WO2019165931A1 - 一种管理方法、终端和服务器 - Google Patents

Abstract

本发明实施例提供了一种管理方法，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该管理方法包括：终端获取应用数据包，应用数据包包括离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对；终端确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥；当目标SD中包括解密密钥时，终端使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

Description

一种管理方法、终端和服务器

本申请要求于2018年2月28日提交中国专利局、申请号为201810167314.9、申请名称为“一种管理方法、终端和服务器”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明设计数据安全领域，尤其涉及一种管理方法、终端和服务器。

背景技术

随着电子产品的发展，以及用户对数据安全性的需求，目前在硬件的支持下，许多终端，可以同时存在两个执行环境，一个是普通执行环境，或者称之为富执行环境(rich execution environment，REE)，普通执行环境泛指不具备特定安全功能的运行环境；另一个是可信执行环境(trust execution environment，TEE)，TEE具有安全功能，满足了一定的安全要求，同时可以实现与REE相隔离的运行机制。TEE独立于REE运行，定义了严格的安全保护措施，比REE的安全级别要高，能够保护可信执行环境中的资源(assets)(如数据、软件等)免受一般的软件攻击(generalsoftware attacts)，抵抗特定类型的安全威胁。只有授权的可信应用(trusted application，TA)才能在TEE中执行，保护了安全软件的资源和数据的机密性。由于TEE隔离和权限控制等保护机制，使TEE比REE更好的保护了资源和数据的安全性。

开放信任协议(open trust protocol，OTrP)提供了一套基于公钥基础设施的PKI对TEE开放、安全、可靠的远程原理机制，当外部实体(outside world entity，OWE)对TEE进行远程管理，例如执行创建安全域(security domain，SD)，或者安装可信应用等特权操作(privileged operations)时，需要基于PKI机制进行鉴别(Authentication)和授权(Authorization)验证，例如，，OWE生成管理指令时，采用OWE私钥对管理指令进行签名，并利用从TEE证书中得到的TEE公钥进行加密(加密采用数字信封机制，对内容的签名和加密基于RFC7516-7518指定的JSON Web Signature/JSON Web Encryption机制，并利用TEE公钥对内容加密密钥(content encryption key，CEK)进行加密)，然后将这些信息发送给TEE，TEE接收到这些信息后，使用信任的根证书对OWE证书(链)进行验证，以确保管理指令时由经授权的OWE发送的，随后利用TEE私钥对封装的CEK进行解密，并利用CEK对管理指令中的加密数据进行解密，进而执行管理指令。OTrP机制中，在发送管理指令之前，OWE需要对TEE进行鉴权且利用TEE公钥对JWE的CEK进行加密，这也就是说利用OTrP对TEE进行管理必须进行OWE与TEE之间的实时交互或通信，即“在线”通信。

发明内容

本发明提供了一种管理方法、终端和服务器，实现了OTrP下TEE的离线管理。

第一方面，提供了一种管理方法，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该管理方法可以包括：

终端获取应用数据包，应用数据包包括离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对；

终端确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥；

当目标SD中包括解密密钥时，终端使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

结合第一方面，在第一种可能实现的方式中，该管理方法还包括：

当目标SD中不包括解密密钥时，终端向OWE发送第一消息，第一消息包括解密密钥标识，用于获取解密密钥标识对应的解密密钥；

终端接收OWE通过OTrP以在线管理方式发送的第二消息，第二消息包括解密密钥；

终端将解密密钥保存在TEE模块目标SD中；

终端使用解密密钥解密所述加密数据，并根据解密后的加密数据进行离线管理操作。

结合第一方面，或者第一方面的第一种可能实现的方式，在第一方面的第二种可能实现的方式中，在终端确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥之前，该管理方法还包括：

终端根据目标SD标识确定终端TEE模块中是否包括目标SD标识对应的目标SD。

结合第一方面的第二种可能实现的方式，在第一方面的第三种可能实现的方式中，该管理方法还包括：

当终端TEE模块中不包括目标SD标识对应的目标SD时，终端向OWE发送第三消息，第三消息包括指示信息，第三消息用于请求安装目标SD标识对应的目标SD，指示信息用于指示在请求安装的目标SD中部署解密密钥标识对应的解密密钥；

终端接收OWE通过OTrP以在线管理方式发送的第四消息，第四消息包括安装目标SD指令，安装目标SD指令包括解密密钥；

终端根据安装目标SD指令安装目标SD标识对应的目标SD，将解密密钥保存在安装的目标SDTEE模块中。

结合第一方面的第三种可能实现的方式，在第一方面的第四种可能实现的方式中，第一消息和第三消息分别包括离线管理指令中携带的解密密钥标识或者离线管理指令的标识，安装目标SD指令包括解密密钥标识对应的解密密钥。

结合第一方面的第一种可能实现的方式至第一方面的第四种可能实现的方式中的任一可能实现的方式，在第一方面的第五种可能实现的方式中，第二消息和第四消息中还分别包括解密密钥的属性参数，该管理方法还包括：

终端根据所述属性参数更新关联信息，更新后的关联信息包括目标SD与解密密钥的对应关系。

结合第一方面，或者第一方面的第一种可能实现的方式至第五种可能实现的方式 中的任一可能实现的方式，在第一方面的第六种可能实现的方式中，离线管理指令中还包括应用信息；在终端获取应用数据包之后，该管理方法还包括：

终端根据应用信息TEE信息确定是否需要执行离线管理指令；其中，TEE信息为安装在终端的TEE模块中的应用对应的应用信息。

结合第一方面或者第一方面的第一种至第六种可能实现方式中的任一可能实现的方式，在第一方面的第七种可能实现的方式中，离线管理指令还包括密钥计算参数，终端使用解密密钥解密加密数据，包括：

终端使用解密密钥标识对应的解密密钥和密钥计算参数计算会话密钥，并使用会话密钥对加密数据进行解密。

结合第一方面，或者第一方面的第一种可能实现的方式至第七种可能实现的方式中的任一可能实现的方式，在第一方面的第八种可能实现的方式中，在终端获取应用数据包之前，该管理方法还包括：

终端向OWE发送第五消息，第五消息用于OWE向终端中的至少一个SD配置解密密钥；

终端接收OWE通过OTrP以在线管理方式发送的第六消息，第六消息包括至少一个解密密钥和解密密钥的属性参数；

所述终端保存至少一个解密密钥，并根据解密密钥的属性参数生成关联信息；关联信息包括以下方式中的一种或两种：至少一个解密密钥与至少一个SD存在一一对应关系，或者至少一个解密密钥中的每一个解密密钥与至少一个SD中的多个SD存在对应关系。

第二方面，提供了一种管理方法，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该管理方法可以包括：

外部实体OWE生成离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据；其中，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由OWE使用加密密钥生成，解密密钥和加密密钥是由OWE生成的密钥对；离线管理指令用于终端获取到包含离线管理指令的应用数据包时，使用解密密钥标识对应的解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

结合第二方面，在第二方面的第一种可能实现的方式中，该管理方法还包括：

OWE接收终端发送的第一消息，第一消息包括解密密钥标识，用于获取解密密钥标识对应的解密密钥；

OWE通过OTrP以在线管理方式与终端的TEE进行双向鉴权，鉴权通过后，OWE向终端发送第二消息，第二消息包括解密密钥，第二消息用于终端将解密密钥保存在TEE模块目标SD中，并更新关联信息，关联信息包括目标SD与解密密钥的对应关系。

结合第二方面或者第二方面的第一种可能实现的方式，在第二方面的第二种可能实现的方式中，该管理方法还包括：

OWE接收终端发送的第三消息，第三消息包括指示信息，第三消息用于请求安装目标SD标识对应的目标SD，指示信息用于指示在请求安装的目标SD中部署解密密 钥标识对应的解密密钥；

OWE通过OTrP以在线管理方式与终端的TEE进行双向鉴权，鉴权通过后，OWE向终端发送第四消息，第四消息包括安装目标SD指令，安装目标SD指令包括解密密钥；第四消息用于终端安装目标SD，将解密密钥保存安装的目标SD中TEE模块，并更新关联信息，关联信息包括目标SD与解密密钥的对应关系。

结合第二方面的第二种可能实现的方式，在第二方面的第三种可能实现的方式中，第一消息和第三消息分别包括离线管理指令中携带的解密密钥标识或者离线管理指令的标识，安装目标SD指令中包括解密密钥标识对应的解密密钥。

结合第二方面，或者第二方面的第一种可能实现的方式至第三种可能实现的方式中的任一可能实现的方式，在第二方面的第四种可能实现的方式中，该管理方法还包括：

OWE接收终端发送的第五消息，第五消息用于OWE向终端中的至少一个SD配置解密密钥；

OWE与终端进行双向鉴权，鉴权通过后，OWE向终端发送第六消息，第六消息包括至少一个解密密钥和解密密钥的属性参数；所述第六消息用于终端保存至少一个解密密钥，并根据解密密钥的属性参数生成关联信息；关联信息包括以下方式中的一种或两种：至少一个解密密钥与至少一个SD存在一一对应关系，或者至少一个解密密钥中的每一个解密密钥与至少一个SD中的多个SD存在对应关系。

结合第二方面或者第二方面的第一种至第四种可能实现方式中的任一可能实现的方式，在第二方面的第五种可能实现的方式中，外部实体OWE生成离线管理指令，包括：

OWE使用生成的加密密钥加密数据得到加密数据，并将加密数据和解密密钥标识打包生成所述离线管理指令；或者，

OWE使用生成的加密密钥和密钥计算参数生成会话密钥，使用会话密钥加密数据得到加密数据，并将密钥计算参数、所述加密数据和解密密钥标识添加到所述离线管理指令。

第三方面，提供了一种管理方法，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该管理方法可以包括：

TEE模块接收终端的富执行环境REE模块发送的离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对；

TEE模块确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥；

当目标SD中包括解密密钥时，TEE模块使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

结合第三方面，在第三方面的第一种可能实现的方式中，该管理方法还包括：

当目标SD中不包括解密密钥时，TEE模块通过REE模块向OWE发送第一消息，第一消息包括解密密钥标识，用于获取解密密钥标识对应的解密密钥；

TEE模块通过REE模块接收OWE通过OTrP以在线管理方式发送的第二消息，第二消息包括解密密钥；

TEE模块将解密密钥保存到目标SD中；

TEE模块使用解密密钥解密所述加密数据，并根据解密后的所述加密数据进行离线管理操作。

结合第三方面，或者第三方面的第一种可能实现的方式，在第三方面的第二种可能实现的方式中，在TEE模块确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥之前，该管理方法还包括：

TEE模块根据目标SD标识确定TEE模块中是否包括目标SD标识对应的目标SD。

结合第三方面的第二种可能实现的方式，在第三方面的第三种可能实现的方式中，该管理方法还包括：

当TEE模块中不包括目标SD标识对应的目标SD时，TEE模块通过REE模块向OWE发送第三消息，第三消息包括指示信息，第三消息用于请求安装目标SD标识对应的目标SD，指示信息用于指示在请求安装的目标SD中部署解密密钥标识对应的解密密钥；

TEE模块接收OWE通过OTrP以在线管理方式发送的第四消息，第四消息包括安装目标SD指令，安装目标SD指令包括解密密钥；

TEE模块根据安装目标SD指令安装目标SD标识对应的目标SD，并将解密密钥保存到安装的目标SD中。

结合第三方面的第三种可能实现的方式，在第三方面的第四种可能实现的方式中，第一消息和第三消息分别包括离线管理指令中携带的解密密钥标识或者离线管理指令的标识，安装目标SD指令包括解密密钥标识对应的解密密钥。

