OpenHarmony中HUKS组件基本介绍

最新推荐文章于 2025-01-16 14:12:51 发布
最新推荐文章于 2025-01-16 14:12:51 发布
阅读量4.6k 收藏 10
点赞数
CC 4.0 BY-SA版权
分类专栏: OpenHarmony 文章标签: 安全 华为 harmonyos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HORHEART/article/details/119717996
OpenHarmony的HUKS组件提供密钥管理及密码学操作,分为SDK、Service和Engine三层,确保密钥安全。HUKS在L2设备上运行于安全环境。安全子系统包括应用完整性保护、权限管理、设备认证和密钥管理等,其中设备认证模块负责可信设备间的关系管理。security_huks关注HUKS的框架、接口和实现,而security_deviceauth涉及设备认证的全生命周期管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

OpenHarmony中HUKS组件基本介绍

HUKS简介

HUKS(Harmony Universal KeyStore,鸿蒙通用密钥库系统)向应用提供密钥库能力,包括密钥管理及密钥的密码学操作等功能。HUKS所管理的密钥可以由应用导入或者由应用调用HUKS接口生成。
HUKS是通用密钥管理服务,向应用提供KeyStore及Crypto接口API,包括密钥管理及加解密等功能。

HUKS分层

  • HUKS SDK层
    HUKS SDK层能提供HUKS API供应用调用。
  • HUKS Service层
    HUKS Service层能实现HUKS密钥管理、存储等功能。
  • HUKS Engine层
    HUKS Engine层是HUKS核心模块,负责密钥生成以及加解密等工作。对于L2设备,该部分模块在商用场景下必须在安全环境下运行,包括TEE或者具备安全能力的芯片等。由于安全环境需要特定硬件支持,因此在开源代码中为模拟实现。

HUKS框架

base/security
├── huks
│   ├── frameworks
│   │   └── huks_lite  HUKS代码实现
│   └── interfaces
│       └── innerkits
│           └── huks_lite  HUKS提供接口

相关仓

  • 1.安全子系统

    • 简介
      安全子系统包括系统安全、数据安全、应用安全等功能,为OpenHarmony提供有效保护应用和用户数据的能力。
      安全子系统当前开源的功能,包括应用完整性保护、应用权限管理、设备认证、密钥管理服务、数据分级保护。

    • 子系统框架

      /base/security
├── appverify                       # 应用完整性校验
├── dataclassification              # 数据分级保护
├── device_auth                     # 设备认证
├── huks                            # HUKS密钥管理
└── permission                      # 权限管理

    • 子系统架构
      安全子系统架构图 对外API:安全子系统的对外API,部分API只针对系统应用开放;
      应用权限管理:为程序框架子系统提供权限管理功能,并且为上层应用提供权限申请和授权状态查询接口;
      应用完整性校验:提供对应用完整性校验的能力,为应用签名、应用安装校验提供能力支撑;
      设备认证:为分布式设备互联提供密钥协商和可信设备管理能力;
      HUKS密钥管理:为系统提供密钥管理服务,用于支撑基础的设备认证。
      数据分级保护:提供数据分级相关的接口定义。

  • 2.security_huks

    • 基本框架:

      base/security/huks/
├── build                             # 编译配置文件
├── frameworks                        # 框架代码, 作为基础功能目录, 被interfaces和services使用.
│   └── huks_standard                 # huks标准模块, 即表示L2的HUKS模块
│   └── huks_lite                     # huks L0和L1代码实现
│   └── crypto_lite                   # 加解密实现
├── interfaces                        # 接口API代码
│   └── innerkits
│       └── huks_standard
│       └── huks_lite				  # huks提供接口
└── services
    └── huks_standard

