密鑰證明介紹及算法規(guī)格

HUKS為密鑰提供合法性證明能力，主要應(yīng)用于非對稱密鑰的公鑰的證明。

基于PKI證書鏈技術(shù)，HUKS可以為存儲在HUKS中的非對稱密鑰對的公鑰簽發(fā)證書，證明其公鑰的合法性。業(yè)務(wù)可以通過系統(tǒng)提供的根CA證書，逐級驗證HUKS簽發(fā)的密鑰證明證書，來確保證書中的公鑰以及對應(yīng)的私鑰，確實來自合法的硬件設(shè)備，且存儲管理在HUKS中。同時，輸出的密鑰證書中包含密鑰屬主信息，格式如下：

說明： 當調(diào)用方為系統(tǒng)服務(wù)且APL等級為normal時，暫不支持密鑰證明，此種情況下，processName與APL字段將置空。 開發(fā)前請熟悉鴻蒙開發(fā)指導文檔 ：[复制gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md]

密鑰證明過程如下：

1. 業(yè)務(wù)將指定密鑰別名和需要證明的密鑰屬性的標簽傳入HUKS。
2. 調(diào)用HUKS為應(yīng)用生成一個依次由根CA證書、設(shè)備CA證書、設(shè)備證書、密鑰證書組成的X.509證書鏈。
3. 將證書鏈傳輸至受信任的服務(wù)器，并在服務(wù)器上解析和驗證證書鏈的有效性和單個證書是否吊銷。

當前提供了兩種密鑰證明方式。

• 匿名密鑰證明：不會泄露設(shè)備信息，沒有權(quán)限管理。面向所有應(yīng)用開放。為了保護用戶設(shè)備信息，三方應(yīng)用開發(fā)者只能使用匿名密鑰證明。
• 非匿名密鑰證明：可以看到調(diào)用方設(shè)備信息，有權(quán)限管控，需申請"ohos.permission.ATTEST_KEY"權(quán)限。

支持的算法

以下為密鑰證明支持的規(guī)格說明。

面向OpenHarmony的廠商適配密鑰管理服務(wù)規(guī)格分為必選規(guī)格和可選規(guī)格。必選規(guī)格為所有廠商均支持的算法規(guī)格。而對于可選規(guī)格，廠商將基于實際情況決定是否實現(xiàn)，如需使用，請查閱具體廠商提供的說明，確保規(guī)格支持再使用。

建議開發(fā)者使用必選規(guī)格開發(fā)應(yīng)用，可保證全平臺兼容。

審核編輯 黃宇