WO2019170111A1

WO2019170111A1 - 一种离线管理指令的管理方法和终端

Info

Publication number: WO2019170111A1
Application number: PCT/CN2019/077219
Authority: WO
Inventors: 王思善; 孙赫; 莱蒂宁佩卡; 常新苗
Original assignee: 华为技术有限公司
Priority date: 2018-03-07
Filing date: 2019-03-06
Publication date: 2019-09-12
Also published as: EP3737129A4; EP3737129A1; CN110247877A; EP3737129B1; CN110247877B

Abstract

本发明实施例提供了一种离线管理指令的管理方法和终端，该管理方法包括：终端的TEE接收终端的REE发送的离线管理指令，离线管理指令包括离线管理参数，离线管理参数包括使用时长阈值和或使用次数阈值中的至少一种；TEE执行离线管理指令对应的离线管理操作，并根据离线管理参数生成离线管理策略；当安全域SD或可信应用TA的使用状态不满足离线管理策略时，TEE删除SD或TA，或者TEE将SD或TA还原到更新前的状态；其中，SD或TA是由TEE根据离线管理指令离线安装或更新的。终端基于离线管理策略判断REE对SD或TA的离线管理是否符合恶意占用TEE资源的情况，使终端的TEE具有主动防御能力。

Description

一种离线管理指令的管理方法和终端

本申请要求于2018年03月07日提交中国专利局、申请号为201810188418.8、申请名称为“一种离线管理指令的管理方法和终端”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及安全管理领域，尤其涉及一种离线管理指令的管理方法和终端。

背景技术

随着电子产品的发展，以及用户对数据安全性的需求，目前在硬件的支持下，许多终端可以同时存在两个执行环境，一个是普通执行环境，或者称之为富执行环境(rich execution environment，REE)，普通执行环境泛指不具备特定安全功能的运行环境；另一个是可信执行环境(trusted execution environment，TEE)，TEE具有安全功能，能够满足用户的一定安全需求，同时可以实现与REE相隔离的运行机制。

在TEE管理架构(TEE management framework，TMF)下，国际平台组织(Global Platform，GP)发布了用于实现TEE远程管理的标准，该标准中定义了对TEE内部安全域(security domain，SD)/可信应用(trusted application，TA)的管理框架和管理权限，管理指令的数据结构、验证与执行要求等。在TMF中定义的管理指令都是要验证授权后才能被执行，在通过使用授权令牌(authorization token)进行授权的过程中，指令生成时可以通过约束(constraint)参数来限制授权令牌的使用条件，但是约束参数仅能解决离线场景下离线管理指令的授权验证问题，并不能防止应用利用合法的离线管理指令恶意占用TEE资源的问题，例如恶意应用可以使用离线安装TA1、TA2…的合法离线管理指令，恶意向TEE安装不会被使用的TA(或是说REE侧没有对该TA存在业务依赖关系的CA)。也就是说，在TEE离线管理场景下，对于多个不同的能通过授权验证的离线管理指令，TEE仅能够被动执行，不具备对离线管理指令的使用是否可信的识别能力。换句话讲，就是TEE具有验证离线管理指令是否合法，并执行合法的离线管理指令，但不具有识别离线管理指令的使用行为是否合法的能力。

发明内容

本发明提供了一种离线管理指令的管理方法和终端，终端的TEE根据离线管理指令中携带的离线管理参数生成离线管理指令，并根据离线管理策略对根据离线管理指令安装或更新的SD或TA进行管理，使TEE具备了主动防御应用使用合法的离线管理指令恶意占用TEE资源的能力。

第一方面，提供了一种离线管理指令的管理方法，该管理方法可以包括：

终端的可信执行环境TEE接收终端的富执行环境REE发送的离线管理指令，离线管理指令包括离线管理参数，离线管理参数包括使用时长阈值和或使用次数阈值中的至少一种；

TEE执行离线管理指令对应的离线管理操作，并根据离线管理参数生成离线管理策略；

当安全域SD或可信应用TA的使用状态不满足离线管理策略时，TEE删除SD或TA，或者TEE将SD或TA还原到更新前的状态；其中，SD或TA是由TEE根据离线管理指令离线安装或更新的。

基于提供的一种离线管理指令的管理方法，终端的TEE根据离线管理指令中携带的离线管理参数生成离线管理策略，并根据离线管理策略判断根据离线管理指令安装或更新的SD或TA是否符合恶意占用TEE资源的情况，使终端的TEE具有主动防御能力。

结合第一方面，在第一方面的第一种可能实现的实施例中，离线管理指令包括离线安装SD指令或离线更新SD指令，离线管理策略为在使用次数阈值内或使用时长阈值内接收到离线安装TA指令。

结合第一方面，在第一方面的第二种可能实现的方式中，离线管理指令包括离线安装TA指令或离线更新TA指令，离线管理策略为在使用次数阈值内或使用时长阈值内进行预设操作。

结合第一方面，或者第一方面的第一种或第二种可能实现的方式，在第一方面的第三种可能实现的方式中，在TEE执行离线管理指令对应的离线管理操作之前，该管理方法还包括：

TEE确定离线管理指令的标识信息是否包含在TEE保存的第一信息中，第一信息中包括TEE拒绝执行的离线管理指令的标识信息。

结合第一方面，在第一方面的第三种可能实现的方式中，该管理方法还包括：

当SD或TA被TEE删除的次数达到预设阈值时，TEE将离线管理指令的标识信息添加至第一信息。

结合第一方面的第三种或者第四种可能实现的方式，在第一方面的第五种可能实现的方式中，标识信息包括离线管理指令的标识，离线管理指令的摘要，以及离线管理指令所要离线管理的SD标识或TA标识中的至少一项。

结合第一方面，在第一方面的第六种可能实现的方式中，TEE执行离线管理指令对应的离线管理操作，包括：

TEE根据离线管理指令在预设SD内离线安装TA或离线更新TA，增强了TEE安全性。

结合第一方面，或者第一方面的第一种至第六种可能实现的方式中的任一可能实现的方式中，在TEE执行离线管理指令对应的离线管理操作之后，该管理方法还包括：

TEE更新关联信息，并将SD或TA标记为离线状态；其中，关联信息包括TEE中安装的SD与TEE中安装的SD内安装的TA的对应关系。

结合第一方面，或者第一方面的第一种至第七种可能实现的方式中的任一可能实现的方式，在第一方面的第八种可能实现的方式，该管理方法还包括：

当SD或TA的使用状态满足离线管理策略时，TEE解除基于离线管理策略对SD或的TA的限制。

结合第一方面的第八种可能实现的方式，在第一方面的第九种可能实现的方式中，TEE解除基于离线管理策略对SD或TA的限制，包括：

TEE删除离线管理策略；或者TEE取消SD或TA处于离线状态的标记；或者TEE将SD或TA对应的生命周期状态修改为可执行状态。

结合第一方面，或者第一方面的第一种至第九种可能实现的方式中的任一可能实现的方式，在第一方面的第十种可能实现的方式中，离线管理指令还包括目标SD标识；该管理方法还包括：

当TA的使用状态满足离线管理策略时，TEE将TA从预设SD迁移到目标SD标识对应的目标SD内，并删除关联信息中预设SD与TA的对应关系。

结合第一方面，或者第一方面的第一种至第十种可能实现的方式中的任一可能实现的方式，在第一方面的第十一种可能实现的方式中，在SD或TA的使用状态满足离线管理策略之前，TEE对SD或TA的资源访问权限进行限制。

结合第一方面，或者第一方面的第一种至第十一种可能实现的方式中的任一可能实现的方式，在第一方面的第十二种可能实现的方式中，该管理方法还包括：

TEE根据SD的使用状态在终端的界面上显示第一提示信息；或者，

TEE根据TA的使用状态在终端的界面上显示第二提示信息。

结合第一方面，或者第一方面的第一种至第十二种可能实现的方式中的任一可能实现的方式，在第一方面的第十三种可能实现的方式中，离线管理指令还包括至少一个第一客户端应用CA标识，至少一个第一CA标识为被授权使用离线管理指令的至少一个第一CA对应的标识；终端的可信执行环境TEE接收终端的富执行环境REE发送的离线管理指令，包括：

TEE接收REE中第二CA发送的离线管理指令；

在TEE执行离线管理指令对应的离线管理操作之前，该管理方法还包括：

当第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致时，TEE执行离线管理指令对应的离线管理操作。

采用该离线管理指令的管理方法，在离线管理指令携带使用者CA标识，限制了不具有使用权限的CA获取合法离线管理指令恶意占用TEE资源。

结合第一方面的第十三种可能实现的方式，离线管理指令为离线删除指令；在TEE确定第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致之后，该管理方法还包括：

当REE中除第二CA之外的至少一个第一CA标识对应的第一CA都不存在时，TEE执行离线管理指令对应的离线管理操作。

结合第一方面或者第一方面的上述任一可能实现的方式，在第一方面的第十五种可能实现的方式中，离线管理指令还包括指示信息，指示信息用于指示同步删除TA所在的SD；

TEE删除所述TA，包括：

当所述TA所在的SD内不存在关联的TA时，TEE删除所述TA以及所述TA所在的SD。

结合第一方面或者第一方面的上述任一可能实现的方式，在第一方面的第十六种可能实现的方式中，所述离线管理指令包括离线安装TA指令；在所述TEE执行所述离线管理指令对应的离线管理操作之后，包括：

当REE中不存在至少一个第三CA标识对应的第三CA时，TEE删除所述TA；

其中，至少一个第三CA为TEE通过从离线安装所述TA的离线安装TA指令或从离线安装的所述TA中获取并记录至少一个第三CA标识，至少一个第三CA标识对应的至少一个第三CA为REE需要使用所述TA的CA；其中，离线安装TA指令中包括至少一个第一CA标识，至少一个第一CA标识为被授权使用离线安装TA指令的至少一个第一CA对应的标识；至少一个第三CA中包括至少一个第一CA标识。

