subsys-security-huks-guide.md 29.8 KB
Newer Older
1
# OpenHarmony通用密钥库开发指导
scrawman's avatar
scrawman 已提交
2 3 4 5 6

## 概述

### 功能简介

7
用户信息的安全取决于密钥的安全,在安全领域里密码系统被攻击通常不是因为选择的加密算法不够安全,而是密钥管理不到位。HUKS(OpenHarmony Universal KeyStore)提供系统级的密钥管理能力,实现密钥全生命周期(生成、存储、使用、销毁)的管理和安全使用,满足生态应用和上层业务的诉求。通过密钥明文不出可信环境、密钥非明文存储等方式,保护用户密钥安全。
scrawman's avatar
scrawman 已提交
8

9
支持密钥全生命周期管理,包括以下特性:
10 11 12 13 14

1. 密钥生成/导入

2. 密钥存储

15
3. 密钥使用(加解密、签名验签、密钥派生、密钥协商、哈希、密钥访问控制)
16 17 18

4. 密钥销毁

scrawman's avatar
scrawman 已提交
19 20
### 基本概念

21
- 服务层(HUKS Service)
scrawman's avatar
scrawman 已提交
22 23 24

  提供密钥管理服务的具体业务功能模块,HUKS Service并不直接处理密钥运算,而是依赖HUKS Core为上层提供服务。

25
- 核心层(HUKS CORE)
scrawman's avatar
scrawman 已提交
26 27 28

  提供密钥管理服务的核心功能模块,密钥全生命周期明文不出HUKS Core模块。

29
- 可信执行环境(Trusted Execution Environment)
scrawman's avatar
scrawman 已提交
30

31
  通过划分软件和硬件资源的方法构建一个安全区域,使得安全区域内部的程序和数据得到保护。这种划分会分隔出两个执行环境——可信执行环境和普通执行环境。每个执行环境有独立的内部数据通路和计算所需存储空间,保证可信执行环境里的信息不会向外泄露。普通执行环境的应用不能访问可信执行环境的资源,可信执行环境中的应用在没有授权的情况下也无法相互访问。
scrawman's avatar
scrawman 已提交
32

33
- 三段式(Init-Update-Finish)
34

35
   Init:初始化密钥操作数据。
36

37
   Update:分段操作数据并返回结果,或追加数据。
38

39
   Finish:结束分段操作或追加数据,返回结果。
scrawman's avatar
scrawman 已提交
40

41
### 实现原理
scrawman's avatar
scrawman 已提交
42

43
以密钥的生成为例介绍HUKS Service与HUKS Core的通信过程,其他密钥操作类似:
44
上层应用通过密钥管理SDK调用到HUKS Service,HUKS Service再调用HUKS Core,HUKS Core会调用密钥管理模块生成密钥。之后HUKS Core使用基于RootKey派生的加密密钥对生成的密钥加密再传给Service侧,Service侧再以文件形式存储加密后的密钥。
scrawman's avatar
scrawman 已提交
45

46
![HUKS密钥生成流程图](figures/HUKS-GenerateKey1.png)
scrawman's avatar
scrawman 已提交
47 48 49

### 约束与限制

50
* HUKS的实现需要在可信执行环境中实现,保证密钥管理和操作的可信可靠。
scrawman's avatar
scrawman 已提交
51

52
* HuksHdiAttestKey返回的证书链应该按照业务证书、设备证书、CA证书和根证书的顺序组装,在每项证书之前还需要加上证书的长度。证书链组装完成后添加整个证书链的长度组装成Blob格式。证书的具体格式如要自己实现应与服务器侧解析的格式相对应。
53

54
![CertChain格式图](figures/HUKS-CertChain.png)
55

56
* 接口返回的密钥必须按照密钥存储态组装成KeyBlob,哪些接口需要遵循该限制请见[接口说明](#接口说明)
scrawman's avatar
scrawman 已提交
57

58
   KeyBlob存储密钥的同时存储它的属性,结构见下图。构造KeyBlob的示例请参见[hks_keyblob.c/HksBuildKeyBlob](https://gitee.com/openharmony/security_huks/blob/master/services/huks_standard/huks_engine/main/core/src/hks_keyblob.c)
59

60
![KeyBlob格式图](figures/HUKS-KeyBlob.png)
scrawman's avatar
scrawman 已提交
61 62 63 64 65

## 开发指导

### 场景介绍

66
HUKS Core作为向应用提供密钥库能力的基础,包括密钥管理及密钥的密码学操作等功能。如果想要使用自己的实现替换HUKS Core,需要实现以下接口。
scrawman's avatar
scrawman 已提交
67 68 69 70 71 72 73

