WO2018223509A1

WO2018223509A1 - 管理安全装置中应用的方法和装置

Info

Publication number: WO2018223509A1
Application number: PCT/CN2017/094811
Authority: WO
Inventors: 李国庆; 常新苗; 梅敬青
Original assignee: 华为技术有限公司
Priority date: 2017-06-06
Filing date: 2017-07-28
Publication date: 2018-12-13

Abstract

一种管理安全装置中应用的方法和装置，该方法包括：内容管理装置获取安全装置中已安装的一个应用的属性信息，并根据应用的属性信息，确定存储有与该应用的属性信息对应的加密过的可执行加载文件；内容管理装置向安全装置发送第一指令，以指示安全装置卸载该应用，其中，第一指令包括该应用的属性信息；安全装置根据待卸载的应用的属性信息，获取待卸载的应用对应的用户数据包的标识信息；内容管理装置接收安全装置发送的第一应答，其中第一应答包括该应用的用户数据包的标识信息。通过卸载安全装置中已安装的应用，解决了安全装置的用户可用存储空间不足的问题，同时在安全装置中保留用户数据，确保了用户数据的安全；在内容管理装置中保存了被卸载应用的ELF，确保了可以从终端本地重新安装被卸载的应用。

Description

管理安全装置中应用的方法和装置

技术领域

本申请实施例涉及信息处理技术领域，尤其涉及一种对安全装置中应用的管理方法和装置。

背景技术

安全单元(secure element，SE)是实现移动支付业务的关键因素，它提供了一个具有防篡改(tamper resistant)能力的运行和存储环境以及密码学运算功能，可用于安装、运行支付卡应用和保存用户机密数据，如密钥、证书等,还可用于保存SE或设备敏感应用程序编程接口(device sensitive application programming interface)的访问控制规则(access rules)等。SE可以封装到通用集成电路卡(universal intergrated circuit card,UICC)里，然后安装到终端中，也可以封装为嵌入式安全单元(embedded secure element,eSE),然后焊接到终端的主板上，无论哪种封装形式，终端的中央处理单元(central processing unit,CPU)都可以和终端的SE进行通信。

针对SE中卡应用的管理(也称卡内容管理或SE内容管理)，即SE中卡应用的安装、删除、个人化等操作，可以由可信应用管理服务器(trusted service manager,TSM)通过终端向SE发送内容管理命令或内容管理脚本，或者将SE中卡应用的安装脚本加密后和安装包(Android Package，APK)打包在一起，下载到终端中，在SE管理服务代理(SE management service device agent)控制下进行安装。依据现有的全球平台卡片规范(global platform card specification，GPCS)，对于卡应用，安装到SE中，需要关联到一个安全域(security domain，SD)以便利用安全域提供的安全通道(secure channel)服务，这一要求带来了额外的空间占用；而支持存储管理特性的SE安装卡应用时，要利用预留内存(reserved memory)参数为卡应用预留存储资源，并利用存储配额(memory quota)参数为卡应用指定可扩展的存储空间，这种资源预留的管理方式导致卡应用占据了额外的空间，对SE空间利用率不高，加剧了SE空间的紧张。

发明内容

本发明实施例提供了一种对安全单元中应用的管理方法和装置。通过迁移(或称卸载)SE中的应用，解决了SE的用户可用存储空间不足的问题。

第一方面，提供了一种管理安全装置中应用的方法，该方法可以包括：内容管理装置获取安全装置中已安装的一个应用(如NFC支付应用)的属性信息。内容管理装置根据应用的属性信息，确定存储有与应用的属性信息对应的可执行加载文件ELF，以表明该应用在内容管理装置中已备份相应的ELF。内容管理装置向安全装置发送第一指令(或卸载指令)，其中，第一指令包括应用的属性信息，第一指令用于指示安全装置卸载该应用。内容管理装置接收安全装置发送的第一应答，第一应答包括该应用的用户数据包的标识信息，第一应答用于指示安全装置已成功卸载该应用。该方法通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间。

在一个可选的实现中，内容管理装置接收安全装置发送的第一应答之后，该方法还包括：内容管理装置建立用户数据包的标识信息与应用的属性信息的映射关系，并进行存储，为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

在一个可选的实现中，内容管理装置接收安全装置发送的第一应答之后，该方法还包括：内容管理装置将应用的状态标记为可恢复状态，并通过管理界面呈现给用户，以方便用户在需要时重新安装该应用。

在一个可选的实现中，内容管理装置接收安全装置发送的第一应答之后，该方法还包括：内容管理装置向安全装置发送第二指令，第二指令用于指示安全装置增加可用存储空间，增加的存储空间不大于应用在安全装置中占用的存储空间。内容管理装置接收安全装置的第二应答，第二应答用于确认安全装置增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

在一个可选的实现中，内容管理装置获取安全装置中已安装的一个应用的属性信息之前，该方法还包括：内容管理装置获取应用对应的ELF的属性信息。内容管理装置向安全装置发送第三指令(或获取数据指令)，第三指令包括ELF的属性信息，第三指令用于指示安全装置返回ELF。内容管理装置接收安全装置发送的第三应答，第三应答包括ELF和应用的属性信息。该方法通过内容管理装置存储ELF和应用的属性信息，实现在没有增加安全装置可用存储空间占用的基础上，对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现了备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据，保护了用户的数据信息。

在一个可选的实现中，内容管理装置接收安全装置发送的第一应答之后，该方法还包括：内容管理装置接收恢复安装请求，恢复安装请求可以包括应用的属性信息。内容管理装置根据应用的属性信息，确定存储有与应用的属性信息对应的用户数据包的标识信息，以确认该应用是曾卸载过的应用。内容管理装置向安全装置发送第四指令，第四指令可以包括应用的属性信息和ELF，第四指令用于指示安全装置安装该应用。内容管理装置接收安全装置发送的第四应答，第四应答用于确认该应用已安装成功。该方法通过不依赖于服务器终端间不稳定OTA通道进行应用安装，而是通过从终端的TEE中获取可执行加载文件，提高了安全性，实现了方便快捷的恢复安装。

在一个可选的实现中，内容管理装置向安全装置发送第四指令之前，该方法还包括：内容管理装置向安全装置发送第五指令，第五指令用于指示安全装置获取可用存储空间的状态信息。内容管理装置接收安全装置发送的第五应答，第五应答用于指示可用存储空间的状态信息为充足。

在一个可选的实现中，内容管理装置接收安全装置发送的第四应答之后，该方法还包括：内容管理装置向安全装置发送第六指令，第六指令包括应用的属性信息和用户数据包的标识信息，第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。内容管理装置接收安全装置发送的第六应答，第六应答用于确认安全装置成功执行应用的个人化，从而完成对该应用进行个人化的恢复安装。

在一个可选的实现中，内容管理装置接收安全装置发送的第四应答之后，该方法还包括：内容管理装置向安全装置发送第六指令，第六指令包括该应用的属性信息。第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。内容管理装置接收安全装置发送的第六应答，第六应答用于确认安全装置完成了对该应用的个人化，从而完成对该应用进行个人化的恢复安装。

在一个可选的实现中，安全装置向内容管理装置发送第四应答之后，该方法还包括：内容管理装置向安全装置发送第六指令，第六指令可以包括该应用的用户数据包的标识信息。第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。内容管理装置接收安全装置发送的第六应答，第六应答用于确认安全装置成功执行应用的个人化，从而完成对该应用进行个人化的恢复安装。

在一个可选的实现中，所述内容管理装置接收安全装置发送的第六应答之后，该方法还包括：内容管理装置将应用的状态标记为可用状态。

第二方面，提供了另一种管理安全装置中应用的方法，安全装置接收内容管理装置发送的第一指令，第一指令包括安全装置中已安装的一个应用的属性信息，第一指令用于指示安全装置卸载应用。安全装置根据应用的属性信息，获取应用的用户数据包，该用户数据包包括应用个人化过程中配置的所有数据，并对应用的用户数据包进行存储。安全装置根据用户数据包，配置用户数据包的标识信息。安全装置根据应用的属性信息，卸载应用，已释放占用的存储空间。安全装置向内容管理装置发送第一应答，第一应答包括应用的用户数据包的标识信息，第一应答用于指示安全装置已成功卸载应用。该方法通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间，解决了安全装置的用户可用存储空间不足的问题，同时在安全装置中保存了该应用对应的用户数据包，确保了用户数据的安全。

在一个可选的实现中，安全装置根据用户数据包，配置用户数据包的标识信息之后，该方法还包括：安全装置建立用户数据包的标识信息和应用的属性信息的映射关系，并进行存储，为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

在一个可选的实现中，安全装置向内容管理装置发送第一应答之后，该方法还包括：安全装置接收内容管理装置发送的第二指令。安全装置根据第二指令，增加安全装置的可用存储空间，增加的存储空间不大于应用在安全装置中占用的存储空间。安全装置向内容管理装置发送第二应答，第二应答用于通知内容管理装置安全装置增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

在一个可选的实现中，安全装置接收内容管理装置发送的第一指令之前，该方法还包括：安全装置接收内容管理装置发送的第三指令，第三指令包括应用对应的可执行加载文件ELF的属性信息，所述第三指令用于指示安全装置返回ELF。安全装置根据ELF的属性信息，获取ELF和应用的属性信息。安全装置向内容管理装置发送第三应答，第三应答包括ELF和应用的属性信息。以在没有增加安全装置可用存储空间占用的基础上，使内容管理装置对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据，保护了用户的数据信息。

在一个可选的实现中，安全装置向内容管理装置发送第三应答之前，该方法还包括：ELF为加密过的ELF，安全装置获取加密过的ELF的第一哈希值。安全装置对第一哈希值进行存储。安全装置建立第一哈希值与应用的属性信息的映射关系，以便用户在需要时重新安装该应用。该方法通过不依赖于服务器终端间不稳定OTA通道进行应用安装，而是通过从终端的TEE(包括内容管理装置)中获取可执行加载文件，提高了安全性，实现了方便快捷的恢复安装。

在一个可选的实现中，安全装置向内容管理装置发送第一应答之后，该方法还包括：安全装置接收内容管理装置发送的第四指令，第四指令包括应用的属性信息和加密过的ELF，第四指令用于指示安全装置安装该应用。安全装置获取加密过的ELF的第二哈希值。安全装置根据应用的属性信息，获取存储的第一哈希值。当存储的第一哈希值与第二哈希值匹配时，安全装置对加密过的ELF进行解密，获取ELF。安全装置根据ELF，安装应用。之后，安全装置向内容管理装置发送第四应答，以通知内容管理装置应用安装成功。