第二方面，提供了一种终端，该终端包括可信执行环境TEE和富执行环境REE；该TEE包括接收单元、发送单元和处理单元。所述终端可以执行第一方面或第一方面的任一可能实现的方式中的方法。

第三方面，提供了一种终端，该终端包括包括TEE和富执行环境REE，TEE包括接收器、发送器、存储器和处理器，所述接收器、发送器、存储器和处理器相互连接。所述终端可以执行第一方面或第一方面的任一可能实现的方式中的方法。

第四方面，提供了一种计算机可读存储介质，包括指令，当其在设备上运行时，使得该设备执行第一方面或第一方面的任一可能实现的方式中的方法。

第五方面，提供了一种包含指令的计算机程序产品或计算机程序，当所述指令在计算机上运行时，使得计算机执行第一方面或第一方面的任一可能实现的方式中的方法。

第六方面，提供了一种通信装置，包括处理器，处理器被配置为支持通信装置执行第一方面或第一方面的任一可能实现的方式中的方法。

基于提供的一种离线管理指令的管理方法和终端，终端的TEE根据离线管理指令中携带的离线管理参数生成离线管理策略，并根据离线管理策略判断根据离线管理指令安装或更新的SD或TA是否符合恶意占用TEE资源的情况，使终端的TEE具有主动防御重放、DoS攻击等能力。

附图说明

图1为本发明实施例提供的一种离线管理指令部署的方式示意图；

图2为本发明实施例提供的一种离线管理方法的流程示意图；

图3为本发明实施例提供的一种离线管理指令的管理方法的流程示意图；

图4为本发明实施例提供的另一种离线管理指令的管理方法的流程示意图；

图5为本发明实施例提供的一种TEE内部结构示意图；

图6为本发明实施例提供的另一种离线管理指令的管理方法的流程示意图；

图7为本发明实施例提供的又一种离线管理指令的管理方法的流程示意图；

图8为本发明实施例提供的再一种离线管理指令的管理方法的流程示意图；

图9为本发明实施例提供的一种终端结构示意图；

图10为本发明实施例提供的另一种终端结构示意图

图11为本发明实施例提供的一种通信装置示意图。

具体实施方式

在本发明实施例中，终端包括两个共存的运行环境：REE和TEE。REE中运行客户端应用(client application，CA)，TEE中运行TA。TEE是相对REE具备特定安全功能的运行环境。TEE是存在于终端内与REE相分离的安全区域，具体实现可以是主处理器的一种安全模式，也可以是与主处理器相隔离的协助处理器。TEE与REE，以及REE中的CA分离，确保各种敏感数据在一个可信环境中被存储、处理和被保护。TEE为TA提供了一个安全的执行环境，包括执行过程中完整性验证，与REE中CA的安全通信，可信存储、与外界安全终端的输入与输出、密钥和加密算法管理、时间管理等。

在TMF下，为了保证TEE的安全性，TEE对外部实体OWE发送的各种远程管理指令，如对创建SD、安装TA指令进行鉴别(Authentication)和授权(Authorization)验证后，才会执行相应的管理操作。其中，OWE是具有TEE管理功能的实体，通常是指一个可信服务管理服务器(Trusted Service Manager，TSM)。

SD在TEE的远程管理中作为服务提供商(service provider，SP)和/或OWE在TEE中的代表。TEE通过SD实现不同OWE之间的隔离功能，SD中被部署了用于与外部实体之间建立安全通道或是进行授权令牌验证的密钥。TMF中定义的所有的管理操作(administration operation)都由SD执行，一个SD负责管理与它关联的子SD和TA。在TMF框架中，SD在创建时就被赋予了不同的权限。

在TMF中将SD按照功能，分为SD-A(SD-Authorize)，SD-P(SD-Process)，SD-T(SD-Target)。SD-A是具备token验证功能的SD；SD-P是接收并执行指令，进行管理操作的SD；SD-T是指指令的实施对象，如当一条指令指示在SD1中安装TA1，则SD1是SD-T。SD-A信息在token中，SD-P信息与传输层、安全层以及业务相关。在加密场景下，如果对离线管理指令进行了加密，那么只有正确的SD-P才能成功进行解密。

当一个SD(SD-P)接收到一条远程管理指令时，对于管理指令授权的验证，可以通过TMF规定的安全层协议，与生成指令的OWE建立安全通道来隐式的验证，验证通过后，如果SD具备管理指令相对应的权限，则SD执行相应的管理操作。或者，如果管理指令中携带了授权令牌，且授权令牌中指示的验证SD(SD-A)是SD-P的上级SD，则在使用上级SD内的验证密钥验证授权令牌，验证通过且SD-A具备相应管理权限后，SD-P完成对管理指令授权的显式验证，并执行相应的管理操作。

在TEE的离线管理场景下，离线管理指令就是通过携带授权令牌来显式授权。使用授权令牌进行显式授权，不需要SD与其管理者OWE之间使用安全层协议建立实时的安全通道进行直接通信，只需要保证有附带授权令牌的合法离线管理指令被发送到目标SD即可被验证与执行，所以这种情况下就可以实现对TEE的离线管理模式，即不需要直接和SD管理者实时交互即可通过合法的离线管理指令对TEE进行离线管理。采用离线管理存在以下好处：

1、便于SP对TA的快速部署，比如如图1所示，可以将离线管理指令发送到各种应用管理服务器，或者将离线管理指令与CA安装包打包成应用数据包放置在CA APK的应用管理服务器中。

例如当终端的REE需要安装CA时，从应用管理服务器获取包含离线管理指令的应用数据包，在终端的REE安装CA的过程中直接使用离线安装TA指令对CA需要使用的TA进行离线安装；或者在终端需要更新TA时，直接从应用管理服务器获取包含离线更新TA指令的应用数据包，并通过离线更新指令对TA进行更新。SP无需为每台设备或每个TEE生成单独的TA更新指令，实现了TA的快速部署。

2、无需在线去SP或TEE issuer的TSM申请创建SD、安装TA，减轻服务器侧的负载。

3、对于用户来讲，无需在终端使用时临时去下载TA，减少了临时下载的等待时间，也不会出现下载过程中由于通信传输中断或通信传输错误而重新下载的情况。

在使用授权令牌进行显式授权时，因为不存在目标SD与其管理者OWE直接的直接通信，OWE授权由授权令牌来体现。TMF通过在授权令牌中增加约束参数来限制授权令牌的使用条件，以此来减少对离线管理指令的过度使用。比如，可以针对设备标识(device ID)，产品型号(model ID)，版本信息以及其他一些厂商自定义的约束条件来对离线管理指令的使用条件进行限制。因为授权令牌是为了解决离线场景下的信任或授权验证的问题，所以目前在授权令牌中增加约束参数还不能防止重放，DoS攻击(DoS attack)的问题，只能通过约束参数尽可能的去限制管理指令的使用条件，减少安全隐患。TEE不具备对重放、DoS攻击的主动防御能力，依然会被一些应用(CA)恶意获取合法的离线管理指令，并发送到TEE进行使用(如安装“僵尸应用”)，占用TEE资源影响TEE的正常使用。其中，僵尸应用是只指TEE内一些不必要的，不会被CA使用的应用。

在编码过程中，令牌约束(token constrain)的编码可以包括表1的内容：

表1

标签(Tag) 长度(Length) 八字节值(Value Octets) Preseence

约束标签(ConstraintTag) L 令牌约束值M

其中，在令牌约束值(token constraint value)中可以包括表2所示的内容：

表2

约束名称 ITU-X680 符号约束标签八位字节的标识符值 (ConstraintTag Octet Identifier Vales) 约束值

约束设备(ConstraintDeviceID) [PRIVATE1] UUID 0xc1 UUID

约束设备型号(ConstraintModelID) [PRIVATE2] UUID 0xc2 UUID

约束最小版本(ConstraintMinVersion) [PRIVATE3] INTEGER 0xc3 最小版本(整数)

约束最大版本(ConstraintMaxVersion) [PRIVATE4] INTEGER 0xc4 最大版本(整数)

约束参数摘要(ConstraintParamsDigest) /0xe0 命令参数的摘要为约束参数摘要

预留空间(Reserved for future use) 任何私有类基本类型的标签号的范围[6-30]；

任何私有类构建类型的标签号的范围[1-30] [0xc5-0xde]

[0xe1-0xfe] 预留

专有扩展(proprietary extensions) 具体提供商指定

本发明实施例提供了一种离线管理指令的管理方法和终端，该终端的TEE具有主动防御重放、DoS攻击的能力。如图2所示，通过管理指令生成者(SP-TSM或OWE)设置离线管理参数，并通过OWE生成离线管理指令通过图1的两种形式部署在应用管理服务器。当终端从应用管理服务器获取到离线管理指令时，根据离线管理指令中的离线管理参数生成离线管理策略，并在后续基于离线管理策略对根据离线管理指令安装或更新的SD或TA进行管控，主动对离线管理指令可能被恶意使用的场景进行识别。

在本发明实施例中，离线管理参数可以为时间参数或者次数参数，例如离线管理参数可以为使用时间阈值和使用次数阈值中的至少一种。离线管理指令可以包括安装SD、安装TA，更新SD和更新TA，删除SD和删除TA等。