### 接口说明

**表1** 接口功能介绍

| 接口名                                                       | 功能介绍                                  | 约束与限制                     | 对应的js接口                                        |
| ------------------------------------------------------------ | ---------------------------------------- | ----------------------------- | ------------------------------------------------------------ |
74
| [HuksHdiModuleInit()](#hukshdimoduleinit)                   | HUKS Core的初始化。                            |  无                           | 无 |
75 76 77 78 79 80 81 82 83 84 85
| [HuksHdiRefresh()](#hukshdirefresh)                          | 刷新根密钥。                              |  无                            | 无 |
| [HuksHdiGenerateKey()](#hukshdigeneratekey)                  | 生成密钥。                                |  出参要遵循KeyBlob格式          |generateKey(keyAlias: string, options: HuksOptions)|
| [HuksHdiImportKey()](#hukshdiimportkey)                     | 导入明文密钥。                            |  出参要遵循KeyBlob格式           | importKey(keyAlias: string, options: HuksOptions)|
| [HuksHdiImportWrappedKey()](#hukshdiimportwrappedkey)        |导入加密密钥。                              |  出参要遵循KeyBlob格式          | importWrappedKey(keyAlias: string, wrappingKeyAlias: string, options: HuksOptions)|
| [HuksHdiExportPublicKey()](#hukshdiexportpublickey)         | 导出公钥。                                 |无                             | exportKey(keyAlias: string, options: HuksOptions) |
| [HuksHdiInit()](#hukshdiinit)                              | 三段式中的Init接口。                       |无                              | init(keyAlias: string, options: HuksOptions) |
| [HuksHdiUpdate()](#hukshdiupdate)                           | 三段式中的Update接口。                     |签名验签时入参是原始数据          | update(handle: number, token?: Uint8Array, options: HuksOptions) |
| [HuksHdiFinish()](#hukshdifinish)                           | 三段式中的Finish接口。                     |签名验签时入参是签名后数据        | finish(handle: number, options: HuksOptions) |
| [HuksHdiAbort()](#hukshdiabort)                         | 终止三段式。                               |无                             | abort(handle: number, options: HuksOptions) |
| [HuksHdiGetKeyProperties()](#hukshdigetkeyproperties)        | 获取密钥属性。                              |无                            | getKeyProperties(keyAlias: string, options: HuksOptions)|
| [HuksHdiAttestKey()](#hukshdiattestkey)        | 获取密钥证书。                              |出参要遵循certChain格式                      | attestKey(keyAlias: string, options: HuksOptions)|
scrawman's avatar
scrawman 已提交
86

87
- - -
scrawman's avatar
scrawman 已提交
88

89
#### HuksHdiModuleInit
scrawman's avatar
scrawman 已提交
90 91 92

**接口描述**

93
HUKS Core的初始化,包括锁,加密算法库,authtoken key和根密钥。
scrawman's avatar
scrawman 已提交
94 95 96 97 98 99 100 101 102 103 104 105

**接口原型**
<pre><code>int32_t HuksHdiModuleInit();</code></pre>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

106
- - -
scrawman's avatar
scrawman 已提交
107

108
#### HuksHdiRefresh
scrawman's avatar
scrawman 已提交
109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126

**接口描述**

刷新根密钥。

**接口原型**
<pre><code>int32_t HuksHdiRefresh();</code></pre>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

127
#### HuksHdiGenerateKey
scrawman's avatar
scrawman 已提交
128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159

**接口描述**

根据paramSet生成密钥。

**接口原型**
<pre><code>int32_t HuksHdiGenerateKey(const struct HksBlob *keyAlias, const struct HksParamSet *paramSet, const struct HksBlob *keyIn, struct HksBlob *keyOut);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *keyAlias</strong>
  将要生成的密钥的别名,要求:
  1. keyAlias != null
  2. keyAlias -> data != null
  3. keyAlias -> size != 0
  <br></br>
  <strong>const struct HksParamSet *paramSet</strong>
  要生成密钥的参数
  <br></br>
  <strong>const struct HksBlob *keyIn</strong>
  在agree key时使用
  <br></br>
  <strong>struct HksBlob *keyOut</strong>
  出参,将paramset和生成的密钥存放在这里
  </pre>
</details>
<br></br>

<details>
  <summary><strong>约束与限制</strong></summary>

160
  1. 请在接口内检查上述参数是否符合要求,如是否是空指针、密钥算法是否支持等。
scrawman's avatar
scrawman 已提交
161

162
  2. keyOut请参照[KeyBlob](#密钥存储态)的结构。
scrawman's avatar
scrawman 已提交
163 164 165 166 167 168 169 170 171 172 173 174 175 176

</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

177
#### HuksHdiImportKey
scrawman's avatar
scrawman 已提交
178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213