  • 3.security_deviceauth

    • 简介
      在OpenHarmony中,设备认证模块作为安全子系统的子模块,负责设备间可信关系的建立、维护、使用、撤销等全生命周期的管理,实现可信设备间的互信认证和安全会话密钥协商,是搭载OpenHarmony的设备进行可信互联的基础平台能力。
    • 基本框架:
      /base/security/deviceauth
├── frameworks                   # 设备认证框架层代码
├── hals                         # 平台相关工具库抽象层
│   ├── inc                      # 工具库头文件
│   └── src                      # 工具库源文件
├── interfaces                   # 对外接口目录
└── services                     # 设备认证服务层代码
    ├── common                   # 公共代码库
    ├── group_auth               # 设备群组认证模块
    ├── group_manager            # 设备群组管理模块
    ├── module                   # 认证器模块(包括帐号无关点对点设备认证器)
    └── session                  # 调度及会话管理模块
    • 系统架构图
      在这里插入图片描述
我的第一个基于HarmonyOS的 (鸿蒙 OS)TV
禅思院
09-27 2万+
距离鸿蒙 OS 2.0 发布已经过去一些日子了,由于公司项目的事情比较多,一直没有怎么去关注,这位国产的HarmonyOS,闲暇之余,我看了下这个HarmonyOS,感觉还不错,支持java和JavaScript开发,对于做作为前端开发人员,也顺便了解下! HarmonyOS 是什么? 在官网上是这样说的: HarmonyOS是一款“面向未来”、面向全场景(移动办公、运动健康、社交通信、媒体娱乐等)的分布式操作系统。在传统的单设备系统能力的基础上,HarmonyOS提出了基于同一套系统能力、适配多种终端形
OpenHarmony解读之设备认证:数据接收管理-消息处理(2)
weixin_46669761的博客
05-29 635
一、概述 本文将继续介绍HiChain本端接收数据的处理过程中的消息处理阶段的剩余内容。 二、源码分析 这一模块的源码位于:/base/security/deviceauth。 检查消息为系统可支持并合法之后,调用build_object函数构建HiChain子对象,具体分析如下: /* 函数功能:构建HiChain子对象 函数参数: hichain:HiChain实例 modular:消息模块类型 is_client:是否是client params:构建参数 函数返回
HarmonyOS入门之HUKS解析
cnzzs的博客
07-10 849
在个人移动设备上,数据安全是至关重要的。HarmonyOS推出的通用密钥库系统(HarmonyOS Universal KeyStore,简称HUKS)为应用提供了全面的密钥管理服务。本文将深入探讨HUKS的工作原理、开发实践和实际应用案例,为开发者提供一个全面的HUKS使用指南。HUKS概述HUKSHarmonyOS提...
OpenHarmony-HUKS模块梳理(修正)
b_erb的博客
11-18 1588
OpenHarmony-HUKS模块frameworks0.crypto_lite [AES/RSA加解密]1.frameworks/huks_lite/hw_keystore_sdk部分:2.frameworks/huks_standard/main部分:servicesinterfaces合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的
OpenHarmony安全模块与HUKS分析(2)
qq_45766510的博客
12-24 665
OpenHarmony安全模块诞生的目的是主要是为了实现用户数据在设备互联场景下在各个设备之间的安全流转,保证设备之间相互正确可信,即设备和设备之间建立信任关系,并能够在验证信任关系后,搭建安全的连接通道,实现用户数据的安全传输。 本文将继续进行分析介绍OpenHarmony安全模块以及服务于数据安全HUKS组件。 1.HUKS组件回顾 为高效化IoT设备间信任关系的建立,鸿蒙系统提出了基于密钥管理和存储服务(HUKS,Huawei Universal Keystore Service)的系列安全
Huks功能之frameworks解析:hks_access.h hks_access.c cipher.h cipher.c
weixin_50294842的博客
09-04 1253
openHarmony中的安全子系统huks为应用提供密钥库及密钥管理功能,包括密钥的生成,删除,更新。 为系统下应用提供KeyStore密钥库管理以及Crypto密钥密码学相关操作。
