WO2023174389A1

WO2023174389A1 - 一种安全状态评估方法及装置、电子设备和可读存储介质

Info

Publication number: WO2023174389A1
Application number: PCT/CN2023/082026
Authority: WO
Inventors: 胡志远; 史领航; 陈辉军; 鲁京辉
Original assignee: 维沃移动通信有限公司
Priority date: 2022-03-18
Filing date: 2023-03-17
Publication date: 2023-09-21
Also published as: CN116801255A

Abstract

本申请公开了一种安全状态评估方法及装置、电子设备和可读存储介质，属于通信技术领域。所述安全状态评估方法应用于电子设备，所述方法包括：在接收到安全状态查询请求的情况下，采集目标安全状态信息；采用安全状态评估模型对目标安全状态信息进行评估，生成安全状态评估结果；目标安全状态信息包括至少一个一级指标要素，每一一级指标要素包括至少一个二级指标要素及对应的状态信息，安全状态评估模型包括第一安全状态评估模型和第二安全状态评估模型，第二安全状态评估模型根据至少一个二级指标要素及对应的状态信息确定每一一级指标要素的评分，第一安全状态评估模型根据至少一个一级指标要素以及对应的评分生成所述安全状态评估结果。

Description

一种安全状态评估方法及装置、电子设备和可读存储介质

相关申请的交叉引用

本申请主张在2022年03月18日在中国提交的中国专利申请No.202210272623.9的优先权，其全部内容通过引用包含于此。

技术领域

本申请属于通信技术领域，具体涉及一种安全状态评估方法及装置、电子设备和可读存储介质。

背景技术

移动应用服务提供商在为用户提供服务时，会进行相应的业务安全风险评估，需要考虑移动设备是否安全、用户行为是否异常、发起移动支付的应用是否可信等。然而目前的安全风险评估方案得到的安全风险评估结果不够准确，难以满足用户对高业务安全的需求。

发明内容

本申请实施例的目的是提供一种安全状态评估方法及装置、电子设备和可读存储介质，能够解决相关技术中安全风险评估方案得到的安全风险评估结果不够准确，难以满足用户对高业务安全的需求的问题。

第一方面，本申请实施例提供了一种安全状态评估方法，应用于电子设备，该方法包括：

在接收到用于查询所述电子设备的安全状态的安全状态查询请求的情况下，采集目标安全状态信息；

采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果；

其中，所述目标安全状态信息包括至少一个一级指标要素，每一所述一级指标要素包括至少一个二级指标要素及对应的状态信息，所述安全状态评估模型包括第一安全状态评估模型和第二安全状态评估模型，所述第二安全状态评估模型用于根据所述至少一个二级指标要素及对应的状态信息确定每一所述一级指标要素的评分，所述第一安全状态评估模型用于根据所述至少一个一级指标要素以及对应的评分生成所述安全状态评估结果。

第二方面，本申请实施例提供了一种安全状态评估装置，应用于电子设备，该装置包括：

采集模块，用于在接收到用于查询所述电子设备的安全状态的安全状态查询请求的情况下，采集目标安全状态信息；

评估模块，用于采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果；

第三方面，本申请实施例提供了一种电子设备，该电子设备包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。

第四方面，本申请实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。

第五方面，本申请实施例提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如第一方面所述的方法。

第六方面，本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如第一方面所述的方法。

第七方面，本申请实施例提供一种通信设备，被配置为执行以实现如第一方面所述的方法。

在本申请实施例中，在接收到查询电子设备的安全状态的安全状态查询请求的情况下，通过采集电子设备的目标安全状态信息，并通过安全状态评估模型来对目标安全状态信息进行全面评估，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

附图说明

图1为本申请实施例提供的一种安全状态评估方法的流程示意图；

图2为本申请实施例提供的支持TEE和REE的电子设备的结构示意图；

图3为本申请实施例提供的一级指标要素和二级指标要素的获取的流程示意图；

图4为本申请实施例提供的一种安全状态评估装置的结构示意图；

图5为本申请实施例提供的一种电子设备的结构示意图；

图6为实现本申请实施例的一种电子设备的硬件结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。

下面结合附图，通过具体的实施例及其应用场景对本申请实施例提供的安全状态评估方法及装置、电子设备和可读存储介质进行详细地说明。

请参考图1，图1为本申请实施例提供的一种安全状态评估方法的流程示意图。如图1所示，本申请一方面实施例提供了一种安全状态评估方法，应用于电子设备，该方法包括：

步骤101：在接收到用于查询所述电子设备的安全状态的安全状态查询请求的情况下，采集目标安全状态信息；

本实施例中，可选地，查询方可以为用户本身，也可以为应用服务器。在查询方为应用服务器时，应用服务器与本端电子设备之间的传输安全机制可以采用安全传输层协议(Transport Layer Security，TLS)，以提高传输安全性。