**接口描述**

导入明文密钥。

**接口原型**
<pre><code>int32_t HuksHdiImportKey(const struct HksBlob *keyAlias, const struct HksBlob *key, const struct HksParamSet *paramSet, struct HksBlob *keyOut);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *msg</strong>
  将要导入的密钥的别名,要求:
  1. keyAlias != null
  2. keyAlias -> data != null
  3. keyAlias -> size != 0
  <br></br>
  <strong>const struct HksBlob *key</strong>
  要导入的密钥,要求:
  1. key != null
  2. key -> data != null
  3. key -> size != 0
  <br></br>
  <strong>const struct HksParamSet *paramSet</strong>
  导入密钥的参数
  <br></br>
  <strong>struct HksBlob *keyOut</strong>
  出参,将paramset和生成的密钥存放在这里
  <br></br>
  </pre>
</details>
<br></br>

<details>
  <summary><strong>约束与限制</strong></summary>

214
  1. 请在接口内检查上述参数是否符合要求,如是否是空指针、密钥算法是否支持等。
scrawman's avatar
scrawman 已提交
215

216
  2. keyOut请参照[KeyBlob](#密钥存储态)的结构。
scrawman's avatar
scrawman 已提交
217 218 219 220 221 222 223 224 225 226 227 228 229 230

</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

231
#### HuksHdiImportWrappedKey
scrawman's avatar
scrawman 已提交
232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272

**接口描述**

导入加密密钥。

**接口原型**
<pre><code>int32_t HuksHdiImportWrappedKey(const struct HksBlob *keyAlias, const struct HksBlob *wrappingUsedkey, const struct HksBlob *wrappedKeyData, const struct HksParamSet *paramSet, struct HksBlob *keyOut);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *KeyAlias</strong>
  将要导入的密钥的别名,要求:
  1. keyAlias != null
  2. keyAlias -> data != null
  3. keyAlias -> size != 0
  <br></br>
  <strong>const struct HksBlob *key</strong>
  要导入的密钥数据被加密时使用的密钥,要求:
  1. wrappingUsedkey != null
  2. wrappingUsedkey -> data != null
  3. wrappingUsedkey -> size != 0
  <br></br>
  <strong>const struct HksBlob *wrappedKeyData</strong>
  要导入的密钥的加密数据,要求:
  1. wrappedKeyData != null
  2. wrappedKeyData -> data != null
  3. wrappedKeyData -> size != 0
  <br></br>
  <strong>const struct HksParamSet *paramSet</strong>
  导入密钥的参数
  <br></br>
  <strong>struct HksBlob *keyOut</strong>
  出参,将paramset和生成的密钥存放在这里
  </pre>
</details>
<br></br>

<details>
  <summary><strong>约束与限制</strong></summary>

273
  1. 请在接口内检查上述参数是否符合要求,如是否是空指针、密钥算法是否支持等。
scrawman's avatar
scrawman 已提交
274

275
  2. keyOut请参照[KeyBlob](#密钥存储态)的结构。
scrawman's avatar
scrawman 已提交
276 277 278 279 280 281 282 283 284 285 286 287 288 289

</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

290
#### HuksHdiExportPublicKey
scrawman's avatar
scrawman 已提交
291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326

**接口描述**

导出公钥。

**接口原型**
<pre><code>int32_t HuksHdiExportPublicKey(const struct HksBlob *key, const struct HksParamSet *paramSet, struct HksBlob *keyOut);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *key</strong>
  与要导出的公钥对应的私钥,要求:
  1. key != null
  2. key -> data != null
  3. key -> size != 0
  <br></br>
  <strong>const struct HksParamSet *paramSet</strong>
  空参数
  <br></br>
  <strong>struct HksBlob *keyOut</strong>
  出参,存放导出的公钥
  </pre>
</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

327
#### HuksHdiInit
scrawman's avatar
scrawman 已提交
328 329 330 331 332 333 334 335 336 337 338 339

**接口描述**

三段式中的Init接口。

**接口原型**
<pre><code>int32_t HuksHdiInit(const struct HksBlob *key, const struct HksParamSet *paramSet, struct HksBlob *handle, struct HksBlob *token);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *key</strong>
340
  Init操作的密钥,要求:
scrawman's avatar
scrawman 已提交
341 342 343 344 345
  1. key != null
  2. key -> data != null
  3. key -> size != 0
  <br></br>
  <strong>const struct HksParamSet *paramSet</strong>
346
  Init操作的参数
scrawman's avatar
scrawman 已提交
347 348
  <br></br>
  <strong>struct HksBlob *handle</strong>
349
  三段式的句柄
scrawman's avatar
scrawman 已提交
350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366
  <br></br>
  <strong>struct HksBlob *token</strong>
  存放安全访问控制的challenge
  </pre>
</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

367
#### HuksHdiUpdate
scrawman's avatar
scrawman 已提交
368 369 370 371 372 373 374 375 376 377 378 379