结合第三方面的第一种可能实现的方式至第四种可能实现的方式中的任一可能实现的方式，在第三方面的第五种可能实现的方式中，第二消息和第四消息中还分别包括解密密钥的属性参数；该管理方法还包括：

TEE模块根据属性参数更新关联信息，更新后的关联信息包括目标SD与解密密钥的对应关系。

结合第三方面，或者第三方面的第一种可能实现的方式至第五种可能实现的方式中的任一种可能实现的方式，在第三方面的第六种可能实现的方式中，离线管理指令还包括应用信息；在TEE模块接收终端的富执行环境REE模块发送的离线管理指令之后，该管理方法还包括：

TEE模块根据应用信息和TEE信息确定是否需要执行离线管理指令；其中，TEE信息为安装在终端的TEE模块中的应用对应的应用信息。

结合第三方面或第三方面的第一种至第六种可能实现方式中的任一可能实现的方式，在第三方面的第七种可能实现的方式中，离线管理指令还包括密钥计算参数，TEE模块使用解密密钥解密加密数据，包括：

TEE模块使用解密密钥标识对应的解密密钥和密钥计算参数计算会话密钥，并使 用会话密钥对加密数据进行解密。

结合第三方面，或者第三方面的第一种可能实现的方式至第七种可能实现的方式中的任一可能实现的方式，在第三方面的第八种可能实现的方式中，在TEE模块接收终端的富执行环境REE模块发送的离线管理指令之前，该管理方法还包括：

TEE模块通过REE模块向OWE发送第五消息，第五消息用于OWE向终端中的至少一个SD配置解密密钥；

TEE模块通过REE模块接收OWE通过OTrP以在线管理方式发送的第六消息，第六消息包括至少一个解密密钥和解密密钥的属性参数；

TEE模块保存至少一个解密密钥，并根据解密密钥的属性参数生成管线信息；关联信息包括以下方式中的一种或两种：至少一个解密密钥与至少一个SD存在一一对应关系，或者至少一个解密密钥中的每一个解密密钥与至少一个SD中的多个SD存在对应关系。

第四方面，提供了一种终端，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该终端包括：

获取单元，用于获取应用数据包，应用数据包包括离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对；

处理单元，用于确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥；

当目标SD中包括解密密钥时，处理单元使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

第五方面，提供了一种服务器，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该服务器包括：

处理单元，用于生成离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据；其中，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由OWE使用加密密钥生成，解密密钥和加密密钥是由OWE生成的密钥对；离线管理指令用于终端获取到包含离线管理指令的应用数据包时，使用解密密钥标识对应的解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

第六方面，提供了一种终端，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该终端包括TEE模块和富执行环境REE模块，该TEE模块包括：

接收单元，用于接收REE模块发送的离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部 实体OWE生成的密钥对；

处理单元，用于确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥；

处理单元，还用于当目标SD中包括解密密钥时，使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

第七方面，提供了一种终端，该终端包括接收器、发送器、处理器和存储器，接收器、发送器、处理器和存储器相互连接，用于完成相互之间的通信，该终端可以完成第一方面或者第一方面的任一可能实现的方式，以及第三方面或者第三方面的任一可能实现的方式中提供的管理方法。

第八方面，提供了一种服务器，该服务器包括收发器、处理器和存储器，所述收发器、处理器和存储器相互连接，用于完成相互之间的通信，该服务器可以完成第二方面或者第二方面的任一可能实现的方式中提供的管理方法。

第九方面，提供了一种计算机可读存储介质，包括指令，当其在设备上运行时，使得该设备执行如第一方面至第三方面，或者第一方面至第三面中的任一可能实现的方式中的方法。

第十方面，提供了一种包含指令的计算机程序产品或计算机程序，当其在计算机上运行时，使得计算机执行如第一方面至第三方面，或者第一方面至第三面中的任一可能实现的方式中的方法。

第十一方面，提供了一种该通信装置可以例如是芯片，该通信装置可以设置于终端中，该通信装置包括处理器和接口。该处理器被配置为支持该通信装置执行上述第一方面至第三方面中的任一可能实现的方式中的方法。该接口用于支持该通信装置与其他通信装置或其他网元之间的通信。该通信装置还可以包括存储器，该存储器用于与处理器耦合，其保存该通信装置必要的程序指令和数据。

第十二方面，提供了一种系统，该系统包括第四方面或者第六方面所述的终端，以及第五方面所述的服务器；或者，该系统包括第七方面所述的终端和第八方面所述的服务器。

基于提供的一种管理方法、终端和服务器，通过OWE预先在终端的目标SD中配置解密密钥，当接收到离线管理指令后，通过解密密钥解密离线管理指令中的加密数据，并根据解密后的加密数据进行离线管理，实现了OTrP下的TEE的离线管理。

附图说明

图1为本发明实施例提供的一种支持OTrP的TEE内部结构示意图；

图2为本发明实施例提供的一种TEE保存解密密钥和SD关联信息的示意图；

图3为本发明实施例提供的另一种TEE保存解密密钥和SD关联信息的示意图；

图4为本发明实施例提供的一种获取离线管理指令的两种方式示意图；

图5为本发发明实施例提供的一种OWE和TEE双向鉴权的流程示意图；

图6为本发明实施例提供的一种管理方法的流程示意图；

图7为本发明实施例提供的一种在线安装目标SD的流程示意图；

图8为本发明实施例提供的另一种在线获取解密密钥的流程示意图；

图9为本发明实施例提供的另一种管理方法的流程示意图；

图10(a)和图10(b)为本发明实施例提供的又一种管理方法的流程示意图；

图11为本发明实施例提供的一种终端的结构示意图；

图12为本发明实施例提供的一种服务器的结构示意图；

图13为本发明实施例提供的另一种终端的结构示意图；

图14为本发明实施例提供的又一种终端结构示意图；

图15为本发明实施例提供的另一种终端的结构示意图；

图16为本发明实施例提供的另一种服务器的结构示意图；

图17为本发明实施例提供的一种通信装置示意图。

具体实施方式

首先对本发明实施例提到的几个概念进行说明：

为了保证TEE的安全性，TEE对OWE的各种管理指令，如创建SD、安装TA都需要进行鉴别(Authentication)和授权(Authorization)验证后，才会执行相应的管理操作。该过程一般是通过密码学机制来进行的。对于OTrP，是基于公钥基础设施(Public Key Infrastructure，PKI)的信任架构，提供开放式、高互操性的协议实现对TEE中的SD/TA的管理。

在OTrP中，如图1所示，终端的TEE中的每个根安全域rSD中保存有一个OWE白名单(Whitelist)，该白名单中包括了至少一个TEE(原始设备制造商(Original Equipment Manufacture)，OEM)/TEE厂商)信任的证书机构(Certificate Authority)的根证书，利用该根证书即可认证OWE证书(链)的真伪，进而确保只有合法持有证书机构颁发证书的OWE，才能对预置信任证书机构根证书的TEE发起远程管理。OTrP中鉴别与授权的验证就是TEE使用OWE白名单验证OWE签名和证书链的过程。

在OTrP中，OWE是具有TEE管理功能的实体，通常是指一个可信服务管理服务器(Trusted Service Manager，TSM)。在OTrP中，服务提供商SP通过委托一个OWE来实现其TA的管理。取决于OWE选择使用的管理模式，OWE在rSD下通过创建一个或多个SD来实现对SP的TA的管理，TEE记录OWE与由其创建的SD/TA的关联关系，并确保OWE只能对由其安装的SD/TA进行管理。

在基于OTrP对TEE的管理基础上，本发明实施例提供了一种管理方法、终端和服务器。在该离线管理方法中，OWE在构造离线管理指令时首先基于PKI或者其他方式的签名机制向TEE进行鉴权和授权的证明，再使用本发明实施例介绍的管理机制完成对离线管理指令的加密和解密。需要说明的是，在本发明实施例中，基于PKI或者其他方式的签名机制向TEE进行鉴权和授权的过程并不是重点，在本发明实施例中不作详细描述。

还需要说明的是，在本发明实施例中，OWE为TEE中的SD部署解密密钥的过程也可以称为OWE为TEE中的SD配置解密密钥的过程，在本发明实施例中，下文提 到的“部署”和“配置”表达相同的意思。

在使用该管理方法之前，TEE中的根安全域(root security domain，rSD)内还需要保存用于验证OWE证书(链)的根证书列表，用于在线和离线模式下对OWE进行鉴别与授权验证，以确保在线或离线场景下能够验证OWE的合法性。

同时，终端的TEE具备处理REE发送的离线管理指令的能力，并能够根据离线管理指令以及SD的属性(property)，判断目标SD是否具备解析离线管理指令中加密数据的能力(下文统称为“SD是否具备离线管理功能”)，并根据判断结果执行不同的处理逻辑。

当TEE判断SD不具备离线管理功能时，终端可以向OWE申请激活SD的离线管理功能，即向OWE发起激活SD解密离线管理指令的能力，然后OWE使用OTrP的在线管理流程(GetDeviceTEEState请求与响应)与TEE完成双向鉴权，具体描述请参见图5；双向鉴权完成后OWE通过创建SD指令或者更新(update)SD指令将解密密钥部署(depoly)在TEE包括的目标SD中，以此来激活目标SD的离线管理功能；当终端TEE接收到针对目标SD的离线管理指令，对OWE鉴权通过后，使用解密密钥解密离线管理指令中使用加密密钥加密得到的加密数据，然后根据解密后的加密数据进行离线管理操作。在本发明实施例中，离线管理操作包括但不限于安装可信应用(Trusted Application，TA)、更新TA、删除TA。

例如，离线管理指令为离线安装TA指令，那么离线管理指令可以包括TA安装信息，加密TA数据(TA binary)、签名和证书链等离线鉴权信息。其中，TA安装信息可以包括目标SD对应的目标SD标识、解密密钥标识。可选地，在本发明的一个实施例中TA安装信息还可以可以包括TA标识、版本号等基本信息。

在本发明实施例中，采用的加密数据的加密密钥以及部署在SD中的解密密钥为OWE根据自身的算法生成的密钥对(加密密钥Key_enc和解密密钥Key_dek)。在本发明的一个实施例中，加密密钥用于加密所要加密的数据，进而生成离线管理指令；解密密钥由OWE部署到TEE内的SD中。在本发明的另一个实施例中，OWE采用加密密钥和密钥计算参数生成会话密钥，采用会话密钥加密所要加密的数据，OWE在生成离线管理指令时，离线管理指令中需要包括密钥计算参数，以便于后续TEE接收到离线管理之后，采用解密密钥和密钥计算参数计算所述会话密钥，并对离线管理指令中的加密数据进行解密。这里举例说明了两种加密方式，在本发明实施例中，还可以采用更多种的加密方式实现本发明实施例的技术方案。

在本发明另一个实施例中，如果在离线管理指令的待加密数据中，包含了已经被加密过的数据，比如，在待加密的数据包括已经被加密过一次的TA数据(TAbinary)，则需要根据其加密方式，在待加密数据中携带用于解密所述已加密的TA数据的解密密钥信息和相应的密钥计算参数。OWE随后使用上述两种加密方式或其他方式对待加密数据进行加密，生成离线管理指令中的加密数据，并将用于解密所述加密数据的解密密钥标识和可能存在的密钥计算参数附加在所述离线管理指令中。当终端解密所述加密数据时，首先利用离线管理指令中的解密密钥标识对应的解密密钥解密所述加密数据，然后从解密的数据中获取用于解密所述二次加密过的数据的相关密钥和密钥计算参数，并对二次加密的数据进行解密。

