HarmonyOS Next 加密通信实战：打造安全聊天应用

本文旨在深入探讨华为鸿蒙HarmonyOS Next系统（截止目前API12）的技术细节，基于实际开发实践进行总结。

主要作为技术分享与交流载体，难免错漏，欢迎各位同仁提出宝贵意见和问题，以便共同进步。

本文为原创内容，任何形式的转载必须注明出处及原作者。

一、引言

在当今数字化时代，聊天应用已成为人们日常生活和工作中不可或缺的一部分。然而，随着网络安全威胁的日益严峻，如信息泄露、中间人攻击等，聊天应用中的数据安全问题愈发凸显。加密技术作为保护数据安全的关键手段，对于聊天应用而言具有至关重要的意义。通过加密，聊天双方可以确保消息在传输和存储过程中的机密性、完整性和真实性，防止敏感信息被不法分子窃取或篡改。例如，在商务洽谈、个人隐私交流等场景中，加密能够有效保护商业机密和个人隐私，为用户提供安全可靠的通信环境。接下来，我们将深入探讨如何基于 HarmonyOS Next 打造一款安全的聊天应用，涵盖从架构设计到加密方案实现的各个方面。

二、架构设计

（一）分层架构设计

1. 界面层
   • 界面层是用户与聊天应用交互的直接界面，负责展示聊天消息、联系人列表、聊天界面布局等信息。它接收用户的输入操作，如发送消息、添加联系人等，并将这些操作传递给业务逻辑层进行处理。同时，界面层也负责将业务逻辑层返回的结果展示给用户，例如显示接收到的聊天消息、提示操作成功或失败等。
2. 业务逻辑层
   • 业务逻辑层处于架构的中间层，起着承上启下的关键作用。它处理来自界面层的各种业务请求，如消息发送、接收、联系人管理等。在处理消息发送时，业务逻辑层负责调用加密层对消息进行加密处理，然后将加密后的消息传递给数据层进行发送。对于接收到的消息，业务逻辑层先从数据层获取消息，再调用加密层进行解密，最后将解密后的消息传递给界面层显示。此外，业务逻辑层还负责管理聊天会话、处理用户认证等业务逻辑。
3. 加密层
   • 加密层专注于数据的加密和解密操作，是保障聊天应用安全的核心层。它提供了多种加密算法的实现，如 AES 对称加密用于消息加密、RSA 非对称加密用于用户认证等。加密层接收业务逻辑层传来的数据和加密指令，根据指定的加密算法和密钥对数据进行加密处理，并返回加密后的结果。在解密时，同样根据相应的算法和密钥对加密数据进行解密操作，将解密后的原始数据返回给业务逻辑层。
4. 数据层
   • 数据层负责与底层的数据存储和网络通信进行交互。在数据存储方面，它负责将聊天记录、用户信息等数据存储到本地数据库或文件系统中，并提供数据的查询、更新和删除等操作接口。在网络通信方面，数据层负责与服务器建立连接，发送和接收加密后的消息数据，确保数据的可靠传输。

（二）模块交互关系

1. 界面层与业务逻辑层交互
   • 界面层通过事件触发机制与业务逻辑层进行交互。例如，当用户点击发送按钮时，界面层会触发一个发送消息的事件，并将消息内容和相关信息（如接收方）传递给业务逻辑层。业务逻辑层处理完消息发送逻辑后，会将处理结果（如发送成功或失败）返回给界面层，界面层根据结果显示相应的提示信息给用户。
2. 业务逻辑层与加密层交互
   • 业务逻辑层在需要对数据进行加密或解密时，会调用加密层的相应接口。例如，在发送消息前，业务逻辑层将消息内容传递给加密层，并指定使用 AES 对称加密算法进行加密。加密层完成加密后，将加密后的消息返回给业务逻辑层。在接收消息时，业务逻辑层获取到加密消息后，调用加密层的解密接口，传入加密消息和相应的密钥，加密层解密后将原始消息返回给业务逻辑层。
3. 加密层与数据层交互（间接）
   • 加密层与数据层没有直接的交互，但加密层处理的数据最终会通过业务逻辑层传递到数据层进行存储或传输。例如，加密后的消息在业务逻辑层的控制下，由数据层发送到网络或存储到本地。

三、加密方案选择

（一）消息加密（AES 对称加密示例及代码）

1. 代码示例

import { cryptoFramework } from '@kit.CryptoArchitectureKit';
function encryptMessage(message: string, key: Uint8Array): Uint8Array {
  let symKeyGenerator = cryptoFramework.createSymKeyGenerator('AES256');
  let symKey = symKeyGenerator.generateSymKeySync();
  let encryptedMessage = symKey.encrypt(message);
  return encryptedMessage;
}