**接口描述**

三段式中的Update接口。

**接口原型**
<pre><code>int32_t HuksHdiUpdate(const struct HksBlob *handle, const struct HksParamSet *paramSet, const struct HksBlob *inData, struct HksBlob *outData);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *handle</strong>
380
  三段式的句柄
scrawman's avatar
scrawman 已提交
381 382
  <br></br>
  <strong> const struct HksParamSet *paramSet</strong>
383
  Update操作的参数
scrawman's avatar
scrawman 已提交
384 385
  <br></br>
  <strong> const struct HksBlob *inData</strong>
386
  Update操作的输入
scrawman's avatar
scrawman 已提交
387 388
  <br></br>
  <strong> struct HksBlob *outData</strong>
389
  Update操作的结果
scrawman's avatar
scrawman 已提交
390 391 392 393 394 395 396
  </pre>
</details>
<br></br>

<details>
  <summary><strong>约束与限制</strong></summary>

397
  1. 在进行签名验签时inData要传入原文数据。
scrawman's avatar
scrawman 已提交
398 399 400 401 402 403 404 405 406 407 408 409 410 411

</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

412
#### HuksHdiFinish
scrawman's avatar
scrawman 已提交
413 414 415 416 417 418 419 420 421 422 423 424

**接口描述**

三段式中的Finish接口。

**接口原型**
<pre><code>int32_t HuksHdiFinish(const struct HksBlob *handle, const struct HksParamSet *paramSet, const struct HksBlob *inData, struct HksBlob *outData);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *handle</strong>
425
  三段式的句柄
scrawman's avatar
scrawman 已提交
426
  <br></br>
427
  <strong>const struct HksParamSet *paramSet</strong>
428
  Finish操作的参数
scrawman's avatar
scrawman 已提交
429
  <br></br>
430
  <strong>const struct HksBlob *inData</strong>
431
  Finish操作的输入
scrawman's avatar
scrawman 已提交
432
  <br></br>
433
  <strong>struct HksBlob *outData</strong>
434
  Finish操作的结果
scrawman's avatar
scrawman 已提交
435 436 437 438 439 440 441
  </pre>
</details>
<br></br>

<details>
  <summary><strong>约束与限制</strong></summary>

442
  1. 在进行签名验签时inData要传入需要验证的签名数据,通过返回结果表示验签是否成功。
scrawman's avatar
scrawman 已提交
443 444 445 446 447 448 449 450 451 452 453 454 455 456

</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

457
#### HuksHdiAbort
scrawman's avatar
scrawman 已提交
458 459 460

**接口描述**

461
终止三段式。当Init,Update和Finish操作中的任一阶段发生错误时,都要调用abort来终止密钥的使用。
scrawman's avatar
scrawman 已提交
462 463 464 465 466 467 468 469

**接口原型**
<pre><code>int32_t HuksHdiAbort(const struct HksBlob *handle, const struct HksParamSet *paramSet);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *handle</strong>
470
  三段式的句柄
scrawman's avatar
scrawman 已提交
471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487
  <br></br>
  <strong>const struct HksParamSet *paramSet</strong>
  Abort操作的参数
  </pre>
</details>
<br></br>

<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

488
#### HuksHdiGetKeyProperties
scrawman's avatar
scrawman 已提交
489 490 491 492 493 494 495 496 497 498 499 500 501 502 503 504 505 506 507 508

**接口描述**

获取密钥属性。

**接口原型**
<pre><code>int32_t HuksHdiGetKeyProperties(const struct HksParamSet *paramSet, const struct HksBlob *key);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksParamSet *paramSet</strong>
  空对象
  <br></br>
  <strong>const struct HksBlob *key</strong>
  要获取属性的密钥
  </pre>
</details>
<br></br>

509 510 511 512 513 514 515 516 517 518
<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

519
#### HuksHdiAttestKey
520 521 522 523 524 525 526 527 528 529 530 531 532 533 534 535 536 537 538 539 540 541 542 543 544 545

**接口描述**

获取密钥证书。

**接口原型**
<pre><code>int32_t (*HuksHdiAttestKey)(const struct HksBlob *key, const struct HksParamSet *paramSet, struct HksBlob *certChain);</code></pre>

<details>
  <summary><strong>参数说明</strong></summary>
  <pre>
  <strong>const struct HksBlob *key</strong>
  要获取证书的密钥
  <br></br>
  <strong>const struct HksParamSet *paramSet</strong>
  获取证书操作的参数
  <br></br>
  <strong>struct HksBlob *certChain</strong>
  出参,存放证书
  </pre>
</details>
<br></br>

<details>
  <summary><strong>约束与限制</strong></summary>

546
  1. certChain的格式需遵循[约束与限制第二点](#约束与限制)
547 548 549 550

</details>
<br></br>

scrawman's avatar
scrawman 已提交
551 552 553 554 555 556 557 558 559 560 561 562
<details>
  <summary><strong>返回值</strong></summary>