需要说明的是，在本发明实施例的技术方案中，采用加密密钥生成离线管理指令与OWE将解密密钥部署在TEE的SD中是两个互不干涉的过程。

OWE生成离线管理指令可以在终端从应用管理服务器获取离线管理之前生成，并将离线管理指令放置在应用管理服务器。OWE为SD部署解密密钥可能包括以下情况：1、OWE在TEE接收到离线管理指令之前在SD提前配置解密密钥，TEE接收到离线管理指令后，直接可以根据SD内包括的解密密钥对离线管理指令中的加密数据进行解密；2、TEE接收到离线管理指令后，在线从OWE获取解密密钥，进而解密离线管理指令中的加密数据。

在本发明实施例中，OWE可以根据OWE可能实现的管理方式将解密密钥部署在TEE的SD内，例如可以采用以下两种方式完成解密密钥的配置：方式一、OWE可以为与其关联的每个SD部署不同的解密密钥(Key_dek)；方式二、OWE也可以为与一个OWE相关联的多个SD配置相同的解密密钥(Key_dek)。如果需要实现对TA数据的双重加密，则所述解密密钥还可以包括用于解密TA数据的解密密钥和用于解密离线管理指令加密数据的解密密钥。图2和图3示出了两种终端保存解密密钥和SD的关联关系的可能方式，其中，OWE1分别选择为SP1SD、SP2SD配置不同的解密密钥、OWE2选择为SP3SD、SP4SD配置相同的解密密钥(或SP3SD、SP4SD共享一把解密密钥)。

在本发明实施例中，在进行离线管理之前，还需要将OWE生成的离线管理指令(如离线安装或更新TA指令)放置在各个应用管理服务器中，实现服务提供商SP的TA的快速部署。以安装TA为例，OWE可以将离线安装TA指令通过以下两种方式进行部署，如图4所示。方式一、将离线安装TA指令与客户端应用(Client Application，CA)一起打包得到CA安装包，即应用数据包，将应用数据包放置在服务器中，例如，安卓(Android)安装包放置在安卓应用管理服务器上，如Google play等常规的手机应用市场或CA应用官网；REE从应用管理服务器中获取CA安装包，并安装CA后，能同时获取离线安装TA指令并利用离线安装TA指令进行TA的离线安装。方式二、将离线安装TA指令放置在TA应用管理服务器上；当REE的CA需要安装某TA时，从TA应用管理服务器获取相应TA的离线安装TA指令并利用离线安装TA指令进行TA的离线安装。在本发明实施例中，将放置在应用管理服务器上的CA安装包，以及放置在TA应用管理服务器上的离线管理指令的数据均称为应用数据包。

REE获取离线管理指令可以通过图4所示的两种方式来获取离线管理指令，无需与SP或TEE issuer的TSM交互并发起申请创建SD、安装TA的远程管理流程，减轻服务器侧负载；对于用户来说，当TA离线管理指令与CA的APK打包安装，无需在使用时临时去下载TA，减少等待时间，也不会出现因为通信传输中断/错误而重新下载的情况。

当REE获取到应用数据包时，将应用数据包中的离线管理指令发送到终端的TEE中，TEE确定是否执行该离线管理指令，当TEE确定需要执行该离线管理指令时，TEE确定目标SD是否具有离线管理功能，即TEE根据离线管理指令中的目标SD标识、解密密钥标识确定是否存在目标SD，以及目标SD中包括解密密钥标识对应的解密密钥。

当目标SD具有离线管理功能时，TEE对离线管理指令进行鉴权，确保离线管理指令由经授权的OWE生成的。验证通过后，使用解密密钥解密加密数据，并根据解密后的加密数据执行相应的管理操作。当目标SD不具有离线管理功能时，即TEE中不包括离线管理指令中目标SD标识对应的目标SD，或者TEE中包括目标SD标识对应的目标SD，但目标SD中不包括解密密钥标识对应的解密密钥时，终端通过OTrP以在线管理方式向OWE申请激活目标SD的离线管理功能，并在激活离线管理功能后对离线管理指令进行验证、解密，进而执行离线管理操作。

在本发明实施例中，OWE对TEE内的SD/TA，基于OTrP协议的在线远程管理流程由GetDeviceTEEState指令与响应开始。该GetDeviceTEEState指令与响应同时能够起到OWE与TEE进行双向鉴权的过程。如图5所示。该双向鉴权包括以下步骤：

S101，终端向OWE发送管理流程请求。

在终端的REE中安装的CA按照预设的判断逻辑，向OWE发起一个管理流程。

S102，OWE通过CA向TEE发送获取设备TEE状态的指令。

OWE接收到管理流程请求后，生成获取设备TEE状态待签指令(GetDeviceTEEStateTBSRequest)，其中，TBS为待签名(To be signed)。GetDeviceTEEStateTBSRequest包括协议号、rid(指令种类标识)、业务流水号(transaction id)、在线证书状态协议(onlinecertificate status protocol，OCSP)数据、服务器要求的算法类型等参数。其中，transaction id起到随机数的作用；OCSP数据用于提供OWE证书状态证明。OWE使用OWE私钥对GetDeviceTEEStateTBSRequest中的数据进行签名，并将原数据、签名、服务器证书和证书链按照OTrP协议规定的数据格式进行封装得到GetDeviceTEEState指令。这里的服务器证书为OWE证书，证书链指OWE证书由中间CA签发，该中间CA证书由根CA和/或由根CA认证过的一个或多个中间CA签发。需要说明的是，OTrP协议中，OWE与TEE之间的交互数据基于JSON WebEncryption机制，使用内容加密密钥加密，内容加密密钥由通信对端的公钥进行加密，因为此时OWE还不知道TEE的身份，无法获取TEE公钥，所以包括GetDeviceTEEStateRequest的获取设备TEE状态的指令明文发送。

S103，REE中的CA向TEE中的rSD转发获取设备TEE状态的指令。

REE中的CA通过客户端应用程序接口(client API)向TEE中的rSD转发获取设备TEE状态的指令。

S104，TEE中的rSD验证签名、验证OWE证书。

在S102中，获取设备TEE状态的指令息可以采用(JavaScript Object Notation，JSON)格式。JSON是一种轻量级的数据交换格式，采用完全独立于编程语言的文本格式来存储和表示数据。在OTrP中，JSON格式的指令，根据指令不同，会在每个JSON类型，特别是负载(payload)中封装不同的内容。

一个JSON格式的OTrP指令包含下述结构：

其中，“payload”中封装了离线管理指令中被签名过的主要参数(被签名参数)；

“protected”包含了进行签名的算法；

“header”包含了证书(证书链)信息；

“signature”包含离线管理指令的签名值。

Payload中，一般可以包括但不限于以下参数。：

现有技术的OTrP在线管理协议中使用JWE(JSON Web Encryption)的方式进行加密，然后内容加密密钥CEK与HMAC KEY(如果存在)使用对端公钥进行加密，通过数字信封的方式完成对需要加密的信息进行保护。其中，content中包含了加密的密文和用于描述加密算法的相应参数。例如当使用RSA加密算法时，该content-encryption-type的格式如下：

其中，ENCRYPTION-PRIMITIVE-TYPE描述JWE使用的加密算法、模式和使用的HMAC算法；"KEYWRAP-PRIMITIVE-TYPE"为使用对端公钥对CEK进行封装时使用的算法；"PRINTABLE-STRING-PRIMITIVE-TYPE"为被封装的CEK。 ENCRYPTED-CONTENT为经过CEK加密的数据。可以看到，在线模式的OTrP指令/响应中，内容加密密钥CEK随OTrP指令/响应传输。在本发明实施例中，CEK并不随离线管理指令进行封装传输，离线管理指令包括用于解密数据的解密密钥标识。

TEE中的rSD接收到获取设备TEE状态的指令后，首先验证JSON数据的签名，确保由OWE发送的数据没有被篡改。然后确定OWE的服务器证书是由OWE白名单中的一个根证书机构签发的(如果OWE证书由中间证书机构签发，那么需要OWE在获取设备TEE状态的指令中提供完整的证书链)；利用OCSP数据确保证书链中的证书都处于有效状态，随后，rSD使用根证书机构的根证书对证书链进行验证，确保OWE证书是由根证书或能够最终被根证书验证的次级CA颁发的。

如果证书链和签名验证通过，那么rSD确定发送该获取设备TEE状态的指令的OWE是经过它信任的一个证书机构认证过的实体，该OWE具有一定的TEE管理能力，即OWE具有SD/TA管理权限(相应的对SD、TA的管理指令能够被授权执行)。此时完成了终端中TEE对OWE的鉴权。终端的TEE对OWE发送获取设备TEE状态的指令进行响应。

S105，TEE查询保存的映射关系信息，获取与OWE关联的所有SD信息和TA信息。

TEE中记录有OWE在TEE内创建的SD、TA的的映射关系信息。根据服务器证书中OWE标识查询与OWE关联的所有SD信息和TA信息。其中OWE标识具有唯一性。

S106，TEE生成加密密钥，并生成获取设备TEE状态响应(GetDeviceTEEStateResponse)消息。

TEE随机生成内容加密密钥CEK，用于对包括OWE关联的所有SD信息、与OWE关联的所有TA信息、TEE证书、TEE-SP-AIK公钥(列表)等数据的设备状态信息(DeviceStateInformation)进行加密，并采用OWE证书中包含的OWE公钥对内容加密密钥进行加密，然后采用TEE私钥对这些信息进行签名，生成并封装JSON格式的获取设备TEE状态响应(GetDeviceTEEStateResponse)消息。这里的TEE-SP-AIK是当OWE为服务提供商SP生成SD时，如果该生成的SD为该SP的第一个SD时，TEE生成该公钥对，公钥用于发送给OWE用于对应SP的OWE进行TA代码、TA个人化数据进行加密，即在安装TA(installTA)中，对TA代码经过了两次加密。该两次加密以如下述格式的管理指令中内容为例进行说明：

OTrP安装TA指令中的加密部分包括以下内容：

其中，“encrypted_ta_bin”和/或“encrypted_ta_data”中填充的内容包含用于封装CEK1(对TA代码和/或TA个人化数据进行加密)的算法、被TEE-SP-AIK封装的内容加密密钥CEK1以及被CEK1加密过的TA代码和/或TA个人化数据，这两个参数中的内容在安装TA指令未被加密前已经处于加密状态。随后，OWE使用JWE加密机制，使用CEK2对上述安装TA指令中的所有参数进行加密，并在指令中附带用于封装CEK2的算法，被TEE公钥封装的CEK2和被CEK2加密过的安装TA指令。

S107，TEE向REE发送获取设备TEE状态响应(GetDeviceTEEStateResponse)消息。

S108，REE向OWE转发获取设备TEE状态响应(GetDeviceTEEStateResponse)消息。

S109，OWE对获取设备TEE状态响应(GetDeviceTEEStateResponse)消息进行验证

OWE在接收到GetDeviceTEEStateResponse消息后，首先使用OWE私钥解密被封装的内容加密密钥，再采用内容加密密钥对DSI数据进行解密，获取TEE证书并采用TEE证书中的TEE公钥验证TEE私钥签名的数据，确定签名是由TEE生成的，验证签名后使用对TEE进行认证的根CA证书验证TEE证书是由该证书机构颁发的，以确保TEE证书和签名的合法性。TEE证书和签名验证通过后，OWE即可确定TEE的合法性，此时，TEE和OWE之间完成了双向鉴权认证。

