鸿蒙OpenHarmony【外设驱动使用之User_auth】子系统

最新推荐文章于 2024-11-12 14:04:30 发布

羊村你嘻哥

最新推荐文章于 2024-11-12 14:04:30 发布

阅读量846

点赞数 18

分类专栏：山海经文章标签： harmonyos 华为驱动开发鸿蒙鸿蒙系统

本文链接：https://blog.youkuaiyun.com/zxc95279527q/article/details/143134009

版权

User_auth

概述

功能简介

用户认证功能是端侧设备不可或缺的一部分，可应用于设备解锁、支付、应用登录等身份认证场景。用户认证（User_auth）框架统一管理用户身份与认证凭据模板的映射关系，通过调度各认证基础服务（包含口令认证、人脸识别等）实现的执行器完成用户认证凭据注册、凭据删除、身份认证及相关信息查询。用户认证的整体架构如图1。

基于HDF（Hardware Driver Foundation）驱动框架开发的User_auth驱动，能够屏蔽硬件器件差异，为上层应用（设置、锁屏等）和账号管理SA（System Ability）提供稳定的用户身份认证能力，支持用户凭据管理、认证信息录入、认证方案生成以及认证执行器信息管理能力。

图1 用户认证功能整体框架

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

基本概念

用户认证框架与各个基础认证服务（包含口令认证、人脸识别等）组成的身份认证系统，支持用户认证凭据设置、删除、认证等基础功能。

认证凭据信息

用户设置口令、录入人脸时，会生成认证凭据模板，凭据信息由用户身份信息与凭据模板信息组成，用于在认证用户时找到匹配指定用户的凭据模板。
认证凭据模板

认证凭据模板在用户设置认证凭据时由认证服务产生并存储。每个模板有一个ID，用于索引模板信息文件。在认证时，读取模板信息并和当次认证过程中产生的认证数据做对比，完成身份认证。
执行器

执行器是能够提供数据采集、处理、存储及比对能力的模块，各基础认证服务提供执行器能力，被身份认证框架调度完成各项基础功能。
执行器角色
- 全功能执行器：执行器可独立处理凭据注册和身份认证请求，即可提供用户认证数据采集、处理、储存及比对能力。
- 采集器：执行器提供用户认证时的数据采集能力，需要和认证器配合完成用户认证。
- 认证器：认证器提供用户认证时的数据处理能力，读取存储凭据模板信息并完成比对。
执行器类型

同一种身份认证类型的不同认证方式、设备器件差异都会产生认证算法差异，执行器根据这些差异定义不同的执行器类型。
执行器安全等级

执行器提供能力时所在运行环境达到的安全级别。
用户认证框架公钥 & 执行器公钥

用户身份认证处理需要保证用户数据安全以及认证结果的准确性，用户认证框架与基础认证服务间的关键交互信息需要做数据完整性保护，各基础认证服务将提供的执行器能力对接到用户认证框架时，需要交换各自的公钥，其中：
- 执行器通过用户认证框架公钥校验调度指令的准确性，如锁定一个人脸模板，这种情况导致无法使用人脸功能，属于敏感操作，需要确保指令准确，才可处理。
- 执行器公钥可被用户认证框架用于校验认证结果的准确性，同时用于执行器交互认证时的校验交互信息的完整性。
认证结果可信等级

不同认证方式及认证过程运行环境的安全级别差异，使得生成的认证结果的可信级别不同。
认证方案

用户发起认证请求所使用的认证方式、认证结果可信等级、执行器信息和凭据信息等相关信息。
调度信息

包括执行器信息及执行器处理请求需要的凭据模板信息，用于用户认证框架调度执行器完成基础功能。
System Ability

系统能力，由系统服务管理服务（System Ability Manager）加载，向OpenHarmony系统提供系统基础能力的基础服务。
Kit

OpenHarmony系统向第三方应用提供的基础应用编程接口。
Inner API

OpenHarmony系统向系统应用提供的应用编程接口。
IDL接口

接口定义语言（Interface Definition Language），通过IDL编译器编译后，能够生成与编程语言相关的文件：客户端桩文件，服务器框架文件。本文主要是通过IDL接口生成的客户端和服务端来实现User_auth服务和驱动的通信
IPC通信

IPC（Inter Process Communication），进程间通信是指两个进程的数据之间产生交互
HDI

HDI（Hardware Device Interface），硬件设备接口，位于基础系统服务层和设备驱动层之间，是提供给硬件系统服务开发者使用的、统一的硬件设备功能抽象接口，其目的是为系统服务屏蔽底层硬件设备差异

运作机制

User_auth驱动主要工作是屏蔽不同安全器件和安全环境的差异，通过统一的认证能力注册、录入、认证接口，向User_auth服务提供认证执行器管理、认证凭据管理和认证方案生成管理等能力。开发者可基于HDF框架对不同芯片进行各自驱动的开发及HDI层接口的调用。

图2 User_auth服务和User_auth驱动交互

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

约束与限制

User_auth驱动的实现需要在可信执行环境中实现，保证用户凭据信息的安全存储及用户身份认证结果的可信可靠。

开发指导

场景介绍

User_auth驱动的主要工作是为User_auth服务提供稳定的用户凭据管理、认证会话管理以及执行器信息管理能力，保证设备上口令认证和生物识别功能可以正常运行。

接口说明

注：以下接口列举的为IDL接口描述生成的对应C++语言函数接口，接口声明见idl文件（/drivers/interface/user_auth）。在本文中，执行器注册、凭据录入、凭据删除、用户认证和用户识别相关的HDI接口如表1所示。

表1 接口功能介绍

接口名称	功能介绍
Init()	初始化缓存信息。
AddExecutor(const HdiExecutorRegisterInfo &info, uint64_t &index, std::vector<uint8_t> &publicKey, std::vector<uint64_t> &templateIds)	添加认证执行器，获得此认证能力。
DeleteExecutor(uint64_t index)	根据索引值index删除认证执行器。
OpenSession(int32_t userId, std::vector<uint8_t> &challenge)	开启认证凭据管理Session。
CloseSession(int32_t userId)	关闭认证凭据管理Session。
BeginEnrollment(const std::vector<uint8_t> &authToken, const HdiEnrollParam &param, HdiScheduleInfo &info)	发起用户的认证凭据的录入，当录入类型为PIN码且当前用户已录入PIN码的情况下会更新PIN码。
UpdateEnrollmentResult(int32_t userId, const std::vector<uint8_t&