上周HDC 2026刚结束,我接到一个某南方政务云客户的电话:「我们政务终端要切鸿蒙,密码认证方案怎么办?USBKey还能用吗?」
这个问题,6月我至少被问了3次。答案比想象中复杂——鸿蒙不只是换了操作系统,它在密码这件事上动了真格的:从底层芯片到云端架构,重构了整套信任体系。而6家CA已经抢位入局,更多CA还在观望。
今天拆开来看看,鸿蒙到底在密码层面做了什么,谁已经动了,以及最大的机会和最深的坑在哪。
一、鸿蒙在密码这件事上动了真格的
HDC 2026释放了三个信号,每一个都和CA行业直接相关。
第一个信号:HUKS原生支持国密算法。
HarmonyOS内置的密钥管理服务HUKS(HarmonyOS Universal Keystore)原生支持SM2签名验签、SM4对称加解密、SM3摘要,并支持SM2+SM4数字信封密钥导入。密钥在TEE(可信执行环境)中完成全生命周期管理,明文不离开安全环境。这意味着——鸿蒙终端本身就具备合规密码运算基础,CA的SDK可以在此基础上构建上层应用,不需要外挂密码设备。
你可能遇到过这种场景:客户问「鸿蒙终端怎么做密评合规?」以前你得配USBKey或外置密码机,现在HUKS已经帮你把基础能力铺好了。
第二个信号:鸿蒙星盾安全体系获信通院增强级认证。
星盾安全架构获得的不是普通认证,而是信通院「增强级端云协同AI安全认证」——业界首家。HPIC(HarmonyOS Personal Intelligent Computing)架构解决的是端云协同AI的核心矛盾:端侧算力不够需要云端加持,但云端计算带来隐私泄露风险。星盾已累计拦截恶意应用1.92亿次,通过AI防剧本诈骗、AI变声检测、AI换脸检测等7类反诈认证。
对密码行业的含义是:星盾作为安全底座,为上层密码应用提供了端云协同的可信执行环境。数字认证的「鸿密」正是基于星盾搭建的。以后你向客户推荐方案时,「星盾打底+CA SDK上层」会是一个完整的卖点组合。
第三个信号:HarmonyOS 7迈入Agent OS时代。
这是HDC 2026最大的信号——鸿蒙智能体框架升级至2.0,复杂任务成功率提升至90%以上。当AI Agent自主替用户执行操作(比如自动签约、自动审批、自动转账),它需要不可抵赖的身份认证和授权机制。而Agent无法持有USBKey——它需要的是端侧的、无介质的密码能力。
这一点很多人还没意识到,但它可能是未来3年CA行业最大的增量需求来源。
二、谁已经动了?7家CA/密码厂商入局全景
截至HDC 2026,已有7家CA和密码厂商明确进入鸿蒙生态,但深浅差异极大:
| | |
|---|
| | 发布TEE级分布式数字身份DID方案,获「星河奖」「杰出贡献奖」,签署战略合作,多场景SDK鸿蒙适配,入选SDK优选库 |
| | 发布「鸿密」终端安全方案,签署战略合作,董事长级参加HDC |
| | |
| | |
| | |
| | |
| | 安全认证客户端获鸿蒙办公「行业先锋奖」,首批入驻Next生态市场 |
一个值得玩味的现象:上海CA从2025年6月就开始布局,到HDC 2026已经拿了两座奖、入了优选库、发布了DID方案,节奏非常快。而BJCA虽然入局略晚,但以「鸿密」方案直接从产品层面切入了最大公约数的需求——身份认证+电子签名+数据加密一站式输出。
我经历过一个案例,某省招投标系统选型时,直接把「是否适配鸿蒙」写进了评分表。上海CA因为已有鸿蒙SDK,加分项直接拿到;而没有鸿蒙适配的那家CA,连技术分都没拿到。
三、最大的机会:3条跑道,只有2条有人占位
鸿蒙给CA行业开了3条跑道:
跑道1:鸿蒙终端密码SDK——已有玩家占位。
这是最直接的跑道:将现有的身份认证SDK、签名SDK适配HUKS,实现鸿蒙端到端的密码能力输出。上海CA、BJCA、CFCA、SZCA都在做。但这个跑道的门槛不高——适配HUKS本身不复杂,关键是能不能抢先占领客户心智。
跑道2:TEE级分布式数字身份——上海CA一家独跑。
上海CA发布的DID方案是目前鸿蒙生态中唯一的数字身份创新路线。它的核心架构是:CA签发VC(可验证凭证)→用户端侧存储于TEE→跨设备通过DID标识互认→选择性披露VP展示。这不是要替代PKI,而是形成「PKI签发凭证+DID端侧掌权」的混合架构——CA从「卖证书」转向「卖凭证签发+信任路由」。
这个跑道宽在哪里?鸿蒙的1+8+N全场景协同(手机、平板、手表、车机、PC……)天然需要跨设备身份互认,传统USBKey根本做不到。AI Agent操作授权也是DID的天然场景——Agent需要端侧无介质密码能力,DID恰好提供。
跑道3:OpenHarmony行业版密码基础设施——无人占位。
OpenHarmony已落地100+商用版本,覆盖工业、医疗、教育、交通等垂直行业。每个行业版本都需要密码基础设施:身份认证、数据加密、安全通信。但目前没有看到任何CA厂商明确提出面向OpenHarmony行业版的密码方案。
以医疗为例:医院HIS系统跑在OpenHarmony终端上,电子病历需要合规签名——你是用云端密码服务,还是端侧密码模块?密评怎么过?这些问题没有现成答案,但需求是真实的。
四、最容易踩的3个坑
坑1:把DID当替代PKI。
DID不会替代PKI。VC的签发方仍然是CA等权威机构,法律效力未变。区别只是凭证的存储和验证流程从CA中心化转向用户端侧自主控制。如果你跟客户说「以后不需要CA证书了」,那一定是在误导。
坑2:忽视Agent OS的认证需求。
HarmonyOS 7已经开始让AI Agent自主执行操作了。但很多CA还在用USBKey思维设计产品——Agent拿不了USBKey,怎么办?如果等到客户来问才反应,窗口期就过了。
坑3:等政策推着走就晚了。
2025年7月工信部已经要求APP在2025年9月30日前完成鸿蒙100%功能适配,2026年起新版本须实现三端同步发布。覆盖15个重点领域、3000+主流应用。这不是「选做题」,是「必答题」。CA的移动端SDK如果不适配鸿蒙,等于主动放弃了6600万终端的市场入口。
3步走:CA厂商的鸿蒙适配行动建议
如果你所在的CA还没启动鸿蒙适配,建议按这3步走:
第一步(立即):移动端SDK鸿蒙适配。 基于HUKS的国密能力,将现有身份认证、签名、加密SDK适配鸿蒙,确保6600万终端上的存量客户不断线。这是防守动作,不做就是在丢基本盘。
第二步(Q3-Q4):TEE级密码方案验证。 在HUKS基础上验证TEE环境中的密钥管理和签名能力,对接鸿蒙星盾安全架构,形成「星盾打底+CA SDK上层」的可交付方案。这一步是进攻动作,让你在政务终端国产化替换的项目中有差异化竞争力。
第三步(2027年):DID/VC布局+OpenHarmony行业版。 研究DID可验证凭证体系在跨设备、跨场景中的应用,同时瞄准1-2个OpenHarmony重点行业版(医疗、交通优先),推出行业密码基础设施方案。这是卡位动作,6家CA里目前还没有人做。
6600万终端已经在那里了,40万应用在等着密码能力接入。窗口不会等任何人。