmony中的安全子系统huks为应用提供密钥库及密钥管理功能,包括密钥的生成,删除,更新。 为系统下应用提供KeyStore密钥库管理以及Crypto密钥密码学相关操作。
security_huks/services/huks_standard/huks_engine/hks_auth+huks_core_service解读(一)
Enternalwiser的博客
08-27 462
warpKey模式简介。huks_core_service+hks_auth代码解读
鸿蒙OpenHarmony【通用密钥库设备开发】子系统安全
asd95279527p的博客
10-29 2075
OpenHarmony通用密钥库系统(英文全称:Open**H**armony **U**niversal **K**ey**S**tore,以下简称HUKS)是OpenHarmony提供的系统级的密钥管理系统服务,提供密钥的全生命周期管理能力,包括密钥生成、密钥存储、密钥使用、密钥销毁等功能,以及对存储在HUKS中的密钥提供合法性证明。在HUKS的分层架构中,处于最底层的HUKS核心层(HUKS Core)承载着密钥管理核心功能,一般运行在设备硬件安全环境中(比如TEE、安全芯片等)。由于不同厂商硬件安全
OpenHarmony开发中的知识:Release的组件
DMZDAMS的博客
06-21 947
OpenHarmony如期而至的发布了4.0版本
OpenHarmony安全模块之AES加密学习
L_superhero的博客
09-26 1212
OpenHarmony初分析 security_huks/frameworks/crypto_lite/cipher/src/cipher_aes 在上一次的学习中,我们了解了OpenHarmony的三大模块的特点,今天我们来学习第三个模块——安全模块。我们知道,鸿蒙通用密钥库系统主要是为了向应用提供密钥库的功能,包括密钥管理以及生成密钥的密码学操作等功能。 OpenHarmony操作系统是一个开放的系统,开发者可以通过OpenHarmony开发灵活的服务和应用,为开发者和使用者带来便利和价值。为了达到这一
OpenHarmony(鸿蒙南向开发)——轻量系统芯片移植指南(二)
鸿蒙开发知识记录
09-30 1264
OpenHarmony提供了mbedtls的开源三方库,路径为“//third_party/mbedtls”。此库中提供了“mbedtls_platform_entropy_poll”、“mbedtls_hardclock_poll”、“mbedtls_havege_poll”、“mbedtls_hardware_poll”等几种产生随机数的方式。厂商需要根据芯片适配“mbedtls_hardware_poll”方式。
OpenHarmony(鸿蒙南向开发)——轻量系统芯片移植案例(二)
鸿蒙开发知识记录
09-14 1920
以为例,这里描述了产品使用的内核、单板、子系统等信息。其中,内核、单板型号、单板厂商需要提前规划好,也是预编译指令(hb set)所关注的。这里填入的信息与规划的目录相对应。"product_name": "wifi_demo", --- 产品名"type": "mini", --- 系统类型: mini"version": "3.0", --- 系统版本: 3.0"device_company": "lango", --- 单板厂商:lango。
鸿蒙源码分析(七十四)---安全子系统
安辰的博客
11-12 6035
比赛中提到的安全子系统模块huks是一种通用密钥管理服务,它为应用程序提供KeyStore和Crypto API,以执行密钥管理,加密和解密操作。包括密钥管理及密钥的密码学操作等功能。HUKS所管理的密钥可以由应用导入或者由应用调用HUKS接口生成。 主要就是三大部分: HUKS SDK层: 提供HUKS API供应用调用。 HUKS Service层: 实现HUKS密钥管理、存储等功能。 HUKS Engine层: HUKS核心模块,负责密钥生成以及加解密等工作。对于L2设备,该部分模块在商用场景下必须
Java中的一些名词概念
lvyixinniang_的博客
10-19 822
Entity层中的类大多数是数据方面的,例如数据库中有负责登陆的User表(ID、UserName,Password),在Entity层就需要用private关键字定义与数据库中一样的字段(ID、UserName,Password)以及这些字段的get、set方法(方法可以Override)。Util是utiliy的缩写,是一个多功能、基于工具的包。因为 Java 只有值传递,所以,对于 == 来说,不管是比较基本数据类型,还是引用数据类型的变量,其本质比较的都是值,只是引用类型变量存的值是对象的地址。