2. 解释
   • 首先，创建一个 AES256 对称密钥生成器。然后，使用 generateSymKeySync 方法同步生成对称密钥。接着，调用对称密钥的 encrypt 方法，传入要加密的消息 message，对消息进行加密操作。最后，返回加密后的消息，加密后的消息是一个 Uint8Array 类型的数据，可以进一步进行传输或存储。

（二）用户认证（RSA 非对称加密认证流程及代码）

1. 认证流程
   • 用户在登录聊天应用时，客户端生成一个随机数，并使用用户的公钥对随机数进行加密，然后将加密后的随机数发送给服务器。服务器使用私钥对收到的加密随机数进行解密，得到原始随机数，并将其与自己生成的相同随机数进行比较。如果两个随机数相同，则认证成功，服务器向客户端返回认证成功的消息；否则，认证失败。
2. 代码示例（部分关键步骤）

import { cryptoFramework } from '@kit.CryptoArchitectureKit';
function generateRandomNumber(): Uint8Array {
  let randomNumber = cryptoFramework.generateSecureRandomNumber(16);
  return randomNumber;
}
function encryptRandomNumber(randomNumber: Uint8Array, publicKey: Uint8Array): Uint8Array {
  let rsaGenerator = cryptoFramework.createAsyKeyGenerator('RSA2048');
  let keyPair = rsaGenerator.generateKeyPairSync();
  let encryptedRandomNumber = keyPair.pubKey.encrypt(randomNumber);
  return encryptedRandomNumber;
}

• generateRandomNumber 函数用于生成一个 16 字节的随机数，使用 cryptoFramework.generateSecureRandomNumber 方法实现。encryptRandomNumber 函数则用于使用用户的公钥对随机数进行加密，先创建一个 RSA2048 非对称密钥生成器，生成密钥对，然后使用公钥对随机数进行加密，并返回加密后的随机数。

四、数据存储加密

（一）本地聊天记录加密（SM4 加密实现）

1. 代码示例

import { cryptoFramework } from '@kit.CryptoArchitectureKit';
function encryptChatRecord(record: string, key: Uint8Array): Uint8Array {
  let sm4Generator = cryptoFramework.createSymKeyGenerator('SM4_128');
  let sm4Key = sm4Generator.generateSymKeySync();
  let encryptedRecord = sm4Key.encrypt(record);
  return encryptedRecord;
}

2. 解释
   • 首先创建一个 SM4_128 对称密钥生成器，然后同步生成 SM4 对称密钥。接着，调用 SM4 对称密钥的 encrypt 方法，传入聊天记录 record，对聊天记录进行加密操作，最后返回加密后的聊天记录，加密后的聊天记录也是 Uint8Array 类型的数据，可存储到本地数据库或文件中。

五、安全防护与优化

（一）安全防护措施

1. 防中间人攻击
   • 在用户认证和消息传输过程中，使用 SSL/TLS 协议对通信通道进行加密，确保数据在传输过程中不被中间人窃取或篡改。同时，对服务器的证书进行严格验证，防止攻击者使用伪造的证书进行中间人攻击。
2. 密钥管理
   • 对于对称密钥和非对称密钥，采用安全的存储方式，如使用系统的密钥库或加密文件系统进行存储。定期更换密钥，降低密钥被破解的风险。并且，在密钥生成过程中，使用安全的随机数生成器，确保密钥的随机性和安全性。

（二）性能优化策略

1. 算法优化
   • 选择合适的加密算法和工作模式，根据数据的特点和应用场景，如对于大量小消息的加密，可以选择高效的对称加密算法和合适的工作模式，以提高加密和解密速度。
2. 缓存机制
   • 在加密层和数据层之间建立缓存机制，对于频繁使用的密钥和加密数据进行缓存，减少重复的加密和解密操作，提高系统性能。

六、总结

通过本次基于 HarmonyOS Next 打造安全聊天应用的实践，我们成功实现了从架构设计到加密方案实施的全过程。在架构设计方面，分层架构确保了各模块的职责清晰，模块间的交互有序高效。加密方案选择上，AES 对称加密、RSA 非对称加密和 SM4 加密分别在消息加密、用户认证和数据存储加密中发挥了重要作用，有效保障了数据的安全。在安全防护与优化方面，采取的措施进一步增强了应用的安全性和性能。然而，在实践过程中也遇到了一些挑战，如密钥管理的复杂性、性能优化的平衡等。未来，我们可以进一步探索更先进的加密技术和优化策略，不断提升聊天应用的安全性和用户体验，为用户提供更加安全可靠的通信环境。