security_huks/services/huks_standard/huks_engine/hks_auth+huks_core_service解读(一)
Enternalwiser的博客
08-27 474
warpKey模式简介。huks_core_service+hks_auth代码解读
鸿蒙源码分析(七十四)---安全子系统
安辰的博客
11-12 6061
比赛中提到的安全子系统模块huks是一种通用密钥管理服务,它为应用程序提供KeyStore和Crypto API,以执行密钥管理,加密和解密操作。包括密钥管理及密钥的密码学操作等功能。HUKS所管理的密钥可以由应用导入或者由应用调用HUKS接口生成。 主要就是三大部分: HUKS SDK层: 提供HUKS API供应用调用。 HUKS Service层: 实现HUKS密钥管理、存储等功能。 HUKS Engine层: HUKS核心模块,负责密钥生成以及加解密等工作。对于L2设备,该部分模块在商用场景下必须
鸿蒙OpenHarmony【通用密钥库设备开发】子系统安全
asd95279527p的博客
10-29 2110
OpenHarmony通用密钥库系统(英文全称:Open**H**armony **U**niversal **K**ey**S**tore,以下简称HUKS)是OpenHarmony提供的系统级的密钥管理系统服务,提供密钥的全生命周期管理能力,包括密钥生成、密钥存储、密钥使用、密钥销毁等功能,以及对存储在HUKS中的密钥提供合法性证明。在HUKS的分层架构中,处于最底层的HUKS核心层(HUKS Core)承载着密钥管理核心功能,一般运行在设备硬件安全环境中(比如TEE、安全芯片等)。由于不同厂商硬件安全
OpenHarmony开发中的知识:Release的组件
DMZDAMS的博客
06-21 961
OpenHarmony如期而至的发布了4.0版本
OpenHarmony(鸿蒙南向开发)——轻量系统芯片移植指南(二)
鸿蒙开发知识记录
09-30 1281
OpenHarmony提供了mbedtls的开源三方库,路径为“//third_party/mbedtls”。此库中提供了“mbedtls_platform_entropy_poll”、“mbedtls_hardclock_poll”、“mbedtls_havege_poll”、“mbedtls_hardware_poll”等几种产生随机数的方式。厂商需要根据芯片适配“mbedtls_hardware_poll”方式。
OpenHarmony安全模块之AES加密学习
L_superhero的博客
09-26 1265
OpenHarmony初分析 security_huks/frameworks/crypto_lite/cipher/src/cipher_aes 在上一次的学习中,我们了解了OpenHarmony的三大模块的特点,今天我们来学习第三个模块——安全模块。我们知道,鸿蒙通用密钥库系统主要是为了向应用提供密钥库的功能,包括密钥管理以及生成密钥的密码学操作等功能。 OpenHarmony操作系统是一个开放的系统,开发者可以通过OpenHarmony开发灵活的服务和应用,为开发者和使用者带来便利和价值。为了达到这一
OpenHarmony(鸿蒙南向开发)——轻量系统芯片移植案例(二)
鸿蒙开发知识记录
09-14 1945
以为例,这里描述了产品使用的内核、单板、子系统等信息。其中,内核、单板型号、单板厂商需要提前规划好,也是预编译指令(hb set)所关注的。这里填入的信息与规划的目录相对应。"product_name": "wifi_demo", --- 产品名"type": "mini", --- 系统类型: mini"version": "3.0", --- 系统版本: 3.0"device_company": "lango", --- 单板厂商:lango。
Java中的一些名词概念
lvyixinniang_的博客
10-19 838
Entity层中的类大多数是数据方面的,例如数据库中有负责登陆的User表(ID、UserName,Password),在Entity层就需要用private关键字定义与数据库中一样的字段(ID、UserName,Password)以及这些字段的get、set方法(方法可以Override)。Util是utiliy的缩写,是一个多功能、基于工具的包。因为 Java 只有值传递,所以,对于 == 来说,不管是比较基本数据类型,还是引用数据类型的变量,其本质比较的都是值,只是引用类型变量存的值是对象的地址。
openharmony安全子系统之密钥管理服务(Universal Keystore,下述简称为HUKS)
weixin_40010764的博客
01-16 558
Android与鸿蒙系统安全(三)
求变,从思想开始
10-22 4339
八、鸿蒙安全系统 OpenHarmony操作系统是一个开放的系统,开发者可以通过OpenHarmony开发灵活的服务和应用,为开发者和使用者带来便利和价值。为了达到这一目的,OpenHarmony提供了一个可以有效保护应用和用户数据的执行环境。 在这个执行环境中,芯片的安全能力、系统的安全能力、以及上层的安全服务一起协作,从硬件安全、系统安全、数据安全、设备互联安全、应用安全安全更新多个维度提供安全保障。鸿蒙采用的微内核+外核的设计,微内核没有被Root的概念,同时外核和内核是分开的,互相隔离,提升了