  - HKS_SUCCESS:成功

  - 其他:失败
</details>

- - -

### 开发步骤

563
Hdi接口到HUKS Core的适配在以下目录中:
scrawman's avatar
scrawman 已提交
564 565 566 567 568

```undefined
// base/security/user_auth/services/huks_standard/huks_engine/main
├── BUILD.gn # 编译脚本
├── core_dependency # 实现依赖
569
└── core # HUKS Core层的软实现
scrawman's avatar
scrawman 已提交
570 571 572
    ├── BUILD.gn # 编译脚本
    ├── include 
    └── src
573
        ├── hks_core_interfaces.c # Hdi到HUKS Core的适配层
scrawman's avatar
scrawman 已提交
574 575 576 577
        └── hks_core_service.c # 具体实现
        └── ... #其他功能代码
```

578
关于HUKS Core接口的具体实现,开发者必须采用三段式。以下是三段式的开发步骤以及HUKS CORE已经实现的示例:
579 580

详细代码可以参考[hks_core_service.c](https://gitee.com/openharmony/security_huks/blob/master/services/huks_standard/huks_engine/main/core/src/hks_core_service.c)文件。
scrawman's avatar
scrawman 已提交
581

582
1. 创建一个句柄,通过这个句柄在session中存储密钥操作相关的信息,使得外部可以通过这个句柄分多次进行同一密钥操作。
583

584
```c
scrawman's avatar
scrawman 已提交
585

586
//三段式Init接口
scrawman's avatar
scrawman 已提交
587

588 589 590 591
int32_t HksCoreInit(const struct  HksBlob *key, const struct HksParamSet *paramSet, struct HksBlob *handle,
    struct HksBlob *token)
{
    HKS_LOG_D("HksCoreInit in Core start");
592 593 594 595 596 597 598 599 600 601 602 603 604 605 606 607 608 609 610 611 612 613 614 615 616 617 618 619 620 621 622 623 624 625 626 627 628 629 630 631 632 633 634 635
uint32_t pur = 0;
uint32_t alg = 0;
//检查参数
if (key == NULL || paramSet == NULL || handle == NULL || token == NULL) {
    HKS_LOG_E("the pointer param entered is invalid");
    return HKS_FAILURE;
}

if (handle->size < sizeof(uint64_t)) {
    HKS_LOG_E("handle size is too small, size : %u", handle->size);
    return HKS_ERROR_INSUFFICIENT_MEMORY;
}
//解密密钥文件
struct HuksKeyNode *keyNode = HksCreateKeyNode(key, paramSet);
if (keyNode == NULL || handle == NULL) {
    HKS_LOG_E("the pointer param entered is invalid");
    return HKS_ERROR_BAD_STATE;
}
//通过handle向session中存储信息,供Update/Finish使用。使得外部可以通过同个handle分多次进行同一密钥操作。
handle->size = sizeof(uint64_t);
(void)memcpy_s(handle->data, handle->size, &(keyNode->handle), handle->size);
//从参数中提取出算法
int32_t ret = GetPurposeAndAlgorithm(paramSet, &pur, &alg);
if (ret != HKS_SUCCESS) {
    HksDeleteKeyNode(keyNode->handle);
    return ret;
}
//检查密钥参数
ret = HksCoreSecureAccessInitParams(keyNode, paramSet, token);
if (ret != HKS_SUCCESS) {
    HKS_LOG_E("init secure access params failed");
    HksDeleteKeyNode(keyNode->handle);
    return ret;
}
//通过密钥使用目的获取对应的算法库处理函数  
uint32_t i;
uint32_t size = HKS_ARRAY_SIZE(g_hksCoreInitHandler);
for (i = 0; i < size; i++) {
   if (g_hksCoreInitHandler[i].pur == pur) {
       HKS_LOG_E("Core HksCoreInit [pur] = %d, pur = %d", g_hksCoreInitHandler[i].pur, pur);
       ret = g_hksCoreInitHandler[i].handler(keyNode, paramSet, alg);
       break;
   }
}
636
//异常结果检查
637 638 639 640 641
if (ret != HKS_SUCCESS) {
    HksDeleteKeyNode(keyNode->handle);
    HKS_LOG_E("CoreInit failed, ret : %d", ret);
    return ret;
}
642

643 644 645 646 647
if (i == size) {
    HksDeleteKeyNode(keyNode->handle);
    HKS_LOG_E("don't found purpose, pur : %u", pur);
    return HKS_FAILURE;
}
648

649 650
HKS_LOG_D("HksCoreInit in Core end");
return ret;
651
}
652

653 654
2. 在执行密钥操作前通过句柄获得上下文信息,执行密钥操作时放入分片数据并取回密钥操作结果或者追加数据。
   
655
```c
656
//三段式Update接口
657
int32_t HksCoreUpdate(const struct HksBlob *handle, const struct HksParamSet *paramSet, const struct HksBlob *inData,
658
    struct HksBlob *outData)
659
{
660 661 662 663 664 665 666 667 668 669 670 671 672 673 674 675 676 677 678 679 680 681 682 683 684 685 686 687 688 689 690 691 692
HKS_LOG_D("HksCoreUpdate in Core start");
uint32_t pur = 0;
uint32_t alg = 0;
//检查参数
if (handle == NULL || paramSet == NULL || inData == NULL) {
    HKS_LOG_E("the pointer param entered is invalid");
    return HKS_FAILURE;
}

