1# Universal Keystore Kit简介 2 3<!--Kit: Universal Keystore Kit--> 4<!--Subsystem: Security--> 5<!--Owner: @wutiantian-gitee--> 6<!--Designer: @HighLowWorld--> 7<!--Tester: @wxy1234564846--> 8<!--Adviser: @zengyawen--> 9 10Universal Keystore Kit(密钥管理服务,下述简称为HUKS)向业务/应用提供各类密钥的统一安全操作能力,包括密钥管理(密钥生成/销毁、密钥导入、密钥证明、密钥协商、密钥派生)及密钥使用(加密/解密、签名/验签、访问控制)等功能。 11 12HUKS管理的密钥可以由业务/应用导入或调用HUKS的接口生成。同时,HUKS提供了密钥访问控制能力,确保存储在HUKS中的密钥被合法正确的访问。 13 14## 整体架构 15 16如图所示,HUKS模块可以分为如下三大部分: 17 18- SDK:提供密钥管理的接口供开发者调用,开发者可以根据实际业务,选择ArkTS或C API。 19 20- HUKS服务层:实现密钥会话管理及存储管理。 21 22- HUKS核心层:承载HUKS的核心功能,包括密钥的密码学运算、明文密钥的加解密、密钥访问控制等。 23 > **说明:** 24 > 对于具备安全环境(如[TEE](huks-concepts.md)、安全芯片)的系统/设备,HUKS核心层必须运行在安全环境内。由于安全环境依赖硬件支持,在开源仓中仅为模拟实现,需OEM厂商适配。 25 26 27 28## 核心功能 29 30HUKS为开发者提供了密钥全生命周期的管理能力,其核心功能按照密钥生命周期划分如下: 31 32### 密钥生成 33 34| 功能 | 说明 | 35| -------- | -------- | 36| **[密钥生成](huks-key-generation-overview.md)** | 随机生成密钥,且在密钥的全生命周期内,其明文仅在安全环境中进行访问操作,不会将明文传递出安全环境。 | 37| **[密钥导入](huks-key-import-overview.md)** | 业务可以将外部生成的密钥导入到HUKS进行管理。 | 38 39### 密钥使用 40 41| 功能 | 说明 | 42| -------- | -------- | 43| **[加密/解密](huks-encryption-decryption-overview.md)** | 使用密钥将数据加密为攻击者无法理解的密文,或使用密钥将数据解密为业务可用的明文。 | 44| **[签名/验签](huks-signing-signature-verification-overview.md)** | 用于认证消息内容以及消息发送者身份的真实性。 | 45| **[密钥协商](huks-key-agreement-overview.md)** | 两个或多个实体通过协商,共同建立会话密钥。 | 46| **[密钥派生](huks-key-derivation-overview.md)** | 从一个现有密钥派生出一个或多个新密钥。 | 47| **[访问控制](huks-identity-authentication-overview.md)** | 确保存储在HUKS中的密钥,不会被越权访问。 | 48 49### 密钥删除 50 51| 功能 | 说明 | 52| -------- | -------- | 53| **[密钥删除](huks-delete-key-arkts.md)** | 安全地删除存储在HUKS中的密钥数据。 | 54 55### 密钥证明 56 57| 功能 | 说明 | 58| -------- | -------- | 59| **[密钥证明](huks-key-attestation-overview.md)** | 为存储在HUKS中的非对称密钥对中的公钥签发证书,从而证明密钥的合法性(如密钥在安全环境中生成)。 | 60 61## 与相关Kit的关系 62 63[基于用户身份认证的密钥访问控制](huks-identity-authentication-overview.md),依赖于[User Authentication Kit(用户身份认证)](../UserAuthenticationKit/user-authentication-overview.md)。
