WO2023185900A1 - 一种安全状态评估方法及装置、电子设备和可读存储介质 - Google Patents

Abstract

本申请公开了一种安全状态评估方法及装置、电子设备和可读存储介质，属于通信技术领域。所述安全状态评估方法包括：采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。

Description

一种安全状态评估方法及装置、电子设备和可读存储介质

相关申请的交叉引用

本申请主张在2022年3月30日在中国提交的中国专利申请No.202210328660.7的优先权，其全部内容通过引用包含于此。

技术领域

本申请属于通信技术领域，具体涉及一种安全状态评估方法及装置、电子设备和可读存储介质。

背景技术

移动应用服务提供商在为用户提供服务时，会进行相应的业务安全风险评估，需要考虑移动设备是否安全、用户行为是否异常、发起移动支付的应用是否可信等。然而目前的安全风险评估方案得到的安全风险评估结果不够准确，难以满足用户对高业务安全的需求。

发明内容

本申请实施例的目的是提供一种安全状态评估方法及装置、电子设备和可读存储介质，能够解决相关技术中安全风险评估方案得到的安全风险评估结果不够准确，难以满足用户对高业务安全的需求的问题。

第一方面，本申请实施例提供了一种安全状态评估方法，该方法包括：

采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；

采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；

根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。

第二方面，本申请实施例提供了一种安全状态评估装置，该装置包括：

采集模块，用于采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；

权重确定模块，用于采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；

评估模块，用于根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。

第三方面，本申请实施例提供了一种电子设备，该电子设备包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。

第四方面，本申请实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。

第五方面，本申请实施例提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如第一方面所述的方法的步骤。

第六方面，本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如第一方面所述的方法的步骤。

第七方面，本申请实施例提供一种电子设备，其中，所述电子设备用于执行如第一方面所述的方法的步骤。

在本申请实施例中，在需要进行安全状态评估时，例如在接收到查询电子设备的安全状态的安全状态查询请求等情况时，通过采集电子设备的目标安全状态信息，并采用层次分析法确定目标安全状态信息中各个指标要素的权重，继而根据目标安全状态信息和确定的权重，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

附图说明

图1为本申请实施例提供的一种安全状态评估方法的流程示意图；

图2为本申请实施例提供的支持TEE和REE的电子设备的结构示意图；

图3为本申请实施例提供的第二层指标要素和第三层指标要素的获取的流程示意图；

图4为本申请实施例提供的一种安全状态评估装置的结构示意图；

图5为本申请实施例提供的一种电子设备的结构示意图；

图6为实现本申请实施例的一种电子设备的硬件结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。

下面结合附图，通过具体的实施例及其应用场景对本申请实施例提供的安全状态评估方法及装置、电子设备和可读存储介质进行详细地说明。

请参考图1，图1为本申请实施例提供的一种安全状态评估方法的流程示意图。如图1所示，本申请一方面实施例提供了一种安全状态评估方法，该方法包括：

步骤101：采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；

本实施例中，可选地，在需要进行电子设备的安全状态评估时，例如，在接收到用于查询所述电子设备的安全状态的安全状态查询请求时，可以采集电子设备的目标安全状态信息，以供安全状态评估。其中，查询方可以为用户本身，也可以为应用服务器。在查询方为应用服务器时，应用服务器与本端电子设备之间的传输安全机制可以采用安全传输层协议(Transport Layer Security，TLS)，以提高传输安全性。

其中，为了更全面地评估电子设备的安全状态，采集的目标安全状态信息可以包括涉及电子设备安全的各类信息，具体可以根据实际评估需求确定。示例性地，目标安全状态信息包括至少一个第二层指标要素，而每一个第二层指标要素包括至少一个第三层指标要素以及每一个第三层指标要素的状态信息，也就是说，第二层指标要素和第三层指标要素之间具有从属关系。

本申请实施例中，可选地，指标要素具体可以包括三层，即第一层指标要素、第二层指标要素和第三层指标要素，其中，电子设备的综合安全评估即为第一层指标要素，对应于电子设备的安全状态评估结果，第一层指标要素包括至少一个第二层指标要素，而第二层指标要素则包括至少一个第三层指标要素，即，第三层指标要素从属于某一第二层指标要素，而第二层指标要素则从属于第一层指标要素。

步骤102：采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；

本实施例中，可选地，层次分析法(Analytic Hierarchy Process，AHP)可以应用在安全状态评估模型中，即基于层次分析法建立安全状态评估模型。通过运用层次分析法进行分析，可以方便地确定出目标安全状态信息中包含的各项指标要素的权重，继而实现对目标安全状态信息的全面评估。可选地，安全状态评估模型可以存储在电子设备的可信执行环境中，以提高其安全性。 该安全状态评估模型可以用于评估电子设备的安全状态。具体来说，可以将采集到的目标安全状态信息作为安全状态评估模型的输入，按照对应的安全状态评估策略进行分析处理，以生成电子设备的安全状态评估结果。