在一个可选的实现中，安全装置接收内容管理装置发送的第四指令之前，该方法还包括：安全装置接收内容管理装置发送的第五指令。安全装置根据第五指令，获取安全装置的可用存储空间的状态信息。当安全装置的可用存储空间的状态信息为充足时，安全装置向内容管理装置发送第五应答。

在一个可选的实现中，安全装置向内容管理装置发送第四应答之后，该方法还包括：安全装置接收内容管理装置发送的第六指令，第六指令包括应用的属性信息和应用对应的用户数据包的标识信息。安全装置根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。安全装置向内容管理装置发送第六应答，以通知安全装置完成了对应用的个人化，从而确认安全装置成功执行应用的个人化，完成对该应用进行个人化的恢复安装。

在一个可选的实现中，安全装置向内容管理装置发送第四应答之后，该方法还包括：安全装置接收内容管理装置发送的第六指令，第六指令包括该应用的属性信息。安全装置根据存储的用户数据包的标识信息和应用的属性信息的映射关系，获取该应用的用户数据包的标识信息,并根据用户数据包的标识信息对应的用户数据包，对该应用的属性信息对应的待恢复的应用进行个人化。安全装置向内容管理装置发送第六应答，第六应答用于确认安全装置完成了对应用的个人化，从而确认安全装置成功执行应用的个人化，完成对该应用进行个人化的恢复安装。

在一个可选的实现中，安全装置向内容管理装置发送第四应答之后，该方法还包括：安全装置接收内容管理装置发送的第六指令，第六指令可以包括该应用的用户数据包的标识信息。处理器根据存储的用户数据包的标识信息和应用的属性信息的映射关系，获取该应用的属性信息，并根据用户数据包的标识信息对应的用户数据包，对待恢复的应用的属性信息对应的待恢复的应用进行个人化，从而确认安全装置成功执行应用的个人化，完成对该应用进行个人化的恢复安装。

第三方面，提供了一种内容管理装置，该内容管理装置具有实现上述方法实际中内容管理装置行为的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，提供了一种安全装置，该安全装置具有实现上述方法实际中安全装置行为的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第五方面，提供了另一种内容管理装置，该装置可以包括：处理器、发送器、接收器和储存器。处理器用于获取安全装置中已安装的一个应用的属性信息，并根据该应用的属性信息，确定存储有与该应用的属性信息对应的可执行加载文件ELF。发送器用于向安全装置发送第一指令，其中，第一指令包括该应用的属性信息，第一指令用于指示安全装置卸载该应用。接收器用于接收安全装置发送的第一应答，第一应答包括应用的用户数据包的标识信息，第一应答用于指示安全装置已成功卸载该应用。通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间。

在一个可选的实现中，处理器还用于建立用户数据包的标识信息与该应用的属性信息的映射关系，并进行存储，为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

在一个可选的实现中，处理器还用于将该应用的状态标记为可恢复状态，以通过管理界面呈现给用户，方便用户在需要时重新安装该应用。

在一个可选的实现中，发送器还用于向安全装置发送第二指令，第二指令用于指示安全装置增加可用存储空间，增加的存储空间不大于该应用在安全装置中占用的存储空间。接收器还用于接收安全装置的第二应答，第二应答用于确认安全装置增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

在一个可选的实现中，处理器还用于获取该应用对应的ELF的属性信息。发送器还用于向安全装置发送第三指令，第三指令包括ELF的属性信息，第三指令用于指示安全装置返回ELF。接收器还用于接收安全装置发送的第三应答，第三应答包括ELF和应用的属性信息。存储器用于存储ELF和应用的属性信息，并通过管理界面向用户呈现应用的属性信息。通过内容管理装置存储ELF和应用的属性信息，实现在没有增加安全装置可用存储空间占用的基础上，对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现了备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据，保护了用户的数据信息。

在一个可选的实现中，接收器还用于接收恢复安装请求，恢复安装请求包括该应用的属性信息。处理器还用于根据该应用的属性信息，确定存储有与该应用的属性信息对应的用户数据包的标识信息。发送器还用于向安全装置发送第四指令，第四指令包括应用的属性信息和ELF，第四指令用于指示安全装置安装该应用。接收器还用于接收安全装置发送的第四应答，第四应答用于确认该应用已安装成功。通过不依赖于服务器终端间不稳定 OTA通道进行应用安装，而是通过从终端的TEE中获取可执行加载文件，提高了安全性，实现了方便快捷的恢复安装。

在一个可选的实现中，发送器还用于向安全装置发送第五指令，第五指令用于指示安全装置获取可用存储空间的状态信息。接收器还用于接收安全装置发送的第五应答，第五应答用于指示可用存储空间的状态信息为充足。

在一个可选的实现中，发送器还用于向安全装置发送第六指令，第六指令包括应用的属性信息和用户数据包的标识信息，第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对该应用的属性信息对应的该应用进行个人化。接收器还用于接收安全装置发送的第六应答，第六应答用于确认安全装置完成了对该应用的个人化，从而完成对该应用进行个人化的恢复安装。

在一个可选的实现中，发送器还用于向安全装置发送第六指令，第六指令包括该应用的属性信息。第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。内容管理装置接收安全装置发送的第六应答，第六应答用于确认安全装置完成了对该应用的个人化，从而完成对该应用进行个人化的恢复安装。

在一个可选的实现中，发送器还用于向安全装置发送第六指令，第六指令可以包括该应用的用户数据包的标识信息。第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。内容管理装置接收安全装置发送的第六应答，第六应答用于确认安全装置成功执行应用的个人化，从而完成对该应用进行个人化的恢复安装。

在一个可选的实现中，处理器还用于将该应用的状态标记为可用状态。

第六方面，提供了另一种安全装置，该装置可以包括：接收器、处理器、储存器和发送器。接收器用于接收内容管理装置发送的第一指令，第一指令包括安全装置中已安装的一个应用的属性信息，第一指令用于指示处理器卸载该应用。处理器用于根据该应用的属性信息，获取该应用的用户数据包。储存器用于并对该应用的用户数据包进行存储。处理器还用于根据用户数据包，配置用户数据包的标识信息。处理器还用于安全装置根据应用的属性信息，卸载该应用。发送器用于向内容管理装置发送第一应答，第一应答包括该应用的用户数据包的标识信息，第一应答用于指示安全装置已成功卸载该应用。通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间，解决了安全装置的用户可用存储空间不足的问题，同时在安全装置中保存了该应用对应的用户数据包，确保了用户数据的安全。

在一个可选的实现中，处理器还用于建立用户数据包的标识信息和应用的属性信息的映射关系，以使储存器进行存储，为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

在一个可选的实现中，接收器还用于接收内容管理装置发送的第二指令。处理器还用于根据第二指令，增加安全装置的可用存储空间，增加的存储空间不大于应用在安全装置中占用的存储空间。发送器还用于向内容管理装置发送第二应答，第二应答用于通知内容管理装置安全装置增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

在一个可选的实现中，接收器还用于接收内容管理装置发送的第三指令，第三指令包括应用对应的可执行加载文件ELF的属性信息，第三指令用于指示安全装置返回ELF。处理器还用于根据ELF的属性信息，获取加密过的ELF和应用的属性信息。发送器还用于向内容管理装置发送第三应答，第三应答包括ELF和应用的属性信息，以在没有增加安全装置可用存储空间占用的基础上，使内容管理装置对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据，保护了用户的数据信息。

在一个可选的实现中，ELF可以是加密过的ELF，处理器还用于获取加密过的ELF的第一哈希值。储存器还用于对该第一哈希值进行存储。处理器还用于建立第一哈希值与应用的属性信息的映射关系，以便用户在需要时重新安装该应用。通过不依赖于服务器终端间不稳定OTA通道进行应用安装，而是通过从终端的TEE(包括内容管理装置)中获取可执行加载文件，提高了安全性，实现了方便快捷的恢复安装。

在一个可选的实现中，接收器还用于接收内容管理装置发送的第四指令，第四指令包括应用的属性信息和加密过的ELF，第四指令用于指示处理器安装该应用。处理器还用于获取加密过的ELF的第二哈希值。处理器还用于根据应用的属性信息，获取存储的第一哈希值，并将存储第一哈希值与计算出的哈希值进行匹配。当存储的第一哈希值与第二哈希值匹配时，处理器对加密过的ELF进行解密，获取ELF，并根据ELF，安装该应用。发送器还用于向内容管理装置发送第四应答，第四应答用于通知内容管理装置该应用安装成功。

在一个可选的实现中，接收器还用于接收内容管理装置发送的第五指令。处理器810，还用于根据第五指令，获取安全装置的可用存储空间的状态信息。发送器还用于当安全装置的可用存储空间的状态信息为充足时，向内容管理装置发送可用第五应答。

在一个可选的实现中，接收器还用于接收内容管理装置发送的第六指令，第六指令包括应用的属性信息和应用对应的用户数据包的标识信息。处理器还用于根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。发送器还用于向内容管理装置发送第六应答，以通知处理器完成了对应用的个人化，完成对该应用进行个人化的恢复安装。

在一个可选的实现中，接收器还用于接收内容管理装置发送的第六指令，第六指令包括该应用的属性信息。处理器还用于根据存储的用户数据包的标识信息和应用的属性信息的映射关系，获取该应用的用户数据包的标识信息,并根据用户数据包的标识信息对应的用户数据包，对该应用的属性信息对应的待恢复的应用进行个人化。发送器还用于向内容管理装置发送第六应答，第六应答用于通知安全装置完成了对应用的个人化，从而确认安全装置成功执行应用的个人化，完成对该应用进行个人化的恢复安装。

在一个可选的实现中，接收器还用于安全装置接收内容管理装置发送的第六指令，第六指令可以包括该应用的用户数据包的标识信息。处理器根据存储的用户数据包的标识信息和应用的属性信息的映射关系，获取该应用的属性信息，并根据用户数据包的标识信息对应的用户数据包，对待恢复的应用的属性信息对应的待恢复的应用进行个人化，从而确认安全装置成功执行应用的个人化，完成对该应用进行个人化的恢复安装。

第七方面，提供了一种包含指令的计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述第一方面或第二方面所述的方法。

第八方面，提供了一种计算机可读存储介质。该计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现上述第一方面或第二方面所述的方法。

由此可知，本申请上述各方面通过在安全环境中备份程序代码，在安全装置中备份用户数据，减少了管理安全装置中应用对服务器的依赖，提高了利用终端管理安全装置中应用的灵活性，并降低服务器压力(重装应用时无需连接可信应用管理服务器(trusted service manager，TSM))，同时通过可信执行环境(trusted excution environment，TEE)扩展了安全装置可用存储空间。较便捷的实现了安全装置中应用的安装与卸载，以及对安全装置中可用存储空间的管理，使得可用存储空间有限的安全装置可容纳更多的应用。