在本发明实施例中提到的终端(terminal)也可以称为系统、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、移动终端、无线通信设备、用户代理、用户装置或用户设备(user equipment，UE)。例如，终端可以是蜂窝电话、无绳电话、智能手表，可穿戴设备，平板设备，无人机，售货机，传感器设备，会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字助手(personal digital assistant，PDA)、具备无线通信功能的手持设备、计算设备、车载通信模块、智能电表、智能家庭设备或连接到无线调制解调器的其它处理设备。

下面结合附图3至8对本发明实施例的技术方案进行描述。

图3为本发明实施例提供的一种离线管理指令的管理方法的流程示意图。如图3所示，该管理方法可以包括以下步骤：

S101，TEE接收REE发送的离线管理指令。

终端的REE从应用服务器获取到离线管理指令后，通过Client API或其他通讯方式与TEE建立会话，并向TEE发送离线管理指令。可选地，在本发明实施例中，该离线管理指令可以包括但不限于安装SD，安装TA，更新SD，更新TA，删除SD和删除TA。

离线管理指令中包括离线管理参数，该离线管理参数可以包含在离线管理指令中的一个字段中，该字段可以为一个现有离线管理指令的一个扩展字段；或者可以作为授权令牌token的扩展字段。该离线管理参数可以包括使用时长阈值和使用次数阈值中的至少一种。

S102，TEE执行离线管理指令对应的离线管理操作，并根据离线管理参数生成离线管理策略。

在本发明的一个实施例中，TEE接收到REE发送的离线管理指令后，对离线管理指令进行完整性、离线授权验证，以及其他必要的指令使用条件的判断。比如该离线管理指令为离线安装TA指令，则TEE对该离线安装TA指令进行完整性、离线授权验证后，还会判断所要安装的TA是否已经存在于TEE中，TEE是否有足够的空间安装该TA，验证统一识别标识(Universal Unique Identifier，UUID)的合法性。其中，UUID是用来标识SD和TA的，UUID可以使用RFC 4122标准来构造。

在本发明实施例中，终端获取到离线管理指令，判断是否执行该离线管理指令。例如该离线管理指令为离线安装TA指令，终端判断是否执行该离线安装TA指令可以有两种方式：1、REE通过TEE提供的查询接口确认TA是否存在，进而判断是否执行该离线安装TA指令；2、REE将离线安装TA指令发送给TEE，TEE根据关联信息判断是否执行该离线安装TA指令。

REE通过TEE提供的查询接口判断是否执行该离线安装TA指令的过程可以具体为：先确定所要安装的TA是否存在，若存在，则终止TA的安装；若不存在，则进一步判断所以安装的TA对应的SD是否存在。若SD存在，则执行离线安装TA的过程；若SD不存在，则创建SD，再安装TA，其中，该离线管理指令中包含了创建SD的指令。

REE将离线安装TA指令发送给TEE，TEE根据关联信息判断所要安装的TA是否已经存在于TEE中的过程可以具体为：TEE接收到REE发送的离线安装TA指令后，根据离线安装TA指令中的TA标识，判断TEE内是否安装了所述TA。若TA存在，则终止TA的安装；若不存在，则进一步根据离线安装TA指令中的SD-T标识，判断TA对应的SD是否存在。若存在，满足离线TA安装指令的使用条件，执行离线安装TA的过程；若SD不存在，则创建SD，再安装TA，其中，该离线管理指令中包含了创建SD的指令。

当TEE对离线管理指令的授权验证通过，且满足执行该离线管理指令的各种条件时，TEE根据离线管理指令执行相应的离线管理操作，并根据离线管理指令中的离线管理参数生成离线管理策略。

在本发明的一个实施例中，当离线管理指令为包括离线安装SD指令或离线更新SD指令，离线管理参数可以为使用时间阈值或者使用次数阈值时，TEE生成的离线管理策略可以为在使用时长阈值内或者在使用次数阈值内接收到向所述SD进行TA安装的离线安装TA指令。

在本发明的另一实施例中，当离线管理指令为离线安装TA指令或离线更新TA指令，离线管理参数可以为使用时间阈值或者使用次数阈值时，TEE生成的离线管理策略可以为在使用次数阈值内或使用时长阈值内进行预设操作。

在本发明的一个实施例中，预设操作可以为TA在线认证过程，即TA通过与OWE进行交互并互相认证的过程。TA在线认证可以起到TEE与OWE双向认证的效果。TEE通过在线认证，可以确定离线安装的TA的确是要承载具体业务，且版本符合OWE的业务要求；而OWE通过在线认证过程可以验证TEE和TA的合法性，进而确保TA是运行在合法的TEE中，后续可以对其进行业务的个人化配置。

在一个实施例中，TA提交TA的元数据、和/或TA数据的摘要，和/或TA的凭证信息，和/或TEE对TA相关数据的签名到服务器进行认证，服务器在信息确认后，完成对TA的在线认证，并向TEE发送认证结果和/或更新TA状态的管理指令。比如，某TA在安装后，在服务器进行用户注册绑定后才能开展业务，则预设操作可以是TA通过服务器的在线验证，满足业务的使用条件，如TA版本条件和TEE版本条件后，服务器执行用户的注册绑定过程，使TA在完成注册绑定后正常开展业务。对于被离线安装的TA，如果未在离线管理策略中规定的使用时间阈值或使用次数阈值内进行该TA验证与注册绑定过程，则TEE判断对该TA的离线安装满足可能恶意占用TEE资源的场景，删除该TA。

在本发明实施例中，预设操作包括但不限于TA在线认证。预设操作还可以为其他的操作，该操作按照一定的管理逻辑执行可以保证根据离线管理指令安装的SD或TA，或者更新的SD或者TA为满足业务使用条件的SD或TA，或者为确定承载业务的SD或TA。

可选地，在本发明的一个实施例中，TEE可以根据离线管理指令在预设SD内安装或更新TA，预设SD为已存在的SD或者临时创建的SD。例如，离线管理指令为离线安装TA指令，TEE通过离线安装TA指令进行TA安装时，TEE将该TA先安装在预设SD中，而不安装在离线管理指令中包括的目标SD标识对应的SD-T内，即不直接将该TA与离线管理指令中指示的SD-T进行关联。通过这种方式，便于TEE对离线安装的TA进行统一管理。TEE保存该离线安装的TA和SD-T的对应关系，当后续该离线安装的TA经过在线认证后，再将该TA“迁移”到离线管理指令指示的SD-T中，即建立该TA和SD-T的关联信息。

在本发明的一个实施例中，在TEE根据离线管理指令执行离线管理操作之后，TEE更新关联信息，并将根据离线管理指令离线安装的SD或TA或者根据离线管理指令离线更新的SD或TA标记为离线状态。即，TEE可以通过在关联信息中标记的方式，区分以在线和离线方式安装/更新的SD或TA，标记信息可以是TEE根据安装/更新方式不同自动添加的，也可以是利用离线管理指令中的参数生成的。在一个实施例中，可以通过在关联信息中保存与SD/TA关联的离线管理策略确定所述SD/TA是否属于离线安装/更新的。在一个实施例中，所述将SD/TA标记为离线状态可以通过设置SD/TA的生命周期状(lifecycle state)实现。所述TEE响应于离线管理指令中的指示，将离线安装/更新后的SD/TA的生命周期状态设置为离线状态。当执行过在线认证后，OWE通过管理指令将离线安装或更新的SD/TA的生命周期状态切换到激活(Active，针对SD)/可执行(executable，针对TA)状态。所述离线的生命周期状态，可以是现有TMF标准中的LOCK/Restricted状态和/或对其的扩展，也可以是针对离线安装场景新增的生命周期状态，本发明在此不做限定。

其中，关联信息中包括生命周期状态，SD与TA的关联关系，即TEE中安装的SD与TEE中安装的SD内安装的TA的对应关系。在本发明实施例中，关联信息中还可以记录离线管理策略、SD与TA的对应关系。可选地，在本发明实施例中，关联信息可以以表格形式呈现其信息，关联信息可以是TEE保存的，记录的各SD、TA信息的注册表。

在一个实施例中，离线管理指令指示将TA安装到SD-T，当TEE将离线安装的TA安装到预设SD中，更新关联信息时，记录TA、SD-T、离线管理策略、预设SD之间的关联关系。当REE中的CA发起对SD-T内已安装TA的查询时，可以获取到该SD内有一个离线安装的TA的信息，但是在TEE内，SD-T和预设SD都具备对该离线TA的管理权限，当TA完成在线认证时，移除离线管理策略、预设SD与该TA的关联关系，将管理权限完全移交SD-T。

在S102之后，TEE根据离线管理指令安装的SD或TA、或者更新的SD或TA的使用状态确定是否满足离线管理策略。

例如，TEE获取离线安装或离线更新的SD的使用状态，判断是否在离线管理策略规定的使用时长阈值或者使用次数阈值内接收到向该SD内安装TA的离线安装TA指令，如果未接收到，则删除该SD。

又例如，TEE获取离线安装或离线更新的TA的使用状态，判断是否在离线管理策略规定的使用时长阈值或者使用次数阈值内进行了预设操作，如果未进行预设操作，则删除该TA。其中，预设操作可以为TA的在线认证操作。

S103，当根据离线管理指令安装的SD或TA、或者更新的SD或TA的使用状态不满足所述离线管理策略时，TEE删除根据所述离线安装指令安装的SD或TA、或者更新的SD或TA，或者TEE将所述SD或所述TA还原到更新前的状态。

在本发明实施例中，离线安装的SD或TA，和离线更新的SD或TA的使用状态可以包括该SD或TA被使用/调用的次数和使用时长等使用状态。

可选地，预设操作可以为TA在线认证。当完成离线TA的安装后，TEE对离线TA的运行状态进行检测与记录，并确定其使用状态是否满足离线管理策略。若该离线TA未按照离线管理策略的要求进行在线认证，即TA的使用状态不满足离线管理策略：在使用时长阈值或者使用次数阈值内进行在线认证，则TEE对该TA执行删除操作。若该离线TA在离线管理策略规定的使用状态前，完成了在线认证，则通过在线认证过程解除基于离线管理策略对TA的限制进行移除，经过在线认证的TA即可被视为正常TA。