OWE和终端的TEE完成双向鉴权后，即可根据获得的终端TEE的设备状态信息发起对TEE内SD/TA的管理，比如创建/更新/删除SD，安装/更新/删除TA。在后续指令交互流程中(类似的JSON结构)，对于payload中需要加密的内容，使用JWE进行加密，并利用获得的对端证书中的公钥对内容加密密钥、HMAC密钥进行数字加密(或称为数字信封)，确保加密内容只能由持有私钥的对端才能够解密。

对于OTrP指令的授权验证，通过对OWE的签名及证书链即可实现，TEE只要确认一个经验证过(authenticated)的OWE的证书最终能够被根CA证书验证，那么就能够确认该OWE具备对TEE内与该OWE有关联的SD/TA的管理权限。

如果要实现对TEE的离线管理，即OWE不与TEE进行实时双向交互的情况下完成管理，图5介绍的双向鉴权机制以及后续指令交互中对使用对端公钥对JWE密钥进行数字信封处理实现对指令内容加密的方式不再适用。

在本发明实施例中，OWE会预先生成密钥对：加密密钥和解密密钥。其中，加密密钥用于OWE对离线管理指令payload中需要加密的数据进行加密，离线管理指令可以包括使用加密密钥加密的加密数据，解密密钥标识，目标SD标识，OWE证书，以及采用OWE私钥对payload中部分待签数据签名等信息。离线管理指令可通过图4所示的两种方式放置在应用管理服务器中。

解密密钥用于解密离线管理指令中的加密数据。OWE将解密密钥部署在SD中，以使SD具有离线管理能力。在本发明实施例中，对于现有的OTrP标准，SD开始可能不具备离线管理功能。在OWE根据可能实现的管理方式为SD部署解密密钥时， OWE可以在创建SD时，通过向SD部署解密密钥，并指示解密密钥可以为该OWE管理的一个或多个SD提供离线管理功能；也可以是后续OWE通过更新SD的方式激活SD的离线管理功能。

在本发明的一个实施例中，OWE可以(在未获取离线指令前，根据预设的逻辑主动进行SD离线管理功能的激活。)接收终端发送的第五消息(或称为获取解密密钥的请求消息)，以请求OWE配置解密密钥；OWE接收到第五消息后使用OTrP GetDeviceState交互流程与终端进行双向鉴权，并获取终端TEE内与该OWE关联的设备信息，如SD/TA信息，OWE向终端发送第六消息(或称为创建SD指令或更新SD指令)，第六消息包括至少一个解密密钥和密钥属性参数，所述密钥属性参数至少包括密钥的访问权限，如指示解密密钥是否可以共享，在可共享的情况下可以由哪些SD共享等，以使TEE根据该密钥属性参数生成密钥与SD的关联关系；并对存储的解密密钥的访问权限进行设置；该关联信息包括以下方式中的一种或多种：至少一个解密密钥与至少一个SD存在一一对应关系，或者至少一个解密密钥中的每一个解密密钥与至少一个SD中相关的多个SD存在对应关系；或者至少一个解密密钥与一个SD存在对应关系，终端的TEE将至少一个解密密钥分别保存在与之对应的目标SD存储区域中，并保存关联信息。

需要说明的是，只要目标SD与TEE内由同一OWE部署到其他SD的解密密钥存在关联关系，即目标SD能够访问其他SD的解密密钥，那么目标SD具备离线管理功能，能够执行针对目标SD且解密密钥标识匹配的离线管理指令。

即，在这种场景下，当终端接收到来自OWE1的离线管理指令(包含解密密钥标识A)后，终端判断目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥，包含了以下两种情况：1.目标SD内保存了解密密钥标识A对应的解密密钥，或者2.OWE1已经为TEE内的某个其他SD配置了解密密钥标识A对应的解密密钥，并且目标SD已与该解密密钥关联，具备该解密密钥的访问权限，则目标SD能够解密该离线管理指令。

OWE为终端的TEE中的SD配置了解密密钥，且将离线管理指令放置在应用管理服务器中后该技术方案可以执行图6所示的管理方法，该管理方法可以包括以下步骤：

S210，终端获取应用数据包。

终端的REE从图4中的CA APK服务器或者应用管理服务器中获取应用数据包，应用数据包中包括离线管理指令，离线管理指令中可以包括目标SD标识，解密密钥标识和加密数据。解密密钥标识用于指示对应的解密密钥，终端TEE使用该解密密钥对加密数据解密；加密数据是OWE使用加密密钥生成的；在本发明实施例中，加密密钥和解密密钥可以是对称密钥也可以是非对称密钥。当加密密钥和解密密钥为为对称密钥时，终端保存私钥，OWE可以通过对一批设备配置相同私钥的方式实现本发明介绍的离线加密方法。

在本发明实施例中，应用数据包是OWE生成并放置在CA APK服务器或者应用管理服务器中，该过程请参见图4的描述。另外还需说明的是，在本发明实施例中，OWE采用加密密钥加密所要加密的数据，并生成离线管理指令和OWE将解密密钥部署到终端的SD中是两个不相干的过程。

在本发明的一个实施例中，终端的TEE使用解密密钥标识对应的解密密钥直接解密加密数据。在本发明的另一个实施例中，终端的TEE使用离线管理指令中包括的密钥计算参数和解密密钥标识对应的解密密钥计算得到会话密钥，使用会话密钥解密加密数据。该会话密钥也可以称为内容加密密钥。

S220，终端确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥。

在本发明实施例中，终端可以根据TEE保存的关联信息确定目标SD与解密密钥是否存在关联关系，或判断目标SD是否具备对解密密钥的访问权限。关联信息可以包括目标SD标识和解密密钥标识的对应关系或者目标SD与解密密钥的对应关系，例如表1所示。在本发明实施例中当终端确定目标SD与解密密钥存在关联关系时，认为目标SD标识对应的目标SD的存储区域中包括解密密钥标识对应的解密密钥，或者目标SD具备对同一OWE部署到其管理的其他SD中的解密密钥的访问权限。

表1

其中，OWE1为SD1、SD5分别部署了不同的解密密钥Key1、Key3；OWE2向SD2、SD3、SD4中的一个SD部署了解密密钥Key2，并通过密钥属性参数将Key2与该3个SD关联，由该3个SD共享Key2。更进一步，若OWE决定针对SD1的离线管理指令使用不同的加密密钥进行二次加密，则需要在SD1内部署相应的两把解密密钥。

关联信息是根据OWE在终端的TEE中部署解密密钥时TEE记录的。表1仅仅是为了说明目标SD与解密密钥的对应关系，并不限定关联信息中包括的是解密密钥和目标SD的对应关系，还是解密密钥的标识与目标SD标识的对应关系。另外表1也仅仅是关联关系的一种表达方式，在本发明实施例中不限定关联信息的具体形式。

在本发明实施例中，表1所示，相同的OWE1可以选择不同的SD部署不同的解密密钥；相同的OWE2也可以选择不同的SD部署共用的解密密钥。

OWE可以在终端出厂时，或者创建SD时为SD配置解密密钥，OWE配置解密密钥的方式可以通过图2和图3所示的方式进行配置。OWE可以为每个SD配置不同的解密密钥，或者为一个OWE相关联的多个SD配置相同的解密密钥。

当目标SD标识对应的目标SD包括解密密钥标识对对应的解密密钥时，执行S230，否则执行S240。

S230，终端使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。

对加密数据进行解密操作的过程，根据选择的加密协议/方式的不同，可以是根据解密密钥直接对加密数据进行解密，可以是离线管理指令中的密钥计算参数和解密密 钥，导出内容加密密钥对加密数据进行解密。

在本发明实施例中，离线管理操作可以包括但不限于安装TA、更新TA。加密数据可以为包括加密的TA安装包或者TA更新包等已加密的其他数据(可以参考S106中介绍的安装TA指令中的加密内容和二次加密结构)。

对于存在二次加密的情况，被二次加密的数据同样包括相应的第二解密密钥标识和/或密钥计算参数。终端TEE首先根据离线指令中的第一解密密钥标识对加密数据进行解密，解密后根据被二次加密数据中的第二解密密钥标识，获取第二解密密钥对二次加密的数据进行解密。

在本发明的一个实施例中，终端使用解密密钥直接解密加密数据，然后根据解密后的加密数据进行离线管理操作。

在本发明的另一个实施例中，终端使用解密密钥和指令中的密钥计算参数导出用于加密数据的内容加密密钥/数据加密密钥，然后使用内容加密密钥对加密数据进行解密，再根据解密后的数据进行离线管理操作。

S240，终端通过OTrP以在线管理方式从OWE获取解密密钥标识对应的解密密钥。

当目标SD不具备解密密钥，无法对加密数据进行解密时，终端与OWE建立通信连接，以OTrP在线管理的方式向OWE获取解密密钥。终端与OWE进行双向鉴权，双向鉴权完成后，终端接收OWE通过OTrP以在线管理方式(例如update SD或其他指令向SD发送个人化数据)发送的解密密钥。之后终端根据解密密钥解密离线管理指令中的加密数据，根据解密后的加密数据进行离线管理操作，即执行S230。

在本发明的一个实施例中，如图7所示，终端通过OTrP以在线管理方式从OWE获取解密密钥的过程可以包括：

S241，终端向OWE发送第一消息。

第一消息包括解密密钥标识，用于获取解密密钥标识对应的解密密钥。在本发明实施例中，第一消息可以称为获取解密密钥请求或者其他名称，在本发明实施例中，对此不作限制。

S242，OWE与终端进行双向鉴权。

在本发明实施例中S240的过程与图5的过程相同，为简洁描述，在此不再赘述。

S243，终端接收OWE通过OTrP以在线管理方式发送的第二消息。

第二消息中包括解密密钥。第二消息可以为更新SD指令，通过更新SD的方式向目标SD中配置解密密钥。

所述解密密钥可以由SP首次创建SD时生成的TEE-SP-AIK或直接使用TEE公钥进行加密。

S244，终端将解密密钥保存到目标SD的安全存储区中，并更新关联信息。

终端将解密密钥保存到TEE中目标SD中，并更新TEE中保存的关联信息。更新关联信息例如：

假设目标SD为SD7，而需要获取的解密密钥标识对应的解密密钥为Key4，则终端在线获取解密密钥Key4，并更新关联信息，更新后的关联信息为表2。

表2

可选地，所述第二消息中包括解密密钥的密钥属性参数，以使TEE根据所述属性参数更新关联信息与密钥的访问权限。在表2的示例中，OWE设置Key4为不可共享的解密密钥，TEE保存Key4并建立Key4与SD7的关联关系。

可选地，如图6所示，在本发明实施例中，离线管理指令中还可以包括加密数据的应用信息；在终端获取应用数据包之后，该方法还可以包括：

S250，终端根据应用信息和TEE信息确定TEE模块是否需要执行所述离线管理指令。

其中，TEE信息为安装在终端的TEE模块中的应用对应的应用信息。在本发明实施例中，应用信息可以为应用的版本信息，应用的名称等信息。

例如，如果离线管理指令用于安装TA，那么应用信息可以为TA的应用标识或者应用名称；如果离线管理指令用于更新TA，那么应用信息可以为TA的名称和版本信息。

当离线管理指令为安装TA时，当终端的TEE中不包括应用信息对应的应用时，终端执行S260。当终端TEE中已安装了应用信息对应的应用，则不执行所述离线管理指令。

当离线管理指令为更新TA时，检查目标TA是否存在，若目标TA存在且TEE内已安装TA版本低于离线管理指令中TA的版本。若低于，则执行S230.