步骤103：根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。

本实施例中，在确定出目标安全状态信息中的各项指标要素的权重之后，即可根据目标安全状态信息以及对应的权重，计算得到电子设备的安全状态评估结果，从而全面、客观的考量各项指标要素对安全状态的影响，得到更为准确的安全状态评估结果。

本申请的一些实施例中，可选地，安全状态评估结果为分值，也即安全状态评估结果以分值的形式体现。可选地，分值与电子设备的安全性呈正相关，例如，安全状态评估结果的分值范围为0-10，0表示安全性最低，而10表示安全性最高，从而为各项应用业务的安全风险评估提供更准确的安全评估依据。

由此，在本申请实施例中，在需要进行安全状态评估时，例如在接收到查询电子设备的安全状态的安全状态查询请求等情况时，通过采集电子设备的目标安全状态信息，并采用层次分析法确定目标安全状态信息中各个指标要素的权重，继而根据目标安全状态信息和确定的权重，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

本申请的一些实施例中，所述采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重包括：

构建目标层的成对比较矩阵，并计算所述成对比较矩阵的权重向量和最大特征根；

根据所述成对比较矩阵以及所述成对比较矩阵的权重向量和最大特征根，得到一致性指标；

根据所述一致性指标以及随机一致性指标，得到一致性比率，所述随机一致性指标与所述成对比较矩阵的行数或列数相关；

在所述一致性比率满足预设条件的情况下，根据所述成对比较矩阵的权重向量确定每一目标层指标要素的权重；

其中，所述目标层为所述第二层或所述第三层，所述成对比较矩阵中的数值与应用场景相关。

本实施例中，在采用层次分析法确定每一个第二层指标要素的权重和每一个第三层指标要素的权重时，均可采用上述步骤进行确定。

本实施例中，构建的目标层的成对比较矩阵中的数值与应用场景相关。示例性地，可以根据“在评估一个多因子的权重时，进行因子之间的两两互相比较，从而能更精确地确定各因子在一个评估结果中各自所占的权重”的理论，结合经验以及本实施例中的具体应用场景，对成对比较矩阵进行赋值。

例如，在评估目标层的指标要素的权重时，通过进行目标层指标要素之间的两两互相比较，从而能够更精确地确定各指标要素在一个评估结果中各自所占的权重，即对应于下表1。

示例性地，在确定第二层指标要素的权重时，对于该第二层中从属于第一层指标要素的指标要素，即所有的第二层指标要素，构造成对比较矩阵，并计算该成对比较矩阵的权重向量和最大特征根，其中权重向量又称为权向量，在构造成对比较矩阵时，可以采用成对比较法和1-9比较尺度来构造。例如，令A为成对比较矩阵：
A＝(a_ij)_n×n,a_ij>0，a_ji＝1/a_ij；

其中，n为第二层的指标要素的数量，i、j分别表示指标i和指标j。

表1：1-9比较尺度

本实施例中，在采用层次分析法确定每一个第二层指标要素的权重时，具体步骤如下：

步骤一：将成对比较矩阵A的列向量归一化：

步骤二：对按行求和得：

步骤三：对归一化：其中则W＝(w₁,w₂,w₃,...,w_n)^T，即为近似特征向量，也即权重向量；

步骤四：计算最大特征根近似值：

步骤五：一致性检验：

a)根据层次分析法，计算一致性指标CI＝(λ-n)/(n-1)；

b)随机一致性指标RI为衡量A的一致性指标CI的标准，RI的数值见下表2；

c)A的一致性指标CI与同阶的随机一致性指标RI之比称为一致性比率CR；

当一致性比率CR＝CI/RI<0.1时，A的一致性被认可，可用A的特征向量作为权向量。

表2：随机一致性指标RI的数值

可以理解，当目标层指标要素为任意一个所述第二层指标要素包括的至少一个第三层指标要素时，同样可以参照上述步骤进行计算，确定出对应的权重，本实施例在此不再赘述。

本实施例中，目标层即为第二层或第三层。成对比较矩阵的随机一致性指标的与该成对比较矩阵的行数或列数相关，由于成对比较矩阵为方阵，即行数等于列数，则成对比较矩阵的行数/列数即为n，则通过查上表2即可确定出对应的随机一致性指标。

在一些实施例中，在采用层次分析法时，需要确保目标层指标要素的数量为三个以上，并且，确保所有目标层指标要素的权重之和等于1，若出现不等于1的情况，则需要进行权重调整。

本申请的一些实施例中，所述根据所述目标安全状态信息以及所述权重， 生成电子设备的安全状态评估结果包括：

根据所述第二层指标要素包括的至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息和权重，确定所述第二层指标要素的评分；