其中，为了更全面地评估电子设备的安全状态，采集的目标安全状态信息可以包括涉及电子设备安全的各类信息，具体可以根据实际评估需求确定。

步骤102：采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果；

本实施例中，可选地，安全状态评估模型可以存储在电子设备的可信执行环境中，以提高其安全性。该安全状态评估模型用于评估电子设备的安全状态。具体来说，可以将采集到的目标安全状态信息作为安全状态评估模型的输入，按照对应的安全状态评估策略进行分析处理，以生成电子设备的安全状态评估结果。由此，通过采用模型分析评估的方法，可以有效提高安全状态评估结果的准确度，并且，安全状态评估模型可以不断学习优化，随着评估次数的增加，安全状态评估结果也将越准确。

本申请的一些实施例中，可选地安全状态评估模型可以基于通用漏洞评分系统(Common Vulnerability Scoring System，CVSS)构建。

本申请的一些实施例中，可选地，安全状态评估结果为分值，也即安全状态评估结果以分值的形式体现。可选地，分值与电子设备的安全性呈正相关，例如，安全状态评估结果的分值范围为0-10，0表示安全性最低，而10表示安全性最高，从而为各项应用业务的安全风险评估提供更准确的安全评估依据。

由此，在本申请实施例中，在接收到查询电子设备的安全状态的安全状态查询请求的情况下，通过采集电子设备的目标安全状态信息，并通过安全状态评估模型来对目标安全状态信息进行全面评估，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

本申请的一些实施例中，所述采用安全状态评估模型对所述目标安全状态信息进行评估包括：

根据每一所述二级指标要素对应的状态信息，确定每一所述二级指标要素的评分；

根据每一所述二级指标要素的评分以及权重，计算每一所述一级指标要素的评分。

本实施例中，每一个一级指标要素包括至少一个二级指标要素以及与每一个二级指标要素对应的状态信息，则安全状态评估模型中的第二安全评估模型可以根据每一个二级指标要素对应的状态信息来确定该二级指标要素的评分，也即对每一个二级指标要素进行评分。之后，可以根据每一个一级指标要素中包含的所有二级指标要素的评分以及每一个二级指标要素的权重，计算出每一个一级指标要素的评分。

本申请的一些实施例中，可选地，根据每一个一级指标要素中包含的所有二级指标要素的评分以及每一个二级指标要素的权重，计算出每一个一级指标要素的评分时，可以采用加权求和的方式计算得到。其中，每一个二级指标要素的权重可以根据实际情况确定。

本申请的一些实施例中，所述采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果包括：

根据每一所述一级指标要素的评分以及权重，生成所述安全状态评估结果。

本实施例中，安全状态评估模型中的第一安全评估模型可以根据每一个一级指标要素的评分以及每一个一级指标要素的权重来得到安全状态评估结果。其中，每一个一级指标要素的权重可以根据实际情况确定。

本申请的一些实施例中，可选地，根据每一个一级指标要素的评分以及每一个一级指标要素的权重来得到安全状态评估结果时，可以采用加权求和的方式计算得到。

本申请的一些实施例中，所述方法还包括：

接收目标服务器发送的安全状态评估模型配置信息；

根据所述安全状态评估模型配置信息，对所述安全状态评估模型进行配置更新。

本实施例中，目标服务器可以为电子设备管理服务器，即用于对本端电子设备进行管理。例如，本端电子设备可以接收目标服务器发送的安全状态评估模型配置信息，该安全状态评估模型配置信息用于对安全状态评估模型中的参数、评估策略进行更新调整，由此，电子设备可以根据接收到的安全状态评估模型配置信息对安全状态评估模型进行配置更新，以更使安全状态评估模型生成的安全状态评估结果更准确。

本申请的一些实施例中，所述对所述安全状态评估模型进行配置更新包括以下至少一者：

对所述安全状态评估模型中的至少一个一级指标要素的权重和/或至少一个二级指标要素的权重进行配置更新；

对所述安全状态评估模型中的评分策略进行配置更新。

也就是说，在对安全状态评估模型进行配置更新时，可以根据本端电子设备的实际软硬件情况，更新安全状态评估模型中的至少一个一级指标要素的权重和/或至少一个二级指标要素的权重；或者，可以对二级指标要素的评分策略进行配置更新等等。由此，可以使得安全状态评估模型更符合本端电子设备的实际情况，生成的安全状态评估结果更加准确。

本申请的另一些实施例中，所述方法应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个一级指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。

本申请实施例中，可选地，富执行环境(Rich Execution Environment， REE)中运行有富执行环境操作系统，而可信执行环境(Trusted Execution Environment，TEE)中运行有可信执行环境操作系统。

在一些实施例中，可选地，可以通过REE中的REE安全检测模块和REE应用程序接口(Application Programming Interface，API)来收集REE安全状态信息。

本实施例中，可选地，REE与TEE之间具有协定的通信代理，建立有通信/数据传输通道，因此，REE侧可以通过该传输通道向TEE侧发送安全信息查询请求以及REE安全状态信息。