S260，终端根据目标SD标识确定终端的TEE中包括目标SD标识对应的目标SD。

当TEE中包括目标SD标识对应的目标SD时，终端执行230。当TEE中不包括目标SD标识对应的目标SD时，执行S270。

S270，终端通过OTrP以在线管理方式安装目标SD并从OWE获取解密密钥。

终端与OWE建立通信连接，并进行双向鉴权，双向鉴权完成后，终端接收OWE通过OTrP在线管理发送的安装目标SD指令，并从OWE获取解密密钥，安装目标SD并获取到解密密钥后，执行S230。

在本发明实施例中，如图8所示，终端通过OTrP以在线管理方式安装目标SD并从OWE获取解密密钥，包括：

S271，终端向OWE发送第三消息

第三消息可以包括目标SD标识和指示信息，第三消息用于请求安装目标SD标识对应的目标SD，指示信息用于指示向OWE获取解密密钥。在本发明实施例中第三消息可以称为获取目标SD的请求消息。可选地，本发明的一个实施例中，指示信息可以为解密密钥的标识。

S272，OWE与终端进行双向鉴权。

在本发明实施例中S2720的过程与图5的过程相同，为简洁描述，在此不再赘述。

S273，终端接收OWE通过OTrP以在线管理方式发送的第四消息。

第四消息包括安装目标SD指令，安装目标SD指令中包括解密密钥标识对应的解密密钥。

S274，终端安装目标SD，将解密密钥保存在安装的目标SD中，并更新关联信息。

采用本发明实施例的管理方法可以实现离线情况下TEE的管理。

在本发明实施例中，终端根据应用信息确定终端是否安装对应的应用，终端根据目标SD标识确定终端是否包括目标SD，以及终端确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥可以通过两种方式实现，具体请参见图9、图10(a)和图10(b)所示。

图9为本发明实施例提供的一种管理方法的流程示意图。如图9所示，该方法可以包括以下步骤：

S301，终端中的REE获取应用数据包。

应用数据包中包括离线管理指令，离线管理指令包括目标SD标识、解密密钥标识、加密数据(例如TA安装包或者TA更新包)、加密数据对应的应用信息、签名和OWE证书等信息。其中，应用信息可以为应用的版本信息，或应用标识或应用名称等。

S302，终端的REE将应用数据包中的离线管理指令发送给终端的TEE。

REE中的客户端应用将离线管理指令发送到TEE，由TEE判断是否需要执行所述离线管理指令。

S303，终端的TEE根据应用信息和TEE信息确定是否需要执行所述离线管理指令。

其中，TEE信息为安装在终端的TEE模块中的应用对应的应用信息。例如，离线管理指令对应的离线管理操作可以为安装应用名称为1234的TA，TEE确定是否已经安装了应用名称为1234的TA，若已经安装，则取消该离线管理指令的相关操作；若还未安装，则执行S304。

S304，终端的TEE确定终端中是否包括目标SD标识对应的目标SD。

当终端中包括目标SD时，TEE执行S305。当终端中不包括目标SD时，终端执行S307至S311。

S305，终端的TEE确定目标SD中是否包括解密密钥标识对应的解密密钥。

当目标SD中包括解密密钥标识对应的解密密钥时，终端执行S306。否则，执行S312至S316。

S306，终端使用解密密钥解密离线管理指令中的加密数据，根据解密后的加密数据进行离线管理操作。

TEE使用OWE白名单中的CA证书对该离线管理指令中的OWE证书进行验证，并获取OWE证书中的OWE公钥，采用OWE公钥对使用OWE私钥的签名进行验证，验证通过后证明该离线管理指令由可信的OWE生成的，执行所述离线管理指令。

如果离线管理指令是安装TA，则解密TA代码和TA数据进行TA的安装操作； 如果离线管理指令是更新TA，则解密TA代码和TA数据进行TA的更新操作。在本发明实施例中，S307至S316中，REE与OWE之间进行通信建立在OTrP的在线管理模式下，需要终端与OWE建立通信连接，进行双向鉴权后，OWE才向REE发送REE所请求的信息。双向鉴权的过程与图5所示的双向鉴权的过程相同，为简洁描述，在此不再赘述。

S307，TEE向REE发送安装目标SD的请求消息，该请求消息中包括目标SD标识和解密密钥标识。

S308，REE向OWE转发安装目标SD的请求消息。

S309，OWE向REE发送安装目标SD指令，该安装目标SD指令中包括解密密钥标识对应的解密密钥。

OWE接收到REE发送的安装目标SD的请求消息后，与TEE进行双向鉴权，鉴权的过程如图5的双向鉴权过程相同，为简洁描述，在此不再赘述。双向鉴权通过后，OWE向REE发送安装目标SD指令。

S310，REE向TEE转发安装目标SD指令。

S311，TEE安装目标SD，将解密密钥保存在安装的目标SD中，并更新关联信息，之后执行S306。

S312，TEE向REE发送获取解密密钥请求消息，该获取解密密钥请求消息中包括解密密钥标识。

S313，REE向OWE转发获取解密密钥请求消息。

S314，OWE向REE发送获取解密密钥请求消息的响应消息，响应消息包括解密密钥。

OWE接收到REE发送的获取解密密钥请求消息后，与TEE进行双向鉴权，鉴权的过程如图5的双向鉴权过程相同，为简洁描述，在此不再赘述。双向鉴权通过后，OWE向REE发送获取解密密钥请求消息的响应消息。

S315，REE向TEE转发响应消息。

S316，TEE将解密密钥保存到目标SD中，并更新关联信息，之后执行S306。

采用本发明实施例的管理方法可以实现离线情况下TEE的管理。

图10(a)和图10(b)为本发明实施例提供的另一种管理方法的流程示意图。如图10(a)和图10(b)所示，该方法可以包括以下步骤：

S401，终端中的REE获取应用数据包。

应用数据包中包括离线管理指令，离线管理指令包括目标SD标识、解密密钥标识、加密数据(TA安装包或者TA更新包)、加密数据对应的应用信息、签名和OWE证书等信息。其中，应用信息可以为应用的版本信息，或应用标识或应用名称等。

例如，离线管理指令对应的离线管理操作为更新TA，应用信息为版本为3.0的TA。REE需要确定TEE是否已经安装了版本高于3.0的TA。若是，终止执行更新TA的操作。

S402，REE向终端的TEE发送获取应用信息的请求消息，以判断是否满足离线管理指令的执行条件。

在本发明的一个实施例中，获取应用信息的请求消息中包括加密数据对应的应用 信息。

S403，TEE向REE发送获取应用信息的响应消息。

在本发明的一个实施例中，响应消息中包括TEE信息，即TEE已安装的所有的TA的信息。

在本发明的另一个实施例中，响应消息为TEE是否包括应用信息对应的应用。

REE获取到相应消息后，将响应消息中的TEE信息与离线管理指令中包含的应用信息进行对比，来判断是否满足执行离线管理指令的条件。

S404，REE根据响应消息和应用信息确定是否需要执行离线管理指令。

在本发明的一个实施例中，离线管理指令中包括应用信息，应用信息可以包括所要安装或更新的TA的TA标识和版本信息。

REE从TEE中获取的响应消息中包括TEE安装的所有的TA对应的应用信息，同样包括TEE所安装的TA的TA标识和版本信息。然后REE根据响应消息和离线管理指令中的应用信息确定是否需要执行离线管理指令。

若响应消息中不存在应用信息对应的TA的信息或响应消息为TEE不包括应用信息对应的应用，则执行S405。

例如，在本发明的一个实施例中，离线管理指令为离线安装TA指令，REE根据离线安装TA指令中的应用信息的TA标识，以及REE从TEE接收到的响应消息中TEE安装的TA的TA标识确定是否需要执行该离线安装TA指令，若TEE中未安装离线安装TA指令中TA标识对应的TA，则需要执行该离线安装TA指令。

在本发明的另一实施例中，例如离线管理指令为离线更新TA指令，REE根据离线安装TA指令中的应用信息的TA版本信息，以及REE从TEE接收到的响应消息中TEE安装的TA的版本信息确定是否需要执行该离线更新TA指令，若TEE中已安装版本信息低于离线更新TA指令对应的TA版本信息，则需要执行该离线更新TA指令更新该TA。

S405，REE向TEE发送获取SD信息的请求消息。

在本发明的一个实施例中，获取SD信息的请求消息中包括目标SD标识。

S406，TEE向REE发送获取SD信息的响应消息。

在本发明的一个实施例中，获取SD信息的响应消息包括TEE已经包括的所有SD的信息。在本发明的另一实施例中，获取SD信息的响应消息为TEE包括目标SD标识对应的目标SD或者不包括目标SD标识对应的目标SD的信息。

S407，REE根据获取SD信息的响应消息确定TEE是否包括目标SD标识对应的目标SD。

当TEE中不包括目标SD标识对应的目标SD时，通过OTrP在线管理方式安装目标SD标识对应的目标SD，具体执行S S411至S414；当TEE中包括目标SD标识对应的目标SD时，执行图10(b)中的S408。

S408，REE确定目标SD中是否包括解密密钥标识对应的解密密钥。

在本发明的一个实施例中，在S406中，获取SD信息的响应消息中可以包括TEE已包括的SD，以及每个SD中包括的解密密钥标识。

在本发明的另一实施例中，REE可以向TEE发送获取目标SD中解密密钥的请求， 请求中包括目标SD标识，并从TEE中获取目标SD的解密密钥标识，然后确定目标SD中是否包括离线管理指令中解密密钥标识对应的解密密钥。

在本发明的另一个实施例中，获取目标SD信息请求中可以包括离线管理指令中的解密密钥标识，TEE向REE响应目标SD中是否包括解密密钥标识对应的解密密钥的信息。

当目标SD中包括离线管理指令中的解密密钥标识对应的解密密钥时，执行S409，否则执行图10(b)中的S415至S418。

S409，REE向TEE发送离线管理指令。

S410，TEE使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。

TEE使用OWE白名单中的CA证书对该离线管理指令中的OWE证书进行验证，并获取OWE证书中的OWE公钥，采用OWE公钥对使用OWE私钥的签名进行验证，验证通过后证明该离线管理指令由可信的OWE生成的，确定该离线管理指令为有效指令。然后使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。

在本发明实施例中，S411至S418中，REE与OWE之间进行通信建立在OTrP的在线管理模式下，需要终端与OWE建立通信连接，进行双向鉴权后，OWE才向REE发送REE所请求的信息。双向鉴权的过程与图5所示的双向鉴权的过程相同，为简洁描述，在此不再赘述。

S411，REE向OWE发送安装目标SD的请求消息，该请求消息中包括目标SD标识和解密密钥标识。

S412，OWE向REE发送安装目标SD指令，该安装目标SD指令中包括解密密钥标识对应的解密密钥。

OWE接收到REE发送的安装目标SD的请求消息后，与TEE进行双向鉴权，鉴权的过程如图5的双向鉴权过程相同，为简洁描述，在此不再赘述。双向鉴权通过后，OWE向REE发送安装目标SD指令。

S413，REE向TEE转发安装目标SD指令。

S414，TEE安装目标SD，将解密密钥保存在安装的目标SD中，并更新关联信息，之后执行S409。

S415，REE向OWE发送获取解密密钥请求消息，该获取解密密钥请求消息中包括解密密钥标识。

S416，OWE向REE发送获取解密密钥请求消息的响应消息，响应消息中包括解密密钥。

OWE接收到REE发送的获取解密密钥请求消息后，与TEE进行双向鉴权，鉴权的过程如图5的双向鉴权过程相同，为简洁描述，在此不再赘述。双向鉴权通过后，OWE向REE发送获取解密密钥请求消息的响应消息。