根据每一个所述第二层指标要素的评分以及对应的权重，生成所述安全状态评估结果。

本实施例中，在确定出每一个第二层指标要素包含的第三层指标要素的权重之后，即可以根据第二层指标要素包含的第三层指标要素的状态信息以及权重，计算出每一个第二层指标要素的评分。也就是说，对于任意一个第二层指标要素的评分，是根据该第二层指标要素包含的所有第三层指标要素的状态信息以及每一个第三层指标要素对应的权重确定的。进一步地，在确定出每一个第二层指标要素的评分之后，即可根据每一个第二层指标要素的评分以及对应的权重，生成安全状态评估结果，该安全状态评估结果即对应于综合安全评估，在层次分析法中为第一层指标要素。由此，通过综合各项第三层指标要素，可以得到更为准确的第二层指标要素的评分，而通过综合各项第二层指标要素，最终提升了得到的安全状态评估结果的准确性。

本申请的另一些实施例中，所述根据所述第二层指标要素包括的至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息和权重，确定所述第二层指标要素的评分包括：

根据所述第三层指标要素的状态信息，确定对应的所述第三层指标要素的评分；

根据所述第二层指标要素包括的每一个第三层指标要素的评分以及权重，计算所述第二层指标要素的评分。

本实施例中，可以根据每一个第三层指标要素对应的状态信息来确定对应的第三层指标要素的评分，也即对每一个二级指标要素进行评分，之后，可以根据每一个第二层指标要素中包含的所有第三层指标要素的评分以及每一个第三层指标要素的权重，计算出每一个第二层指标要素的评分。

本申请的一些实施例中，可选地，根据第二层指标要素包括的每一个第 三层指标要素的评分以及权重，计算第二层指标要素的评分时，可以采用加权求和的方式计算得到。同样的，根据每一个第二层指标要素的评分以及对应的权重，生成安全状态评估结果时，也可以采用加权求和的方式计算得到。

本申请的另一些实施例中，所述方法应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个第二层指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。

本申请实施例中，可选地，富执行环境(Rich Execution Environment，REE)中运行有富执行环境操作系统，而可信执行环境(Trusted Execution Environment，TEE)中运行有可信执行环境操作系统。

在一些实施例中，可选地，可以通过REE中的REE安全检测模块和REE应用程序接口(Application Programming Interface，API)来收集REE安全状态信息。

本实施例中，可选地，REE与TEE之间具有协定的通信代理，建立有通信/数据传输通道，因此，REE侧可以通过该传输通道向TEE侧发送安全信息查询请求以及REE安全状态信息。

在一些实施例中，可选地，可以通过TEE中的TEE安全检测模块和Trusted Internal应用程序接口(Application Programming Interface，API)来收集TEE安全状态信息。

在一些实施例中，可选地，REE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、应用签名验证、验证启动、应用层数据加密、软件方式的内存漏洞防御、应用层可信度量，以及每一个第三层指标要素的状态信息，例如，第三层指标要素为恶意/欺骗/伪冒应用，对应的状态信息可以为不存在、未知、存在中的一者，又如，第三层指标要素为病毒感染，对应的状态信息可以为不存在、未知、存在中的一者，再如，第三层指标要素为验证启动，对应的状态信息可以为支持、不支持中的一者，每一个第三层指标要素对应的状态信息即通过采集得到。其中，每一个第三 层指标要素的状态信息对应一个评分，每一个第三层指标要素对应一个权重。

在一些实施例中，可选地，TEE安全状态信息的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、可信验证启动、可信用户交互、生物特征识别、敏感信息存储、内核实时安全保护、系统完整性度量、内核控制流完整性度量，以及每一个第三层指标要素的状态信息，例如，第三层指标要素为恶意/欺骗/伪冒应用，对应的状态信息可以为不存在、未知、存在中的一者，又如，第三层指标要素为病毒感染，对应的状态信息可以为不存在、未知、存在中的一者，再如，第三层指标要素为可信验证启动，对应的状态信息可以为支持、不支持中的一者，每一个第三层指标要素对应的状态信息即通过采集得到。其中，每一个第三层指标要素的状态信息对应一个评分，每一个第三层指标要素对应一个权重。

在一些实施例中，可选地，硬件及固件安全状态信息包括的第三层指标要素包括以下至少一者：硬件可信根、安全单元、硬件加解密、安全启动、硬件方式的内存漏洞防御、内存加密、固件版本是否满足要求、防侧信道攻击、防故障注入攻击，以及每一个第三层指标要素的状态信息，例如，第三层指标要素为硬件可信根，对应的状态信息可以为支持、不支持中的一者，又如，第三层指标要素为安全单元，对应的状态信息可以为支持、不支持中的一者，再如，第三层指标要素为硬件加解密，对应的状态信息可以为支持、不支持中的一者，每一个第三层指标要素对应的状态信息即通过采集得到。其中，每一个第三层指标要素的状态信息对应一个评分，每一个第三层指标要素对应一个权重。

