update huks js doc

Signed-off-by: N zengbenchong <zengbenchong@huawei.com>

update huks js doc
Signed-off-by: N zengbenchong <zengbenchong@huawei.com>
098844f7 · z00620704 · 4ff492f1 · 098844f7 · 098844f7 · 098844f7
3 changed file
--- a/zh-cn/application-dev/reference/apis/js-apis-huks.md
+++ b/zh-cn/application-dev/reference/apis/js-apis-huks.md
@@ -1773,10 +1773,12 @@ async function huksAbort() {

 **系统能力**：SystemCapability.Security.Huks

-| 名称                    | 值   | 说明                           |
-| ----------------------- | ---- | ------------------------------ |
-| HUKS_STORAGE_TEMP       | 0    | 表示通过本地直接管理密钥。     |
-| HUKS_STORAGE_PERSISTENT | 1    | 表示通过HUKS service管理密钥。 |
+| 名称                                          | 值   | 说明                           |
+| --------------------------------------------  | ---- | ------------------------------ |
+| HUKS_STORAGE_TEMP                             | 0    | 表示通过本地直接管理密钥。     |
+| HUKS_STORAGE_PERSISTENT                       | 1    | 表示通过HUKS service管理密钥。 |
+| HUKS_STORAGE_ONLY_USED_IN_HUKS<sup>10+</sup>  | 2    | 表示密钥只存储在huks中。       |
+| HUKS_STORAGE_KEY_EXPORT_ALLOWED<sup>10+</sup> | 3    | 表示密钥从huks中导出，不存储。 |

 ## HuksSendType

@@ -1812,6 +1814,17 @@ async function huksAbort() {
 | HUKS_KEY_TYPE_PRIVATE_KEY | 1    | 表示导入的密钥类型为私钥。     |
 | HUKS_KEY_TYPE_KEY_PAIR    | 2    | 表示导入的密钥类型为公私钥对。 |

+## HuksRsaPssSaltLenType<sup>10+</sup>
+
+表示Rsa在签名验签、padding为pss时需指定的salt_len类型。
+
+**系统能力**：SystemCapability.Security.Huks
+
+| 名称                                       | 值   | 说明                         |
+| ------------------------------------------ | ---- | ---------------------------- |
+| HUKS_RSA_PSS_SALT_LEN_DIGEST<sup>10+</sup> | 0    | 表示以摘要长度设置salt_len。 |
+| HUKS_RSA_PSS_SALT_LEN_MAX<sup>10+</sup>    | 1    | 表示以最大长度设置salt_len。 |
+
 ## HuksUserAuthType<sup>9+</sup>