附图说明

图1为本发明实施例提供的一种系统架构图；

图2为本发明实施例提供的一种对安全单元SE中应用的安装的方法流程图；

图3为本发明实施例提供的另一种管理安全单元SE中应用的方法流程图；

图4为本发明实施例提供的再一种管理安全单元SE中应用的方法流程图；

图5为本发明实施例提供的一种内容管理装置的结构示意图；

图6为本发明实施例提供的一种安全装置的结构示意图；

图7为本发明实施例提供的另一种内容管理装置的结构示意图；

图8为本发明实施例提供的另一种安全装置的结构示意图。

具体实施方式

下面通过附图和实施例，对本申请的技术方案做进一步的详细描述。

本申请提供的管理SE中应用的方法可以应用在图1所示的系统中。如图1所示，该系统可以包括服务器和终端。服务器可以包括可信应用管理服务器(trusted service manager，TSM)。终端可以包括富执行环境(rich execution environment，REE)、可信执行环境(trusted excution environment，TEE)和安全单元SE。其中，富执行环境可以是安卓操作环境，TEE中可以包括SE内容管理代理(management agent/Mgt agent)、卡应用代码存储单元(executable load file storage/ELF Storage)和卡应用管理界面(management UI/Mgt UI)。TSM Agent是终端中为TSM和SE之间通信服务的实体，TSM Agent可以存在于REE中，也可以存在于TEE中(如图1所示)，也就是说，TSM Agent可以是REE中的应用也可以是TEE中的应用。TSM Agent与SE之间，以及Mgt agent与SE之间均可通过安全通道(secure channel)进行通信。其中，通过该安全通道传输的内容都是加密过的。内容管理代理是TEE中一个可信应用，或可信操作系统(operating system， OS)的一部分。

TEE和SE之间可以通过串行外设接口(serial peripheral interface，SPI)或通用异步收发传输接口(universal asynchronous receiver/transmitter，UART)连接，还可通过单线协议(single wire protocol，SWP)接口连接。

本申请涉及终端的硬件配置需要同时具有TEE和SE，并且可以在TEE中实现SE存储管理功能。该终端可以是用户设备(user equipment，UE)，如移动电话、蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、平板电脑、个人数字助手(personal digital assistant，PDA)、具备无线通信功能的手持设备、计算设备、车载通信模块、M2M设备，智能手表、移动台(mobile station，MS)、移动终端(mobile terminal)，计算机，微机等等，本申请对此并不限定。

进一步的，在TEE中可以通过TEE操作系统(TEE OS)或可信应用(trusted applications，TA)来实现SE存储管理功能。终端对SE进行卡应用管理时，通过位于REE或TEE中的TSM Agent与SE建立的安全通道，TSM Agent将内容管理命令或内容管理脚本发送给SE，SE执行内容管理命令；Mgt Agent可通过TSM Agent从SE获得内容管理命令或内容管理脚本；Mgt Agent还可直接与SE建立安全通道，从而直接获得SE中的内容管理命令或内容管理脚本。内容管理脚本包含至少一条内容管理命令，所述内容管理命令是GPCS定义的应用协议数据单元(application protocol data unit，APDU)。

在终端上安装卡应用时，Mgt Agent在TEE中缓存该卡应用的可执行加载文件(executable load file，ELF)，并监控SE可用存储空间使用状况，其中，卡应用可以是近距离无线通讯技术(near field communication，NFC)支付应用(如虚拟银行卡应用、公交卡应用等)、门禁卡应用、会员卡应用、安全域应用，或其他的安全单元中的卡应用。终端根据SE内存空间的使用情况或者用户选择，将待卸载的卡应用的用户数据保存于SE中，同时卸载该卡应用，以将该卡应用占用空间和预留给该卡应用的空间释放，使之成为可用存储空间。当用户再次需要该卡应用(恢复安装已经卸载的卡应用)时，此时终端无需连接TSM服务器，可直接通过TEE中保存的ELF向SE安装卡应用，并利用SE中备份的用户数据对卡应用进行个人化(personal ization)，从而以方便快捷的方式安装已经卸载过的卡应用并恢复成卸载前的状态。

需要说明的是，终端或用户可以根据需要，设定SE的最小可用存储空间剩余量M(M大于零)、设定最多加载的卡应用数N(N为自然数)和提供迁出(或卸载)卡应用的功能。其中，下面将卡应用统称为应用。

本申请在安装应用、卸载应用与重安装应用的三个阶段实现了对SE中应用的管理，通过在终端侧的TEE中备份加密后的ELF和应用的属性信息，以及在SE中备份用户数据，减少了管理SE中的应用时对TSM服务器的依赖，扩展了SE可用的空间，实现了SE中卡应用的安装、卸载和可用存储空间的管理，同时使重装卡应用变得方便快捷。

下面针对安装卡应用、卸载卡应用和重安装卡应用三个过程对SE中卡应用的管理方法进行详细描述。

图2为本发明实施例提供的一种管理安全单元SE中应用的方法流程图。如图2所述，该方法可以包括：

步骤210、内容管理装置获取安全装置中已安装的一个应用的可执行加载文件的属性信息。

其中，内容管理装置可以是前文所述的内容管理代理(Mgt Agent)，安全装置可以是前文所述的安全单元(SE)。Mgt Agent获取SE中已安装的一个应用对应的可执行加载文件的属性信息。该应用可以是NFC支付应用，其中，可执行加载文件的属性信息可以是该可执行加载文件的标识信息，如AID1。

具体的，Mgt Agent可以通过以下方式获取SE中已安装的一个应用对应的可执行加载文件的属性信息：

方式一，TSM Agent在向SE发送内容管理脚本时，检测到内容管理脚本中包含安装指令，如INSTALL[for load]指令；当TSM Agent接收到SE发送的INSTALL[for load]指令的应答，确认该指令执行状态为成功时，TSM Agent向Mgt Agent发送安装通知消息，该安装通知消息可以包括从INSTALL[for load]指令中获得的可执行加载文件的属性信息，以指示Mgt Agent执行本实施例下面的步骤对SE中已安装的一个应用对应的可执行加载文件进行备份保存。这里的INSTALL[for load]指令是GPCS定义的。

方式二，SE直接向Mgt Agent发送安装通知消息，该安装通知消息可以包括可执行加载文件的属性信息，以指示Mgt Agent执行本实施例下面的步骤对SE中已安装的一个应用对应的可执行加载文件进行备份保存。

方式三，当TSM Agent向SE发送内容管理脚本，SE成功的执行内容管理脚本，完成一个应用的安装时，SE将脚本执行状态信息返回给TSM Agent，TSM Agent将内容管理脚本和脚本执行成功的状态信息发送给Mgt Agent，其中，内容管理脚本可以包括安装指令、ELF、ELF对应的应用的属性信息等，Mgt Agent从内容管理脚本和脚本执行状态信息中提取ELF的属性信息(如ELF的标识AID1)。在这一方式中，Mgt Agent还可以提取利用该ELF安装成功的应用的属性信息(如应用的标识信息AID2)。Mgt Agent还可从内容管理脚本中提取ELF，并保存于TEE中。

方式四，用户通过内容管理界面选中SE中已安装的一个应用时，终端将选中的该应用的属性信息(如应用的标识信息AID2)传给Mgt Agent，Mgt Agent可以根据应用的属性信息，获得其对应的ELF的属性信息，也可以向SE发送查询消息获得ELF的属性信息。

步骤220、内容管理装置向安全装置发送第三指令，第三指令包括可执行加载文件的属性信息。

第三指令可以是获取数据指令，如GET DATA指令。Mgt Agent可通过TSM Agent向SE发送获取数据指令，也可直接向SE发送获取数据指令。这里的GET DATA指令是本发明实施例定义的，GET DATA包含可执行加载文件的属性信息，用于指示SE返回可执行加载文件。

步骤230、安全装置根据可执行加载文件的属性信息，获取可执行加载文件和可执行加载文件对应的应用的属性信息。

SE收到获取数据指令后，查找与可执行加载文件的属性信息对应的可执行加载文件，以及可执行加载文件对应的应用的属性信息，如AID2。例如，SE可通过查询SE中的GP注册表获得应用的属性信息对应的ELF，以及ELF对应的应用的属性信息。

可选地，安全装置根据可执行加载文件的属性信息，还可以获取加密过的可执行加载文件。

支持Java Card API的SE，具有密钥生成功能。SE调用其支持的Java Card API，生成加密密钥(如AES Key)，利用加密密钥和加密算法对可执行加载文件进行加密处理，获取加密过的可执行加载文件。SE对加密过的可执行加载文件进行预设的哈希运算(例如，SHA256，SHA512等)，获取加密过的可执行加载文件的第一哈希值，以保证可执行加载文件的完整性。最后，SE保存加密过的可执行加载文件的第一哈希值和加密密钥，并建立应用的属性信息和加密密钥的映射关系。其中，加密算法可以是利用对称密钥加密的DES、AES等算法，或RSA、ECC等利用非对称密钥进行加密的算法，也就是说该加密算法可以是SE支持的任一加密算法。

可以理解的是，SE还可以通过对加密过的可执行加载文件进行签名处理，获取数字签名来保证ELF的完整性。其中，该数字签名可以由SE利用SE生成的非对称密钥的私钥生成，以保证ELF的完整性。

步骤240、安全装置向内容管理装置发送第三应答，该第三应答包括可执行加载文件和可执行加载文件对应的应用的属性信息。

该第三应答还可以包括加密后的可执行加载文件和可执行加载文件对应的应用的属性信息。

在执行该步骤之前，SE将加密过的可执行加载文件的第一哈希值与该应用的属性信息建立映射关系，并存储该映射关系。

该第三应答可以是获取数据指令的应答。

步骤250、内容管理装置对可执行加载文件和可执行加载文件对应的应用的属性信息进行备份保存。

Mgt Agent提供管理界面(Mgt UI)，Mgt Agent将接收到的可执行加载文件或加密过的可执行加载文件和对应的应用的属性信息添加到管理界面，通过该界面向用户呈现，以便用户在必要时利用存储的ELF重新安装应用。