uint64_t sessionId;
struct HuksKeyNode *keyNode = NULL;
//根据handle获取本次三段式操作需要的上下文
int32_t ret = GetParamsForUpdateAndFinish(handle, &sessionId, &keyNode, &pur, &alg);
if (ret != HKS_SUCCESS) {
    HKS_LOG_E("GetParamsForCoreUpdate failed");
    return ret;
}
//校验密钥参数
ret = HksCoreSecureAccessVerifyParams(keyNode, paramSet);
if (ret != HKS_SUCCESS) {
    HksDeleteKeyNode(sessionId);
    HKS_LOG_E("HksCoreUpdate secure access verify failed");
    return ret;
}
//调用对应的算法库密钥处理函数
uint32_t i;
uint32_t size = HKS_ARRAY_SIZE(g_hksCoreUpdateHandler);
for (i = 0; i < size; i++) {
    if (g_hksCoreUpdateHandler[i].pur == pur) {
        struct HksBlob appendInData = { 0, NULL };
        ret = HksCoreAppendAuthInfoBeforeUpdate(keyNode, pur, paramSet, inData, &appendInData);
        if (ret != HKS_SUCCESS) {
            HKS_LOG_E("before update: append auth info failed");
693
            break;
694
        }
695 696 697 698 699 700
        ret = g_hksCoreUpdateHandler[i].handler(keyNode, paramSet,
             appendInData.data == NULL ? inData : &appendInData, outData, alg);
        if (appendInData.data != NULL) {
            HKS_FREE_BLOB(appendInData);
        }
        break;
701
    }
702
}
703
//异常结果检查
704 705 706
if (ret != HKS_SUCCESS) {
    HksDeleteKeyNode(keyNode->handle);
    HKS_LOG_E("CoreUpdate failed, ret : %d", ret);
707
    return ret;
708 709 710 711 712 713 714 715
}

if (i == size) {
    HksDeleteKeyNode(sessionId);
    HKS_LOG_E("don't found purpose, pur : %u", pur);
    return HKS_FAILURE;
}
return ret;
716
}
717 718
```

719
3. 结束密钥操作并取回结果,销毁句柄。
720

721 722
   ```c
//三段式Finish接口
723
int32_t HksCoreFinish(const struct HksBlob *handle, const struct HksParamSet *paramSet, const struct HksBlob *inData,
724
    struct HksBlob *outData)
725
{
726 727 728 729 730 731 732 733 734 735 736 737 738 739 740 741 742 743 744 745 746 747 748 749 750 751 752 753 754 755 756 757 758 759
HKS_LOG_D("HksCoreFinish in Core start");
uint32_t pur = 0;
uint32_t alg = 0;
//检查参数
if (handle == NULL || paramSet == NULL || inData == NULL) {
    HKS_LOG_E("the pointer param entered is invalid");
    return HKS_FAILURE;
}