 表示用户认证类型。
@@ -1920,6 +1933,8 @@ async function huksAbort() {
 | HUKS_TAG_DERIVE_KEY_SIZE                     | HuksTagType.HUKS_TAG_TYPE_UINT \| 24     | 表示派生密钥的大小。                   |
 | HUKS_TAG_IMPORT_KEY_TYPE<sup>9+</sup>        | HuksTagType.HUKS_TAG_TYPE_UINT \| 25     | 表示导入的密钥类型。                     |
 | HUKS_TAG_UNWRAP_ALGORITHM_SUITE<sup>9+</sup> | HuksTagType.HUKS_TAG_TYPE_UINT \| 26     | 表示导入加密密钥的套件。                 |
+| HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG<sup>10+</sup> | HuksTagType.HUKS_TAG_TYPE_UINT \|29 | 表示派生密钥/协商密钥的存储类型。 |
+| HUKS_TAG_RSA_PSS_SALT_LEN_TYPE<sup>10+</sup> | HuksTagType.HUKS_TAG_TYPE_UINT \|30 | 表示rsa_pss_salt_length的类型。 |
 | HUKS_TAG_ACTIVE_DATETIME<sup>(deprecated)</sup>                 | HuksTagType.HUKS_TAG_TYPE_ULONG \| 201   | 原为证书业务预留字段，当前证书管理已独立，此字段废弃，不再预留。                                 |
 | HUKS_TAG_ORIGINATION_EXPIRE_DATETIME<sup>(deprecated)</sup>         | HuksTagType.HUKS_TAG_TYPE_ULONG \| 202   | 原为证书业务预留字段，当前证书管理已独立，此字段废弃，不再预留。                                 |
 | HUKS_TAG_USAGE_EXPIRE_DATETIME<sup>(deprecated)</sup>               | HuksTagType.HUKS_TAG_TYPE_ULONG \| 203   | 原为证书业务预留字段，当前证书管理已独立，此字段废弃，不再预留。                                 |
@@ -1934,6 +1949,7 @@ async function huksAbort() {
 | HUKS_TAG_KEY_SECURE_SIGN_TYPE<sup>9+</sup> | HuksTagType.HUKS_TAG_TYPE_UINT \| 308 | 表示生成或导入密钥时，指定该密钥的签名类型。 |
 | HUKS_TAG_CHALLENGE_TYPE<sup>9+</sup> | HuksTagType.HUKS_TAG_TYPE_UINT \| 309 | 表示密钥使用时生成的challenge类型。从[HuksChallengeType](#hukschallengetype9)中选择 |
 | HUKS_TAG_CHALLENGE_POS<sup>9+</sup> | HuksTagType.HUKS_TAG_TYPE_UINT \| 310 | 表示challenge类型为用户自定义类型时，huks产生的challenge有效长度仅为8字节连续的数据。从[HuksChallengePosition](#hukschallengeposition9)中选择。 |
+| HUKS_TAG_KEY_AUTH_PURPOSE<sup>10+</sup> | HuksTagType.HUKS_TAG_TYPE_UINT \|311 | 表示密钥认证用途的tag |
 | HUKS_TAG_ATTESTATION_CHALLENGE               | HuksTagType.HUKS_TAG_TYPE_BYTES \| 501   | 表示attestation时的挑战值。            |
 | HUKS_TAG_ATTESTATION_APPLICATION_ID          | HuksTagType.HUKS_TAG_TYPE_BYTES \| 502   | 表示attestation时拥有该密钥的application的Id。    |
 | HUKS_TAG_ATTESTATION_ID_BRAND                | HuksTagType.HUKS_TAG_TYPE_BYTES \| 503   | 表示设备的品牌。                      |