在一些实施例中，可选地，通信安全状态信息包括的第三层指标要素包括以下至少一者：蜂窝网络通信、Wi-Fi通信、通信协议安全、VPN、DNS安全解析，以及每一个第三层指标要素的状态信息，例如，第三层指标要素为蜂窝网络通信，对应的状态信息可以为安全、未知、伪基站中的一者，又如，第三层指标要素为Wi-Fi通信，对应的状态信息可以为可信、公开、未知、恶意中的一者，再如，第三层指标要素为通信协议安全，对应的状态信 息可以为TLS、互联网安全协议(Internet Protocol Security，IPSec)、自定义、无中的一者，每一个第三层指标要素对应的状态信息即通过采集得到。其中，每一个第三层指标要素的状态信息对应一个评分，每一个第三层指标要素对应一个权重。

其中，在根据第三层指标要素的状态信息进行评分时，可以设定相应的评分标准，不同状态信息对应不同的评分。

本申请实施例中，可选地，在进行安全状态评估时，参考通用漏洞评分系统。其中，加权算数平均法即在n个观测数据中，每个观测值根据对未来预测值影响的程度不同，给予不同的权数，将各个时期的观测值乘以自己的权数，然后将它们的和除以各个权数之和，所得之商就是未来预测值，其数学模型为：

其中，为加权算术平均值，即预测值，Y_i为不同时期的观测值(i＝1，2，…，n)，n为总体中的数据点数，W_i为各个观察值对应的权数，W_i在0到1之间，即0≤W_i≤1。

下面结合具体数据信息介绍上述安全状态评估方法。

本申请的一些实施例中，定义了如下的第二层指标要素，具体见如下表3。

表3：第二层指标要素和权重

采用层次分析法确定第二层指标要素的权重的步骤如下：

步骤一：构造第二层指标要素的成对比较矩阵S：

具体地，根据“在评估一个多因子的权重时，进行因子之间的两两互相比较，从而能更精确地确定各因子在一个评估结果中各自所占的权重”的理 论，结合经验以及本实施例中的具体应用场景，对成对比较矩阵进行赋值，以得到下方的成对比较矩阵。

步骤二：对成对比较矩阵S进行列向量归一化、然后求行和、最后对行和进行归一化，得到第二层指标要素的权重向量W。

列向量归一化：

求行和并归一化：

步骤三：计算成对比较矩阵S和权重向量W的乘积，计算成对比较矩阵S的最大特征根。

计算成对比较矩阵S和权重向量W的乘积：

计算成对比较矩阵S的最大特征根：

步骤四：成对比较矩阵S的一致性校验。

根据成对比较矩阵S、权重向量W、以及成对比较矩阵S的最大特征根λmax(S)，计算一致性指标CI：

通过查上述表2中随机一致性指标RI的数值，可知，当n＝4时，即第二层指标要素的数量为4时，随机一致性指标RI＝0.89。

根据一致性指标CI和随机一致性指标RI，可以计算得到一致性比率：

由于CR小于0.1，即成对比较矩阵S通过一致性检验，因此，求得第二层指标要素S_A、S_B、S_C、S_D对S的权重分别为：W_A,B,C,D＝(0.122,0.263,0.558,0.057)^T。

本申请的一些实施例中，定义了如下的REE安全状态信息包括的第三层指标要素及对应的权重，具体见如下表4。

表4：REE安全状态信息包括的第三层指标要素和权重

同理，采用层次分析法确定第三层指标要素的权重时，REE安全状态信息包括的第三层指标要素的成对比较矩阵S_A为：

计算得到S_A1、S_A2、S_A3、S_A4、S_A5、S_A6、S_A7、S_A8对S_A的权重分别为：W_{A1,A2,A3,A4,A5,A6,A7,A8}＝(0.224,0.391,0.119,0.028,0.028,0.119,0.062,0.028)^T，且计 算得到一致性比率CR_SA＝0.034<0.1，通过一致性检验。

本申请的一些实施例中，定义了如下的TEE安全状态信息包括的第三层指标要素及对应的权重，具体见如下表5。

表5：TEE安全状态信息包括的第三层指标要素和权重

同理，采用层次分析法确定第三层指标要素的权重时，TEE安全状态信息包括的第三层指标要素的成对比较矩阵S_B为：

计算得到S_B1、S_B2、S_B3、S_B4、S_B5、S_B6、S_B7、S_B8、S_B9、S_B10、S_B11对S_B的权重分别为：
W_{B1,B2,B3,B4,B5,B6,B7,B8,B9,B10,B11}
＝(0.015,0.020,0.261,0.030,0.044,0.090,0.129,0.186,0.030,0.129,0.064)^T；