OpenHarmony解读之设备认证:数据接收管理-消息处理(2)
weixin_46669761的博客
05-29 616
一、概述 本文将继续介绍HiChain本端接收数据的处理过程中的消息处理阶段的剩余内容。 二、源码分析 这一模块的源码位于:/base/security/deviceauth。 检查消息为系统可支持并合法之后,调用build_object函数构建HiChain子对象,具体分析如下: /* 函数功能:构建HiChain子对象 函数参数: hichain:HiChain实例 modular:消息模块类型 is_client:是否是client params:构建参数 函数返回
Android与鸿蒙系统安全(三)
求变,从思想开始
10-22 4247
八、鸿蒙安全系统 OpenHarmony操作系统是一个开放的系统,开发者可以通过OpenHarmony开发灵活的服务和应用,为开发者和使用者带来便利和价值。为了达到这一目的,OpenHarmony提供了一个可以有效保护应用和用户数据的执行环境。 在这个执行环境中,芯片的安全能力、系统的安全能力、以及上层的安全服务一起协作,从硬件安全、系统安全、数据安全、设备互联安全、应用安全安全更新多个维度提供安全保障。鸿蒙采用的微内核+外核的设计,微内核没有被Root的概念,同时外核和内核是分开的,互相隔离,提升了
HarmonyOS实战开发-如何使用@ohos.security.huks相关接口实现对任意输入内容进行加密和解密的功能。
m0_70749039的博客
04-11 1480
本示例使用@ohos.security.huks相关接口实现了对任意输入内容进行加密和解密的功能。
HarmonyOS NEXT】HUKS生成SM2密钥对,后端无法通过ConvertX509ToECPublicKey来提取公钥,提示长度不对
Mayism123的博客
05-14 504
密钥库(HUKS)生成SM2密钥对,导出公钥(x509)是92字节,我们的后端无法通过ConvertX509ToECPublicKey来提取公钥,提示长度不对如下图所示。加解密算法框架生成秘钥是ECC格式的,秘钥库生成的秘钥是SM2格式的。App需要使用密钥库生成SM2密钥,对数据进行签名,然后把SM2公钥传送给服务端,服务端使用公钥进行验签,但服务端解析公钥失败。但用加解密算法框架生成的SM2公钥长度91字节如下图所示,是可以提取的。
let options = { properties: [ { tag: huks.HuksTag.HUKS_TAG_ALGORITHM, value: huks.HuksKeyAlg.HUKS_ALG_RSA }, { tag: huks.HuksTag.HUKS_TAG_DIGEST, value: huks.HuksKeyDigest.HUKS_DIGEST_SHA256 } ] };对象字面量必须与某些明确声明的类或接口相对应
03-22
<think>好的,我现在要解决用户关于TypeScript中如何让对象字面量符合特定类或接口的类型检查的问题。用户提到了HUKS_TAG_ALGORITHM、HUKS_ALG_RSA和HUKS_DIGEST_SHA256这些标识符,看起来像是某些库或框架中的常量,可能与加密或安全相关。首先,我需要理解用户的具体需求,然后一步步给出解决方案。 首先,用户的问题涉及到对象字面量的类型检查,明确声明接口,以及使用这些特定的常量。我需要回忆TypeScript中对象字面量类型检查的机制。通常,对象字面量在赋值给变量或传递给函数时,会进行“额外属性检查”,如果存在接口中没有定义的属性,会报错。但用户可能需要明确声明对象的结构,使其符合某个接口,尤其是包含特定属性的联合类型或枚举。 接下来,用户提到的HUKS_TAG_ALGORITHM可能是一个标签,而HUKS_ALG_RSA和HUKS_DIGEST_SHA256可能是该标签的可能值。例如,HUKS_TAG_ALGORITHM可能是一个属性名,其值可以是HUKS_ALG_RSA或HUKS_DIGEST_SHA256这样的枚举值。因此,我需要引导用户定义接口,明确这些属性的类型,可能使用联合类型或枚举。 然后,用户需要确保对象字面量符合这个接口。可能需要使用类型断言、变量间接赋值,或者as const断言来保持字面量的精确类型。此外,如果用户使用的库已经定义了这些接口或类型,直接引用它们会更方便,但用户可能需要自己定义。 