例如，离线管理参数是使用次数阈值时，TEE每次在检测到该离线TA被调用时，将为该离线TA生成的计数器+1。当离线管理策略指示必须在TA被调用2次内进行在线认证，TEE根据该计数器对TA的使用情况进行判断，当该TA使用次数达到2次且仍未进行在线认证以解除基于离线管理策略对所述SD或TA的限制时，TEE对该TA执行删除操作。

当离线管理参数是使用时间阈值时，TEE根据安装离线TA时记录的安装时间和TEE的可信时钟，以及离线管理策略中的时间要求，对该TA的运行状态进行检测，并确定其使用状态是否满足离线管理策略。

可选地，在本发明的一个实施例中，该管理方法还可以包括：

TEE根据记录的离线安装或更新的SD的使用状态在终端的界面上显示第一提示信息，第一提示信息用于提示用户在离线安装或更新的SD内安装TA；或者，

TEE根据离线安装或更新的TA的使用状态在终端的界面上显示第二提示信息，第二提示信息用于提示用户触发预设操作。

换句话讲，就是TEE可以通过主动提示的方式，在TEE/REE侧的界面(UI)生成通知信息，提示用户发起在SD内安装TA的操作，或者在线激活的操作。

在本发明的另一实施例中，当根据离线管理指令安装的SD或TA、或者更新的SD或TA的使用状态不满足所述离线管理策略时，即离线更新的SD未在离线管理策略规定的使用时长阈值或使用时长次数内接收到向该SD安装TA的离线安装TA指令，则将离线更新的SD还原到更新前的状态；离线更新的TA未在离线管理策略规定的使用时长阈值或使用时长次数内执行TA在线认证，则将离线更新的TA还原到更新前的状态。

例如，离线更新TA，当TEE获取到新版本的TA后，暂时不删除旧版本TA代码，直到新版本TA使用状态满足离线管理策略后，再删除旧版本TA代码；或者新版本TA不满足离线管理策略时，删除新版本TA并恢复到旧版本TA。

采用本发明实施例提供的TEE基于离线管理策略对离线管理操作进行管控，TEE 具有了主动防御恶意应用占用TEE空间资源的能力，避免了重放、DoS攻击等问题，提升了TEE资源的使用率，增强了TEE离线场景下的安全性。

可选地，如图3所示，该管理方法还可以包括：

S104，当TEE根据离线管理指令安装的SD或TA，或者更新的SD或TA的使用状态满足离线管理策略时，TEE解除基于离线管理策略对离线安装的SD，或者离线安装的TA，或者离线更新的TA的限制。

在本发明实施例中，根据TEE对离线管理流程的处理逻辑，TEE解除基于离线管理策略对离线安装的SD，或者离线安装的TA，或者离线更新的TA的限制，可以包括以下几种情况之一：

1、TEE删除所述离线管理策略；例如，删除关联信息中根据离线管理策略标记的离线安装或更新的SD/TA的标记。

2、TEE取消根据离线管理指令安装的SD或TA，或者更新的SD或TA处于离线状态的标记；例如，TEE取消根据离线管理指令安装或更新的SD/TA时自动生成的标记。

3、TEE根据OWE对TA/SD的在线认证结果或响应于OWE在对TA/SD在线认证后发送的在线管理指令，将关联信息中与根据所述离线管理指令安装的SD或TA，或者更新的SD或TA对应的离线生命周期状态修改为可执行状态。例如，TEE修改根据生命周期状态标记的离线安装或更新的SD/TA的标记。

在本发明的一个实施例中，将关联信息中的离线生命周期状态修改为可执行状态可以为将受限运行的生命周期切换至可以正常运行的生命周期。这里的可以正常运行的生命周期是指能够正常使用，在具备权限时正常调用TEE资源，正常响应CA的调用。

可选地，如图4所示，在本发明的一个实施例中，当TEE根据离线管理指令执行离线管理操作时，比如离线安装TA，将TA安装在了预设SD内，则该管理方法还可以包括：

S105，TEE将离线安装或离线更新的TA从预设SD迁移到目标SD标识对应的目标SD内，并删除关联信息中预设SD与离线安装或离线更新的TA的对应关系。

需要说明的是，在本发明实施例中编号仅仅表示逻辑上的一种实现方式，并不代表全部。其中，S104和S105在本发明实施例中可以同时执行，也可以分别先执行，对此不作限制。

可选地，在本发明的一个实施例中，在离线安装或更新的SD/TA的使用状态满足离线管理策略之前，该管理方法还可以包括：

TEE对离线安装的SD或TA，或离线更新的SD或TA的资源访问权限进行限制。例如：对于离线安装的TA，在没有经过在线认证前，可以对TA能访问的TEE资源进行限制，防止出现利用离线安装的有漏洞的旧版本TA对TEE进行攻击。例如，限制离线安装的TA调用TEE的计算、存储资源或是发起对其他TA、TEE API的访问权限。

在本发明实施例中，TEE具有限制或允许离线安装或更新的SD/TA的资源访问权限的能力，可以通过在离线管理指令中设置权限信息，以指示限制或者允许离线安装或更新的SD/TA进行资源访问的权限，或者TEE自身根据预设逻辑对离线安装或更新的SD/TA资源访问权限进行管理。

可选地，在本发明实施例中，如图4所示，在TEE根据离线管理指令执行离线管理操作之前，该管理方法还可以包括：

S106，确定离线管理指令的标识信息是否包含在TEE保存的第一信息中。

第一信息中包括TEE拒绝执行的离线管理指令的标识信息。在本发明实施例中，该第一信息也可以称为黑名单。通过维护黑名单的方式来实现对离线管理指令的使用限制。

其中，离线管理指令中的标识信息可以包括离线管理指令的标识，离线管理指令的摘要和离线管理指令所要离线管理的SD的标识或TA的标识中的至少一种，或者采用能够对离线管理标识起到标识作用的其他信息，在本发明实施例中对此不作限制。

当TEE确定离线管理指令中包括的标识信息未包含在TEE保存的第一信息中，则执行S102，否则，则取消该离线管理指令的执行。

可选地，在本发明的一个实施例中，当离线安装或者更新的SD/TA的使用状态未满足离线管理策略时，例如当通过离线管理指令安装的SD或TA，或者更新的SD或TA被TEE删除的次数达到预设阈值时，TEE将离线管理指令的标识信息添加至第一信息。

比如，TEE可以根据离线TA1的使用状态和离线管理策略，在TA1的使用状态不满足离线管理策略时删除TA1。TEE记录因不满足离线管理策略的情况下被删除的TA/SD信息，并根据TEE设定的预设阈值，当TA1被重复安装并因使用状态不满足离线管理策略后被删除的次数达到预设阈值时，TEE识别出安装该TA1的离线管理指令可能被恶意使用，将离线安装的TA删除，同时通过将该离线TA或离线TA安装指令加入黑名单的方式拒绝该离线安装TA1指令后续再次被执行。

可选地，在本发明的一个实施例中，当TEE清理并释放存储空间时，可以优先删除离线安装或更新的SD/TA。TEE可以根据被标记为离线状态的TA的使用状态，对满足空间清理预设条件的离线安装或离线更新的TA进行删除，并释放存储空间。

通过图3和图4中提供的离线管理指令，对于接收到该离线管理指令的SD，只要令牌(token)中指示的SD-A与其是直接关联或间接关联关系，只要该授权令牌能够通过SD-A中的验证密钥进行验证，且验证通过后，该SD就能执行该离线管理指令中指示的管理操作，比如，图5中SD-2执行向SD-1内安装TA的操作，在经过SD-A对token验证后即可执行该离线管理指令对应的离线管理操作。

可以想象，当前的访问控制机制，都无法防止这种情况下离线管理指令被恶意使用。即使可通过Client API对能够访问SD/TA的CA进行限制，只要一条合法的指令能够被发送到任一与SD-A有直接或间接关联的SD且满足使用条件，就能够被执行，依然会存在合法的离线管理指令被CA恶意使用的情况。

因此，本发明还提供了一种离线管理指令的管理方法，通过将离线管理指令与离线管理指令的合法使用者进行绑定，实现当只有在特定离线管理指令由指定或授权的CA(合法使用者)发送到TEE时才能够被执行，进一步对离线管理指令的使用条件进行限制，进而减少离线管理指令被非授权CA获取并恶意使用的情况。

OWE在生成离线管理指令时，在离线管理指令中添加离线管理指令使用者的标识，将离线管理指令与离线管理指令使用者的关系进行绑定。

比如，生成离线安装TA指令1时，OWE可以将Client A、Client B的标识信息作为离线安装指令的元素，以实现只有Client A或Client B能够使用该指令进行离线TA安装的效果。

其中，在本发明实施例中，离线管理指令使用者的标识可以是CA的包名、APK的证书或证书哈希、APK公钥等能够唯一标识CA身份的信息。离线管理指令使用者标识，可以作为token的参数，也可以作为操作层离线管理指令的参数，该离线管理指令使用者的标识可以设置在离线管理指令的扩展字段中，在本发明实施例中不做限定。

OWE生成离线指令后可以按照图1的方式将其放置在应用服务器中，具体过程请参见图1的描述，为简洁描述在此不再赘述。终端需要时从应用服务器获取离线管理指令。

需要说明的是，在本发明实施例中提到的“第一”，“第二”和“第三”仅仅是为了区分信息，并不对信息本身作限定。

本发明实施例提供的方案可以应用在图3和图4所示的管理方法中，即应用在TEE接收到REE中CA发送离线管理指令之后，且在TEE执行离线管理指令对应的离线管理操作之前。