在一些实施例中，可选地，可以通过TEE中的TEE安全检测模块和可信内部API(Trusted Internal API)来收集TEE安全状态信息。

在一些实施例中，可选地，REE安全状态信息包括恶意/欺骗/伪冒应用、病毒感染、应用签名验证、验证启动、应用层数据加密、软件方式的内存漏洞防御、应用层可信度量等二级指标要素，以及每一个二级指标要素的状态信息，例如，二级指标要素为恶意/欺骗/伪冒应用，对应的状态信息可以为不存在、未知、存在中的一者，又如，二级指标要素为病毒感染，对应的状态信息可以为不存在、未知、存在中的一者，再如，二级指标要素为验证启动，对应的状态信息可以为支持、不支持中的一者，每一个二级指标要素对应的状态信息即通过采集得到。其中，每一个二级指标要素的状态信息对应一个评分，每一个二级指标要素对应一个权重。

在一些实施例中，可选地，TEE安全状态信息包括恶意/欺骗/伪冒应用、病毒感染、可信验证启动、可信用户交互、生物特征识别、敏感信息存储、内核实时安全保护、系统完整性度量、内核控制流完整性度量等二级指标要素，以及每一个二级指标要素的状态信息，例如，二级指标要素为恶意/欺骗/伪冒应用，对应的状态信息可以为不存在、未知、存在中的一者，又如，二级指标要素为病毒感染，对应的状态信息可以为不存在、未知、存在中的一者，再如，二级指标要素为可信验证启动，对应的状态信息可以为支持、不支持中的一者，每一个二级指标要素对应的状态信息即通过采集得到。其中，每一个二级指标要素的状态信息对应一个评分，每一个二级指标要素对应一个权重。

在一些实施例中，可选地，硬件及固件安全状态信息包括硬件可信根、安全单元、硬件加解密、安全启动、硬件方式的内存漏洞防御、内存加密、固件版本是否满足要求、防侧信道攻击、防故障注入攻击等二级指标要素，以及每一个二级指标要素的状态信息，例如，二级指标要素为硬件可信根，对应的状态信息可以为支持、不支持中的一者，又如，二级指标要素为安全单元，对应的状态信息可以为支持、不支持中的一者，再如，二级指标要素为硬件加解密，对应的状态信息可以为支持、不支持中的一者，每一个二级指标要素对应的状态信息即通过采集得到。其中，每一个二级指标要素的状态信息对应一个评分，每一个二级指标要素对应一个权重。

在一些实施例中，可选地，通信安全状态信息包括蜂窝网络通信、Wi-Fi通信、通信协议安全、虚拟专用网络(Virtual Private Network，VPN)、域名解析系统(Domain Name System，DNS)安全解析等二级指标要素，以及每一个二级指标要素的状态信息，例如，二级指标要素为窝网络通信，对应的状态信息可以为安全、未知、伪基站中的一者，又如，二级指标要素为Wi-Fi通信，对应的状态信息可以为可信、公开、未知、恶意中的一者，再如，二级指标要素为通信协议安全，对应的状态信息可以为TLS、互联网安全协议(Internet Protocol Security，Ipsec)、自定义、无中的一者，每一个二级指标要素对应的状态信息即通过采集得到。其中，每一个二级指标要素的状态信息对应一个评分，每一个二级指标要素对应一个权重。

本申请实施例中，可选地，安全状态评估模型基于加权算数平均法，并参考通用漏洞评分系统。其中，加权算数平均法即在n个观测数据中，每个观测值根据对未来预测值影响的程度不同，给予不同的权数，将各个时期的观测值乘以自己的权数，然后将它们的和除以各个权数之和，所得之商就是未来预测值，其数学模型为：

其中，为加权算术平均值，即预测值，Y_i为不同时期的观测值(i＝1，2，…，n)，n为总体中的数据点数，W_i为各个观察值对应的权数，W_i在0到1之间，即0≤W_i≤1。

基于此，本申请的一些实施例中，定义了如下的一级指标要素、二级指标要素以及相应的状态信息、评分等，具体见如下表1～表5。

表1：一级指标要素和权重

表2：REE安全状态信息的二级指标要素和权重

表3：TEE安全状态信息的二级指标要素和权重

表4：硬件及固件安全状态信息的二级指标要素和权重

表5：通信安全状态信息的二级指标要素和权重

由此，对于安全状态评估结果S，则有：
S＝S_A*W_A+S_B*W_B+S_C*W_C+S_D*W_D。

其中，变量S_A、S_B、S_C、S_D为一级指标要素的评分；变量W_A、W_B、W_C、W_D为一级指标要素在综合评价得到安全状态评估结果时的重要程度，即权重，其中，W_A+W_B+W_C+W_D＝1；S、S_A、S_B、S_C、S_D是小于或等于10的正数。

可选地，S采取10级评级机制，“0”代表安全性最低，“10”代表安全性最高。安全等级可根据最终的安全状态评估结果S分为低、中、高三等，例如：S属于[0，4)，则为低等安全级别；S属于[4，7)，则为中等安全级别；S属于[7，10]，则为高等安全级别。

