diff --git a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-arkts.md b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-arkts.md index 7df4713e337902354c1cc2a1f90786f50c34247e..912f498771fe1e553ba34f1f2a75889f9482a4ad 100644 --- a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-arkts.md +++ b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-arkts.md @@ -10,11 +10,13 @@ 设备A、设备B各自生成一个非对称密钥,具体请参考[密钥生成](huks-key-generation-overview.md)或[密钥导入](huks-key-import-overview.md)。 -密钥生成时,可指定参数TAG(可选),HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG: +密钥生成时,可指定参数HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识基于该密钥协商出的密钥是否由HUKS管理。 -- HUKS_STORAGE_ONLY_USED_IN_HUKS:表示由该密钥协商出的密钥存储于HUKS中,由HUKS进行托管。 +- 当TAG设置为HUKS_STORAGE_ONLY_USED_IN_HUKS时,表示基于该密钥协商出的密钥,由HUKS管理,可保证协商密钥全生命周期不出安全环境。 -- HUKS_STORAGE_KEY_EXPORT_ALLOWED(默认):表示由该密钥协商出的密钥直接导出给业务方,HUKS不对其进行托管服务。 +- 当TAG设置为HUKS_STORAGE_KEY_EXPORT_ALLOWED时,表示基于该密钥协商出的密钥,返回给调用方管理,由业务自行保证密钥安全。 + +- 若业务未设置TAG的具体值,表示基于该密钥协商出的密钥,即可由HUKS管理,也可返回给调用方管理,业务可在后续协商时再选择使用何种方式保护密钥。 **导出密钥** @@ -24,6 +26,18 @@ 设备A、B分别基于本端私钥和对端设备的公钥,协商出共享密钥。 +密钥协商时,可指定参数HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识协商得到的密钥是否由HUKS管理。 + +| 生成 | 协商 | 规格 | +| -------- | -------- | -------- | +| HUKS_STORAGE_ONLY_USED_IN_HUKS | HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | +| HUKS_STORAGE_KEY_EXPORT_ALLOWED | HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | +| 未指定TAG具体值 | HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | +| 未指定TAG具体值 | HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | +| 未指定TAG具体值 | 未指定TAG具体值 | 密钥返回给调用方管理 | + +注:协商时指定的TAG值,不可与生成时指定的TAG值冲突。表格中仅列举有效的指定方式。 + **删除密钥** 当密钥废弃不用时,设备A、B均需要删除密钥,具体请参考[密钥删除](huks-delete-key-arkts.md)。 diff --git a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-ndk.md b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-ndk.md index 5080d6ae17ed010652a39b3c09e0062ea7df9a83..a293516b3dad96136384bfef3d33810898445edc 100644 --- a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-ndk.md +++ b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-agreement-ndk.md @@ -14,11 +14,13 @@ 设备A、设备B各自生成一个非对称密钥,具体请参考[密钥生成](huks-key-generation-overview.md)或[密钥导入](huks-key-import-overview.md)。 -密钥生成时,可指定参数TAG(可选),OH_HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG: +密钥生成时,可指定参数,OH_HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识基于该密钥协商出的密钥是否由HUKS管理。 -- OH_HUKS_STORAGE_ONLY_USED_IN_HUKS:表示由该密钥协商出的密钥存储于HUKS中,由HUKS进行托管。 +- 当TAG设置为OH_HUKS_STORAGE_ONLY_USED_IN_HUKS时,表示基于该密钥协商出的密钥,由HUKS管理,可保证协商密钥全生命周期不出安全环境。 -- OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED(默认):表示由该密钥协商出的密钥直接导出给业务方,HUKS不对其进行托管服务。 +- 当TAG设置为OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED时,表示基于该密钥协商出的密钥,返回给调用方管理,由业务自行保证密钥安全。 + +- 若业务未设置TAG的具体值,表示基于该密钥协商出的密钥,即可由HUKS管理,也可返回给调用方管理,业务可在后续协商时再选择使用何种方式保护密钥。 **导出密钥** @@ -28,6 +30,18 @@ 设备A、B分别基于本端私钥和对端设备的公钥,协商出共享密钥。 +密钥协商时,可指定参数OH_HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识协商得到的密钥是否由HUKS管理。 + +| 生成 | 协商 | 规格 | +| -------- | -------- | -------- | +| OH_HUKS_STORAGE_ONLY_USED_IN_HUKS | OH_HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | +| OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED | OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | +| 未指定TAG具体值 | OH_HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | +| 未指定TAG具体值 | OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | +| 未指定TAG具体值 | 未指定TAG具体值 | 密钥返回给调用方管理 | + +注:协商时指定的TAG值,不可与生成时指定的TAG值冲突。表格中仅列举有效的指定方式。 + **删除密钥** 当密钥废弃不用时,设备A、B均需要删除密钥,具体请参考[密钥删除](huks-delete-key-ndk.md)。 diff --git a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-arkts.md b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-arkts.md index ee2b26321376838ba231aba849bd430161823046..80e16cd2a948735b15479dc7c28823d880c77807 100644 --- a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-arkts.md +++ b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-arkts.md @@ -10,9 +10,13 @@ 1. 