--- a/zh-cn/application-dev/security/huks-guidelines.md
+++ b/zh-cn/application-dev/security/huks-guidelines.md
--- a/zh-cn/release-notes/changelogs/OpenHarmony_4.0.7.1/changelog-huks.md
+++ b/zh-cn/release-notes/changelogs/OpenHarmony_4.0.7.1/changelog-huks.md
+# HUKS子系统ChangeLog
+
+## cl.huks.1 HUKS支持可选设置rsa_pss_salt_length类型
+
+变更之前，应用在签名/验签时，HUKS默认使用RSA_PSS_SALT_LEN_MAX进行处理；
+
+变更之后，应用在签名/验签需传入HuksRsaPssSaltLenType中定义的类型。若不传入，则默认使用RSA_PSS_SALT_LEN_MAX进行处理。
+
+**变更影响**
+
+影响已发布的JS接口，接口行为发生变更。
+
+**关键的接口/组件变更**
+
+发布的JS接口不变， 传入接口的参数集合发生变更。
+
+**适配指导**
+
+以RSA签名为例，示例代码如下：
+
+```js
+import huks from '@ohos.security.huks';
+
+let keyAlias = 'rsa_Key';
+let inData = new Uint8Array(
+    0x4B, 0x1E, 0x22, 0x64, 0xA9, 0x89, 0x60, 0x1D, 0xEC, 0x78, 0xC0, 0x5D, 0xBE, 0x46, 0xAD, 0xCF,
+    0x1C, 0x35, 0x16, 0x11, 0x34, 0x01, 0x4E, 0x9B, 0x7C, 0x00, 0x66, 0x0E, 0xCA, 0x09, 0xC0, 0xF3,
+);
+/* 签名参数 */
+let signProperties = new Array();
+signProperties[0] = {
+    tag: huks.HuksTag.HUKS_TAG_ALGORITHM,
+    value: huks.HuksKeyAlg.HUKS_ALG_RSA,
+}
+signProperties[1] = {
+    tag: huks.HuksTag.HUKS_TAG_PURPOSE,
+    value:
+    huks.HuksKeyPurpose.HUKS_KEY_PURPOSE_SIGN
+}
+signProperties[2] = {
+    tag: huks.HuksTag.HUKS_TAG_KEY_SIZE,
+    value: huks.HuksKeySize.HUKS_RSA_KEY_SIZE_2048,
+}
+signProperties[3] = {
+    tag: huks.HuksTag.HUKS_TAG_PADDING,
+    value: huks.HuksKeyPadding.HUKS_PADDING_PSS,
+}
+signProperties[4] = {
+    tag: huks.HuksTag.HUKS_TAG_DIGEST,
+    value: huks.HuksKeyDigest.HUKS_DIGEST_SHA1,
+}
+signProperties[5] = {
+    tag: huks.HuksTag.HUKS_TAG_RSA_PSS_SALT_LEN_TYPE,
+    value: huks.HuksRsaPssSaltLenType.HUKS_RSA_PSS_SALT_LEN_MAX,
+}
+let signOptions = {
+    properties: signProperties,
+    inData: inData
+}
+
+huks.initSession(keyAlias, signOptions);
+```
+
+更多接口的示例代码可参考[HUKS-guidelines](../../../application-dev/security/huks-guidelines.md)和[HUKS API](../../../application-dev/reference/apis/js-apis-huks.md)。
+
+## cl.huks.2 HUKS解决派生密钥/协商密钥的存储/导出问题
+
+变更之前，派生密钥/协商密钥既支持存储，又支持导出，存在安全风险；
+
+变更之后，应用在派生密钥/协商密钥时需传入HuksKeyStorageType中定义的类型。应用只能选择存储，或者选择导出。若不传入，则默认同时支持存储和导出，存在安全问题，不推荐业务使用。
+
+**变更影响**
+
+影响已发布的JS接口，接口行为发生变更。
+
+**关键的接口/组件变更**
+
+发布的JS接口不变， 传入接口的参数集合发生变更。
+
+**适配指导**
+
+接口使用的示例代码可参考[HUKS-guidelines](../../../application-dev/security/huks-guidelines.md)和[HUKS API](../../../application-dev/reference/apis/js-apis-huks.md)。
+
+## cl.huks.3 新增用于细粒度用户身份访问控制的Tag
+
+新增用于细粒度用户身份访问控制的HuksTag: HUKS_TAG_KEY_AUTH_PURPOSE，业务可在原有用户身份访问控制能力上，选择某种特定算法用途下需要用户身份访问控制能力。
+
+**变更影响**
+
+新增的HuksTag，不影响已有的接口。
+
+**关键的接口/组件变更**
+
+只新增了HuksTag: HUKS_TAG_KEY_AUTH_PURPOSE, 用于支持细粒度用户身份访问控制。
+
+**适配指导**
+
+接口使用的示例代码可参考[密钥访问控制_细粒度用户身份认证访问控制](https://gitee.com/openharmony/docs/blob/master/zh-cn/application-dev/security/huks-guidelines.md#%E5%AF%86%E9%92%A5%E8%AE%BF%E9%97%AE%E6%8E%A7%E5%88%B6)，接口定义参考[HuksTag](https://gitee.com/openharmony/docs/blob/master/zh-cn/application-dev/reference/apis/js-apis-huks.md#hukstag)。
\ No newline at end of file