可选地，获取数据指令的应答还可以只包括可执行加载文件或加密过的可执行加载文件，之后安全单元再向内容管理代理发送可执行加载文件对应的应用的属性信息(AID2)。

可选地，可执行加载文件或加密过的可执行加载文件和可执行加载文件对应的应用的属性信息还可以备份存储在内容管理代理之外的TEE的可信存储区域中，当内容管理代理需要加密过的可执行加载文件和/或可执行加载文件对应的应用的属性信息时，内容管理代理从该存储区域进行读取。

需要说明的是，Mgt Agent可直接向SE或向SE中特定的安全域发送第三指令，并获得第三应答；或者Mgt Agent可通过TSM Agent向SE转发第三指令，以使Mgt Agent通过TSM Agent获得第三应答，使得Mgt Agent与SE中特定的安全域通信。

TSM Agent向SE发送内容管理脚本时，可向SE添加一条访问控制规则，该访问控制规则用于允许Mgt Agent访问SE中正在处理内容管理脚本的安全域(即ELF关联的安全域，也是内容管理脚本中要利用ELF安装的应用关联的安全域)，这样，即使SE中不包含预设的访问控制规则，也可通过这种后添加的方式修改SE配置，使得Mgt Agent可与SE中特定的安全域通信，例如，允许Mgt Agent向特定的安全域发送GET DATA指令用于获得加密过的ELF；允许Mgt Agent向特定的安全域发送INSTALL[for load]指令，用于向安全域恢复安装一个应用，Mgt Agent备份了这个应用的加密过的ELF。注意，Mgt Agent发送的INSTALL[for load]指令是本发明实施例定义的，用于从终端TEE中向SE发送可执行加载文件并指示SE利用ELF安装应用。

本发明上述实施例在没有增加SE可用存储空间占用的基础上，对已安装到SE中的应用对应的可执行加载文件和该应用的属性信息在TEE环境中进行了备份，并且将备份的加密过的可执行加载文件通过管理界面呈现，同时在SE中记录了相应加密过的可执行加载文件的完整性数据。

图3为本发明实施例提供的另一种管理安全单元SE中应用的方法流程图。如图3所述，该方法可以包括：

步骤310、内容管理装置获取待卸载的应用的属性信息。

其中，内容管理装置可以是前文所述的内容管理代理(Mgt Agent)。待卸载的应用为SE中已安装的一个应用，如NFC支付应用。当Mgt Agent检测到SE的可用存储空间剩余量不足M(M为SE预设或用户设定的一个最低可用存储空间值)时，Mgt Agent依据SE中安装的至少一个应用的使用频率和/或上一次使用的时间，将至少一个使用频率低于预设门限频率值或上次使用时间距离现在超过预设门限时间值的应用确定为待卸载的应用，Mgt Agent获取该应用的属性信息，或者，当用户向Mgt Agent发送卸载请求时，该卸载请求可以包括应用的属性信息，从而Mgt Agent获取待卸载的应用的属性信息。

步骤320、内容管理装置根据待卸载的应用的属性信息，确定存储有与该应用的属性信息对应的加密过的可执行加载文件。

内容管理代理在步骤250中备份的至少一个应用的属性信息中，查找是否存在待卸载的应用的属性信息，若不存在，则表明该应用之前没有安装过，拒绝卸载操作；若存在，则执行步骤330。

步骤330、内容管理装置向安全装置发送第一指令，第一指令包括待卸载的应用的属性信息，第一指令用于指示SE卸载该应用。

其中，安全装置可以是前文所述的安全单元(SE)。

第一指令可以是卸载指令，如GPCS定义的DELETE指令。

步骤340、安全装置根据待卸载的应用的属性信息，获取待卸载的应用对应的用户数据包的标识信息。

在初次安装应用后，使用该应用进行交易之前，以NFC支付应用为例，也就是说，在向SE中首次安装某个NFC支付应用，并使用该NFC支付应用与销售点(point of sale， POS)终端进行交易之前，用户需要通过TSM Agent对该NFC支付应用进行数据配置，或个人化(personalization)，即TSM Agent向NFC支付应用中配置个人数据，如token和卡片密钥等信息，其中，虚拟账号(Token)是通过向Token服务器提交用户拥有的一张真实卡片的账号信息(personal account number,PAN)、持卡人信息、有效期和其他必要信息获取到的，Token服务器由发行借记卡或信用卡的银行，或银行卡组织，如中国银联，维萨(Visa)，万事达卡(Mastercard)等维护，为用户提供token服务；Token是保存于NFC支付应用中的一个标识，POS终端和POS终端连接的支付网络可依据Token追查到用户真实卡片的账号，完成扣费交易，卡片密钥是指至少一个用于向POS证明卡片是合法卡片的密钥。

在安全单元接收到第一指令后，安全单元根据第一指令中包括的应用的属性信息(AID2)，获取该应用的用户数据包，该用户数据包包括应用个人化过程中配置的所有数据，例如，对NFC支付应用来说，包括Token、有效期和卡片密钥等，并对应用的用户数据包进行备份存储。安全单元可以根据应用的用户数据包，配置用户数据包的标识信息。或者，安全单元可以根据应用的属性信息和应用的用户数据包，配置用户数据包的标识信息，标识信息可以是利用应用的属性信息和备份时间生成的标识，例如，AID2-2017-05-05-14:50:55，以对该用户数据包进行标识。

安全单元对获取的用户数据包进行备份存储，利用原关联安全域的密钥或用户密码PIN对该用户数据包进行保护后，保存于当前关联安全域或专门的数据备份安全域中，并配置该用户数据包的标识信息，该标识信息可以是SE根据应用的属性信息和备份时间生成的标识，还可以是该用户数据包的哈希值。

进一步的，安全单元建立用户数据包的标识信息和应用的属性信息的映射关系，并对该映射关系进行存储。

安全单元根据步骤240中加密过的可执行加载文件的哈希值与应用的属性信息间的映射关系，可以获取到用户数据包的标识信息与相应加密过的可执行加载文件的哈希值间的映射关系。

可选地，安全单元也可以建立步骤230中加密过的可执行加载文件的哈希值与用户数据包的标识信息建立映射关系，并对该映射关系进行存储。

之后，安全单元对待卸载的应用进行卸载，以释放待卸载的应用占用的空间，并调整安全单元的可用存储空间。若SE中保存了待卸载应用的ELF，则SE删除该ELF。

可选地，如果该待卸载的应用的关联安全域(security domain，SD)有缓存安全域的可执行加载文件，并且只关联了待卸载的应用，则安全单元可启动安全域清理，备份安全域用户数据后，卸载安全域并调整为安全域预留的空间。

步骤350、安全装置向内容管理装置发送第一应答，第一应答包括用户数据包的标识信息。

SE向Mgt Agent发送第一应答，该第一应答可以是卸载应答，以指示该待卸载的应用已被成功卸载。

可选地，成功卸载该应用后，Mgt Agent向SE发送第二指令，其中，第二指令可以是调整存储空间指令，以指示SE增加可用存储空间，且增加的存储空间不大于卸载的该应用在SE中占用的存储空间。SE收到该指令后，调整SE的可用存储空间。

在一个例子中，卸载的该应用为NFC支付应用。Mgt Agent向SE发送第二指令，SE根据第二指令，增加M的可用存储空间，M为不大于NFC支付应占用的可用存储空间的字节数。

SE向Mgt Agent发送第二应答，该第二应答可以是调整可用存储空间应答，以通知Mgt Agent，SE增加了可用存储空间，如增加了M的可用存储空间。

可选地，安全单元将用户数据包的标识信息与在安装应用过程中SE保存的待卸载的应用对应的哈希值(步骤230中保存的哈希值)建立映射进行关联，即建立用户数据包的标识信息与待卸载的应用对应的哈希值的映射关系。待卸载的应用对应的哈希值，为安装待卸载应用过程中，对该应用的ELF进行加密后再对加密过的ELF进行预设哈希运算得到的哈希值。

步骤360、内容管理装置建立用户数据包的标识信息与待卸载的应用的属性信息的映射关系。

Mgt Agent接收和保存第一应答中包含的用户数据包的标识信息，并建立用户数据包的标识信息与步骤250存储的该应用的属性信息的映射关系，并将该映射关系保存到位于TEE中的可恢复应用列表中，该可恢复应用列表可通过界面向用户呈现(即用户通过UI界面可查询到哪些应用可恢复)，也就是说，Mgt Agent通过应用的属性信息，可以查询到与应用的属性信息有映射关系的用户数据包的标识信息，以及ELF或加密过的ELF。

可选地，内容管理代理将该应用标记为可恢复状态，并通过UI呈现给用户，以便用户在需要时恢复安装该应用。

本发明上述实施例通过卸载应用释放了SE中可用存储空间，同时在SE中保存了该应用对应的用户数据，确保了用户数据的安全，并通过设定用户数据包的标识信息与可执行加载文件的关联关系，为用户重新安装该应用提供了便利。

图4为本发明实施例提供的再一种管理安全单元SE中应用的方法流程图。如图4所示，该方法可以包括：

步骤410、内容管理装置接收恢复安装请求，恢复安装请求包括应用的属性信息(AID2)。

Mgt Agent可以接收用户通过管理界面(Mgt UI)发送的恢复应用请求，该恢复应用请求可以包括待恢复的应用的属性信息(AID2)。该应用可以是NFC支付应用。

步骤420、内容管理装置根据待恢复的应用的属性信息，确定存储有与该待恢复的应用的属性信息对应的用户数据包的标识信息。

内容管理代理在步骤250中备份的应用的属性信息中，查找是否存在待恢复的应用的属性信息，若存在，则执行步骤430，若不存在，则指示待恢复的应用为新应用需要通过TSM服务器下载安装，拒绝从本地恢复。

步骤430、内容管理装置向安全装置发送第四指令，第四指令可以包括待恢复的应用的属性信息和该应用对应的加密过的可执行加载文件。

可选地，第四指令可以包括待恢复的应用的属性信息和该应用对应的可执行加载文件。

第四指令可以是安装指令，如INSTALL[for load]指令，以指示SE对该应用进行恢复安装。注意，这里的INSTALL[for load]指令是本申请实施例定义的，用于从终端TEE向SE加载可执行加载文件ELF，并指示SE利用ELF恢复安装应用。

内容管理代理根据待恢复的应用的属性信息，获取内容管理代理存储的与该应用对应的由步骤250存储的加密过的可执行加载文件。

可选地，内容管理代理根据待恢复的应用的属性信息，获取内容管理代理存储的与该应用对应的由步骤250存储的可执行加载文件。

内容管理代理向安全单元发送ISNTALL[for load]指令，该INSTALL[for load]指令可以包括待恢复的应用的属性信息和该应用对应的加密过的可执行加载文件，或者，该指令可以包括待恢复的应用的属性信息和该应用对应的可执行加载文件。