uint64_t sessionId;
struct HuksKeyNode *keyNode = NULL;
//根据handle获取本次三段式操作需要的上下文
int32_t ret = GetParamsForUpdateAndFinish(handle, &sessionId, &keyNode, &pur, &alg);
if (ret != HKS_SUCCESS) {
    HKS_LOG_E("GetParamsForCoreUpdate failed");
    return ret;
}
//校验密钥参数
ret = HksCoreSecureAccessVerifyParams(keyNode, paramSet);
if (ret != HKS_SUCCESS) {
    HksDeleteKeyNode(sessionId);
    HKS_LOG_E("HksCoreFinish secure access verify failed");
    return ret;
}
//调用对应的算法库密钥处理函数
uint32_t i;
uint32_t size = HKS_ARRAY_SIZE(g_hksCoreFinishHandler);
for (i = 0; i < size; i++) {
    if (g_hksCoreFinishHandler[i].pur == pur) {
        uint32_t outDataBufferSize = (outData == NULL) ? 0 : outData->size;
        struct HksBlob appendInData = { 0, NULL };
        ret = HksCoreAppendAuthInfoBeforeFinish(keyNode, pur, paramSet, inData, &appendInData);
        if (ret != HKS_SUCCESS) {
            HKS_LOG_E("before finish: append auth info failed");
760
            break;
761
        }
762 763 764 765 766 767 768 769 770 771 772
        ret = g_hksCoreFinishHandler[i].handler(keyNode, paramSet,
            appendInData.data == NULL ? inData : &appendInData, outData, alg);
        if (appendInData.data != NULL) {
            HKS_FREE_BLOB(appendInData);
       }
       if (ret != HKS_SUCCESS) {
            break;
       }
        //添加密钥操作结束标签
        ret = HksCoreAppendAuthInfoAfterFinish(keyNode, pur, paramSet, outDataBufferSize, outData);
        break;
773
    }
774 775 776 777 778 779 780 781 782
}
if (i == size) {
    HKS_LOG_E("don't found purpose, pur : %d", pur);
    ret = HKS_FAILURE;
}
//删除对应的session
HksDeleteKeyNode(sessionId);
HKS_LOG_D("HksCoreFinish in Core end");
return ret;
783 784
}
   ```
scrawman's avatar
scrawman 已提交
785 786 787

### 调测验证

788 789
开发完成后,通过[HUKS JS接口](https://gitee.com/openharmony/security_huks/blob/master/interfaces/kits/js/@ohos.security.huks.d.ts)开发JS应用来验证能力是否完备。

790
对于每个Hdi接口,[接口说明](#接口说明)都提供了对应的JS接口。可以通过调用JS接口组合来验证对应的Hdi接口的能力,也可以通过完整的密钥操作来验证接口的能力。
791

792
JS测试代码示例如下,如果整个流程能够正常运行,代表能力正常。更多的密钥操作类型请见[huks-guidelines.md](https://gitee.com/openharmony/docs/blob/master/zh-cn/application-dev/security/huks-guidelines.md)。
scrawman's avatar
scrawman 已提交
793

794 795
**AES生成密钥和加密**

796
1. 引入HUKS模块,设定密钥操作的参数
scrawman's avatar
scrawman 已提交
797 798

```js
799 800
import huks from '@ohos.security.huks';

801 802 803 804 805 806 807 808 809 810 811 812 813 814 815 816 817 818 819 820 821 822 823 824 825 826 827 828 829
let handle;
let IV = '0000000000000000';
let cipherInData = 'Hks_AES_Cipher_Test_101010101010101010110_string';
let srcKeyAlias = 'huksCipherAesSrcKeyAlias';
let encryptUpdateResult = new Array()
let decryptUpdateResult = new Array()
let properties = new Array();
properties[0] = {
    tag: huks.HuksTag.HUKS_TAG_ALGORITHM,
    value: huks.HuksKeyAlg.HUKS_ALG_AES,
}
properties[1] = {
    tag: huks.HuksTag.HUKS_TAG_PURPOSE,
    value:
    huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_ENCRYPT |
    huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_DECRYPT,
}
properties[2] = {
    tag: huks.HuksTag.HUKS_TAG_KEY_SIZE,
    value: huks.HuksKeySize.HUKS_AES_KEY_SIZE_128,
}
properties[3] = {
    tag: huks.HuksTag.HUKS_TAG_BLOCK_MODE,
    value: huks.HuksCipherMode.HUKS_MODE_CBC,
}
properties[4] = {
    tag: huks.HuksTag.HUKS_TAG_PADDING,
    value: huks.HuksKeyPadding.HUKS_PADDING_NONE,
}
scrawman's avatar
scrawman 已提交
830

831 832 833 834
let HuksOptions = {
    properties: properties,
    inData: new Uint8Array(new Array())
}
835 836 837
```

2. 生成密钥并执行加密操作
scrawman's avatar
scrawman 已提交
838

839
```js
840 841 842 843 844 845 846 847 848 849 850 851 852 853 854 855 856 857 858 859 860 861 862 863 864 865 866 867 868 869 870 871 872 873 874 875 876 877 878 879
/* 生成密钥 */
await huks.generateKey(srcKeyAlias, HuksOptions).then((data) => {
    console.log(`test generateKey data: ${JSON.stringify(data)}`);
}).catch((err) => {
    console.log('test generateKey err information: ' + JSON.stringify(err));
});
/* 构造加密参数 */
let propertiesEncrypt = new Array();
propertiesEncrypt[0] = {
    tag: huks.HuksTag.HUKS_TAG_ALGORITHM,
    value: huks.HuksKeyAlg.HUKS_ALG_AES,
}
propertiesEncrypt[1] = {
    tag: huks.HuksTag.HUKS_TAG_PURPOSE,
    value: huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_ENCRYPT,
}
propertiesEncrypt[2] = {
    tag: huks.HuksTag.HUKS_TAG_KEY_SIZE,
    value: huks.HuksKeySize.HUKS_AES_KEY_SIZE_128,
}
propertiesEncrypt[3] = {
    tag: huks.HuksTag.HUKS_TAG_PADDING,
    value: huks.HuksKeyPadding.HUKS_PADDING_NONE,
}
propertiesEncrypt[4] = {
    tag: huks.HuksTag.HUKS_TAG_BLOCK_MODE,
    value: huks.HuksCipherMode.HUKS_MODE_CBC,
}
propertiesEncrypt[5] = {
    tag: huks.HuksTag.HUKS_TAG_DIGEST,
    value: huks.HuksKeyDigest.HUKS_DIGEST_NONE,
}
propertiesEncrypt[6] = {
    tag: huks.HuksTag.HUKS_TAG_IV,
    value: this.stringToUint8Array(IV)
}
let encryptOptions = {
    properties: propertiesEncrypt,
    inData: new Uint8Array(new Array())
}
880