计算得到一致性比率，CR_SB＝0.029<0.1，通过一致性检验。

本申请的一些实施例中，定义了如下的硬件及固件安全状态信息包括的第三层指标要素及对应的权重，具体见如下表6。

表6：硬件及固件安全状态信息包括的第三层指标要素和权重

同理，采用层次分析法确定第三层指标要素的权重时，硬件及固件安全状态信息包括的第三层指标要素的成对比较矩阵S_C为：

计算得到S_C1、S_C2、S_C3、S_C4、S_C5、S_C6、S_C7、S_C8、S_C9对S_C的权重分别为：
W_{C1,C2,C3,C4,C5,C6,C7,C8,C9}
＝(0.322,0.238,0.150,0.065,0.093,0.050,0.042,0.023,0.018)^T；

计算得到一致性比率，CR_SC＝0.054<0.1，通过一致性检验。

本申请的一些实施例中，定义了如下的通信安全状态信息包括的第三层指标要素及对应的权重，具体见如下表7。

表7：通信安全状态信息包括的第三层指标要素和权重

同理，采用层次分析法确定第三层指标要素的权重时，通信安全状态信息包括的第三层指标要素的成对比较矩阵S_D为：

计算得到S_D1、S_D2、S_D3、S_D4、S_D5对S_D的权重分别为：
W_{D1,D2,D3,D4,D5}＝(0.310,0.459,0.105,0.063,0.063)^T；

计算得到一致性比率，CR_SC＝0.015<0.1，通过一致性检验。

由此，对于安全状态评估结果S，则有：
S＝S_A*W_A+S_B*W_B+S_C*W_C+S_D*W_D。

其中，变量S_A、S_B、S_C、S_D为第二层指标要素的评分；变量W_A、W_B、W_C、W_D为第二层指标要素在综合评价得到安全状态评估结果时的重要程度，即权重，其中，W_A+W_B+W_C+W_D＝1；S、S_A、S_B、S_C、S_D是小于或等于10的正数。

可选地，S采取10级评级机制，“0”代表安全性最低，“10”代表安全 性最高。安全等级可根据最终的安全状态评估结果S分为低、中、高三等，例如：S属于[0，4)，则为低等安全级别；S属于[4，7)，则为中等安全级别；S属于[7，10]，则为高等安全级别。

本申请的一些实施例中，S_A、S_B、S_C、S_D的计算公式如下：
S_A＝S_A1*W_A1+S_A2*W_A2+...+S_Ai*W_Ai+...+S_An*W_An；
S_B＝S_B1*W_B1+S_B2*W_B2+...+S_Bi*W_Bi+...+S_Bn*W_Bn；
S_C＝S_C1*W_C1+S_C2*W_C2+...+S_Ci*W_Ci+...+S_Bn*W_Cn；
S_D＝S_D1*W_D1+S_D2*W_D2+...+S_Di*W_Di+...+S_Dn*W_Dn。

其中，变量S_A1、S_An、S_B1 S_Bn等为第三层指标要素的评分，都是小于或等于10的正数；变量W_A1 W_An、W_B1、WBn等分别表示各个第三层指标要素的重要程度，即权重，同时满足以下关系：
W_A1+W_A2+...+W_Ai+...+W_An＝1；
W_B1+W_B2+...+W_Bi+...+W_Bn＝1；
W_C1+W_C2+...+W_Ci+...+W_Cn＝1；
W_D1+W_D2+...+W_Di+...+W_Dn＝1。

下面示例性地介绍上述计算过程。

假设：REE安全状态信息包括的第三层指标要素、对应的状态信息、评分以及对应的权重具体为：恶意/欺骗/伪冒应用(S_A1)的状态信息为不存在、则评分为10分，权重为0.2；病毒感染(S_A2)的状态信息为未知，则评分为5分，权重为0.25；应用签名验证(S_A3)的状态信息为支持、则评分为10分，权重为0.15；验证启动(S_A4)的状态信息为支持、则评分为10分，权重为0.10；应用层数据加密(S_A5)的状态信息为支持、则评分为10分，权重为0.05；软件方式的内存漏洞防御(S_A6)的状态信息为部分支持、则评分为5分，权重为0.15；应用层可信度量(S_A7)的状态信息为未启用、则评分为0分，权重为0.10，则REE安全状态信息的评分为：
S_A＝S_A1*W_A1+S_A2*W_A2+S_A3*W_A3+S_A4*W_A4+S_A5*W_A5+S_A6*W_A6+S_A7*W_A7
＝10*0.2+5*0.25+10*0.15+10*0.1+10*0.05+5*0.15+10*0
＝7.0

同样的，假设计算得到S_B＝6.5，S_C＝6.0，S_D＝7.25。

则安全状态评估结果为：
S＝S_A*W_A+S_B*W_B+S_C*W_C+S_D*W_D
＝7.0*0.2+6.5*0.3+6.0*0.4+7.25*0.1
＝6.5。

