密鑰導(dǎo)入介紹及算法規(guī)格

如果業(yè)務(wù)在HUKS外部生成密鑰（比如應(yīng)用間協(xié)商生成、服務(wù)器端生成），業(yè)務(wù)可以將密鑰導(dǎo)入到HUKS中由HUKS進(jìn)行管理。密鑰一旦導(dǎo)入到HUKS中，在密鑰的生命周期內(nèi)，其明文僅在安全環(huán)境中進(jìn)行訪問操作，不會(huì)傳遞出安全環(huán)境，保證任何人都無法獲取到密鑰的明文。

密鑰導(dǎo)入的方式包含明文導(dǎo)入和加密導(dǎo)入兩種方式。

明文導(dǎo)入

該方式直接將密鑰明文導(dǎo)入HUKS，在導(dǎo)入過程中密鑰明文會(huì)暴露在非安全環(huán)境中，一般適用于輕量級(jí)設(shè)備或低安業(yè)務(wù)。

• 推薦使用該方式導(dǎo)入的密鑰類型：非對(duì)稱密鑰的公鑰
• 不推薦使用該方式導(dǎo)入的密鑰類型：對(duì)稱密鑰、非對(duì)稱密鑰對(duì)
• 開發(fā)前請(qǐng)熟悉鴻蒙開發(fā)指導(dǎo)文檔 ：[gitee.com/li-shizhen-skin/harmony-os/blob/master/README.md]

加密導(dǎo)入

該方式支持業(yè)務(wù)與HUKS建立端到端的加密傳輸通道，將密鑰安全加密導(dǎo)入到HUKS中，確保導(dǎo)入傳入過程中密鑰不被泄露，適用于高安敏感業(yè)務(wù)。相較于明文導(dǎo)入，加密導(dǎo)入步驟更多，密鑰材料更復(fù)雜。

• 推薦使用該方式導(dǎo)入的密鑰類型：對(duì)稱密鑰、非對(duì)稱密鑰對(duì)

下圖為加密導(dǎo)入密鑰開發(fā)時(shí)序圖。

根據(jù)開發(fā)流程，在導(dǎo)入加密密鑰過程中，需要依次調(diào)用HUKS的生成密鑰、導(dǎo)出公鑰、導(dǎo)入加密密鑰、刪除密鑰接口。

導(dǎo)出密鑰接口返回的[公鑰明文材料]是按照X.509格式封裝，導(dǎo)入加密密鑰接口中的密鑰材料需滿足LengthData-Data的格式封裝。

加密導(dǎo)入密鑰材料格式

支持的算法

以下為密鑰導(dǎo)入支持的規(guī)格說明。

面向OpenHarmony的廠商適配密鑰管理服務(wù)規(guī)格分為必選規(guī)格和可選規(guī)格。必選規(guī)格為所有廠商均支持的算法規(guī)格。而對(duì)于可選規(guī)格，廠商將基于實(shí)際情況決定是否實(shí)現(xiàn)，如需使用，請(qǐng)查閱具體廠商提供的說明，確保規(guī)格支持再使用。

建議開發(fā)者使用必選規(guī)格開發(fā)應(yīng)用，可保證全平臺(tái)兼容。

審核編輯 黃宇