如图6所示，该管理方法可以包括以下步骤：

S201，TEE接收REE中第二客户端应用CA发送的离线管理指令。

该离线管理指令包括允许使用离线管理指令的至少一个第一CA对应的至少一个第一CA标识。

当终端的REE获取到离线管理指令后，通过客户端Client API或者其他通信方式将离线管理指令发送给TEE。TEE接收到REE中的CA发送的离线管理指令时，获取与其建立会话的使用者CA的CA标识。

可选地，TEE可以通过系统底层，如Linux Kernel层提取，或者其他安全技术提取去获取发送离线管理指令的CA对应的CA标识，以减小使用者身份被仿冒的风险。

在S201之后，TEE验证第二CA对应的第二CA标识是否与至少一个第一CA标识中的任一第一CA标识一致。

S202，当第二CA标识与至少一个第一CA标识中的一个第一CA标识一致时，TEE执行离线管理指令对应的离线管理操作。

当发送离线管理指令的CA的标识与离线管理指令中被授权使用该离线管理指令的CA的标识不一致时，拒绝执行管理操作并返回错误码。

例如，第二CA为CA1，离线管理指令中包括的至少一个第一CA标识有两个：CA1的标识和CA2的标识；REE中的CA1向TEE发送离线管理指令后，TEE将发送离线管理指令的CA1的标识与离线管理指令中包括的被授权使用该离线管理指令的CA1的标识和CA2的标识中的每一CA的标识进行对比；当发送离线管理指令的CA1的标识与离线管理指令中的被授权使用该离线管理指令的CA1的标识一致时，TEE确定发送离线管理指令的CA1有权使用该离线管理指令，TEE执行该离线管理指令。

在本发明实施例中，CA标识可以通用PKI机制实现验证，即OWE分别对离线管理指令和应用数据包(如安卓的APK、iOS的IPA包)进行签名，在REE侧CA向TEE发送离线管理指令时，TEE对离线管理指令和应用数据包签名者进行验证，确保它们是由同一OWE进行过签名，以此来证明OWE授权该CA使用该离线管理指令。

或者，OWE对APK进行签名，并将用于验证签名的公钥加入离线管理指令。当TEE接收到离线管理指令后，提取OWE的公钥验证OWE对使用者应用数据包的签名进行验证，来确认OWE授权该CA使用该离线管理指令。

在本发明实施例中，第一CA标识和第二CA标识可以是CA数据包的名称、CA数据包证书、CA数据包证书的摘要、CA数据包签发者公钥、或其他CA唯一标识信息(如UUID等)中的至少一项，例如CA包名、APK证书、APK证书摘要、APK签发者公钥。

所述第一CA标识可以作为离线管理指令中的元素，可以包括在离线管理参数中，也可以包括在离线管理指令的扩展字段中，也可以包括在token中。

可选地，在本发明实施例中，离线管理指令为离线删除指令；在TEE确定第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致之后，该管理方法还包括：

S203，当TEE确定REE中除第二CA之外的至少一个第一CA标识对应的第一CA都不存在时，TEE执行离线管理指令对应的离线管理操作；当TEE确定REE中除第二CA之外的至少一个第一CA标识对应的第一CA中的任一第一CA存在时，拒绝执行该离线管理指令。

例如：REE中的CA1发送离线管理指令，离线管理指令中包括CA1的标识、CA2的标识和CA3的标识，说明CA1、CA2、CA3被授权使用所述离线管理指令，这也隐含意味着REE中的这三个CA需要使用TA(或者对该TA存在业务依赖关系)；当TEE确定REE中仅存在CA1、CA2和CA3中的CA1，不存在CA2和CA3时，TEE执行离线管理指令对应的管理操作；当REE中除存在CA1外，还存在CA2或CA3中任一个CA时，即REE中还存在除CA2外其他需要使用该TA的CA时，TEE都拒绝执行该离线管理指令。

在本发明的一个实施例中，该离线管理指令还可以为离线删除指令，包括离线删除SD指令，离线删除TA指令。

例如，离线删除指令为离线删除TA指令，离线删除TA指令中可以包括所要删除TA的TA标识被授权使用该离线管理指令的至少一个第一CA标识。

在离线管理指令安装了TA后，当离线删除TA指令用于删除TA时，TEE获取REE中的CA信息，以及TEE从离线安装TA指令或者从离线安装TA获取并记录的至少一个第三CA标识来判断REE中可能会使用该TA的至少一个第三CA标识对应的至少一个第三CA是否全部都不存在；当任何一个第三CA还存在时，就说明还有CA需要使用该TA，该TA就不能被删除，即不满足离线删除TA的条件，拒绝执行删除该TA的操作。其中，第三CA标识可以为离线安装TA时，用于离线安装TA的离线安装TA指令包括的被授权使用该离线安装TA指令的一个、两个或多个CA对应的CA标识，以及离线安装TA记录的该TA可以被特定CA使用的CA对应的CA标识。例如，至少一个第三CA标识可以为被授权使用该离线安装TA指令的CA1、CA2和CA5的标识，以及TA记录的其能够被特定CA1、CA2、CA3和CA4、CA5使用的CA1、CA2、CA3和CA4、CA5的标识。

可选地，在本发明的一个实施例中，该离线删除TA指令包括离线管理参数，该离线管理参数包括使用时长阈值，当允许使用该TA的至少一个第三CA标识对应的至少一个CA全部不存在于REE中时，TEE确定至少一个第三CA标识对应一个的至少一个第三CA不存在于REE中的最小时长超过使用时长阈值时，执行删除该TA的操作。这里的最小时长的计时方式为从所有第三CA都不存在于REE中开始计时，即至少一个第三CA中的最后一个第三CA被删除时开始计时。

在本发明实施例中，CA预先将离线管理指令发送到TEE，TEE缓存离线管理指令，并能够获取REE中CA的应用变化情况；TEE从离线删除指令获取允许使用离线删除指令的CA信息或从TA获取需要使用该TA的所有CA的信息，当需要使用该TA的所有的CA都被删除时，TEE记录CA被删除的事件，并记录删除时间。当离线管理指令中的CA中的最后一个CA被删除，即所有的CA标识对应的CA都不存在时，TEE开始计时，当达到使用时长阈值，且在该使用时长阈值的时间范围内没有安装该被删除的CA时，TEE确定该被删除的CA被彻底删除不再被使用，这时，TEE再执行删除该TA的操作。

例如，至少一个第三CA标识为CA1、CA2、CA3、CA4和CA5的标识，当TEE缓存了离线删除TA的指令后，TEE确定REE中是否还存在CA1、CA2、CA3、CA4和CA5，当CA1、CA2、CA3、CA4和CA5都不在REE中时，执行该离线删除TA指令。

在本发明的一个实施例中，如图7所示，该管理方法可以包括以下步骤：

S301，TEE接收REE中第二CA发送的离线删除指令。

该离线删除指令包括所要删除TA的TA标识、至少一个被授权使用该离线删除TA指令的至少一个CA标识和离线管理参数。可选地，在本发明实施例中，离线管理参数可以包括使用时长阈值。

S302，TEE确定第二CA对应的第二CA标识是否与至少一个第一CA标识中的任一第一CA标识一致。

当所述第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致时，执行S303，否则拒绝执行该离线删除指令对应的离线管理操作。

S303，TEE确定REE中是否存在与所要删除的TA的TA标识相关联的至少一个第三CA标识对应的至少一个第三CA。

其中，至少一个第三CA为可以使用该TA的CA。所述至少一个第三CA标识为所述TEE根据所述离线安装该TA指令或者从离线安装该TA获取并记录的允许使用该TA的至少一个第三CA对应的标识。

TEE记录REE中CA的使用情况，并根据至少一个第三CA标识确定REE中是否还存在至少一个第三CA标识对应的至少一个CA，当至少一个第三CA中的每一个第三CA都不存在REE中时，执行S304，否则，拒绝执行该离线删除指令。

S304，TEE确定REE中不存在至少一个第三CA的时长是否达到使用时长阈值。

在本发明的一个实施例中，从至少一个第三CA中的每一个第三CA都不存在于REE中开始计时，当至少一个第三CA不存在于REE中的时长达到使用时长阈值时，执行该离线删除指令，即执行S305，否则拒绝执行该离线删除指令。

S305，TEE删除TA。

例如，REE中的CA1发送的离线删除TA指令，离线删除TA指令中包括被授权使用该离线删除TA指令的CA1和CA5的标识；TEE接收到CA1发送的离线删除TA指令后，确定发送离线删除TA指令的CA1的标识是否与离线删除TA指令包括的被授权使用该离线删除TA指令的两个CA1和CA5中一个CA的标识一致；当一致时，TEE确定可以使用该TA的至少一个第三CA标识对应的第三CA(CA1、CA2、CA3、CA4和CA5)是否还在REE中，当CA1、CA2、CA3、CA4和CA5都不在于REE中时，TEE再确定CA1、CA2、CA3、CA4和CA5不在REE中的时长是否达到使用时长阈值，例如1小时，可选地，当CA1、CA2、CA3、CA4和CA5中最后一个不在REE中的时长达到1小时时，TEE删除该TA。

可选地，在本发明的一个实施例中，离线管理指令中还包括指示信息，用于指示同步删除与所要删除的TA关联的SD，当所要删除的TA关联的SD在该TA删除后不包含其他TA后，删除该SD。在本发明实施例中，离线管理指令中的指示信息可以为指令新增的boolean位。