881 882 883 884 885 886 887 888 889 890 891 892 893 894 895 896 897 898 899 900 901 902 903 904 905 906
/* 进行密钥加密操作 */
await huks.init(srcKeyAlias, encryptOptions).then((data) => {
    console.log(`test init data: ${JSON.stringify(data)}`);
    handle = data.handle;
}).catch((err) => {
    console.log('test init err information: ' + JSON.stringify(err));
});
encryptOptions.inData = this.stringToUint8Array(cipherInData)
await huks.update(handle, encryptOptions).then(async (data) => {
    console.log(`test update data ${JSON.stringify(data)}`);
    encryptUpdateResult = Array.from(data.outData);
}).catch((err) => {
    console.log('test update err information: ' + err);
});
encryptOptions.inData = new Uint8Array(new Array());
await huks.finish(handle, encryptOptions).then((data) => {
    console.log(`test finish data: ${JSON.stringify(data)}`);
    let finishData = this.uint8ArrayToString(new Uint8Array(encryptUpdateResult));
    if (finishData === cipherInData) {
       console.log('test finish encrypt err ');
    } else {
       console.log('test finish encrypt success');
    }
    }).catch((err) => {
    console.log('test finish err information: ' + JSON.stringify(err));
});
907
```
908 909

3. 执行解密操作并删除密钥
910

911
```js
912 913 914 915 916 917 918 919 920
/* 修改加密参数集为解密参数集 */
propertiesEncrypt.splice(1, 1, {
    tag: huks.HuksTag.HUKS_TAG_PURPOSE,
    value: huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_DECRYPT,
});
let decryptOptions = {
    properties: propertiesEncrypt,
    inData: new Uint8Array(new Array())
}
921
        
922 923 924 925 926 927 928 929 930 931 932 933 934 935 936 937 938 939 940 941 942 943 944 945 946 947 948 949 950 951 952 953 954 955 956 957 958 959 960 961 962 963 964 965 966
/* 进行解密操作 */
await huks.init(srcKeyAlias, decryptOptions).then((data) => {
    console.log(`test init data: ${JSON.stringify(data)}`);
    handle = data.handle;
}).catch((err) => {
    console.log('test init err information: ' + JSON.stringify(err));
});

decryptOptions.inData = new Uint8Array(encryptUpdateResult);
await huks.update(handle, decryptOptions).then(async (data) => {
    console.log(`test update data ${JSON.stringify(data)}`);
    decryptUpdateResult = Array.from(data.outData);
}).catch((err) => {
    console.log('test update err information: ' + err);
});
decryptOptions.inData = new Uint8Array(new Array());
await huks.finish(handle, decryptOptions).then((data) => {
    console.log(`test finish data: ${JSON.stringify(data)}`);
    let finishData = this.uint8ArrayToString(new Uint8Array(decryptUpdateResult));
    if (finishData === cipherInData) {
       console.log('test finish decrypt success ');
    } else {
       console.log('test finish decrypt err');
    }
}).catch((err) => {
    console.log('test finish err information: ' + JSON.stringify(err));
});
//删除密钥
await huks.deleteKey(srcKeyAlias, HuksOptions).then((data) => {
    console.log(`test deleteKey data: ${JSON.stringify(data)}`);
}).catch((err) => {
    console.log('test deleteKey err information: ' + JSON.stringify(err));
    });
},
stringToUint8Array(str) {
   var arr = [];
   for (var i = 0, j = str.length; i < j; ++i) {
      arr.push(str.charCodeAt(i));
   }
   return new Uint8Array(arr);
},
uint8ArrayToString(fileData) {
    var dataString = '';
    for (var i = 0; i < fileData.length; i++) {
        dataString += String.fromCharCode(fileData[i]);
scrawman's avatar
scrawman 已提交
967
    }
968
    return dataString;
scrawman's avatar
scrawman 已提交
969
}
970
```