本申请的一些实施例中，S_A、S_B、S_C、S_D的计算公式如下：
S_A＝S_A1*W_A1+S_A2*W_A2+...+S_Ai*W_Ai+...+S_An*W_An；
S_B＝S_B1*W_B1+S_B2*W_B2+...+S_Bi*W_Bi+...+S_Bn*W_Bn；
S_C＝S_C1*W_C1+S_C2*W_C2+...+S_Ci*W_Ci+...+S_Bn*W_Cn；
S_D＝S_D1*W_D1+S_D2*W_D2+...+S_Di*W_Di+...+S_Dn*W_Dn。

其中，变量S_A1、S_An、S_B1 S_Bn等为二级指标要素的评分，都是小于或等于10的正数；变量W_A1 W_An、W_B1、WBn等分别表示各个二级指标要素的重要程度，即权重，同时满足以下关系：
W_A1+W_A2+...+W_Ai+...+W_An＝1；
W_B1+W_B2+...+W_Bi+...+W_Bn＝1；
W_C1+W_C2+...+W_Ci+...+W_Cn＝1；
W_D1+W_D2+...+W_Di+...+W_Dn＝1。

下面示例性地介绍上述计算过程。

REE安全状态信息的二级指标要素和权重中，恶意/欺骗/伪冒应用(S_A1)的状态信息为不存在、则评分为10分，权重为0.2；病毒感染(S_A2)的状态信息为未知，则评分为5分，权重为0.25；应用签名验证(S_A3)的状态信息为支持、则评分为10分，权重为0.15；验证启动(S_A4)的状态信息为支持、则评分为10分，权重为0.10；应用层数据加密(S_A5)的状态信息为支持、则评分为10分，权重为0.05；软件方式的内存漏洞防御(S_A6)的状态信息为部分支持、则评分为5分，权重为0.15；应用层可信度量(S_A7)的状态信息为未启用、则评分为0分，权重为0.10，则REE安全状态信息的评分为：
S_A＝S_A1*W_A1+S_A2*W_A2+S_A3*W_A3+S_A4*W_A4+S_A5*W_A5+S_A6*W_A6+S_A7*W_A7
＝10*0.2+5*0.25+10*0.15+10*0.1+10*0.05+5*0.15+10*0
＝7.0

同样的，假设计算得到S_B＝6.5，S_C＝6.0，S_D＝7.25。

则安全状态评估结果为：
S＝S_A*W_A+S_B*W_B+S_C*W_C+S_D*W_D
＝7.0*0.2+6.5*0.3+6.0*0.4+7.25*0.1
＝6.5。

则对应的安全等级位于[4,7)，属于中等安全级别。

本申请的一些实施例中，所述方法还包括：

采集所述电子设备的安全能力信息，并采用所述电子设备的私钥对所述安全能力信息和所述安全状态评估结果进行数字签名，其中，发送所述安全状态查询请求的查询方具有与所述私钥配对的公钥；

根据所述安全能力信息、所述安全状态评估结果以及签名生成综合安全信息，并将所述综合安全信息发送给所述查询方。

其中，所述安全能力信息包括可信执行环境信息、可信用户交互信息、硬件加解密信息、安全单元信息、内存加密信息、防侧信道攻击信息、防故障注入攻击信息。

在得到电子设备的安全能力信息和安全状态评估结果之后，为了解决相关技术中每次进行安全评估时都需要服务器对安全评估结果进行签名而导致的时延，本申请实施例中，在本端电子设备的TEE中即采用电子设备的私钥对安全能力信息和安全状态评估结果进行数字签名，从而在提高安全性能的同时，降低了时延，提高了系统性能。可选地，查询方具有与电子设备的私钥配对的公钥，可以利用该公钥对电子设备返回的综合安全信息进行验证，以确定其真实性和完整性。

由此，通过综合电子设备当前的安全状态信息以及电子设备的安全能力信息，可以更加全面地评估电子设备的安全情况，提供电子设备细颗粒度的安全性能评估，为各项应用业务的安全风险评估提供更准确的安全评估依据。

请参考图2，图2为本申请实施例提供的支持TEE和REE的电子设备的结构示意图。如图2所示，本申请实施例中，查询方可以为手机银行服务器、移动支付服务器、企业应用服务器或者其他高安全应用服务器等。电子设备支持可信执行环境TEE和富执行环境REE，REE中运行有富执行环境操作系统(REE Operating System，REE OS)，而TEE中运行有可信执行环境操作系统TEE OS。

下面结合附图2介绍电子设备各部分功能以及各个一级指标要素和二级指标要素的获取流程。

·REE侧

a)安全能力和安全状态客户端(Client)APP：

接收来自用户或应用服务器“电子设备安全能力和安全状态查询模块”的安全能力查询和当前的安全状态评估的请求，该请求中包含“安全能力和安全状态Client APP”的标识和应用服务器的授权令牌；