在本发明的另一实施例中，TEE不根据离线删除指令进行离线删除操作。

例如,当TEE判断离线安装TA的CA被删除时，TEE删除该TA；或者当TEE确定REE中不存在至少一个第一CA标识对应的第一CA时，TEE删除该TA，其中，至少一个第一CA标识为离线安装TA的离线安装TA指令中包括的被授权使用该离线安装TA指令的一个、两个或多个CA对应的CA标识；或者当TEE确定REE中不存在至少一个第三CA标识对应的第三CA时，TEE删除该TA，其中，至少一个第三CA标识为TEE从离线安装TA指令或者离线安装的TA中获取并记录的。

例如，当TEE自动删除TA的条件是根据至少一个CA标识判断时，当TEE根据REE中CA的变化情况，以及TEE保存的离线安装所述TA的至少一个CA对应的至少一个CA标识，确定至少一个CA标识对应的至少一个CA是否还存在于REE中，当至少一个CA标识对应的至少一个CA都不存在于REE中时，TEE自动删除该TA。例如，TEE保存了离线管理指令中的至少一个第一CA标识，即被授权使用所述离线安装指令离线安装TA的有CA1、CA2和CA3，例如，当CA1使用该离线管理指令，TEE离线安装该TA后，TEE确定REE中是否还存在CA1、CA2和CA3，当REE中不存在离线安装该TA的CA1、CA2和CA3中的任一个CA时，删除该TA。

在本发明的另一个实施例中，该离线删除指令还可以为删除SD指令，该删除SD指令中可以包括所要删除的SD的SD标识和至少一个第一CA标识。TEE中保存有包括TA标识与SD的对应关系的关联信息。

在本发明的一个实施例中，如图8所示，该管理方法可以包括以下步骤：

S401，TEE接收REE中第二CA发送的离线删除指令。

其中，离线删除指令中包括所要删除的SD的SD标识，被授权使用该离线删除指令的至少一个第一CA对应的至少一个第一CA标识。可选地，在本发明实施例中，离线删除指令还可以包括离线管理参数，所述离线管理参数可以包括使用时长阈值。

S402，TEE确定第二CA对应的第二CA标识是否与至少一个第一CA标识中的任一第一CA标识一致。

当所述第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致时，执行S403，否则拒绝执行该离线删除指令对应的离线删除操作。

S403，TEE根据关联信息确定TEE中是否包括所要删除的SD对应的SD标识。

当TEE中包括所要删除的SD对应的SD标识，则执行S404；否则，不执行该离线删除指令对应的离线删除操作。

S404，TEE根据关联信息确定所要删除的SD的SD标识是否存在与之相关联的TA或SD标识。

当SD中不存在与其有关联关系的TA时，执行S405，否则拒绝该离线删除指令的离线删除操作。

S405，TEE确定所要删除的SD未接收到TA安装指令的时长是否达到使用时长阈值。

可选地，TEE确定从该所要删除的SD从安装到未接收到TA安装指令的时长是否达到使用时长阈值，当所要删除的SD未接收到TA安装指令的时长达到使用时长阈值，且所要删除的SD内未安装其他TA，且没有与之相关联TA或SD时，则执行S406，否则，拒绝该离线删除指令的离线删除操作。

S406，TEE删除SD。

例如，REE中的CA1发送的离线删除SD指令，离线删除SD指令中包括被授权使用该离线删除SD的CA1和CA5的标识；TEE接收到CA1发送的离线删除TA指令后，确定发送离线删除TA指令的CA1的标识是否与离线删除SD指令包括的被授权使用该离线删除SD指令的两个CA1和CA5中一个CA的标识一致；当一致时，TEE根据关联信息确定TEE中是否包括该离线删除SD指令所要删除的SD对应的SD标识；当关联信息中包括该所要删除的SD的SD标识时，TEE根据关联信息确定该SD内是否存在与之关联的TA或SD，例如与所要删除的SD相关联的TA可以包括TA1、TA2和TA3，当关联信息中不存在与该SD标识对应的TA1、TA2和TA3的标识时，TEE再确定未接收到在该SD内离线安装TA的离线安装TA指令的时长是否满足使用时长阈值，即可选地，从离线安装该SD到确定时长的时刻的时长满足使用时长阈值时，删除该SD。其中，关联信息为TEE保存的SD与TA对应关系的信息。

图9为本发明实施例提供的一种终端结构示意图。如图9所示，该终端包括可信执行环境TEE和富执行环境REE；TEE包括接收单元510和处理单元520。

接收单元510，用于接收终端的富执行环境REE发送的离线管理指令，离线管理指令包括离线管理参数，离线管理参数包括使用时长阈值和或使用次数阈值中的至少一种；

处理单元520，用于执行离线管理指令对应的离线管理操作，并根据离线管理参数生成离线管理策略；

当安全域SD或可信应用TA的使用状态不满足离线管理策略时，处理单元520删除SD或TA，或者将SD或TA还原到更新前的状态；其中，SD或TA是由TEE根据离线管理指令离线安装或更新的。

可选地，在本发明的一个实施例中，离线管理指令包括离线安装SD指令或离线更新SD指令，离线管理策略为在使用次数阈值内或使用时长阈值内接收到离线安装TA指令。

可选地，在本发明的另一个实施例中，离线管理指令包括离线安装TA指令或离线更新TA指令，离线管理策略为在使用次数阈值内或使用时长阈值内进行预设操作。

可选地，在本发明的一个实施例中，处理单元520，还用于确定离线管理指令的标识信息是否包含在TEE保存的第一信息中，第一信息中包括TEE拒绝执行的离线管理指令的标识信息。

在本发明的一个实施例中，当SD或TA被TEE删除的次数达到预设阈值时，处理单元520还用于将离线管理指令的标识信息添加至第一信息。

可选地，在本发明的一个实施例中，标识信息包括离线管理指令的标识，离线管理指令的摘要，以及离线管理指令所要离线管理的SD标识或TA标识中的至少一项。

可选地，在本发明的一个实施例中，处理单元520执行离线管理指令对应的离线管理操作，包括：

处理单元520根据离线管理指令在预设SD内离线安装TA或离线更新TA。

可选地，在本发明的一个实施例中，处理单元520，还用于更新关联信息，并将SD或TA标记为离线状态；其中，关联信息包括TEE中安装的SD与TEE中安装的SD内安装的TA的对应关系。

可选地，在本发明的一个实施例中，当SD或TA的使用状态满足离线管理策略时，处理单元520解除基于离线管理策略对SD或的TA的限制。

可选地，在本发明的一个实施例中，处理单元520解除基于离线管理策略对SD或TA的限制，包括：

处理单元520删除离线管理策略；或者处理单元520取消SD或TA处于离线状态的标记；或者处理单元520将SD或TA对应的生命周期状态修改为可执行状态。

可选地，在本发明的一个实施例中，离线管理指令还包括目标SD标识；

当TA的使用状态满足离线管理策略时，处理单元520将TA从预设SD迁移到目标SD标识对应的目标SD内，并删除关联信息中预设SD与TA的对应关系。

可选地，在本发明的一个实施例中，处理单元520还用于，在SD或TA的使用状态满足离线管理策略之前，对SD或TA的资源访问权限进行限制。

可选地，在本发明的一个实施例中，

处理单元520，还用于根据SD的使用状态在终端的界面上显示第一提示信息；或者，

处理单元520，还用于根据TA的使用状态在终端的界面上显示第二提示信息。

可选地，在本发明的一个实施例中，离线管理指令还包括至少一个第一客户端应用CA标识，至少一个第一CA标识为允许使用离线管理指令的至少一个第一CA对应的标识；接收单元510用于接收终端的富执行环境REE发送的离线管理指令，包括：

接收单元510接收REE中第二CA发送的离线管理指令；

处理单元520，还用于在处理单元520执行所述离线管理指令对应的离线管理操作之前，当确定第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致时，处理单元520执行离线管理指令对应的离线管理操作。

可选地，在一个实施例中，离线管理指令为离线删除指令；处理单元520，还用于在处理单元确定第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致之后，当确定REE中除第二CA之外的至少一个第一CA标识对应的第一CA 都不存在时，执行离线管理指令。

可选地，在本发明实施例中，离线管理指令还包括指示信息，指示信息用于指示同步删除所述TA所在的SD；

处理单元520删除所述TA，包括：

当确定所述TA所在的SD内不存存在关联的TA时，处理单元520删除所述TA以及所述TA所在的SD。

可选地，在本发明的另一个实施例中，离线管理指令包括离线安装TA指令；

处理单元520还用于，在处理单元520执行离线管理指令对应的离线管理操作之后，当确定REE中不存在至少一个第三CA标识对应的第三CA时，处理单元520删除所述TA；

其中，离至少一个第三CA标识为TEE通过从离线安装所述TA的离线安装TA指令或从离线安装的所述TA中获取并记录的至少一个第三CA标识，至少一个第三CA标识对应的至少一个第三CA为REE需要使用所述TA的CA；其中，离线安装TA指令中包括至少一个第一CA标识，至少一个第一CA标识为被授权使用离线安装TA指令的至少一个第一CA对应的标识；至少一个第三CA中包括所述至少一个第一CA标识。

可选地，在本发明实施例提供的终端中还包括存储单元530，用于存储指令和数据，处理单元520用于调用存储单元530中的指令并执行相应的操作。可选地，该终端还包括发送单元540，用于与其他设备进行数据传输。

该终端中的各功能单元的功能，可以通过图3至图8中所示实施例中的终端所执行的各步骤来实现，因此，本发明实施例提供的终端的具体工作过程，在此不复赘述。

本发明实施例还提供了一种终端，如图10所示，该终端包括接收器610、处理器620、存储器630和发送器640，接收器、发送器、处理器和存储器相互连接，用于完成相互之间的通信，该终端具有执行图3至图8中终端所执行的方法。