S417，REE向TEE转发响应消息。

S418，TEE将解密密钥保存在目标SD中，并更新关联信息，之后执行S409。

采用本发明实施例的管理方法可以实现离线情况下TEE的管理。OWE生成离线管理指令，终端在获取到离线管理指令后，如果判断终端目标SD不具备执行离线管 理指令的功能，则通过在线的方式向OWE申请以安装SD或更新SD的方式获取解密密钥，并利用解密密钥对离线管理指令中的加密数据进行解密。

可选地，在本发明的另一实施例中，离线管理指令对应的解密密钥可以为一次性的，即在执行图6至图10(a)和图10(b)的管理方法时，均需要通过OTrP在线管理的方式从OWE获取解密密钥。OWE可以通过指示TEE不保存密钥及关联关系的方式实现，或是在不同的离线管理指令中使用不同的解密密钥的方式实现，本发明不做限定。

可选地，在本发明的另一实施例中，离线管理指令中还可以包括密钥计算参数。当目标SD中存储的是解密密钥标识对应的主解密密钥，TEE可以使用主解密密钥和密钥计算参数获得实际用来加密数据的内容加密密钥，然后采用该内容加密密钥解密加密的数据，然后根据解密后的加密数据进行离线管理操作。

图11为本发明实施例提供的一种终端结构示意图，该终端应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该终端可以包括获取单元601、处理单元602。

获取单元601，用于获取应用数据包，应用数据包包括离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对。

处理单元602，用于确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥。

当目标SD中包括解密密钥时，处理单元602使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

在本发明的一个实施例中，该终端还包括发送单元603、接收单元604和存储单元605。

发送单元603，用于当目标SD中不包括解密密钥时，向OWE发送第一消息，第一消息包括解密密钥标识，用于获取解密密钥标识对应的解密密钥。

接收单元604，用于接收OWE通过OTrP以在线管理方式发送的第二消息，第二消息包括解密密钥。

存储单元605，用于将解密密钥保存在目标SD中；处理单元602使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。

可选地，在本发明的一个实施例中，处理单元602，还用于根据目标SD标识确定终端中是否包括目标SD标识对应的目标SD。

可选地，在本发明的一个实施例中，发送单元603，用于当终端中不包括目标SD标识对应的目标SD时，向OWE发送第三消息，第三消息包括指示信息，第三消息用于请求安装目标SD标识对应的目标SD，指示信息用于指示在请求安装的目标SD中不部署解密密钥标识对应的解密密钥。

接收单元604，用于接收OWE通过OTrP以在线管理方式发送的第四消息，第四消息包括安装目标SD指令，安装目标SD指令包括解密密钥。

处理单元602，还用于根据安装目标SD指令安装目标SD标识对应的目标SD，存储单元605将解密密钥保存在安装的目标SD中。

可选地，在本发明的一个实施例中，指示信息包括离线管理指令中携带的解密密钥标识，安装目标SD指令包括解密密钥标识对应的解密密钥。

可选地，在本发明的一个实施例中，第二消息和第四消息中还分别包括解密密钥的属性参数；处理单元602，还用于更新关联信息，更新后的关联信息包括目标SD与解密密钥的对应关系。

可选地，在本发明的一个实施例中，离线管理指令中还包括应用信息；处理单元602，还用于根据应用信息和TEE信息确定是否需要执行离线管理指令；其中，TEE信息为安装在终端的TEE模块中的应用对应的应用信息。

可选地，在本发明的一个实施例中，离线管理指令还包括密钥计算参数，处理单元602使用解密密钥解密所述加密数据，包括：

处理单元602使用解密密钥标识对应的解密密钥和密钥计算参数计算会话密钥，并使用会话密钥对加密数据进行解密。

可选地，在本发明的一个实施例中，发送单元603，用于向OWE发送第五消息，第五消息用于OWE向终端中的至少一个SD配置解密密钥。

接收单元604，用于接收OWE通过OTrP以在线管理方式发送的第六消息，第六消息包括至少一个解密密钥和解密密钥的属性参数，并根据解密密钥的属性参数生成关联信息；关联信息包括以下方式中的一种或两种：至少一个解密密钥与至少一个SD存在一一对应关系，或者至少一个解密密钥中的每一个解密密钥与至少一个SD中的多个SD存在对应关系。

存储单元605，用于保存至少一个解密密钥和关联信息。

该终端中的各功能单元的功能，可以通过图5至图10(a)和图10(b)图中所示实施例中的终端所执行的各步骤来实现，因此，本发明实施例提供的终端的具体工作过程，在此不复赘述。

图12为本发明实施例提供的一种服务器的结构示意图，该服务器应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该服务器可以包括：

处理单元，用于生成离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据；其中，解密密钥标识对应的解密密钥用于解密所述加密数据，加密数据由OWE使用加密密钥生成，解密密钥和加密密钥是由OWE生成的密钥对；离线管理指令用于终端获取到包含离线管理指令的应用数据包时，使用解密密钥标识对应的解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。

在本发明的一个实施例中，该服务器还包括接收单元702和发送器703；

接收单元702，用于接收终端发送的第一消息，第一消息包括解密密钥标识，用于获取解密密钥标识对应的解密密钥。

处理单元701，还用于通过OTrP以在线管理方式与终端的TEE进行双向鉴权，鉴权通过后，发送单元703向终端发送第二消息，第二消息包括解密密钥，第二消息用于终端将解密密钥保存在目标SD中，并更新关联信息，关联信息包括目标SD与解密密钥的对应关系。

可选地，在本发明的一个实施例中，接收单元702，用于接收终端发送的第三消息，第三消息包括指示信息，第三消息用于请求安装目标SD标识对应的目标SD，指示信息用于指示在请求安装的目标SD中部署解密密钥标识对应的解密密钥。

处理单元701，用于通过OTrP以在线管理方式与终端的TEE进行双向鉴权，鉴权通过后，发送单元703向终端发送第四消息，第四消息包括安装目标SD指令，安装目标SD指令包括解密密钥；第四消息用于终端安装目标SD，将解密密钥保存安装的目标SD中，并更新关联信息，关联信息包括目标SD与解密密钥的对应关系。

可选地，在本发明的一个实施例中，指示信息包括解密密钥标识，安装目标SD指令中包括解密密钥标识对应的解密密钥。

可选地，在本发明的一个实施例中，接收单元702，用于接收终端发送的第五消息，第五消息用于OWE向终端中的至少一个SD配置解密密钥。

服务器与终端进行双向鉴权，鉴权通过后，发送单元703向终端发送第六消息，第六消息包括至少一个解密密钥和解密密钥的属性参数；所述第六消息用于终端保存至少一个解密密钥，并根据解密密钥的属性参数生成关联信息；关联信息包括以下方式中的一种或两种：至少一个解密密钥与至少一个SD存在一一对应关系，或者至少一个解密密钥中的每一个解密密钥与至少一个SD中的多个SD存在对应关系。

该服务器中的各功能单元的功能，可以通过图5至图10(a)和图10(b)图中所示实施例中的OWE所执行的各步骤来实现，因此，本发明实施例提供的OWE的具体工作过程，在此不复赘述。

图13提供了另一种终端的结构示意图，该终端应用于支持开放信任协议OTrP的可信执行环境TEE的管理，该终端包括TEE模块和富执行环境REE模块，该TEE模块包括接收单元801和处理单元802。

接收单元801，用于接收REE模块发送的离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对。

处理单元802，用于确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥。

处理单元802，还用于当目标SD中包括解密密钥时，使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。采用提供的管理方法实现了OTrP的TEE离线管理。

在本发明的一个实施例中，TEE模块还包括发送单元803和存储单元804。

发送单元803，用于当目标SD中不包括解密密钥时，通过REE模块向OWE发送第一消息，第一消息包括解密密钥标识，用于获取解密密钥标识对应的解密密钥。

处理单元802，还用于通过REE模块接收OWE通过OTrP以在线管理方式发送的第二消息，第二消息包括解密密钥。

存储单元804，用于将解密密钥保存到目标SD中；处理单元802使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。

可选地，在本发明的一个实施例中，处理单元802，还用于根据目标SD标识确定TEE模块中是否包括目标SD标识对应的目标SD。

可选地，在本发明的一个实施例中，发送单元803，用于当TEE模块中不包括目标SD标识对应的目标SD时，TEE模块通过REE模块向OWE发送第三消息，第三消息包括指示信息，第三消息用于请求安装目标SD标识对应的目标SD，指示信息用于指示在请求安装的目标SD中部署解密密钥标识对应的解密密钥。

接收单元801，用于接收OWE通过OTrP以在线管理方式发送的第四消息，第四消息包括安装目标SD指令，安装目标SD指令包括解密密钥。

处理单元802，还用于根据安装目标SD指令安装目标SD标识对应的目标SD，并将解密密钥保存到安装的目标SD中。

可选地，在本发明的一个实施例中，指示信息包括解密密钥标识，安装目标SD指令包括解密密钥标识对应的解密密钥。

可选地，在本发明的一个实施例中，第一消息和第四消息中还分别包括解密密钥的属性参数；处理单元802，还用于更新关联信息，更新后的关联信息包括目标SD与解密密钥的对应关系。

可选地，在本发明的一个实施例中，离线管理指令还包括应用信息；处理单元802，还用于根据应用信息和TEE信息确定是否需要执行离线管理指令；其中，TEE信息为安装在终端的TEE模块中的应用对应的应用信息。

可选地，在本发明的一个实施例中，离线管理指令还包括密钥计算参数，处理单元802使用所述解密密钥解密所述加密数据，包括：

处理单元802使用解密密钥标识对应的解密密钥和密钥计算参数计算会话密钥，并使用会话密钥对加密数据进行解密。

可选地，在本发明的一个实施例中，处理单元802，还用于通过REE模块向OWE发送第五消息，第五消息用于OWE向终端中的至少一个SD配置解密密钥。

发送单元803，用于通过REE模块接收OWE通过OTrP以在线管理方式发送的第六消息，第六消息包括至少一个解密密钥和解密密钥的属性参数。

处理单元802根据解密密钥的属性参数生成关联信息；关联信息包括以下方式中的一种或两种：至少一个解密密钥与至少一个SD存在一一对应关系，或者至少一个解密密钥中的每一个解密密钥与至少一个SD中的多个SD存在对应关系。

存储单元804，用于保存至少一个解密密钥和关联信息。

本发明实施例还提供了一种终端，如图14所示，该终端包括接收器、发送器、处理器和存储器，接收器、发送器、处理器和存储器相互连接，用于完成相互之间的通信，该终端具有执行图5至图10(a)和图10(b)中终端所执行的方法。

其中，该终端的处理器用于执行以下操作：

获取应用数据包，应用数据包包括离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对；

确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥；

当目标SD中包括解密密钥时，使用解密密钥解密所述加密数据，并根据解密后的加密数据进行离线管理操作。

该终端中的各功能单元的功能，可以通过图5至图10(a)和图10(b)图中所示实施例中的终端所执行的各步骤来实现，因此，本发明实施例提供的终端的具体工作过程，在此不复赘述。

本发明还提供了另一种终端，如图15所示，该终端包括TEE模块和富执行环境REE模块，TEE模块包括接收器和处理器；

接收器，用于接收终端的富执行环境REE模块发送的离线管理指令，离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，解密密钥标识对应的解密密钥用于解密加密数据，加密数据由外部实体OWE使用加密密钥生成，解密密钥和加密密钥是由外部实体OWE生成的密钥对；