HarmonyOS实战开发-如何使用@ohos.security.huks相关接口实现对任意输入内容进行加密和解密的功能。
m0_70749039的博客
04-11 1507
本示例使用@ohos.security.huks相关接口实现了对任意输入内容进行加密和解密的功能。
HarmonyOS NEXT】HUKS生成SM2密钥对,后端无法通过ConvertX509ToECPublicKey来提取公钥,提示长度不对
Mayism123的博客
05-14 544
密钥库(HUKS)生成SM2密钥对,导出公钥(x509)是92字节,我们的后端无法通过ConvertX509ToECPublicKey来提取公钥,提示长度不对如下图所示。加解密算法框架生成秘钥是ECC格式的,秘钥库生成的秘钥是SM2格式的。App需要使用密钥库生成SM2密钥,对数据进行签名,然后把SM2公钥传送给服务端,服务端使用公钥进行验签,但服务端解析公钥失败。但用加解密算法框架生成的SM2公钥长度91字节如下图所示,是可以提取的。
security_huks模块下hks_client.c代码评注(上)
HORHEART的博客
08-17 375
这里写目录标题一级目录知识提点DLL编程的导入导出二级目录三级目录 一级目录 知识提点 DLL编程的导入导出 #ifdef _EXPORTING #define API_DECLSPEC __declspec(dllexport) #else #define API_DECLSPEC __declspec(dllimport) #endif 这个宏,是为了便于开发和使用自己写的dll库的。 用同样的 API_DECLSPEC 类型声明,在dll的.cpp文件里,添加 #define _EXPORTING
01-01 04:31:47.305 590 574 I 02F00/HUKS: RecordKeyOperation[941]: delete key or certchain, storage path: /storage/data/service/el1/public/huks_service/maindata/+0+0+0+0/key, key alias: 43217A8EF1BF9377580038A28413666A8ADDBBDD76DE6F837A193276****A263
最新发布
03-08
<think>嗯,用户这次给了一个新的日志条目,需要我分析。之前他们问的是关于OpenHarmony密钥生成失败的错误链,现在这个日志看起来和密钥删除操作有关。首先我要仔细看看日志的内容。 日志显示的时间是01-01 04:31:47.305,进程ID是590和574,组件HUKS,信息级别是I(Info)。消息内容是删除密钥或证书链,存储路径是/storage/data/service/el1/public/huks_service/maindata/+0+0+0+0/key,密钥别名是43217A8EF1BF9377580038A28413666A8ADDBBDD76DE6F837A193276****A263。用户可能想知道这个日志的含义,或者是否有潜在的问题需要注意。 首先,我需要确认HUKSOpenHarmony中的作用。HUKS是硬件密钥管理系统,负责密钥的安全存储和管理。记录中的删除操作可能是正常的密钥生命周期管理,比如应用卸载时删除相关密钥,或者系统定期清理过期密钥。但用户可能担心这是否是异常操作,比如未经授权的删除,或者是否存在安全风险。 接下来,分解日志的各个部分。存储路径中的目录结构看起来是标准的HUKS服务存储位置,用于保存主数据。密钥别名通常是唯一的标识符,用于引用特定的密钥。这里的别名被部分打码,可能是出于安全考虑,隐藏了部分关键信息。 然后,我需要考虑可能的异常情况。比如,是否有频繁的删除操作?是否有错误码伴随出现?之前的日志中有错误,但这条是信息级别的,可能只是记录了一个成功操作。不过需要结合上下文来看,比如用户之前遇到的密钥生成失败的问题,是否和此处的删除有关联? 另外,路径中的“+0+0+0+0”可能代表某种目录结构或分片方式,需要了解HUKS的存储机制。可能是多级目录用于分散存储密钥,提高安全性。密钥别名中的长字符串可能是经过哈希处理的结果,确保唯一性和不可逆性。 用户可能需要知道这个操作是否正常,或者如何验证删除是否成功。可能需要检查相关目录是否存在该密钥文件,或者通过HUKS的API查询密钥是否存在。此外,权限问题也可能导致删除失败,但这条日志显示的是信息级别,可能操作已经成功完成。 还需要考虑安全方面,比如密钥删除是否符合预期,是否有敏感数据泄露的风险。在OpenHarmony中,密钥管理非常重要,任何异常操作都可能导致安全问题。建议用户检查是否有相关的安全策略或日志审计机制,确保密钥操作的可追溯性。 总结来说,这条日志记录了一个正常的密钥删除操作,但需要结合系统其他日志和上下文来判断是否有异常。如果用户没有主动触发删除操作,可能需要进一步调查是否有恶意软件或错误配置导致密钥被删除。