可能的步骤是: 1. 定义接口,包含必要的属性,如HUKS_TAG_ALGORITHM,其类型为联合类型或枚举。 2. 创建对象字面量时,确保属性名和值符合接口定义。 3. 处理类型检查错误,如使用类型断言或变量赋值绕过额外属性检查。 还需要注意,用户可能需要处理多个属性,例如同时指定算法和摘要类型,因此接口可能需要包含多个属性,每个对应不同的HUKS_TAG。例如: interface HuksParams { [HUKS_TAG_ALGORITHM]: typeof HUKS_ALG_RSA; [HUKS_TAG_DIGEST]: typeof HUKS_DIGEST_SHA256; } 但用户需要确保这些常量是存在的,可能需要先声明它们,如枚举或常量对象。 可能的问题点: - 用户是否正确引用了这些常量,是否需要先定义它们? - 对象字面量是否有多余属性导致类型错误,如何处理? - 是否需要使用类型断言或as const来固定类型? 总结解决方案步骤: 1. 定义相关常量(如枚举或对象)。 2. 创建接口,使用索引签名或明确属性。 3. 声明对象字面量并应用类型检查方法。 现在需要将这些步骤整理成清晰的回答,并生成相关问题。</think>在TypeScript中,让对象字面量符合特定接口或类的类型要求,需通过以下步骤实现: ### 一、定义接口明确结构 若需匹配`HUKS_TAG_ALGORITHM`等加密参数,可先定义接口描述结构: ```typescript interface HuksAlgorithmParams { [HUKS_TAG_ALGORITHM]: number; // 假设HUKS_TAG_ALGORITHM是数值类型标签 [HUKS_TAG_DIGEST]?: number; // 可选属性用问号标记 } ``` > 注:需预先定义常量如`const HUKS_TAG_ALGORITHM = 0x100001`[^1] ### 二、声明对象字面量 #### 直接赋值(严格检查) ```typescript const rsaParams: HuksAlgorithmParams = { [HUKS_TAG_ALGORITHM]: HUKS_ALG_RSA, // 必须包含必选属性 [HUKS_TAG_DIGEST]: HUKS_DIGEST_SHA256 }; ``` > 若多出未定义属性将报错,可通过`as const`冻结类型: ```typescript const params = { [HUKS_TAG_ALGORITHM]: HUKS_ALG_RSA } as const; ``` #### 类型断言(绕过额外检查) ```typescript const params = { [HUKS_TAG_ALGORITHM]: HUKS_ALG_RSA, extraProp: true // 非常规属性 } as HuksAlgorithmParams; ``` ### 三、联合类型约束 若参数存在多种组合,可通过联合类型定义: ```typescript type HuksParams = | { [HUKS_TAG_ALGORITHM]: typeof HUKS_ALG_RSA; [HUKS_TAG_KEY_SIZE]: 2048 } | { [HUKS_TAG_ALGORITHM]: typeof HUKS_ALG_AES; [HUKS_TAG_KEY_MODE]: typeof HUKS_MODE_CBC }; ``` ### 四、实战示例 ```typescript // 先定义常量枚举 enum HuksTag { ALGORITHM = 0x100001, DIGEST = 0x200002 } enum HuksAlg { RSA = 0x0100, AES = 0x0200 } // 定义接口 interface RsaParams { [HuksTag.ALGORITHM]: HuksAlg.RSA; [HuksTag.DIGEST]: number; } // 正确对象 const validRsa: RsaParams = { [HuksTag.ALGORITHM]: HuksAlg.RSA, [HuksTag.DIGEST]: 0x0300 }; // 错误示例(缺少必需属性) const invalidRsa: RsaParams = { [HuksTag.ALGORITHM]: HuksAlg.RSA }; // 报错:缺少DIGEST属性 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值