处理器，用于确定目标SD标识对应的目标SD中是否包括解密密钥标识对应的解密密钥；

当目标SD中包括解密密钥时，处理器使用解密密钥解密加密数据，并根据解密后的加密数据进行离线管理操作。

如图14和图15提供的终端可以为手机。处理器是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器内的软件程序和/或模块，以及调用存储在存储器内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。处理器可以是中央处理器(central processing unit，CPU)、通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。处理器可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。可选的，处理器可包括一个或多个处理器单元。可选的，处理器还可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器中。

存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图象播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括易失性存储器，例如非挥发性动态随机存取内存(Nonvolatile Random Access Memory，NVRAM)、相变化随机存取内存(Phase Change RAM，PRAM)、磁阻式随机存取内存(Magetoresistive RAM，MRAM)等；存储器620还可以包括非易失性存储器，例如至少一个磁盘存储器件、电子可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、闪存器件，例如反或闪存(NOR flash memory)或是反与闪存(NAND flash memory)、半导体器件，例如固态硬盘(Solid State Disk，SSD)等。所 述存储器还可以包括上述种类的存储器的组合。

本发明实施例还提供了一种服务器，如图16所示，该服务器包括收发器、处理器和存储器，所述收发器、处理器和存储器相互连接，用于完成相互之间的通信，该服务器具有执行图5至图10(a)和图10(b)中OWE所执行的方法。

其中，处理器用于：生成离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据；其中，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由所述OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由OWE生成的密钥对；所述离线管理指令用于终端获取到包含所述离线管理指令的应用数据包时，使用所述解密密钥标识对应的解密密钥解密所述加密数据，并根据所述解密后的所述加密数据进行离线管理操作。

该服务器中的各功能单元的功能，可以通过图5至图10(a)和图10(b)图中所示实施例中的服务器所执行的各步骤来实现，因此，本发明实施例提供的终端的具体工作过程，在此不复赘述。

图17为本发明实施例提供的一种通信装置示意图，如图17所示，所述通信装置1700可以是芯片，所述芯片包括处理单元和通信单元。所述处理单元可以是处理器1710，所述处理器可以是前文所述的各种类型的处理器。所述通信单元例如可以是输入/输出接口1720、管脚或电路等，所述通信单元可以包括系统总线或者与系统总线连接。可选地，所述通信装置还包括存储单元，所述存储单元可以是所述芯片内部的存储器1730，例如寄存器、缓存、随机存取存储器(random access memory，RAM)、EEPROM或者FLASH等；所述存储单元还可以是位于所述芯片外部的存储器，该存储器可以是前文所述的各种类型的存储器。处理器连接到存储器，该处理器可以运行存储器存储的指令，以使该通信装置执行上述图5至图10(a)和图10(b)中终端所执行的方法。

本发明实施例还提供了一种计算机可读存储介质，包括指令，当其在设备上运行时，使得该设备执行如图5至图10(a)和图10(b)中所执行的方法。

本发明实施例还提供了一种包含指令的计算机程序产品或者计算机程序，当其在计算机上运行时，使得计算机执行如图5至图10(a)和图10(b)中所执行的方法。

本发明实施例还提供了一种系统，该系统可以包括图11或图13中描述的终端，以及图12中描述的服务器；或者，该可以包括包括图14或图15中描述的终端，以及图16中描述的服务器。

在上述各个本发明实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读介质向另一个计算机可读介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无 线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如，固态硬盘)等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims (45)

1. 一种管理方法，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述管理方法包括：

   终端获取应用数据包，所述应用数据包包括离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由外部实体OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对；

   所述终端确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥；

   当所述目标SD中包括所述解密密钥时，所述终端使用所述解密密钥解密所述加密数据，并根据解密后的所述加密数据进行离线管理操作。
2. 根据权利要求1所述的管理方法，其特征在于，所述管理方法还包括：

   当所述目标SD中不包括所述解密密钥时，所述终端向所述OWE发送第一消息，所述第一消息用于获取所述解密密钥标识对应的解密密钥；

   所述终端接收所述OWE通过所述OTrP以在线管理方式发送的第二消息，所述第二消息包括所述解密密钥；

   所述终端使用所述解密密钥解密所述加密数据，并根据解密后的所述加密数据进行离线管理操作。
3. 根据权利要求1或2所述的管理方法，其特征在于，在所述终端确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥之前，所述管理方法还包括：

   所述终端根据所述目标SD标识确定所述终端中是否包括所述目标SD标识对应的目标SD。
4. 根据权利要求3所述的管理方法，其特征在于，所述管理方法还包括：

   当所述终端中不包括所述目标SD标识对应的目标SD时，所述终端向所述OWE发送第三消息，所述第三消息包括指示信息，所述第三消息用于请求安装所述目标SD标识对应的目标SD，所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥；

   所述终端接收所述OWE通过所述OTrP以在线管理方式发送的第四消息，所述第四消息包括安装目标SD指令，所述安装目标SD指令包括所述解密密钥；

   所述终端根据所述安装目标SD指令安装所述目标SD标识对应的目标SD，将所述解密密钥保存在安装的目标SD中。
5. 根据权利要求4所述的管理方法，其特征在于，所述第一消息和所述第三消息中分别包括所述离线管理指令中携带的解密密钥标识或者所述离线管理指令的标识，所述安装目标SD指令包括所述解密密钥标识对应的解密密钥。
6. 根据权利要求2至5任一项所述的管理方法，其特征在于，所述第二消息和所述第四消息中还分别包括解密密钥的属性参数；所述管理方法还包括：

   所述终端根据所述属性参数更新关联信息，更新后的关联信息包括所述目标SD与所述解密密钥的对应关系。
7. 根据权利要求1至6任一项所述的管理方法，其特征在于，所述离线管理指令中包括应用信息；在所述终端获取应用数据包之后，所述管理方法还包括：

   所述终端根据所述应用信息和TEE信息确定是否需要执行所述离线管理指令；其中，所述TEE信息为安装在所述终端的TEE模块中的应用对应的应用信息。
8. 根据权利要求1至7所述的管理方法，其特征在于，所述离线管理指令还包括密钥计算参数，所述终端使用解密密钥解密所述加密数据，包括：

   所述终端使用所述解密密钥标识对应的解密密钥和所述密钥计算参数计算会话密钥，并使用所述会话密钥对所述加密数据进行解密。
9. 根据权利要求1至8所述的管理方法，其特征在于，在所述终端获取应用数据包之前，所述管理方法还包括：

   所述终端向所述OWE发送第五消息，所述第五消息用于所述OWE向所述终端中的至少一个SD配置解密密钥；

   所述终端接收所述OWE通过所述OTrP以在线管理方式发送的第六消息，所述第六消息包括至少一个解密密钥和解密密钥的属性参数；

   所述终端保存所述至少一个解密密钥，并根据解密密钥的属性参数生成关联信息；所述关联信息包括以下方式中的一种或两种：所述至少一个解密密钥与所述至少一个SD存在一一对应关系，或者所述至少一个解密密钥中的每一个解密密钥与所述至少一个SD中的多个SD存在对应关系。
10. 一种管理方法，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述管理方法包括：

    外部实体OWE生成离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据；其中，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由所述OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由OWE生成的密钥对；所述离线管理指令用于终端获取到包含所述离线管理指令的应用数据包时，使用所述解密密钥标识对应的解密密钥解密所述加密数据，并根据所述解密后的所述加密数据进行离线管理操作。
11. 根据权利要求10所述的管理方法，其特征在于，所述管理方法还包括：

    所述OWE接收所述终端发送的第一消息，所述第一消息用于所述终端获取所述解密密钥标识对应的解密密钥；

    所述OWE通过所述OTrP以在线管理方式与所述终端的TEE进行双向鉴权，并在对TEE鉴权通过后，所述OWE向所述终端发送第二消息，所述第二消息包括所述解密密钥，所述第二消息用于所述终端将所述解密密钥保存在目标SD中，并更新关联信息，所述关联信息包括所述目标SD与所述解密密钥的对应关系。
12. 根据权利要求10或11所述的管理方法，其特征在于，所述管理方法还包括：

    所述OWE接收所述终端发送的第三消息，所述第三消息包括指示信息，所述第三消息用于请求安装目标SD标识对应的目标SD，所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥；

    所述OWE通过所述OTrP以在线管理方式与所述终端的TEE进行双向鉴权，并在对TEE鉴权通过后，所述OWE向所述终端发送第四消息，所述第四消息包括安装目标SD指令，所述安装目标SD指令包括所述解密密钥；所述第四消息用于所述终端安装所述目标SD，将所述解密密钥保存安装的目标SD中，并更新关联信息，所述关联信息包括所述目标SD与所述解密密钥的对应关系。
13. 根据权利要求12所述的管理方法，其特征在于，所述所述第一消息或者第三消息分别包括所述离线管理指令中携带的所述解密密钥标识或所述离线管理指令的标识，所述安装目标SD指令中包括所述解密密钥标识对应的解密密钥。
14. 根据权利要求10至13所述的管理方法，其特征在于，所述管理方法还包括：

    所述OWE接收所述终端发送的第五消息，所述第五消息用于所述OWE向所述终 端中的至少一个SD配置解密密钥；

    所述OWE与所述终端进行双向鉴权，鉴权通过后，所述OWE向所述终端发送第六消息，所述第六消息包括至少一个解密密钥和解密密钥的属性参数；所述第六消息用于所述终端保存所述至少一个解密密钥，并根据所述解密密钥的属性参数生成关联信息；所述关联信息包括以下方式中的一种或两种：所述至少一个解密密钥与所述至少一个SD存在一一对应关系，或者所述至少一个解密密钥中的每一个解密密钥与所述至少一个SD中的多个SD存在对应关系。
15. 根据要求10至14任一项所述的管理方法，其特征在于，所述外部实体OWE生成离线管理指令，包括：

    所述OWE使用生成的加密密钥加密数据得到加密数据，并将所述加密数据和解密密钥标识打包生成所述离线管理指令；或者，

    所述OWE使用生成的加密密钥和密钥计算参数生成会话密钥，使用所述会话密钥加密数据得到加密数据，并将所述密钥计算参数、所述加密数据和解密密钥标识添加到所述离线管理指令。
16. 一种管理方法，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述管理方法包括：

    TEE模块接收终端的富执行环境REE模块发送的离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由外部实体OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对；

    所述TEE模块确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥；

    当所述目标SD中包括所述解密密钥时，所述TEE模块使用所述解密密钥解密所述加密数据，并根据所述解密后的所述加密数据进行离线管理操作。
17. 根据权利要求16所述的管理方法，其特征在于，所述管理方法还包括：

    当所述目标SD中不包括所述解密密钥时，所述TEE模块通过所述REE模块向所述OWE发送第一消息，所述第一消息用于获取所述解密密钥标识对应的解密密钥；

    所述TEE模块通过所述REE模块接收所述OWE通过所述OTrP以在线管理方式发送的第二消息，所述第二消息包括所述解密密钥；

    所述TEE模块使用所述解密密钥解密所述加密数据，并根据解密后的所述加密数据进行离线管理操作。
18. 根据权利要求16或17所述的管理方法，其特征在于，在所述TEE模块确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥之前，所述管理方法还包括：

    所述TEE模块根据所述目标SD标识确定所述TEE模块中是否包括所述目标SD标识对应的目标SD。
19. 根据权利要求18所述的管理方法，其特征在于，所述管理方法还包括：

    当所述TEE模块中不包括所述目标SD标识对应的目标SD时，所述TEE模块通过所述REE模块向所述OWE发送第三消息，所述第三消息包括指示信息，所述第三消息用于请求安装所述目标SD标识对应的目标SD，所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥；