该INSTALL[for load]指令还可以包括待恢复的应用要关联的SD的标识信息，以使SE将接收的待恢复的应用的属性信息和加密过的可执行加载文件存储到SD的标识信息对应的可用存储空间中进行安装。或者，

在内容管理代理向安全单元发送INSTALL[for load]之前，内容管理代理可以向安全单元发送本发明实施例定义的INSTALL[for restore]，该指令可以包括待恢复的应用对应的加密过的ELF的属性信息和SD的标识信息，用于指示SE将后续收到的ELF关联到制定的安全域。之后，内容管理代理向安全单元发送INSTALL[for load]指令，用于将加密过的可执行加载文件存储到SD的标识信息对应的可用存储空间中进行安装。

可选地，在执行该步骤之前，内容管理代理可以向安全单元发送第五指令，以使安全单元根据第五指令向内容管理代理发送第五应答，使得内容管理代理获取可用存储空间的状态信息。该第五指令可以是可用存储空间查询指令。

当内容管理代理根据第五应答确定状态信息为不足时，安全单元向内容管理代理发送卸载指令，执行步骤310以获取可用存储空间。

当内容管理代理根据第五应答确定状态信息为充足时，安全单元向内容管理代理发送第五应答，第五应答可以是可用存储空间充足应答。

步骤440、安全装置将存储的加密过的可执行加载文件的第一哈希值与接收的加密过的可执行加载文件的第二哈希值进行匹配。

安全单元根据待恢复的应用的属性信息，获取在步骤230中存储的加密过的可执行加载文件的第一哈希值，同时对接收的加密过的可执行加载文件进行预设的哈希运算(例如，SHA256等)，获取第二哈希值。

安全单元将上述存储的第一哈希值与第二哈希值进行匹配，若匹配成功，则执行步骤450；若匹配不成功，则安全单元向内容管理代理返回拒绝安装指令，以指示待恢复应用已被篡改，并提示Mgt Agent删除缓存的ELF，或者，提示两者哈希值不一致，存在风险，由用户决定是否继续安装。

可选地，如果在图2所示的卸载过程中同时卸载了待恢复应用关联的安全域，则在此阶段需要先安装SD，再对该应用进行安装。

如果步骤430中第四指令包括的是待恢复的应用的属性信息和该应用对应的可执行加载文件，则可直接利用第四指令中的可执行加载文件进行应用安装而无需执行步骤440的完整性校验。

步骤450、安全装置向内容管理装置发送第四应答，第四应答用于确认应用已安装成功。

安全单元根据存储的相应密钥，对加密过的ELF进行解密，获取ELF，并根据ELF安装应用，将应用关联到安全域。之后，安全单元向内容管理代理发送安装应答。

如果步骤430中第四指令包括的是待恢复的应用的属性信息和该应用对应的可执行加载文件，则可直接利用第四指令中的可执行加载文件进行应用安装，并向内容管理代理发送安装应答。

在执行该步骤之后，内容管理代理可以向安全单元发送第六指令，该第六指令可以是个人化指令。

其中，第六指令可以包括待恢复的应用的用户数据包的标识信息。

SE根据步骤360存储的用户数据包的标识信息和应用的属性信息的映射关系，获取待恢复的应用的属性信息；

SE根据用户数据包的标识信息对应的用户数据包，对待恢复的应用的属性信息对应的待恢复的应用进行个人化。

或者，第六指令可以包括待恢复的应用的属性信息。

SE根据步骤360存储的用户数据包的标识信息和应用的属性信息的映射关系，获取待恢复的应用的用户数据包的标识信息；

或者，第六指令可以包括待恢复的应用的属性信息和待恢复的应用的用户数据包的标识信息；

SE向内容管理代理发送第六应答，以通知SE完成了对该应用的个人化。

可选地，内容管理代理将该应用的状态标记为可用状态。

本发明上述实施例通过不依赖于服务器终端间不稳定OTA通道进行应用安装，而是选择从终端的TEE中获取可执行加载文件(或称程序安装包)，并利用SE保存的用户数据对应用进行恢复安装和个人化，提高了管理SE中应用的灵活性和安全性，实现了方便快捷的恢复安装方法。

从上述安装、卸载、卸载后安装的实施例可知，本申请通过在安全环境中备份程序代码，在安全装置中备份用户数据，减少了管理安全装置中应用对服务器的依赖，提高了利用终端管理安全装置中应用的灵活性，并降低服务器压力(重装应用时无需连接TSM)，同时通过TEE扩展了安全装置可用存储空间。较便捷的实现了安全装置中应用的安装与卸载，以及对安全装置中可用存储空间的管理，使得可用存储空间有限的安全装置可容纳更多的应用。

本发明实施例还提供一种内容管理装置，如图5所示，该装置可以包括：处理单元510、发送单元520和接收单元530。

处理单元510，用于获取安全装置中已安装的一个应用的属性信息，并根据该应用的属性信息，确定存储有与该应用的属性信息对应的可执行加载文件ELF。

发送单元520，用于向安全装置发送第一指令，其中，第一指令包括该应用的属性信息，第一指令用于指示安全装置卸载该应用。

接收单元530，用于接收安全装置发送的第一应答，第一应答包括应用的用户数据包的标识信息，第一应答用于指示安全装置已成功卸载该应用。通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间。

可选地，处理单元510，还用于建立用户数据包的标识信息与该应用的属性信息的映射关系。为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

可选地，处理单元510，还用于将该应用的状态标记为可恢复状态，以便用户在需要时重新安装该应用。

可选地，发送单元520，还用于向安全装置发送第二指令，第二指令用于指示安全装置增加可用存储空间，增加的存储空间不大于该应用在安全装置中占用的存储空间。

接收单元530，还用于接收安全装置的第二应答，第二应答用于确认安全装置增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

可选地，该装置还可以包括存储单元540。处理单元510，还用于获取该应用对应的ELF的属性信息。

发送单元520，还用于向安全装置发送第三指令，第三指令包括ELF的属性信息，第三指令用于指示安全装置返回ELF。

接收单元530，还用于接收安全装置发送的第三应答，第三应答包括ELF和应用的属性信息。

存储单元540，用于存储ELF和应用的属性信息，从而在没有增加安全装置可用存储空间占用的基础上，对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现了备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据。

可选地，接收单元530，还用于接收恢复安装请求，恢复安装请求包括该应用的属性信息。

处理单元510，还用于根据该应用的属性信息，确定存储有与该应用的属性信息对应的用户数据包的标识信息。

发送单元520，还用于向安全装置发送第四指令，第四指令包括应用的属性信息和的ELF，第四指令用于指示安全装置安装该应用。

接收单元530，还用于接收安全装置发送的第四应答，第四应答用于确认该应用已安装成功。由此通过不依赖于服务器终端间不稳定OTA通道进行应用安装，而是通过从终端的TEE中获取可执行加载文件，提高了安全性，实现了方便快捷的恢复安装。

可选地，发送单元520，还用于向安全装置发送第五指令，第五指令用于指示安全装置获取可用存储空间的状态信息。

接收单元530，还用于接收安全装置发送的第五应答，第五应答用于指示可用存储空间的状态信息为充足。

可选地，发送单元520，还用于向安全装置发送第六指令，第六指令包括应用的属性信息和用户数据包的标识信息，第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对该应用的属性信息对应的该应用进行个人化。

接收单元530，还用于接收安全装置发送的第六应答，以确认安全装置完成了对该应用的个人化，从而完成对该应用的个人化恢复安装。

可选地，处理单元510，还用于将该应用的状态标记为可用状态。

该内容管理装置的各功能单元的功能，可以通过上述图2-图4中实施例的各步骤来实现，其具体实现过程可以参照上述方法实施例的相关描述，在此不复赘述。

从上述安装、卸载、卸载后安装的实施例可知，本申请通过在安全环境(如内容管理装置)中备份程序代码，在安全装置中备份用户数据，减少了管理安全装置中应用对服务器的依赖，提高了利用终端管理安全装置中应用的灵活性，并降低服务器压力(重装应用时无需连接TSM)，同时通过TEE扩展了安全装置可用存储空间。较便捷的实现了安全装置中应用的安装与卸载，以及对安全装置中可用存储空间的管理，使得可用存储空间有限的安全装置可容纳更多的应用。

本发明实施例还提供一种安全装置，如图6所示，该装置可以包括：接收单元610、处理单元620、存储单元630和发送单元640。

接收单元610，用于接收内容管理装置发送的第一指令，第一指令包括安全装置中已安装的一个应用的属性信息，第一指令用于指示处理单元620卸载该应用。

处理单元620，用于根据该应用的属性信息，获取该应用的用户数据包。

存储单元630，用于对该应用的用户数据包进行存储。处理单元620，还用于根据用户数据包，配置用户数据包的标识信息。

处理单元620，还用于根据应用的属性信息，卸载该应用。

发送单元640，用于向内容管理装置发送第一应答，第一应答包括该应用的用户数据包的标识信息，第一应答用于指示安全装置已成功卸载该应用。

通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间，解决了安全装置的用户可用存储空间不足的问题，同时在安全装置中保存了该应用对应的用户数据包，确保了用户数据的安全。

可选地，处理单元620，还用于建立用户数据包的标识信息和应用的属性信息的映射关系。为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

可选地，接收单元610，还用于接收内容管理装置发送的第二指令。

处理单元620，还用于根据第二指令，增加安全装置的可用存储空间，增加的存储空间不大于应用在安全装置中占用的存储空间。

发送单元640，还用于向内容管理装置发送第二应答，第二应答用于通知内容管理装置安全装置增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

可选地，接收单元610，还用于接收内容管理装置发送的第三指令，第三指令包括应用对应的可执行加载文件ELF的属性信息，第三指令用于指示安全装置返回ELF。

处理单元620，还用于根据ELF的属性信息，获取加密过的ELF和应用的属性信息。

发送单元640，还用于向内容管理装置发送第三应答，第三应答包括ELF和应用的属性信息。

由此，在没有增加安全装置可用存储空间占用的基础上，使内容管理装置对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据。

可选地，ELF可以是加密过的ELF，处理单元620，还用于获取加密过的ELF的第一哈希值。

存储单元630，还用于对该第一哈希值进行存储。

处理单元620，还用于建立第一哈希值与应用的属性信息的映射关系，并存储到存储单元630中。

由此，通过不依赖于服务器终端间不稳定OTA通道进行应用安装，而是通过从终端的TEE(包括内容管理装置)中获取可执行加载文件，提高了安全性，实现了方便快捷的恢复安装方法。