则对应的安全等级位于[4,7)，属于中等安全级别。

本申请的一些实施例中，所述方法还包括：

采集所述电子设备的安全能力信息，并采用所述电子设备的私钥对所述安全能力信息和所述安全状态评估结果进行数字签名，其中，发送所述安全状态查询请求的查询方具有与所述私钥配对的公钥；

根据所述安全能力信息、所述安全状态评估结果以及签名生成综合安全信息，并将所述综合安全信息发送给所述查询方。

其中，所述安全能力信息包括可信执行环境信息、可信用户交互信息、硬件加解密信息、安全单元信息、内存加密信息、防侧信道攻击信息、防故障注入攻击信息。

在得到电子设备的安全能力信息和安全状态评估结果之后，为了解决相关技术中每次进行安全评估时都需要服务器对安全评估结果进行签名而导致的时延，本申请实施例中，在本端电子设备的TEE中即采用电子设备的私钥对安全能力信息和安全状态评估结果进行数字签名，从而在提高安全性能的同时，降低了时延，提高了系统性能。可选地，查询方具有与电子设备的私钥配对的公钥，可以利用该公钥对电子设备返回的综合安全信息进行验证，以确定其真实性和完整性。

由此，通过综合电子设备当前的安全状态信息以及电子设备的安全能力信息，可以更加全面地评估电子设备的安全情况，提供电子设备细颗粒度的安全性能评估，为各项应用业务的安全风险评估提供更准确的安全评估依据。

请参考图2，图2为本申请实施例提供的支持TEE和REE的电子设备的 结构示意图。如图2所示，本申请实施例中，查询方可以为手机银行服务器、移动支付服务器、企业应用服务器或者其他高安全应用服务器等。电子设备支持可信执行环境TEE和富执行环境REE，REE中运行有富执行环境操作系统REE OS，而TEE中运行有可信执行环境操作系统TEE OS。

下面结合附图2介绍电子设备各部分功能以及各第二层指标要素和第三层指标要素的获取流程。

·REE侧

a)安全能力和安全状态Client APP：

接收来自用户或应用服务器“电子设备安全能力和安全状态查询模块”的安全能力查询和当前的安全状态评估的请求，该请求中包含“安全能力和安全状态Client APP”的标识和应用服务器的授权令牌；

如果该请求来自用户对本电子设备的查询，则该请求中只包含“安全能力和安全状态Client APP”的标识；

通过“REE安全检测模块”和“REE API”收集REE侧的安全状态信息(如是否存在恶意软件、系统是否感染病毒、网络连接是否安全等)；

向“安全能力和安全状态Client API”发起安全能力查询和当前的安全状态评估的调用请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；

接收来自“安全能力和安全状态Client API”相应的响应(包括安全能力信息和当前的安全状态评估结果、以及电子设备的签名等)；

其中，安全能力，主要包括：可信执行环境、可信用户交互、硬件加解密、安全单元、内存加密、防侧信道攻击、防故障注入攻击等；

当前安全状态的评估结果是一个分值(如0-10，0标识安全性最低，而10表示安全性最高)，当前安全状态评估的因素，除了Android操作系统的安全特征(如应用访问控制、文件系统访问控制、数据加密、数据完整性保护、安全锁屏和认证、设备配置文件的完整性验证等)以外，主要还包括：系统是否存在恶意软件或感染病毒、硬件和固件的配置是否被篡改、系统软件版 本是否满足要求、系统是否被Root、内存是否遭受攻击、内核及内核配置是否被篡改、网络链接是否足够安全等；

将接收到的安全能力信息和当前的安全状态评估结果、以及电子设备的签名等，返回给应用服务器“电子设备安全能力和安全状态查询模块”；

向用户呈现本电子设备的安全能力和当前的安全状态；

b)安全能力和安全状态Client API：

接收来自电子设备“安全能力和安全状态Client APP”的安全能力查询和当前的安全状态评估的请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；

通过REE侧的通信代理和TEE侧的通信代理，向TEE侧“安全能力和安全状态Trusted App”发起调用请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；

接收来自TEE侧“安全能力和安全状态Trusted App”相应的响应(包括安全能力信息和当前的安全状态评估结果、以及电子设备的签名)；

将接收到的本电子设备的安全能力信息和当前的安全状态评估结果、及电子设备的签名，返回给电子设备“安全能力和安全状态Client APP”；

·TEE侧

a)安全能力和安全状态Trusted APP：

接收来自电子设备REE侧“安全能力和安全状态Client API”的安全能力查询和当前的安全状态评估的请求，该请求中包含“安全能力和安全状态Client APP”的标识、应用服务器的授权令牌以及REE安全状态信息；根据相应的安全策略，检查该访问请求是否有效：