如果该请求来自用户对本电子设备的查询，则该请求中只包含“安全能力和安全状态Client APP”的标识；

通过“REE安全检测模块”和“REE API”收集REE侧的安全状态信息(如是否存在恶意软件、系统是否感染病毒、网络连接是否安全等)；

向“安全能力和安全状态Client API”发起安全能力查询和当前的安全状态评估的调用请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；

接收来自“安全能力和安全状态Client API”相应的响应(包括安全能力信息和当前的安全状态评估结果、以及电子设备的签名等)；

其中，安全能力，主要包括：可信执行环境、可信用户交互、硬件加解密、安全单元、内存加密、防侧信道攻击、防故障注入攻击等；

当前安全状态的评估结果是一个分值(如0-10，0标识安全性最低，而10表示安全性最高)，当前安全状态评估的因素，除了安卓(Android)操作系统的安全特征(如应用访问控制、文件系统访问控制、数据加密、数据完整性保护、安全锁屏和认证、设备配置文件的完整性验证等)以外，主要还包括：系统是否存在恶意软件或感染病毒、硬件和固件的配置是否被篡改、系统软件版本是否满足要求、系统是否被Root、内存是否遭受攻击、内核及内核配置是否被篡改、网络链接是否足够安全等；

将接收到的安全能力信息和当前的安全状态评估结果、以及电子设备的签名等，返回给应用服务器“电子设备安全能力和安全状态查询模块”；

向用户呈现本电子设备的安全能力和当前的安全状态；

b)安全能力和安全状态Client API：

接收来自电子设备“安全能力和安全状态Client APP”的安全能力查询和当前的安全状态评估的请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；

通过REE侧的通信代理和TEE侧的通信代理，向TEE侧“安全能力和安全状态Trusted App”发起调用请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；

接收来自TEE侧“安全能力和安全状态Trusted App”相应的响应(包括安全能力信息和当前的安全状态评估结果、以及电子设备的签名)；

将接收到的本电子设备的安全能力信息和当前的安全状态评估结果、及电子设备的签名，返回给电子设备“安全能力和安全状态Client APP”；

·TEE侧

a)安全能力和安全状态Trusted APP：

接收来自电子设备REE侧“安全能力和安全状态Client API”的安全能力查询和当前的安全状态评估的请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；根据相应的安全策略，检查该访问请求是否有效：

根据本电子设备“安全能力和安全状态Client APP”的标识，检查该应用是否有调用“安全能力和安全状态Trusted APP”的权限；

验证应用服务器的授权令牌的有效性(如令牌是否来自本电子设备的管理服务器、令牌是否过期等)，并检查该服务器否有调用“安全能力和安全状态Trusted APP”的权限；

通过“TEE安全检测模块”和“Trusted Internal API”收集TEE侧的安全状态信息(如是否存在恶意软件、系统是否感染病毒、内核的配置是否篡改、堆栈中的数据区域是否存在执行操作等)；

通过模块“安全状态评估”根据接收到的REE安全状态信息和TEE安全状态信息，基于安全状态评估模型或方法，对本电子设备的安全状态进行实时评估，获得一个当前安全状态的评估结果；

通过模块“安全能力管理”根据安全能力查询请求，确定需要返回的安全能力信息；

使用本电子设备的私钥对安全能力信息和当前的安全状态评估结果进行数字签名；

通过REE侧的通信代理和TEE侧的通信代理，向电子设备REE侧“安全能力和安全状态Client API”返回本电子设备的安全能力信息和当前的安全状态评估结果、以及电子设备的签名；

接收来自电子设备管理服务器的“安全能力配置”对“安全能力管理”的配置和更新；

接收来自电子设备管理服务器的“安全状态评估模型管理”对“安全状态评估”的配置和更新。

其中，在电子设备管理服务器中：

·终端安全能力和安全状态管理模块

a)授权管理

接收来自应用服务器中“电子设备安全能力和安全状态查询模块”的电子设备安全能力查询和安全状态评估的授权请求；

认证应用服务器或应用服务器的“电子设备安全能力和安全状态查询模块”；

为该应用服务器的“电子设备安全能力和安全状态查询模块”生成一个授权令牌；

将该授权令牌返回给应用服务器的“电子设备安全能力和安全状态查询模块”；

b)安全能力配置

对电子设备“安全能力管理”中的安全能力进行配置和更新；

c)安全状态评估模型管理

对电子设备“安全状态评估”中的安全状态评估模型和安全评估策略进行配置和更新；

对安全状态评估模型进行增强。

其中，在应用服务器(手机银行、移动支付、企业应用等)的业务安全风险评估中：

·电子设备安全能力和安全状态查询模块

a)向电子设备“安全能力和安全状态API”发起安全能力查询和当前的安全状态评估的调用；

b)接收来自电子设备“安全能力和安全状态API”相应的响应(即电子设备的安全能力信息和安全状态评估结果、及电子设备的签名)，并根据应用服务器的公钥验证该响应的真实性和完整性。