可选地，接收单元610，还用于接收内容管理装置发送的第四指令，第四指令包括应用的属性信息和加密过的ELF，第四指令用于指示处理单元620安装该应用。

处理单元620，还用于获取加密过的ELF的第二哈希值。

处理单元620，还用于根据应用的属性信息，获取存储的第一哈希值，并当存储的第一哈希值与第二哈希值匹配时，处理单元620对加密过的ELF进行解密，获取ELF，并根据ELF，安装该应用。

发送单元640，还用于向内容管理装置发送第四应答，第四应答用于通知内容管理装置该应用安装成功。

可选地，接收单元610，还用于接收内容管理装置发送的第五指令。

处理单元620，还用于根据第五指令，获取安全装置的可用存储空间的状态信息。

发送单元640还用于当安全装置的可用存储空间的状态信息为充足时，向内容管理装置发送可用第五应答。

可选地，接收单元610，还用于接收内容管理装置发送的第六指令，第六指令包括应用的属性信息和应用对应的用户数据包的标识信息。

处理单元620，还用于根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。

发送单元640，还用于向内容管理装置发送第六应答，第六应答用于通知处理单元620 完成了对应用的个人化，从而完成对该应用的个人化恢复安装。

该安全装置的各功能单元的功能，可以通过上述图2-图4中实施例的各步骤来实现，其具体实现过程可以参照上述方法实施例的相关描述，在此不复赘述。

图7为本发明实施例提供的另一种内容管理装置的结构示意图。如图7所示，该内容管理装置可以包括：接收器710、处理器720、存储器730、发送器740和管理界面750。

处理器720可以是中央处理器(central process ing unit，CPU)，或者CPU和硬件芯片的组合。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device，CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。

存储器730用于存储各种应用，操作系统和数据。存储器730可以将存储的数据传输给处理器720。存储器730可以包括易失性存储器，例如非挥发性动态随机存取内存(nonvolatile random access memory，NVRAM)、相变化随机存取内存(phase change RAM，PRAM)、磁阻式随机存取内存(magetoresistive RAM，MRAM)等，还可以包括非易失性存储器，例如至少一个磁盘存储器件、电子可擦除可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、闪存器件，例如反或闪存(NOR flash memory)或是反及闪存(NAND flash memory)、半导体器件，例如固态硬盘(solid state disk，SSD)等。存储器730还可以包括上述种类的存储器的组合。

可以理解的是，存储器730可以集成在处理器720中，也可以独立存在。

管理界面750，用于向用户呈现应用的属性信息。

各器件的工作过程如下：

处理器720，用于获取安全装置中已安装的一个应用的属性信息，并根据该应用的属性信息，确定存储有与该应用的属性信息对应的可执行加载文件ELF。

发送器740，用于向安全装置发送第一指令，其中，第一指令包括该应用的属性信息，第一指令用于指示安全装置卸载该应用。

接收器710，用于接收安全装置发送的第一应答，第一应答包括应用的用户数据包的标识信息，第一应答用于指示安全装置已成功卸载该应用。

通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间。

可选地，处理器720，还用于建立用户数据包的标识信息与该应用的属性信息的映射关系，为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

可选地，处理器720，还用于将该应用的状态标记为可恢复状态，以便用户在需要时重新安装该应用。

可选地，发送器740，还用于向安全装置发送第二指令，第二指令用于指示安全装置增加可用存储空间，增加的存储空间不大于该应用在安全装置中占用的存储空间。

接收器710，还用于接收安全装置的第二应答，第二应答用于确认安全装置增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

可选地，处理器720，还用于获取该应用对应的ELF的属性信息。

发送器740，还用于向安全装置发送第三指令，第三指令包括ELF的属性信息，第三指令用于指示安全装置返回ELF。

接收器710，还用于接收安全装置发送的第三应答，第三应答包括ELF和应用的属性信息。

存储器730，用于存储ELF和应用的属性信息，并通过管理界面750向用户呈现应用的属性信息。

由此，可以在没有增加安全装置可用存储空间占用的基础上，对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现了备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据。

可选地，接收器710，还用于接收恢复安装请求，恢复安装请求包括该应用的属性信息。

处理器720，还用于根据该应用的属性信息，确定存储有与该应用的属性信息对应的用户数据包的标识信息。

发送器740，还用于向安全装置发送第四指令，第四指令包括应用的属性信息和ELF，第四指令用于指示安全装置安装该应用。

接收器710，还用于接收安全装置发送的第四应答，第四应答用于确认该应用已安装成功。

由此通过不依赖于服务器终端间不稳定OTA通道进行应用安装，而是通过从终端的TEE中获取可执行加载文件，提高了安全性，实现了方便快捷的恢复安装。

可选地，发送器740，还用于向安全装置发送第五指令，第五指令用于指示安全装置获取可用存储空间的状态信息。

接收器710，还用于接收安全装置发送的第五应答，第五应答用于指示可用存储空间的状态信息为充足。

可选地，发送器740，还用于向安全装置发送第六指令，第六指令包括应用的属性信息和用户数据包的标识信息，第六指令用于指示安全装置根据用户数据包的标识信息对应的用户数据包，对该应用的属性信息对应的该应用进行个人化。

接收器710，还用于接收安全装置发送的第六应答，第六应答用于确认安全装置完成了对该应用的个人化，从而完成对该应用的个人化恢复安装。

可选地，处理器720，还用于将该应用的状态标记为可用状态。

该安全装置的各功能单元的功能，可以通过上述图2-图4中实施例的各步骤来实现，其具体实现过程可以参照上述方法实施例的相关描述，故在此不复赘述。

图8为本发明实施例提供的另一种安全装置的结构示意图。如图8所示，该内容管理装置可以包括：处理器810、发送器820、接收器830和储存器840。

处理器810可以于前文所述的处理器720相同，也可以不同，在此不作限定。

存储器840用于存储各种应用，操作系统和数据。

存储器840可以将存储的数据传输给处理器810。存储器840可以与前文所述的存储器730相同，也可以不同，在此不作限定。

各器件的工作过程如下：

接收器830，用于接收内容管理装置发送的第一指令，第一指令包括该安全装置中已安装的一个应用的属性信息，第一指令用于指示处理器810卸载该应用。

处理器810，用于根据该应用的属性信息，获取该应用的用户数据包。

储存器840，用于对该应用的用户数据包进行存储。

处理器810，还用于根据用户数据包，配置用户数据包的标识信息，

并根据应用的属性信息，卸载该应用。

发送器820，用于向内容管理装置发送第一应答，第一应答包括该应用的用户数据包的标识信息，第一应答用于指示处理器810已成功卸载该应用。

由此，通过卸载安全装置中已安装的应用释放了安全装置中可用的用户空间，解决了安全装置的用户可用存储空间不足的问题，同时在安全装置中保存了该应用对应的用户数据包，确保了用户数据的安全。

可选地，处理器810，还用于建立用户数据包的标识信息和应用的属性信息的映射关系，为用户在卸载该应用后，确保了可以从终端本地重新安装被卸载的应用，即为用户提供了便利。

可选地，接收器830，还用于接收内容管理装置发送的第二指令。处理器810，还用于根据第二指令，增加安全装置的可用存储空间，增加的存储空间不大于应用在安全装置中占用的存储空间。发送器820，还用于向内容管理装置发送第二应答，第二应答用于通知内容管理装置，安全单元增加了可用存储空间，更进一步解决了安全装置的用户可用存储空间不足的问题。

可选地，接收器830，还用于接收内容管理装置发送的第三指令，第三指令包括应用对应的可执行加载文件ELF的属性信息，第三指令用于指示安全装置返回ELF。

处理器810，还用于根据ELF的属性信息，获取ELF和应用的属性信息。

发送器820，还用于向内容管理装置发送第三应答，第三应答包括ELF和应用的属性信息。

由此，可以在没有增加安全装置可用存储空间占用的基础上，使内容管理装置对应用安装后的可执行加载文件或加密过的可执行加载文件和该应用的属性信息在TEE环境中实现备份，并且将备份的可执行加载文件或加密过的可执行加载文件通过管理界面呈现，同时在安全装置中记录了相应加密过的可执行加载文件的完整性数据。

可选地，ELF为加密过的ELF，处理器810，还用于获取加密过的ELF的第一哈希值。

储存器840，还用于对该第一哈希值进行存储。处理器810，还用于建立第一哈希值与应用的属性信息的映射关系，并存储到存储单元630中。

可选地，接收器830，还用于接收内容管理装置发送的第四指令，第四指令包括应用的属性信息和ELF，第四指令用于指示处理器810安装该应用。

处理器810，还用于获取接收到的加密过的ELF的第二哈希值。处理器810，还用于根据应用的属性信息，获取存储的第一哈希值。当所述存储的第一哈希值与所述第二哈希值匹配时，处理器810对加密过的ELF进行解密，获取ELF，并根据ELF，安装该应用。

发送器820，还用于向内容管理装置发送第四应答，第四应答用于通知内容管理装置该应用安装成功。

可选地，接收器830，还用于接收内容管理装置发送的第五指令。

处理器810，还用于根据第五指令，获取安全装置的可用存储空间的状态信息。

发送器820还用于当安全装置的可用存储空间的状态信息为充足时，向内容管理装置发送第五应答。

可选地，接收器830，还用于接收内容管理装置发送的第六指令，第六指令包括应用的属性信息和应用对应的用户数据包的标识信息。

处理器810，还用于根据用户数据包的标识信息对应的用户数据包，对应用的属性信息对应的应用进行个人化。

发送器820，还用于向内容管理装置发送第六应答，第六应答用于确认处理器810完成了对该应用的个人化，从而完成对该应用的个人化恢复安装。

在上述各个本发明实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读介质向另一个计算机可读介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如，固态硬盘(Solid State Disk，SSD))等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

一种管理安全装置中应用的方法，其特征在于，所述方法包括：

内容管理装置获取安全装置中已安装的一个应用的属性信息；

所述内容管理装置根据所述应用的属性信息，确定存储有与所述应用的属性信息对应的可执行加载文件ELF；

所述内容管理装置向所述安全装置发送第一指令，其中，所述第一指令包括所述应用的属性信息，所述第一指令用于指示所述安全装置卸载所述应用；

所述内容管理装置接收所述安全装置发送的第一应答，所述第一应答包括所述应用的用户数据包的标识信息，所述第一应答用于指示所述安全装置已成功卸载所述应用。
根据权利要求1所述的方法，其特征在于，所述内容管理装置接收所述安全装置发送的第一应答之后，所述方法还包括：