</think>该日志条目记录了 OpenHarmony 硬件密钥管理系统 (HUKS) 执行密钥删除操作的关键信息。以下是结构化解析: --- ### **日志关键要素解析** ```log 01-01 04:31:47.305 590 574 I 02F00/HUKS: RecordKeyOperation[941]: delete key or certchain, storage path: /storage/data/.../huks_service/maindata/+0+0+0+0/key, key alias: 43217A8EF1BF9377580038A28413666A8ADDBBDD76DE6F837A193276****A263 ``` | 字段 | 说明 | |---------------------|------------------------------------------------------------------------------------------------------------------------------------------------| | **操作类型** | `delete key or certchain` 表示正在删除密钥或证书链 | | **存储路径** | `/storage/data/.../+0+0+0+0/key` 为密钥存储的物理路径,`+0+0+0+0` 是 OpenHarmony 的分级目录结构设计,用于分散存储提升安全性 | | **密钥别名** | `43217A8EF1...****A263` 是密钥的唯一标识符,`****` 表示敏感信息脱敏处理 | | **安全层级** | `el1/public` 表明该密钥属于非安全环境(EL1)的公共存储区,若为 `el2/private` 则属于安全执行环境(TEE) | --- ### **技术背景与安全机制** 1. **HUKS 密钥存储策略** - **分级存储**:通过 `+0+0+0+0` 目录结构将密钥文件分散存储,防止通过单一路径遍历获取完整密钥 - **访问控制**:需满足以下条件才能访问该路径: ```bash # 目录权限示例 drwx------ system system /storage/data/service/el1/public/huks_service/ ``` 2. **密钥别名设计** - 采用 **SHA-256哈希** 生成唯一标识,例如: $$ \text{Alias} = \text{SHA256}(\text{AppID} \parallel \text{KeyPurpose}) $$ - 脱敏部分(`****`)通常保留哈希值的首尾各16字节,确保可追溯性同时防止泄露 --- ### **操作场景分析** #### 可能触发此操作的场景 | 场景 | 典型特征 | |-------------------------------|--------------------------------------------------------------------------| | 应用卸载 | 关联应用的密钥生命周期结束 | | 证书链更新 | 旧证书被吊销后触发删除 | | 安全策略强制执行 | 检测到密钥泄露风险时主动擦除 | | 用户手动清除 | 通过设置 > 安全 > 凭据存储执行清除操作 | #### 异常行为排查 若该日志在无上述场景的情况下频繁出现,需检查: ```bash # 1. 查看密钥文件是否存在 ls -l /storage/data/.../+0+0+0+0/key/43217A8EF1...A263* # 2. 验证操作发起者 cat /proc/590/cmdline # 查看进程590对应的服务 # 3. 审计日志关联性 grep "43217A8EF1" /var/log/huks/audit.log # 检查密钥操作记录 ``` --- ### **安全建议** 1. **存储加密验证** ```bash # 确认文件系统加密状态 dmesg | grep "FBE initialized" # 应显示文件级加密已启用 ``` 2. **密钥残留检测** ```c // 通过HUKS API验证密钥是否存在 HksBlob alias = { .size = 32, .data = "43217A8EF1..." }; int ret = HksKeyExist(&alias, NULL); // 返回HKS_SUCCESS表示密钥仍存在 ``` 3. **安全事件响应** - 若为异常删除,立即执行: ```bash auditctl -w /storage/data/service/el1/public/huks_service/ -p wa -k critical_keys ``` - 启用内核级监控捕获后续操作 --- 该日志表明系统正在按设计执行密钥管理策略,开发者和安全团队应结合 **密钥生命周期管理策略** 与 **审计日志** 进行综合研判。如需更深入分析,需检查同时间段内的 TEE 日志 (`/proc/tzdriver/log`)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值