请参考图3，图3为本申请实施例提供的一级指标要素和二级指标要素的获取的流程示意图。如图3所示，本申请实施例中的一级指标要素和二级指标要素的获取包括以下：

1)应用服务器的“电子设备安全能力和安全状态查询模块”向电子设备REE侧“安全能力和安全状态Client APP”发起安全能力查询和当前的安全状态评估的请求(包含授权令牌)，该请求消息的传输安全机制可采用TLS；

2)电子设备REE侧“安全能力和安全状态Client APP”通过“REE安全检测模块”和“REE API”收集REE安全状态信息；

3)电子设备REE侧“安全能力和安全状态Client APP”向电子设备REE侧“安全能力和安全状态Client API”发送安全能力查询和安全状态评估请求(包含授权令牌、REE安全状态信息)；

4)电子设备REE侧“安全能力和安全状态Client API”将接收到的安全能力查询和安全状态评估请求(包含授权令牌、REE安全状态信息)，通过REE通信代理和TEE通信代理发送给TEE侧“安全能力和安全状态Trusted APP”；

5)TEE侧“安全能力和安全状态Trusted APP”验证授权令牌的有效性，并检查应用服务器是否有权限获得电子设备的安全能力和安全状态；如果验证授权令牌失败，则终止相关操作，返回错误信息，并提示应用服务器重新申请授权令牌；

6)TEE侧“安全能力和安全状态Trusted APP”通过“TEE安全检测模块”和“Trusted Internal API”采集TEE安全状态信息；

7)TEE侧“安全能力和安全状态Trusted APP”确定电子设备的安全能力信息和评估当前的安全状态；

7.1)通过“安全能力管理”模块确定本电子设备的安全能力信息；

7.2)通过“安全状态评估”模块，结合REE安全状态信息和TEE安全状态信息，评估本电子设备当前的安全状态；

8)TEE侧“安全能力和安全状态Trusted APP”使用电子设备的私钥，对安全能力信息和安全状态评估结果进行数字签名；

9)TEE侧“安全能力和安全状态Trusted APP”将安全能力信息和安全状态评估结果及签名，通过TEE通信代理和REE通信代理返回给REE侧“安全能力和安全状态Client API”；

10)REE侧“安全能力和安全状态Client API”将接收到的安全能力信息和安全状态评估结果及签名返回给REE侧“安全能力和安全状态Client APP”；

11)REE侧“安全能力和安全状态Client APP”将接收到的安全能力信息和安全状态评估结果及签名返回给应用服务器“电子设备安全能力和安全状态查询模块”，该返回消息的传输安全机制可采用TLS；

12)应用服务器“电子设备安全能力和安全状态查询模块”使用电子设备的公钥，对安全能力信息和安全状态评估结果的签名进行验证，确定其真实性和完整性。

总之，在本申请实施例中，在接收到查询电子设备的安全状态的安全状态查询请求的情况下，通过采集电子设备的目标安全状态信息，并通过安全状态评估模型来对目标安全状态信息进行全面评估，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

本申请实施例提供的安全状态评估方法，执行主体可以为安全状态评估装置。本申请实施例中以安全状态评估装置执行安全状态评估方法为例，说明本申请实施例提供的安全状态评估装置。

请参考图4，图4为本申请实施例提供的一种安全状态评估装置的结构示意图。如图4所示，本申请另一方面实施例还提供了一种安全状态评估装置，应用于电子设备，该装置400包括：

采集模块401，用于在接收到用于查询所述电子设备的安全状态的安全状态查询请求的情况下，采集目标安全状态信息；

评估模块402，用于采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果；

可选地，所述评估模块包括：

确定单元，用于根据每一所述二级指标要素对应的状态信息，确定每一所述二级指标要素的评分；

第一评分单元，用于根据每一所述二级指标要素的评分以及权重，计算每一所述一级指标要素的评分。

可选地，所述评估模块包括：

评估单元，用于根据每一所述一级指标要素的评分以及权重，生成所述安全状态评估结果。

可选地，所述装置还包括：

接收模块，用于接收目标服务器发送的安全状态评估模型配置信息；

更新模块，用于根据所述安全状态评估模型配置信息，对所述安全状态评估模型进行配置更新。

可选地，所述更新模块包括以下至少一者：

权重更新单元，用于对所述安全状态评估模型中的至少一个一级指标要素的权重和/或至少一个二级指标要素的权重进行配置更新；

策略更新单元，用于对所述安全状态评估模型中的评分策略进行配置更新。

可选地，所述装置应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个一级指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。

可选地，所述装置还包括：

签名模块，用于采集所述电子设备的安全能力信息，并采用所述电子设备的私钥对所述安全能力信息和所述安全状态评估结果进行数字签名，其中，发送所述安全状态查询请求的查询方具有与所述私钥配对的公钥；