所述内容管理装置建立所述用户数据包的标识信息与所述应用的属性信息的映射关系。
根据权利要求1或2所述的方法，其特征在于，所述内容管理装置接收所述安全装置发送的第一应答之后，所述方法还包括：

所述内容管理装置将所述应用的状态标记为可恢复状态。
根据权利要求1或2所述的方法，其特征在于，所述内容管理装置接收所述安全装置发送的第一应答之后，所述方法还包括：

所述内容管理装置向所述安全装置发送第二指令，所述第二指令用于指示所述安全装置增加可用存储空间，所述增加的存储空间不大于所述应用在所述安全装置中占用的存储空间；

所述内容管理装置接收所述安全装置的第二应答，所述第二应答用于确认所述安全装置增加了可用存储空间。
根据权利要求1所述的方法，其特征在于，所述内容管理装置获取安全装置中已安装的一个应用的属性信息之前，所述方法还包括：

所述内容管理装置获取所述应用对应的ELF的属性信息；

所述内容管理装置向所述安全装置发送第三指令，所述第三指令包括所述ELF的属性信息，所述第三指令用于指示所述安全装置返回ELF；

所述内容管理装置接收所述安全装置发送的第三应答，所述第三应答包括所述ELF和所述应用的属性信息；

所述内容管理装置存储所述ELF和所述应用的属性信息。
根据权利要求1所述的方法，其特征在于，所述内容管理装置接收所述安全装置发送的第一应答之后，所述方法还包括：

所述内容管理装置接收恢复安装请求，所述恢复安装请求包括所述应用的属性信息；

所述内容管理装置根据所述应用的属性信息，确定存储有与所述应用的属性信息对应的用户数据包的标识信息；

所述内容管理装置向所述安全装置发送第四指令，所述第四指令包括所述应用的属性信息和所述ELF，所述第四指令用于指示所述安全装置安装所述应用；

所述内容管理装置接收所述安全装置发送的第四应答，所述第四应答用于确认所述应用已安装成功。
根据权利要求6所述的方法，其特征在于，所述内容管理装置向所述安全装置发送第四指令之前，所述方法还包括：

所述内容管理装置向所述安全装置发送第五指令，所述第五指令用于指示所述安全装置获取可用存储空间的状态信息；

所述内容管理装置接收所述安全装置发送的第五应答，所述第五应答用于指示所述可用存储空间的状态信息为充足。
根据权利要求6或7所述的方法，其特征在于，所述内容管理装置接收所述安全装置发送的第四应答之后，所述方法还包括：

所述内容管理装置向所述安全装置发送第六指令，所述第六指令包括所述应用的属性信息和所述用户数据包的标识信息，所述第六指令用于指示所述安全装置根据所述用户数据包的标识信息对应的用户数据包，对所述应用的属性信息对应的所述应用进行个人化；

所述内容管理装置接收所述安全装置发送的第六应答，所述第六应答用于确认所述安全装置完成了对所述应用的个人化。
根据权利要求8所述的方法，其特征在于，所述内容管理装置接收所述安全装置发送的第六应答之后，所述方法还包括：

所述内容管理装置将所述应用的状态标记为可用状态。
一种对安全装置中应用的管理方法，其特征在于，所述方法包括：

安全装置接收内容管理装置发送的第一指令，所述第一指令包括所述安全装置中已安装的一个应用的属性信息，所述第一指令用于指示所述安全装置卸载所述应用；

所述安全装置根据所述应用的属性信息，获取所述应用的用户数据包，并对所述应用的用户数据包进行存储；

所述安全装置根据所述用户数据包，配置所述用户数据包的标识信息；

所述安全装置根据所述应用的属性信息，卸载所述应用；

所述安全装置向所述内容管理装置发送第一应答，所述第一应答包括所述应用的用户数据包的标识信息，所述第一应答用于指示所述安全装置已成功卸载所述应用。
根据权利要求10所述的方法，其特征在于，所述安全装置根据所述用户数据包，配置所述用户数据包的标识信息之后，所述方法还包括：

所述安全装置建立所述用户数据包的标识信息和所述应用的属性信息的映射关系。
根据权利要求11所述的方法，其特征在于，所述安全装置向所述内容管理装置发送第一应答之后，所述方法还包括：

所述安全装置接收所述内容管理装置发送的第二指令；

所述安全装置根据所述第二指令，增加所述安全装置的可用存储空间，所述增加的存储空间不大于所述应用在所述安全装置中占用的存储空间；

所述安全装置向所述内容管理装置发送第二应答，所述第二应答用于通知所述内容管理装置所述安全装置增加了可用存储空间。
根据权利要求10所述的方法，其特征在于，所述安全装置接收内容管理装置发送的第一指令之前，所述方法还包括：

所述安全装置接收所述内容管理装置发送的第三指令，所述第三指令包括所述应用对应的可执行加载文件ELF的属性信息，所述第三指令用于指示所述安全装置返回ELF；

所述安全装置根据所述ELF的属性信息，获取所述ELF和所述应用的属性信息；

所述安全装置向所述内容管理装置发送第三应答，所述第三应答包括所述ELF和所述应用的属性信息。
根据权利要求13所述的方法，其特征在于，所述安全装置向所述内容管理装置发送第三应答之前，所述方法还包括：

所述ELF为加密过的ELF，所述安全装置获取所述加密过的ELF的第一哈希值；

所述安全装置对所述第一哈希值进行存储；

所述安全装置建立所述第一哈希值与所述应用的属性信息的映射关系。
根据权利要求14所述的方法，其特征在于，所述安全装置向所述内容管理装置发送第一应答之后，所述方法还包括：

所述安全装置接收所述内容管理装置发送的第四指令，所述第四指令包括所述应用的属性信息和所述加密过的ELF，所述第四指令用于指示所述安全装置安装所述应用；

所述安全装置获取所述加密过的ELF的第二哈希值；

所述安全装置根据所述应用的属性信息，获取所述存储的第一哈希值；

当所述存储的第一哈希值与所述第二哈希值匹配时，所述安全装置对所述加密过的ELF进行解密，获取所述ELF；

所述安全装置根据所述ELF，安装所述应用；

所述安全装置向所述内容管理装置发送第四应答，所述第四应答用于通知所述内容管理装置所述应用安装成功。
根据权利要求15所述的方法，其特征在于，所述安全装置接收所述内容管理装置发送的第四指令之前，所述方法还包括：

所述安全装置接收所述内容管理装置发送的第五指令；

所述安全装置根据所述第五指令，获取所述安全装置的可用存储空间的状态信息；

当所述安全装置的可用存储空间的状态信息为充足时，所述安全装置向所述内容管理装置发送第五应答。
根据权利要求15或16所述的方法，其特征在于，所述安全装置向所述内容管理装置发送第四应答之后，所述方法还包括：

所述安全装置接收所述内容管理装置发送的第六指令，所述第六指令包括所述应用的属性信息和所述应用对应的用户数据包的标识信息；

所述安全装置根据所述用户数据包的标识信息对应的用户数据包，对所述应用的属性信息对应的所述应用进行个人化；

所述安全装置向所述内容管理装置发送第六应答，所述第六应答用于确认所述安全装置完成了对所述应用的个人化。
一种内容管理装置，其特征在于，所述装置包括：

处理单元，用于获取安全装置中已安装的一个应用的属性信息；

所述处理单元，还用于根据所述应用的属性信息，确定存储有与所述应用的属性信息对应的可执行加载文件ELF；

发送单元，用于向所述安全装置发送第一指令，其中，所述第一指令包括所述应用的属性信息，所述第一指令用于指示所述安全装置卸载所述应用；

接收单元，用于接收所述安全装置发送的第一应答，所述第一应答包括所述应用的用户数据包的标识信息，所述第一应答用于指示所述安全装置已成功卸载所述应用。
根据权利要求18所述的装置，其特征在于，

所述处理单元，还用于建立所述用户数据包的标识信息与所述应用的属性信息的映射关系。
根据权利要求18或19所述的装置，其特征在于，

所述处理单元，还用于将所述应用的状态标记为可恢复状态。
根据权利要求18或19所述的装置，其特征在于，

所述发送单元，还用于向所述安全装置发送第二指令，所述第二指令用于指示所述安全装置增加可用存储空间，所述增加的存储空间不大于所述应用在所述安全装置中占用的存储空间；

所述接收单元，还用于接收所述安全装置的第二应答，所述第二应答用于确认所述安全装置增加了可用存储空间。
根据权利要求18所述的装置，其特征在于，所述装置还包括存储单元；

所述处理单元，还用于获取所述应用对应的ELF的属性信息；

所述发送单元，还用于向所述安全装置发送第三指令，所述第三指令包括所述ELF的属性信息，所述第三指令用于指示所述安全装置返回ELF；

所述接收单元，还用于接收所述安全装置发送的第三应答，所述第三应答包括所述ELF和所述应用的属性信息；

所述存储单元，用于存储所述ELF和所述应用的属性信息。
根据权利要求18所述的装置，其特征在于，

所述接收单元，还用于接收恢复安装请求，所述恢复安装请求包括所述应用的属性信息；

所述处理单元，还用于根据所述应用的属性信息，确定存储有与所述应用的属性信息对应的用户数据包的标识信息；

所述发送单元，还用于向所述安全装置发送第四指令，所述第四指令包括所述应用的属性信息和所述ELF，所述第四指令用于指示所述安全装置安装所述应用；

所述接收单元，还用于接收所述安全装置发送的第四应答，所述第四应答用于确认所述应用已安装成功。
根据权利要求23所述的装置，其特征在于，

所述发送单元，还用于向所述安全装置发送第五指令，所述第五指令用于指示所述安全装置获取可用存储空间的状态信息；

所述接收单元，还用于接收所述安全装置发送的第五应答，所述第五应答用于指示所述可用存储空间的状态信息为充足。
根据权利要求23或24所述的装置，其特征在于，

所述发送单元，还用于向所述安全装置发送第六指令，所述第六指令包括所述应用的属性信息和所述用户数据包的标识信息，所述第六指令用于指示所述安全装置根据所述用户数据包的标识信息对应的用户数据包，对所述应用的属性信息对应的所述应用进行个人化；