    所述TEE模块接收所述OWE通过所述OTrP以在线管理方式发送的第四消息，所述第四消息包括安装目标SD指令，所述安装目标SD指令包括所述解密密钥；

    所述TEE模块根据所述安装目标SD指令安装所述目标SD标识对应的目标SD，并将所述解密密钥保存到安装的目标SD中。
20. 根据权利要求19所述的管理方法，其特征在于，所述第一消息和所述第三消息分别包括所述离线管理指令中携带的所述解密密钥标识或者所述离线管理指令的标识，所述安装目标SD指令包括所述解密密钥标识对应的解密密钥。
21. 根据权利要求17至20任一项所述的管理方法，其特征在于，所述第二消息和所述第四消息中还分别包括解密密钥的属性参数；所述管理方法还包括：

    所述TEE模块根据所述属性参数更新关联信息，更新后的关联信息包括所述目标SD与所述解密密钥的对应关系。
22. 根据权利要求16至21任一项所述的管理方法，其特征在于，所述离线管理指令还包括应用信息；在所述TEE模块接收终端的富执行环境REE模块发送的离线管理指令之后，所述管理方法还包括：

    所述TEE模块根据所述应用信息和TEE信息确定是否需要执行所述离线管理指令；其中，所述TEE信息为安装在所述终端的TEE模块中的应用对应的应用信息。
23. 根据权利要求16至22所述的管理方法，其特征在于，所述离线管理指令还包括密钥计算参数，所述TEE模块使用所述解密密钥解密所述加密数据，包括：

    所述TEE模块使用所述解密密钥标识对应的解密密钥和所述密钥计算参数计算会话密钥，并使用所述会话密钥对所述加密数据进行解密。
24. 根据权利要求16至23所述的管理方法，其特征在于，在所述TEE模块接收终端的富执行环境REE模块发送的离线管理指令之前，所述管理方法还包括：

    所述TEE模块通过REE模块向所述OWE发送第五消息，所述第五消息用于所述OWE向所述终端中的至少一个SD配置解密密钥；

    所述TEE模块通过所述REE模块接收所述OWE通过OTrP以在线管理方式发送的第六消息，所述第六消息包括至少一个解密密钥和解密密钥的属性参数；

    所述TEE模块保存所述至少一个解密密钥，并根据所述解密密钥的属性参数生成关联信息；所述关联信息包括以下方式中的一种或两种：所述至少一个解密密钥与所述至少一个SD存在一一对应关系，或者所述关联关系包括所述至少一个解密密钥中的每一个解密密钥与所述至少一个SD中的多个SD存在对应关系。
25. 一种终端，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述终端包括：

    获取单元，用于获取应用数据包，所述应用数据包包括离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由外部实体OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对；

    处理单元，用于确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥；

    当所述目标SD中包括所述解密密钥时，所述处理单元使用所述解密密钥解密所述加密数据，并根据解密后的所述加密数据进行离线管理操作。
26. 根据权利要求25所述的终端，其特征在于，所述终端还包括发送单元、接收单元和存储单元；

    所述发送单元，用于当所述目标SD中不包括所述解密密钥时，向所述OWE发送第一消息，所述第一消息用于获取所述解密密钥标识对应的解密密钥；

    所述接收单元，用于接收所述OWE通过所述OTrP以在线管理方式发送的第二消 息，所述第二消息包括所述解密密钥；

    所述处理单元使用所述解密密钥解密所述加密数据，并根据解密后的所述加密数据进行离线管理操作。
27. 根据权利要求25或26所述的终端，其特征在于，

    所述处理单元，还用于根据所述目标SD标识确定所述终端中是否包括所述目标SD标识对应的目标SD。
28. 根据权利要求27所述的终端，其特征在于，

    发送单元，用于当所述终端中不包括所述目标SD标识对应的目标SD时，向所述OWE发送第三消息，所述第三消息包括指示信息，所述第三消息用于请求安装所述目标SD标识对应的目标SD，所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥；

    接收单元，用于接收所述OWE通过所述OTrP以在线管理方式发送的第四消息，所述第四消息包括安装目标SD指令，所述安装目标SD指令包括所述解密密钥；

    所述处理单元，还用于根据所述安装目标SD指令安装所述目标SD标识对应的目标SD，存储单元将所述解密密钥保存在安装的目标SD中。
29. 根据权利要求28所述的终端，其特征在于，所述第一消息或者第三消息分别包括所述离线管理指令中携带的解密密钥标识或者所述离线管理指令的标识，所述安装目标SD指令包括所述解密密钥标识对应的解密密钥。
30. 根据权利要求26至29任一项所述的终端，其特征在于，所述第二消息和所述第四消息中还分别包括解密密钥的属性参数；

    所述处理单元，还用于根据所述属性参数更新关联信息，更新后的关联信息包括所述目标SD与所述解密密钥的对应关系。
31. 根据权利要求25至30任一项所述的终端，其特征在于，所述离线管理指令中还包括应用信息；

    所述处理单元，还用于根据所述应用信息和TEE信息确定是否需要执行所述离线管理指令；其中，所述TEE信息为安装在所述终端的TEE模块中的应用对应的应用信息。
32. 根据权利要求25至31所述的管终端，其特征在于，所述离线管理指令还包括密钥计算参数，所述处理单元使用解密密钥解密所述加密数据，包括：

    所述处理单元使用所述解密密钥标识对应的解密密钥和所述密钥计算参数计算会话密钥，并使用所述会话密钥对所述加密数据进行解密。
33. 根据权利要求25至32所述的终端，其特征在于，

    所述终端的发送单元，用于向所述OWE发送第五消息，所述第五消息用于所述OWE向所述终端中的至少一个SD配置解密密钥；

    所述接收单元，用于接收所述OWE通过所述OTrP以在线管理方式发送的第六消息，所述第六消息包括至少一个解密密钥和解密密钥的属性参数，并根据解密密钥的属性参数生成关联信息；所述关联信息包括以下方式中的一种或两种：所述至少一个解密密钥与所述至少一个SD存在一一对应关系，或者所述至少一个解密密钥中的每一个解密密钥与所述至少一个SD中的多个SD存在对应关系；

    存储单元，用于保存所述至少一个解密密钥和所述关联信息。
34. 一种服务器，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述服务器包括：

    处理单元，用于生成离线管理指令，所述离线管理指令包括目标安全域SD标识， 解密密钥标识和加密数据；其中，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由所述OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由OWE生成的密钥对；所述离线管理指令用于终端获取到包含所述离线管理指令的应用数据包时，使用所述解密密钥标识对应的解密密钥解密所述加密数据，并根据所述解密后的所述加密数据进行离线管理操作。
35. 根据权利要求34所述的服务器，其特征在于，所述服务器还包括接收单元和发送单元；

    所述接收单元，用于接收所述终端发送的第一消息，所述第一消息用于获取所述解密密钥标识对应的解密密钥；

    所述处理单元，还用于通过所述OTrP以在线管理方式与所述终端的TEE进行双向鉴权，鉴权通过后，所述发送单元向所述终端发送第二消息，所述第二消息包括所述解密密钥，所述第二消息用于所述终端将所述解密密钥保存在目标SD中，并更新关联信息，所述关联信息包括所述目标SD与所述解密密钥的对应关系。
36. 根据权利要求34或35所述的服务器，其特征在于，

    接收单元，用于接收所述终端发送的第三消息，所述第三消息包括指示信息，所述第三消息用于请求安装目标SD标识对应的目标SD，所述指示信息用于指示在请求安装的目标SD中部署所述解密密钥标识对应的解密密钥；

    所述处理单元，用于通过所述OTrP以在线管理方式与所述终端的TEE进行双向鉴权，鉴权通过后，发送单元向所述终端发送第四消息，所述第四消息包括安装目标SD指令，所述安装目标SD指令包括所述解密密钥；所述第四消息用于所述终端安装所述目标SD，将所述解密密钥保存安装的目标SD中，并更新关联信息，所述关联信息包括所述目标SD与所述解密密钥的对应关系。
37. 根据权利要求36所述的服务器，其特征在于，所述第一消息或者第三消息分别包括所述离线管理指令中携带的所述解密密钥标识或者所述离线管理指令的标识，所述安装目标SD指令中包括所述解密密钥标识对应的解密密钥。
38. 根据权利要求34至37所述的服务器，其特征在于，

    接收单元，用于接收所述终端发送的第五消息，所述第五消息用于所述OWE向所述终端中的至少一个SD配置解密密钥；

    所述服务器与所述终端进行双向鉴权，鉴权通过后，发送单元向所述终端发送第六消息，所述第六消息包括至少一个解密密钥和解密密钥的属性参数；所述第六消息用于所述终端保存所述至少一个解密密钥，并根据所述解密密钥的属性参数生成关联信息；所述关联信息包括以下方式中的一种或两种：所述至少一个解密密钥与所述至少一个SD存在一一对应关系，或者所述至少一个解密密钥中的每一个解密密钥与所述至少一个SD中的多个SD存在对应关系。
39. 根据要求34至38任一项所述的服务器，其特征在于，所述处理单元用于生成离线管理指令，包括：

    所述处理单元使用生成的加密密钥加密数据得到加密数据，并将所述加密数据和解密密钥标识打包生成所述离线管理指令；或者，

    所述处理单元使用生成的加密密钥和密钥计算参数生成会话密钥，使用所述会话密钥加密数据得到加密数据，并将所述密钥计算参数、所述加密数据和解密密钥标识打包生成所述离线管理指令。
40. 一种终端，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述终端包括TEE模块和富执行环境REE模块，所述TEE模块包括：

    接收单元，用于接收所述REE模块发送的离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由外部实体OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对；

    处理单元，用于确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥；

    所述处理单元，还用于当所述目标SD中包括所述解密密钥时，使用所述解密密钥解密所述加密数据，并根据所述解密后的所述加密数据进行离线管理操作。
41. 一种终端，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述终端包括处理器，所述处理器用于：

    获取应用数据包，所述应用数据包包括离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由外部实体OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对；

    确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥；

    当所述目标SD中包括所述解密密钥时，使用所述解密密钥解密所述加密数据，并根据解密后的所述加密数据进行离线管理操作。
42. 一种服务器，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述服务器处理器，所述处理器用于：

    生成离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据；其中，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由所述OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由OWE生成的密钥对；所述离线管理指令用于终端获取到包含所述离线管理指令的应用数据包时，使用所述解密密钥标识对应的解密密钥解密所述加密数据，并根据所述解密后的所述加密数据进行离线管理操作。
43. 一种终端，其特征在于，应用于支持开放信任协议OTrP的可信执行环境TEE的管理，所述终端包括TEE模块和富执行环境REE模块，所述TEE模块包括接收器和处理器；

    所述接收器，用于接收终端的富执行环境REE模块发送的离线管理指令，所述离线管理指令包括目标安全域SD标识，解密密钥标识和加密数据，所述解密密钥标识对应的解密密钥用于解密所述加密数据，所述加密数据由外部实体OWE使用加密密钥生成，所述解密密钥和所述加密密钥是由外部实体OWE生成的密钥对；

    所述处理器，用于确定所述目标SD标识对应的目标SD中是否包括所述解密密钥标识对应的解密密钥；

    当所述目标SD中包括所述解密密钥时，所述处理器使用所述解密密钥解密所述加密数据，并根据所述解密后的所述加密数据进行离线管理操作。
44. 一种计算机可读存储介质，其特征在于，包括指令，当其在设备上运行时，使得该设备执行如权利要求1至24中任一项所述的方法。
45. 一种通信装置，其特征在于，包括处理器，所述处理器被配置为支持所述通信装置执行根据权利要求1至9任一项所述的方法。

Images