其中，该终端用于执行以下操作：

接收器610，用于接收终端的富执行环境REE发送的离线管理指令，离线管理指令包括离线管理参数，离线管理参数包括使用时长阈值和或使用次数阈值中的至少一种；

处理器620，用于执行离线管理指令对应的离线管理操作，并根据离线管理参数生成离线管理策略；

当安全域SD或可信应用TA的使用状态不满足离线管理策略时，处理器删除SD或TA，或者处理器620将SD或TA还原到更新前的状态；其中，SD或TA是由TEE根据离线管理指令离线安装或更新的。

可选地，在本发明的一个实施例中，离线管理指令包括离线安装TA指令或离线更新TA指令，离线管理策略为在使用次数阈值内或使用时长阈值内进行预设操作。

可选地，在本发明的一个实施例中，处理器620，还用于确定离线管理指令的标识信息是否包含在TEE保存的第一信息中，第一信息中包括TEE拒绝执行的离线管理指令的标识信息。

可选地，在本发明的一个实施例中，当SD或TA被TEE删除的次数达到预设阈值时，处理器620还用于将离线管理指令中包括的标识信息添加至第一信息。

可选地，在本发明的一个实施例中，处理器620执行离线管理指令对应的离线管理操作，包括：

处理器620根据离线管理指令在预设SD内离线安装TA或离线更新TA。

可选地，在本发明的一个实施例中，

处理器620，还用于更新关联信息，并将SD或TA标记为离线状态；其中，关联信息包括TEE中安装的SD与TEE中安装的SD内安装的TA的对应关系。

可选地，在本发明的一个实施例中，当SD或TA的使用状态满足离线管理策略时，处理器620解除基于离线管理策略对SD或的TA的限制。

可选地，在本发明的一个实施例中，处理器620解除基于离线管理策略对SD或TA的限制，包括：

处理器620删除离线管理策略；或者处理器620取消SD或TA处于离线状态的标记；或者处理器620将SD或TA对应的生命周期状态修改为可执行状态。

当TA的使用状态满足离线管理策略时，处理器620将TA从预设SD迁移到目标SD标识对应的目标SD内，并删除关联信息中预设SD与TA的对应关系。

可选地，在本发明的一个实施例中，处理器620还用于在SD或TA的使用状态满足离线管理策略之前，对SD或TA的资源访问权限进行限制。

可选地，在本发明的一个实施例中，：

处理器620，还用于根据SD的使用状态在终端的界面上显示第一提示信息；或者，

处理器620，还用于根据TA的使用状态在终端的界面上显示第二提示信息。

可选地，在本发明的一个实施例中，离线管理指令还包括至少一个第一客户端应用CA标识，至少一个第一CA标识为允许使用离线管理指令的至少一个第一CA对应的标识；接收器610用于接收终端的富执行环境REE发送的离线管理指令，包括：

接收器610接收REE中第二CA发送的离线管理指令；

处理器620，还用于在处理器620执行离线管理指令对应的离线管理操作之前，当确定第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致时，处理器620执行离线管理指令对应的离线管理操作。

可选地，在一个实施例中，离线管理指令为离线删除指令；处理器620，还用于在处理器620确定第二CA对应的第二CA标识与至少一个第一CA标识中的任一第一CA标识一致之后，当确定REE中除第二CA之外的至少一个第一CA标识对应的第一CA都不存在时，执行离线管理指令。

处理器620删除所述TA，包括：

当确定所述TA所在的SD内不存存在关联的TA时，所述处理器620删除所述TA以及所述TA所在的SD。

可选地，在本发明的另一个实施例中，离线管理指令包括离线安装TA指令；处理器620还用于，在处理器620执行离线管理指令对应的离线管理操作之后，当确定REE中不存在至少一个第三CA标识对应的第三CA时，处理器620删除所述TA；

可选地，在本发明实施例提供的终端中还包括存储器630，用于存储指令和数据，处理器620用于调用存储器630中的指令并执行相应的操作。可选地，该终端还包括发送器640，用于与其他设备进行数据传输。

该终端中的各功能器件的功能，可以通过图3至图8中所示实施例中的终端所执行的各步骤来实现，因此，本发明实施例提供的终端的具体工作过程，在此不复赘述。

本发明实施例提供的终端可以为手机。处理器是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器内的软件程序和/或模块，以及调用存储在存储器内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。处理器可以是中央处理器(central processing unit，CPU)、通用处理器、数字信号处理器(digital signal processor，DSP)、专用集成电路(application specific integrated circuit，ASIC)、现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。处理器可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。可选的，处理器可包括一个或多个处理器单元。可选的，处理器还可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器中。

存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图象播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括易失性存储器，例如非挥发性动态随机存取内存(Nonvolatile Random Access Memory，NVRAM)、相变化随机存取内存(Phase Change RAM，PRAM)、磁阻式随机存取内存(Magetoresistive RAM，MRAM)等；存储器620还可以包括非易失性存储器，例如至少一个磁盘存储器件、电子可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、闪存器件，例如反或闪存(NOR flash memory)或是反与闪存(NAND flash memory)、半导体器件，例如固态硬盘(Solid State Disk，SSD)等。所述存储器还可以包括上述种类的存储器的组合。

图11为本发明实施例提供的一种通信装置示意图，如图11所示，所述通信装置1100可以是芯片，所述芯片包括处理单元和通信单元。所述处理单元可以是处理器1110，所述处理器可以是前文所述的各种类型的处理器。所述通信单元例如可以是输入/输出接口1120、管脚或电路等，所述通信单元可以包括系统总线或者与系统总线连接。可选地，所述通信装置还包括存储单元，所述存储单元可以是所述芯片内部的存储器1130，例如寄存器、缓存、随机存取存储器(random access memory，RAM)、EEPROM或者FLASH等；所述存储单元还可以是位于所述芯片外部的存储器，该存储器可以是前文所述的各种类型的存储器。处理器连接到存储器，该处理器可以运行存储器存储的指令，以使该通信装置执行上述图3至图8中终端所执行的方法。

本发明实施例还提供了一种计算机可读存储介质，包括指令，当其在设备上运行时，使得该设备执行如图3至图8中所执行的方法。

本发明实施例还提供了一种包含指令的计算机程序产品或者计算机程序，当其在计算机上运行时，使得计算机执行如图3至图8中所执行的方法。

本发明实施例还提供了一种系统，该系统可以包括图3至图8中描述的终端，以及OWE，服务提供商服务器。

在上述各个本发明实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读介质向另一个计算机可读介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如，固态硬盘)等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

一种离线管理指令的管理方法，其特征在于，所述管理方法包括：

终端的可信执行环境TEE接收终端的富执行环境REE发送的离线管理指令，所述离线管理指令包括离线管理参数，所述离线管理参数包括使用时长阈值和或使用次数阈值中的至少一种；

所述TEE执行所述离线管理指令对应的离线管理操作，并根据所述离线管理参数生成离线管理策略；

当安全域SD或可信应用TA的使用状态不满足所述离线管理策略时，所述TEE删除所述SD或所述TA，或者所述TEE将所述SD或所述TA还原到更新前的状态；其中,所述SD或所述TA是由所述TEE根据所述离线管理指令离线安装或离线更新的。
根据权利要求1所述的管理方法，其特征在于，所述离线管理指令包括离线安装SD指令或离线更新SD指令，所述离线管理策略为在使用次数阈值内或使用时长阈值内接收到离线安装TA指令。
根据权利要求1所述的管理方法，其特征在于，所述离线管理指令包括离线安装TA指令或离线更新TA指令，所述离线管理策略为在使用次数阈值内或使用时长阈值内进行预设操作。
根据权利要求1至3任一项所述的管理方法，其特征在于，在所述TEE执行所述离线管理指令对应的离线管理操作之前，所述管理方法还包括：

所述TEE确定所述离线管理指令的标识信息是否包含在所述TEE保存的第一信息中，所述第一信息包括所述TEE拒绝执行的离线管理指令的标识信息。
根据权利要求4任一项所述的管理方法，其特征在于，所述管理方法还包括：

当所述SD或所述TA被所述TEE删除的次数达到预设阈值时，所述TEE将所述标识信息添加至第一信息。
根据权利要求4或5所述的管理方法，其特征在于，所述标识信息包括所述离线管理指令的标识，所述离线管理指令的摘要，以及所述离线管理指令所要离线管理的SD标识或TA标识中的至少一项。
根据权利要求1所述的管理方法，其特征在于，所述TEE执行所述离线管理指令对应的离线管理操作，包括：

所述TEE根据所述离线管理指令在预设SD内离线安装TA或离线更新TA。
根据权利要求1至7任一项所述的管理方法，其特征在于，在所述TEE执行离线管理指令对应的离线管理操作之后，所述管理方法还包括：

所述TEE更新关联信息，并将所述SD或所述TA标记为离线状态；其中，所述关联信息包括所述TEE中安装的SD与所述TEE中安装的SD内安装的TA的对应关系。
根据权利要求1至8任一项所述的管理方法，其特征在于，所述管理方法还包括：

当所述SD或所述TA的使用状态满足所述离线管理策略时，所述TEE解除基于所述离线管理策略对所述SD或所述的TA的限制。
根据权利要求9所述的管理方法，其特征在于，所述TEE解除基于所述离线管理策略对所述SD或所述TA的限制，包括：

所述TEE删除所述离线管理策略；或者所述TEE取消所述SD或所述TA处于离线状态的标记；或者所述TEE将所述SD或所述TA对应的生命周期状态修改为可执行状态。
根据权利要求1至10任一项所述的管理方法，其特征在于，所述离线管理指令还包括目标SD标识；所述管理方法还包括：