发送模块，用于根据所述安全能力信息、所述安全状态评估结果以及签名生成综合安全信息，并将所述综合安全信息发送给所述查询方。

可选地，所述安全能力信息包括可信执行环境信息、可信用户交互信息、硬件加解密信息、安全单元信息、内存加密信息、防侧信道攻击信息、防故障注入攻击信息。

本申请实施例中的安全状态评估装置可以是电子设备，也可以是电子设备中的部件，例如集成电路或芯片。该电子设备可以是终端，也可以为除终端之外的其他设备。示例性的，电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、移动上网装置(Mobile Internet Device，MID)、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、机器人、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本或者个人数字助理(personal digital assistant，PDA)等，还可以为服务器、网络附属存储器(Network Attached Storage，NAS)、个人计算机(personal computer，PC)、电视机(television，TV)、柜员机或者自助机等，本申请实施例不作具体限定。

本申请实施例中的安全状态评估装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统，可以为iOS操作系统，还可以为其他可能的操作系统，本申请实施例不作具体限定。

本申请实施例提供的安全状态评估装置能够实现图1至图3的方法实施例实现的各个过程，为避免重复，这里不再赘述。

如图5所示，本申请实施例还提供一种电子设备500，包括处理器501和存储器502，存储器502上存储有可在所述处理器501上运行的程序或指令，该程序或指令被处理器501执行时实现上述安全状态评估方法实施例的各个步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

图6为实现本申请实施例的一种电子设备的硬件结构示意图。

该电子设备600包括但不限于：射频单元601、网络模块602、音频输出单元603、输入单元604、传感器605、显示单元606、用户输入单元607、接口单元608、存储器609、以及处理器6010等部件。

本领域技术人员可以理解，电子设备600还可以包括给各个部件供电的电源(比如电池)，电源可以通过电源管理系统与处理器6010逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图6中示出的电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，在此不再赘述。

其中，处理器6010，用于在接收到用于查询所述电子设备的安全状态的安全状态查询请求的情况下，采集目标安全状态信息；

处理器6010，还用于采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果；

可选地，处理器6010，还用于根据每一所述二级指标要素对应的状态信息，确定每一所述二级指标要素的评分；

处理器6010，还用于根据每一所述二级指标要素的评分以及权重，计算每一所述一级指标要素的评分。

可选地，处理器6010，还用于根据每一所述一级指标要素的评分以及权重，生成所述安全状态评估结果。

可选地，射频单元601，用于接收目标服务器发送的安全状态评估模型配置信息；

处理器6010，还用于根据所述安全状态评估模型配置信息，对所述安全状态评估模型进行配置更新。

可选地，所述对所述安全状态评估模型进行配置更新包括以下至少一者：

对所述安全状态评估模型中的评分策略进行配置更新。

可选地，所述方法应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个一级指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。

可选地，处理器6010，还用于采集所述电子设备的安全能力信息，并采用所述电子设备的私钥对所述安全能力信息和所述安全状态评估结果进行数字签名，其中，发送所述安全状态查询请求的查询方具有与所述私钥配对的公钥；

处理器6010，还用于根据所述安全能力信息、所述安全状态评估结果以及签名生成综合安全信息；

射频单元601，还用于将所述综合安全信息发送给所述查询方。

应理解的是，本申请实施例中，输入单元604可以包括图形处理器(Graphics Processing Unit，GPU)6041和麦克风6042，图形处理器6041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元606可包括显示面板6061，可以采用液晶显示器、有机发光二极管等形式来配置显示面板6061。用户输入单元607包括触控面板6071以及其他输入设备6072中的至少一种。触控面板6071，也称为触摸屏。触控面板6071可包括触摸检测装置和触摸控制器两个部分。其他输入设备6072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

存储器609可用于存储软件程序以及各种数据，存储器609可主要包括存储程序或指令的第一存储区和存储数据的第二存储区，其中，第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器609可以包括易失性存储器或非易失性存储器，或者，存储器609可以包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。本申请实施例中的存储器609包括但不限于这些和任意其它适合类型的存储器。

处理器6010可包括一个或多个处理单元；可选地，处理器6010集成应用处理器和调制解调处理器，其中，应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作，调制解调处理器主要处理无线通信信号，如基带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器6010中。

本申请实施例还提供一种可读存储介质，所述可读存储介质可以是非易失的，也可以是易失的，所述可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述安全状态评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器、随机存取存储器、磁碟或者光盘等。

本申请实施例另提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现上述安全状态评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。应理解，本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。

本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如上述安全状态评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims

一种安全状态评估方法，应用于电子设备，包括：

在接收到用于查询所述电子设备的安全状态的安全状态查询请求的情况下，采集目标安全状态信息；

采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果；

其中，所述目标安全状态信息包括至少一个一级指标要素，每一所述一级指标要素包括至少一个二级指标要素及对应的状态信息，所述安全状态评估模型包括第一安全状态评估模型和第二安全状态评估模型，所述第二安全状态评估模型用于根据所述至少一个二级指标要素及对应的状态信息确定每一所述一级指标要素的评分，所述第一安全状态评估模型用于根据所述至少一个一级指标要素以及对应的评分生成所述安全状态评估结果。
根据权利要求1所述的方法，其中，所述采用安全状态评估模型对所述目标安全状态信息进行评估包括：