指定密钥别名。 -2. 初始化密钥属性集,可指定参数TAG(可选),HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG: - - HUKS_STORAGE_ONLY_USED_IN_HUKS:表示由该密钥派生出的密钥存储于HUKS中,由HUKS进行托管。 - - HUKS_STORAGE_KEY_EXPORT_ALLOWED(默认):表示由该密钥派生出的密钥直接导出给业务方,HUKS不对其进行托管服务。 +2. 初始化密钥属性集,可指定参数HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识基于该密钥派生出的密钥是否由HUKS管理。 + + - 当TAG设置为HUKS_STORAGE_ONLY_USED_IN_HUKS时,表示基于该密钥派生出的密钥,由HUKS管理,可保证派生密钥全生命周期不出安全环境。 + + - 当TAG设置为HUKS_STORAGE_KEY_EXPORT_ALLOWED时,表示基于该密钥派生出的密钥,返回给调用方管理,由业务自行保证密钥安全。 + + - 若业务未设置TAG的具体值,表示基于该密钥派生出的密钥,即可由HUKS管理,也可返回给调用方管理,业务可在后续派生时再选择使用何种方式保护密钥。 3. 调用[generateKeyItem](../../reference/apis-universal-keystore-kit/js-apis-huks.md#huksgeneratekeyitem9)生成密钥,具体请参考[密钥生成](huks-key-generation-overview.md)。 @@ -22,6 +26,19 @@ 1. 获取密钥别名、指定对应的属性参数HuksOptions。 + 可指定参数HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识派生得到的密钥是否由HUKS管理。 + + | 生成 | 派生 | 规格 | + | -------- | -------- | -------- | + | HUKS_STORAGE_ONLY_USED_IN_HUKS | HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | + | HUKS_STORAGE_KEY_EXPORT_ALLOWED | HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | + | 未指定TAG具体值 | HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | + | 未指定TAG具体值 | HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | + | 未指定TAG具体值 | 未指定TAG具体值 | 密钥返回给调用方管理 | + + 注:派生时指定的TAG值,不可与生成时指定的TAG值冲突。表格中仅列举有效的指定方式。 + + 2. 调用[initSession](../../reference/apis-universal-keystore-kit/js-apis-huks.md#huksinitsession9)初始化密钥会话,并获取会话的句柄handle。 3. 调用[updateSession](../../reference/apis-universal-keystore-kit/js-apis-huks.md#huksupdatesession9)更新密钥会话。 diff --git a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-ndk.md b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-ndk.md index f6c7e1cc311570e5f31ce44de16ad05fb17e6228..6eb988969f6b6afceff0c5fde3191999849e8eca 100644 --- a/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-ndk.md +++ b/zh-cn/application-dev/security/UniversalKeystoreKit/huks-key-derivation-ndk.md @@ -14,9 +14,13 @@ 1. 指定密钥别名。 -2. 初始化密钥属性集,可指定参数TAG(可选),OH_HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG: - - OH_HUKS_STORAGE_ONLY_USED_IN_HUKS:表示由该密钥派生出的密钥存储于HUKS中,由HUKS进行托管。 - - OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED(默认):表示由该密钥派生出的密钥直接导出给业务方,HUKS不对其进行托管服务。 +2. 初始化密钥属性集,可指定参数,OH_HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识基于该密钥派生出的密钥是否由HUKS管理。 + + - 当TAG设置为OH_HUKS_STORAGE_ONLY_USED_IN_HUKS时,表示基于该密钥派生出的密钥,由HUKS管理,可保证派生密钥全生命周期不出安全环境。 + + - 当TAG设置为OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED时,表示基于该密钥派生出的密钥,返回给调用方管理,由业务自行保证密钥安全。 + + - 若业务未设置TAG的具体值,表示基于该密钥派生出的密钥,即可由HUKS管理,也可返回给调用方管理,业务可在后续派生时再选择使用何种方式保护密钥。 3. 调用OH_Huks_GenerateKeyItem生成密钥,具体请参考[密钥生成](huks-key-generation-overview.md)。 @@ -26,11 +30,17 @@ 1. 获取密钥别名、指定对应的属性参数HuksOptions。 - 应用在派生密钥时建议传入指定参数TAG:OH_HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG,使用[OH_Huks_KeyStorageType](../../reference/apis-universal-keystore-kit/_huks_type_api.md#oh_huks_keystoragetype)中定义的类型: + 可指定参数OH_HUKS_TAG_DERIVED_AGREED_KEY_STORAGE_FLAG(可选),用于标识派生得到的密钥是否由HUKS管理。 + + | 生成 | 派生 | 规格 | + | -------- | -------- | -------- | + | OH_HUKS_STORAGE_ONLY_USED_IN_HUKS | OH_HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | + | OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED | OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | + | 未指定TAG具体值 | OH_HUKS_STORAGE_ONLY_USED_IN_HUKS | 密钥由HUKS管理 | + | 未指定TAG具体值 | OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED | 密钥返回给调用方管理 | + | 未指定TAG具体值 | 未指定TAG具体值 | 密钥返回给调用方管理 | - - OH_HUKS_STORAGE_ONLY_USED_IN_HUKS:表示协商出的密钥仅在HUKS内使用。 - - OH_HUKS_STORAGE_KEY_EXPORT_ALLOWED:表示不在HUKS内存储,协商后直接导出。 - - 若不传入,则默认同时支持存储和导出,存在安全风险,不推荐业务使用。 + 注:派生时指定的TAG值,不可与生成时指定的TAG值冲突。表格中仅列举有效的指定方式。 2. 调用[OH_Huks_InitSession](../../reference/apis-universal-keystore-kit/_huks_key_api.md#oh_huks_initsession)初始化密钥会话,并获取会话的句柄handle。