当所述TA的使用状态满足离线管理策略时，所述TEE将所述TA从预设SD迁移到所述目标SD标识对应的目标SD内，并删除关联信息中预设SD与所述TA的对应关系。
根据权利要求1至11任一项所述的管理方法，其特征在于，在所述SD或所述TA的使用状态满足所述离线管理策略之前，所述管理方法还包括：

所述TEE对所述SD或所述TA的资源访问权限进行限制。
根据权利要求1至12任一项所述的管理方法，其特征在于，所述管理方法还包括：

所述TEE根据所述SD的使用状态在所述终端的界面上显示第一提示信息；或者，

所述TEE根据所述TA的使用状态在所述终端的界面上显示第二提示信息。
根据权利要求1至13任一项所述的管理方法，其特征在于，所述离线管理指令还包括至少一个第一客户端应用CA标识，所述至少一个第一CA标识为被授权使用所述离线管理指令的至少一个第一CA对应的标识；

所述终端的可信执行环境TEE接收终端的富执行环境REE发送的离线管理指令，包括：

所述TEE接收所述REE中第二CA发送的离线管理指令；

在所述TEE执行所述离线管理指令对应的离线管理操作之前，所述管理方法还包括：

当所述第二CA对应的第二CA标识与所述至少一个第一CA标识中的任一第一CA标识一致时，所述TEE执行所述离线管理指令对应的离线管理操作。
根据权利要求14所述的管理方法，其特征在于，所述离线管理指令为离线删除指令；在所述TEE确定所述第二CA对应的第二CA标识与所述至少一个第一CA标识中的任一第一CA标识一致之后，所述管理方法还包括：

当所述REE中除所述第二CA之外的所述至少一个第一CA标识对应的第一CA都不存在时，所述TEE执行所述离线管理指令对应的离线管理操作。
根据权利要求1至15任一项所述的管理方法，其特征在于，所述离线管理指令还包括指示信息，所述指示信息用于指示同步删除所述TA所在的SD；

所述TEE删除所述TA，包括：

当所述TA所在的SD内不存在关联的TA时，所述TEE删除所述TA以及所述TA所在的SD。
根据权利要求1至16任一项所述的管理方法，其特征在于，所述离线管理指令包括离线安装TA指令；在所述TEE执行所述离线管理指令对应的离线管理操作之后，包括：

当所述REE中不存在至少一个第三CA标识对应的第三CA时，所述TEE删除所述TA；

其中，所述至少一个第三CA为所述TEE通过从离线安装所述TA的离线安装TA指令或从离线安装的所述TA中获取并记录至少一个第三CA标识，所述至少一个第三CA标识对应的至少一个第三CA为REE需要使用所述TA的CA；其中，所述离线安装TA指令中包括至少一个第一CA标识，所述至少一个第一CA标识为被授权使用所述离线安装TA指令的至少一个第一CA对应的标识；所述至少一个第三CA中包括所述至少一个第一CA标识。
一种终端，其特征在于，所述终端包括可信执行环境TEE和富执行环境REE；所述TEE包括：

接收单元，用于接收所述富执行环境REE发送的离线管理指令，所述离线管理指令包括离线管理参数，所述离线管理参数包括使用时长阈值和或使用次数阈值中的至少一种；

处理单元，用于执行所述离线管理指令对应的离线管理操作，并根据所述离线管理参数生成离线管理策略；

当安全域SD或可信应用TA的使用状态不满足所述离线管理策略时，所述处理单元删除所述SD或所述TA，或者所述处理单元将所述SD或所述TA还原到更新前的状态；其中，所述SD或所述TA是由所述TEE根据所述离线管理指令离线安装或更新的。
根据权利要求18所述的终端，其特征在于，所述离线管理指令包括离线安装SD指令或离线更新SD指令，所述离线管理策略为在使用次数阈值内或使用时长阈值内接收到离线安装TA指令。
根据权利要求18所述的终端，其特征在于，所述离线管理指令包括离线安装TA指令或离线更新TA指令，所述离线管理策略为在使用次数阈值内或使用时长阈值内进行预设操作。
根据权利要求18至20任一项所述的终端，其特征在于，

所述处理单元，还用于确定所述离线管理指令的标识信息是否包含在所述TEE保存的第一信息中，所述第一信息包括所述TEE拒绝执行的离线管理指令的标识信息。
根据权利要求21任一项所述的终端，其特征在于，

当所述SD或所述TA被所述TEE删除的次数达到预设阈值时，所述处理单元还用于将所述标识信息添加至第一信息。
根据权利要求21或22所述的终端，其特征在于，所述标识信息包括所述离线管理指令的标识，所述离线管理指令的摘要，以及所述离线管理指令所要离线管理的SD标识或TA标识中的至少一项。
根据权利要求18所述的终端，其特征在于，所述处理单元执行所述离线管理指令对应的离线管理操作，包括：

所述处理单元根据所述离线管理指令在预设SD内离线安装TA或离线更新TA。
根据权利要求18至24任一项所述的终端，其特征在于，

所述处理单元，还用于更新关联信息，并将所述SD或所述TA标记为离线状态；其中，所述关联信息包括所述TEE中安装的SD与所述TEE中安装的SD内安装的TA的对应关系。
根据权利要求18至25任一项所述的终端，其特征在于，当所述SD或所述TA的使用状态满足所述离线管理策略时，所述处理单元解除基于所述离线管理策略对所述SD或所述的TA的限制。
根据权利要求26所述的终端，其特征在于，所述处理单元解除基于所述离线管理策略对所述SD或所述TA的限制，包括：

所述处理单元删除所述离线管理策略；或者所述处理单元取消所述SD或所述TA处于离线状态的标记；或者所述处理单元将所述SD或所述TA对应的生命周期状态修改为可执行状态。
根据权利要求18至27任一项所述的终端，其特征在于，所述离线管理指令还包括目标SD标识；

当所述TA的使用状态满足离线管理策略时，所述处理单元将所述TA从预设SD迁移到所述目标SD标识对应的目标SD内，并删除关联信息中预设SD与所述TA的对应关系。
根据权利要求18至28任一项所述的终端，其特征在于，所述处理单元，还用于在所述SD或所述TA的使用状态满足所述离线管理策略之前，对所述SD或所述 TA的资源访问权限进行限制。
根据权利要求18至29任一项所述的终端，其特征在于，：

所述处理单元，还用于根据所述SD的使用状态在所述终端的界面上显示第一提示信息；或者，

所述处理单元，还用于根据所述TA的使用状态在所述终端的界面上显示第二提示信息。
根据权利要求18至30任一项所述的终端，其特征在于，所述离线管理指令还包括至少一个第一客户端应用CA标识，所述至少一个第一CA标识为被授权使用所述离线管理指令的至少一个第一CA对应的标识；所述接收单元用于接收终端的富执行环境REE发送的离线管理指令，包括：

所述接收单元接收所述REE中第二CA发送的离线管理指令；

所述处理单元，还用于在所述处理单元执行所述离线管理指令对应的离线管理操作之前，当确定所述第二CA对应的第二CA标识与所述至少一个第一CA标识中的任一第一CA标识一致时，所述处理单元执行所述离线管理指令对应的离线管理操作。
根据权利要求31所述的终端，其特征在于，所述离线管理指令为离线删除指令；所述处理单元，还用于在所述处理单元确定所述第二CA对应的第二CA标识与所述至少一个第一CA标识中的任一第一CA标识一致之后，当确定所述REE中除所述第二CA之外的所述至少一个第一CA标识对应的第一CA都不存在时，所述处理单元执行所述离线管理指令。
根据权利要求18至32任一项所述的终端，其特征在于，所述离线管理指令还包括指示信息，所述指示信息用于指示同步删除所述TA所在的SD；

所述处理单元删除所述TA，包括：

当确定所述TA所在的SD内不存在关联的TA时，所述处理单元删除所述TA以及所述TA所在的SD。
根据权利要求18至33任一项所述的终端，其特征在于，所述离线管理指令包括离线安装TA指令；

所述处理单元还用于，在所述处理单元执行所述离线管理指令对应的离线管理操作之后，当确定所述REE中不存在至少一个第三CA标识对应的第三CA时，所述处理单元删除所述TA；

其中，所述至少一个第三CA标识为所述TEE通过从离线安装所述TA的离线安装TA指令或从离线安装的所述TA中获取并记录的至少一个第三CA标识，所述至少一个第三CA标识对应的至少一个第三CA为REE需要使用所述TA的CA；其中，所述离线安装TA指令中包括至少一个第一CA标识，所述至少一个第一CA标识为被授权使用所述离线安装TA指令的至少一个第一CA对应的标识；所述至少一个第三CA中包括所述至少一个第一CA标识。
一种终端，其特征在于，所述终端包括TEE和富执行环境REE，所述TEE包括接收器和处理器；

所述接收器，用于接收所述REE发送的离线管理指令，所述离线管理指令包括离线管理参数，所述离线管理参数包括使用时长阈值和或使用次数阈值中的至少一种；

所述处理器，用于执行所述离线管理指令对应的离线管理操作，并根据所述离线管理参数生成离线管理策略；

当安全域SD或可信应用TA的使用状态不满足所述离线管理策略时，所述处理器删除所述SD或所述TA，或者所述处理器将所述SD或所述TA还原到更新前的状态；其中，所述SD或所述TA是由所述TEE根据所述离线管理指令离线安装或更新的。
一种计算机可读存储介质，其特征在于，包括指令，当其在设备上运行时，使得该设备执行如权利要求1至17中任一项所述的方法。
一种通信装置，其特征在于，包括处理器，所述处理器被配置为支持所述通信装置执行根据权利要求1至17任一项所述的方法。