所述接收单元，还用于接收所述安全装置发送的第六应答，所述第六应答用于确认所述安全装置完成了对所述应用的个人化。
根据权利要求25所述的装置，其特征在于，

所述处理单元，还用于将所述应用的状态标记为可用状态。
一种安全装置，其特征在于，所述装置包括：

接收单元，用于接收内容管理装置发送的第一指令，所述第一指令包括所述安全装置中已安装的一个应用的属性信息，所述第一指令用于指示所述安全装置卸载所述应用；

处理单元，用于根据所述应用的属性信息，获取所述应用的用户数据包，

存储单元，用于对所述应用的用户数据包进行存储；

所述处理单元，还用于根据所述用户数据包，配置所述用户数据包的标识信息；

所述处理单元，还用于根据所述应用的属性信息，卸载所述应用；

发送单元，用于向所述内容管理装置发送第一应答，所述第一应答包括所述应用的用户数据包的标识信息，所述第一应答用于指示所述安全装置已成功卸载所述应用。
根据权利要求27所述的装置，其特征在于，

所述处理单元，还用于建立所述用户数据包的标识信息和所述应用的属性信息的映射关系。
根据权利要求28所述的装置，其特征在于，

所述接收单元，还用于接收所述内容管理装置发送的第二指令；

所述处理单元，还用于根据所述第二指令，增加所述安全装置的可用存储空间，所述增加的存储空间不大于所述应用在所述安全装置中占用的存储空间；

所述发送单元，还用于向所述内容管理装置发送第二应答，所述第二应答用于通知所述内容管理装置所述安全装置增加了可用存储空间。
根据权利要求27所述的装置，其特征在于，

所述接收单元，还用于接收所述内容管理装置发送的第三指令，所述第三指令包括所述应用对应的可执行加载文件ELF的属性信息，所述第三指令用于指示所述安全装置返回ELF；

所述处理单元，还用于根据所述ELF的属性信息，获取所述ELF和所述应用的属性信息；

所述发送单元，还用于向所述内容管理装置发送第三应答，所述第三应答包括所述ELF和所述应用的属性信息。
根据权利要求30所述的装置，其特征在于，所述ELF为加密过的ELF，

所述处理单元，还用于获取所述加密过的ELF的第一哈希值；

所述存储单元，还用于对所述第一哈希值进行存储；

所述处理单元，还用于建立所述第一哈希值与所述应用的属性信息的映射关系。
根据权利要求31所述的装置，其特征在于，

所述接收单元，还用于接收所述内容管理装置发送的第四指令，所述第四指令包括所述应用的属性信息和所述加密过的ELF，所述第四指令用于指示所述安全装置安装所述应用；

所述处理单元，还用于对所述加密过的ELF进行预设的哈希运算，获取第二哈希值；

所述处理单元，还用于获取所述存储的第一哈希值；

所述处理单元，还用于当所述存储的第一哈希值与所述第二哈希值匹配时，对所述加密过的ELF进行解密，获取所述ELF；

所述处理单元，还用于根据所述ELF，安装所述应用；

所述发送单元，还用于向所述内容管理装置发送第四应答，所述第四应答用于通知所述内容管理装置所述应用安装成功。
根据权利要求32所述的装置，其特征在于，

所述接收单元，还用于接收所述内容管理装置发送的第五指令；

所述处理单元，还用于根据所述第五指令，获取所述安全装置的可用存储空间的状态信息；

所述发送单元，还用于当所述安全装置的可用存储空间的状态信息为充足时，向所述内容管理装置发送第五应答。
根据权利要求32或33所述的装置，其特征在于，

所述接收单元，还用于接收所述内容管理装置发送的第六指令，所述第六指令包括所述应用的属性信息和所述应用对应的用户数据包的标识信息；

所述处理单元，还用于根据所述用户数据包的标识信息对应的用户数据包，对所述应用的属性信息对应的所述应用进行个人化；

所述发送单元，还用于向所述内容管理装置发送第六应答，所述第六应答用于确认所述处理单元完成了对所述应用的个人化。
一种内容管理装置，其特征在于，所述装置包括处理器、存储器、发送器和接收器；其中，

所述处理器，用于获取安全装置中已安装的一个应用的属性信息；根据所述应用的属性信息，确定存储有与所述应用的属性信息对应的可执行加载文件ELF；

所述发送器，用于向所述安全装置发送第一指令，其中，所述第一指令包括所述应用的属性信息，所述第一指令用于指示所述安全装置卸载所述应用；

所述接收器，用于接收所述安全装置发送的第一应答，所述第一应答包括所述应用的用户数据包的标识信息，所述第一应答用于指示所述安全装置已成功卸载所述应用。
根据权利要求35所述的装置，其特征在于，

所述处理器，还用于建立所述用户数据包的标识信息与所述应用的属性信息的映射关系。
根据权利要求35或36所述的装置，其特征在于，

所述处理器，还用于将所述应用的状态标记为可恢复状态。
根据权利要求35或36所述的装置，其特征在于，

所述发送器，还用于向所述安全装置发送第二指令，所述第二指令用于指示所述安全装置增加可用存储空间，所述增加的存储空间不大于所述应用在所述安全装置中占用的存储空间；

所述接收器，还用于接收所述安全装置的第二应答，所述第二应答用于确认所述安全装置增加了可用存储空间。
根据权利要求35所述的装置，其特征在于，

所述处理器，还用于获取所述应用对应的ELF的属性信息；

所述发送器，还用于向所述安全装置发送第三指令，所述第三指令包括所述ELF的属性信息，所述第三指令用于指示所述安全装置返回ELF；

所述接收器，还用于接收所述安全装置发送的第三应答，所述第三应答包括ELF和所述应用的属性信息；

所述存储器，用于存储所述ELF和所述应用的属性信息。
根据权利要求35所述的装置，其特征在于，

所述接收器，还用于接收恢复安装请求，所述恢复安装请求包括所述应用的属性信息；

所述处理器，还用于根据所述应用的属性信息，确定存储有与所述应用的属性信息对应的用户数据包的标识信息；

所述发送器，还用于向所述安全装置发送第四指令，所述第四指令包括所述应用的属性信息和所述ELF，所述第四指令用于指示所述安全装置安装所述应用；

所述接收器，还用于接收所述安全装置发送的第四应答，所述第四应答用于确认所述应用已安装成功。
根据权利要求40所述的装置，其特征在于，

所述发送器，还用于向所述安全装置发送第五指令，所述第五指令用于指示所述安全装置获取可用存储空间的状态信息；

所述接收器，还用于接收所述安全装置发送的第五应答，所述第五应答用于指示所述可用存储空间的状态信息为充足。
根据权利要求40或41所述的装置，其特征在于，

所述发送器，还用于向所述安全装置发送第六指令，所述第六指令包括所述应用的属性信息和所述用户数据包的标识信息，所述第六指令用于指示所述安全装置根据所述用户数据包的标识信息对应的用户数据包，对所述应用的属性信息对应的所述应用进行个人化；

所述接收器，还用于接收所述安全装置发送的第六应答，所述第六应答用于确认所述安全装置完成了对所述应用的个人化。
根据权利要求42所述的装置，其特征在于，

所述处理器，还用于将所述应用的状态标记为可用状态。
一种安全装置，其特征在于，所述装置包括处理器、存储器、接收器和发送器；其中，

所述接收器，用于接收内容管理装置发送的第一指令，所述第一指令包括安全装置中已安装的一个应用的属性信息，所述第一指令用于指示所述处理器卸载所述应用；

所述处理器，用于根据所述应用的属性信息，获取所述应用的用户数据包，

所述存储器，用于对所述应用的用户数据包进行存储；

所述处理器，还用于根据所述用户数据包，配置所述用户数据包的标识信息；根据所述应用的属性信息，卸载所述应用；

发送器，用于向所述内容管理装置发送第一应答，所述第一应答包括所述应用的用户数据包的标识信息，所述第一应答用于指示所述安全装置已成功卸载所述应用。
根据权利要求44所述的装置，其特征在于，

所述处理器，还用于建立所述用户数据包的标识信息和所述应用的属性信息的映射关系。
根据权利要求45所述的装置，其特征在于，

所述接收器，还用于接收所述内容管理装置发送的第二指令；

所述处理器，还用于根据所述第二指令，增加所述安全装置的可用存储空间，所述增加的存储空间不大于所述应用在所述安全装置中占用的存储空间；

所述发送器，还用于向所述内容管理装置发送第二应答，所述第二应答用于通知所述内容管理装置所述安全装置增加了可用存储空间。
根据权利要求44所述的装置，其特征在于，

所述接收器，还用于接收所述内容管理装置发送的第三指令，所述第三指令包括所述应用对应的可执行加载文件ELF的属性信息，所述第三指令用于指示所述安全装置返回ELF；

所述处理器，还用于根据所述ELF的属性信息，获取所述ELF和所述应用的属性信息；

所述发送器，还用于向所述内容管理装置发送第三应答，所述第三应答包括所述ELF和所述应用的属性信息。
根据权利要求47所述的装置，其特征在于，所述ELF为加密过的ELF，

所述处理器，还用于获取所述加密过的ELF的第一哈希值；

所述存储器，还用于对所述第一哈希值进行存储；

所述处理器，还用于建立所述第一哈希值与所述应用的属性信息的映射关系。
根据权利要求48所述的装置，其特征在于，

所述接收器，还用于接收所述内容管理装置发送的第四指令，所述第四指令包括所述应用的属性信息和所述加密过的ELF，所述第四指令用于指示所述安全装置安装所述应用；

所述处理器，还用于获取所述加密过的ELF的第二哈希值；

根据所述应用的属性信息，获取所述存储的第一哈希值；

所述处理器，还用于当所述存储的第一哈希值与所述第二哈希值匹配时，对所述加密过的ELF进行解密，获取所述ELF；

所述处理器，还用于根据所述ELF，安装所述应用；

所述发送器，还用于向所述内容管理装置发送第四应答，所述第四应答用于通知所述内容管理装置所述应用安装成功。
根据权利要求49所述的装置，其特征在于，

所述接收器，还用于接收所述内容管理装置发送的第五指令；

所述处理器，还用于根据所述第五指令，获取所述安全装置的可用存储空间的状态信息；

所述发送器，还用于当所述安全装置的可用存储空间的状态信息为充足时，向所述内容管理装置发送第五应答。
根据权利要求49或50所述的装置，其特征在于，

所述接收器，还用于接收所述内容管理装置发送的第六指令，所述第六指令包括所述应用的属性信息和所述应用对应的用户数据包的标识信息；

所述处理器，还用于根据所述用户数据包的标识信息对应的用户数据包，对所述应用的属性信息对应的所述应用进行个人化；

所述发送器，还用于向所述内容管理装置发送第六应答，所述第六应答用于确认所述处理器完成了对所述应用的个人化。
一种包含指令的计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1-9任意一项所述的方法或权利要求10-17任意一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-9任意一项所述的方法或权利要求10-17任意一项所述的方法。