根据每一所述二级指标要素对应的状态信息，确定每一所述二级指标要素的评分；

根据每一所述二级指标要素的评分以及权重，计算每一所述一级指标要素的评分。
根据权利要求1或2所述的方法，其中，所述采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果包括：

根据每一所述一级指标要素的评分以及权重，生成所述安全状态评估结果。
根据权利要求1所述的方法，还包括：

接收目标服务器发送的安全状态评估模型配置信息；

根据所述安全状态评估模型配置信息，对所述安全状态评估模型进行配置更新。
根据权利要求4所述的方法，其中，所述对所述安全状态评估模型进行配置更新包括以下至少一者：

对所述安全状态评估模型中的至少一个一级指标要素的权重和/或至少一个二级指标要素的权重进行配置更新；

对所述安全状态评估模型中的评分策略进行配置更新。
根据权利要求1所述的方法，其中，所述方法应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个一级指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。
根据权利要求1所述的方法，还包括：

采集所述电子设备的安全能力信息，并采用所述电子设备的私钥对所述安全能力信息和所述安全状态评估结果进行数字签名，其中，发送所述安全状态查询请求的查询方具有与所述私钥配对的公钥；

根据所述安全能力信息、所述安全状态评估结果以及签名生成综合安全信息，并将所述综合安全信息发送给所述查询方。
根据权利要求7所述的方法，其中，所述安全能力信息包括可信执行环境信息、可信用户交互信息、硬件加解密信息、安全单元信息、内存加密信息、防侧信道攻击信息、防故障注入攻击信息。
一种安全状态评估装置，应用于电子设备，包括：

采集模块，用于在接收到用于查询所述电子设备的安全状态的安全状态查询请求的情况下，采集目标安全状态信息；

评估模块，用于采用安全状态评估模型对所述目标安全状态信息进行评估，生成安全状态评估结果；

其中，所述目标安全状态信息包括至少一个一级指标要素，每一所述一级指标要素包括至少一个二级指标要素及对应的状态信息，所述安全状态评估模型包括第一安全状态评估模型和第二安全状态评估模型，所述第二安全状态评估模型用于根据所述至少一个二级指标要素及对应的状态信息确定每一所述一级指标要素的评分，所述第一安全状态评估模型用于根据所述至少一个一级指标要素以及对应的评分生成所述安全状态评估结果。
根据权利要求9所述的装置，其中，所述评估模块包括：

确定单元，用于根据每一所述二级指标要素对应的状态信息，确定每一所述二级指标要素的评分；

第一评分单元，用于根据每一所述二级指标要素的评分以及权重，计算每一所述一级指标要素的评分。
根据权利要求9或10所述的装置，其中，所述评估模块包括：

评估单元，用于根据每一所述一级指标要素的评分以及权重，生成所述安全状态评估结果。
根据权利要求9所述的装置，还包括：

接收模块，用于接收目标服务器发送的安全状态评估模型配置信息；

更新模块，用于根据所述安全状态评估模型配置信息，对所述安全状态评估模型进行配置更新。
根据权利要求12所述的装置，其中，所述更新模块包括以下至少一者：

权重更新单元，用于对所述安全状态评估模型中的至少一个一级指标要素的权重和/或至少一个二级指标要素的权重进行配置更新；

策略更新单元，用于对所述安全状态评估模型中的评分策略进行配置更新。
根据权利要求9所述的装置，其中，所述装置应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个一级指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。
根据权利要求9所述的装置，还包括：

签名模块，用于采集所述电子设备的安全能力信息，并采用所述电子设备的私钥对所述安全能力信息和所述安全状态评估结果进行数字签名，其中，发送所述安全状态查询请求的查询方具有与所述私钥配对的公钥；

发送模块，用于根据所述安全能力信息、所述安全状态评估结果以及签名生成综合安全信息，并将所述综合安全信息发送给所述查询方。
根据权利要求15所述的装置，其中，所述安全能力信息包括可信执行环境信息、可信用户交互信息、硬件加解密信息、安全单元信息、内存加密信息、防侧信道攻击信息、防故障注入攻击信息。
一种电子设备，包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如权利要求1-8中任一项所述的安全状态评估方法的步骤。
一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如权利要求1-8中任一项所述的安全状态评估方法的步骤。
一种芯片，包括处理器和通信接口，其中，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如权利要求1-8中任一项所述的安全状态评估方法的步骤。
一种计算机程序产品，其中，所述计算机程序产品被存储在非瞬态的可读存储介质中，所述计算机程序产品被至少一个处理器执行以实现如权利要求1-8中任一项所述的安全状态评估方法的步骤。
一种通信设备，被配置为执行如权利要求1-8中任一项所述的安全状态评估方法的步骤。