根据本电子设备“安全能力和安全状态Client APP”的标识，检查该应用是否有调用“安全能力和安全状态Trusted APP”的权限；

验证应用服务器的授权令牌的有效性(如令牌是否来自本电子设备的管理服务器、令牌是否过期等)，并检查该服务器否有调用“安全能力和安全状态Trusted APP”的权限；

通过“TEE安全检测模块”和“Trusted Internal API”收集TEE侧的安全状态信息(如是否存在恶意软件、系统是否感染病毒、内核的配置是否篡改、堆栈中的数据区域是否存在执行操作等)；

通过模块“安全状态评估”根据接收到的REE安全状态信息和TEE安全状态信息，基于安全状态评估模型或方法，对本电子设备的安全状态进行实时评估，获得一个当前安全状态的评估结果；

通过模块“安全能力管理”根据安全能力查询请求，确定需要返回的安全能力信息；

使用本电子设备的私钥对安全能力信息和当前的安全状态评估结果进行数字签名；

通过REE侧的通信代理和TEE侧的通信代理，向电子设备REE侧“安全能力和安全状态Client API”返回本电子设备的安全能力信息和当前的安全状态评估结果、以及电子设备的签名；

接收来自电子设备管理服务器的“安全能力配置”对“安全能力管理”的配置和更新；

接收来自电子设备管理服务器的“安全状态评估模型管理”对“安全状态评估”的配置和更新。

其中，在电子设备管理服务器中：

·终端安全能力和安全状态管理模块

a)授权管理

接收来自应用服务器中“电子设备安全能力和安全状态查询模块”的电子设备安全能力查询和安全状态评估的授权请求；

认证应用服务器或应用服务器的“电子设备安全能力和安全状态查询模块”；

为该应用服务器的“电子设备安全能力和安全状态查询模块”生成一个授权令牌；

将该授权令牌返回给应用服务器的“电子设备安全能力和安全状态查询 模块”；

b)安全能力配置

对电子设备“安全能力管理”中的安全能力进行配置和更新；

c)安全状态评估模型管理

对电子设备“安全状态评估”中的安全状态评估模型和安全评估策略进行配置和更新；

对安全状态评估模型进行增强。

其中，在应用服务器(手机银行、移动支付、企业应用等)的业务安全风险评估中：

·电子设备安全能力和安全状态查询模块

a)向电子设备“安全能力和安全状态API”发起安全能力查询和当前的安全状态评估的调用；

b)接收来自电子设备“安全能力和安全状态API”相应的响应(即电子设备的安全能力信息和安全状态评估结果、及电子设备的签名)，并根据应用服务器的公钥验证该响应的真实性和完整性。

请参考图3，图3为本申请实施例提供的第二层指标要素和第三层指标要素的获取的流程示意图。如图3所示，本申请实施例中的第二层指标要素和第三层指标要素的获取包括以下：

1)应用服务器的“电子设备安全能力和安全状态查询模块”向电子设备REE侧“安全能力和安全状态Client APP”发起安全能力查询和当前的安全状态评估的请求(包含授权令牌)，该请求消息的传输安全机制可采用TLS；

2)电子设备REE侧“安全能力和安全状态Client APP”通过“REE安全检测模块”和“REE API”收集REE安全状态信息；

3)电子设备REE侧“安全能力和安全状态Client APP”向电子设备REE侧“安全能力和安全状态Client API”发送安全能力查询和安全状态评估请求(包含授权令牌、REE安全状态信息)；

4)电子设备REE侧“安全能力和安全状态Client API”将接收到的安全 能力查询和安全状态评估请求(包含授权令牌、REE安全状态信息)，通过REE通信代理和TEE通信代理发送给TEE侧“安全能力和安全状态Trusted APP”；

5)TEE侧“安全能力和安全状态Trusted APP”验证授权令牌的有效性，并检查应用服务器是否有权限获得电子设备的安全能力和安全状态；如果验证授权令牌失败，则终止相关操作，返回错误信息，并提示应用服务器重新申请授权令牌；

6)TEE侧“安全能力和安全状态Trusted APP”通过“TEE安全检测模块”和“Trusted Internal API”采集TEE安全状态信息；

7)TEE侧“安全能力和安全状态Trusted APP”确定电子设备的安全能力信息和评估当前的安全状态；

7.1)通过“安全能力管理”模块确定本电子设备的安全能力信息；

7.2)通过“安全状态评估”模块，结合REE安全状态信息和TEE安全状态信息，评估本电子设备当前的安全状态；

8)TEE侧“安全能力和安全状态Trusted APP”使用电子设备的私钥，对安全能力信息和安全状态评估结果进行数字签名；

9)TEE侧“安全能力和安全状态Trusted APP”将安全能力信息和安全状态评估结果及签名，通过TEE通信代理和REE通信代理返回给REE侧“安全能力和安全状态Client API”；

10)REE侧“安全能力和安全状态Client API”将接收到的安全能力信息和安全状态评估结果及签名返回给REE侧“安全能力和安全状态Client APP”；

11)REE侧“安全能力和安全状态Client APP”将接收到的安全能力信息和安全状态评估结果及签名返回给应用服务器“电子设备安全能力和安全状态查询模块”，该返回消息的传输安全机制可采用TLS；

12)应用服务器“电子设备安全能力和安全状态查询模块”使用电子设备的公钥，对安全能力信息和安全状态评估结果的签名进行验证，确定其真实性和完整性。

总之，在本申请实施例中，在需要进行安全状态评估时，例如在接收到 查询电子设备的安全状态的安全状态查询请求等情况时，通过采集电子设备的目标安全状态信息，并采用层次分析法确定目标安全状态信息中各个指标要素的权重，继而根据目标安全状态信息和确定的权重，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

本申请实施例提供的安全状态评估方法，执行主体可以为安全状态评估装置。本申请实施例中以安全状态评估装置执行安全状态评估方法为例，说明本申请实施例提供的安全状态评估装置。

请参考图4，图4为本申请实施例提供的一种安全状态评估装置的结构示意图。如图4所示，本申请另一方面实施例还提供了一种安全状态评估装置，该装置400包括：

采集模块401，用于采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；

权重确定模块402，用于采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；

评估模块403，用于根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。

可选地，所述权重确定模块包括：

构造单元，用于构建目标层的成对比较矩阵，并计算所述成对比较矩阵的权重向量和最大特征根；

一致性指标单元，用于根据所述成对比较矩阵以及所述成对比较矩阵的权重向量和最大特征根，得到一致性指标；

一致性比率单元，用于根据所述一致性指标以及随机一致性指标，得到一致性比率，所述随机一致性指标与所述成对比较矩阵的行数或列数相关；

权重确定单元，用于在所述一致性比率满足预设条件的情况下，根据所述成对比较矩阵的权重向量确定每一目标层指标要素的权重；

其中，所述目标层为所述第二层或所述第三层，所述成对比较矩阵中的 数值与应用场景相关。

可选地，所述评估模块包括：

评分单元，用于根据所述第二层指标要素包括的至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息和权重，确定所述第二层指标要素的评分；

评估单元，用于根据每一个所述第二层指标要素的评分以及对应的权重，生成所述安全状态评估结果。

可选地，所述评分单元包括：

第一评分子单元，根据所述第三层指标要素的状态信息，确定对应的所述第三层指标要素的评分；

第二评分子单元，用于根据所述第二层指标要素包括的每一个第三层指标要素的评分以及权重，计算所述第二层指标要素的评分。

可选地，应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个第二层指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。

可选地，所述REE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、应用签名验证、验证启动、应用层数据加密、软件方式的内存漏洞防御、应用层可信度量；

所述TEE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、可信验证启动、可信用户交互、生物特征识别、敏感信息存储、内核实时安全保护、系统完整性度量、内核控制流完整性度量

所述硬件及固件安全状态信息包括的第三层指标要素包括以下至少一者：硬件可信根、安全单元、硬件加解密、安全启动、硬件方式的内存漏洞防御、内存加密、固件版本是否满足要求、防侧信道攻击、防故障注入攻击；

所述通信安全状态信息包括的第三层指标要素包括以下至少一者：蜂窝网络通信、Wi-Fi通信、通信协议安全、VPN、DNS安全解析。

在本申请实施例中，在需要进行安全状态评估时，例如在接收到查询电子设备的安全状态的安全状态查询请求等情况时，通过采集电子设备的目标安全状态信息，并采用层次分析法确定目标安全状态信息中各个指标要素的权重，继而根据目标安全状态信息和确定的权重，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

本申请实施例中的安全状态评估装置可以是电子设备，也可以是电子设备中的部件，例如集成电路或芯片。该电子设备可以是终端，也可以为除终端之外的其他设备。示例性的，电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、移动上网装置(Mobile Internet Device，MID)、增强现实(augmented reality，AR)/虚拟现实(virtual reality，VR)设备、机器人、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本或者个人数字助理(personal digital assistant，PDA)等，还可以为服务器、网络附属存储器(Network Attached Storage，NAS)、个人计算机(personal computer，PC)、电视机(television，TV)、柜员机或者自助机等，本申请实施例不作具体限定。

本申请实施例中的安全状态评估装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统，可以为iOS操作系统，还可以为其他可能的操作系统，本申请实施例不作具体限定。

本申请实施例提供的安全状态评估装置能够实现图1至图3的方法实施例实现的各个过程，为避免重复，这里不再赘述。

可选地，如图5所示，本申请实施例还提供一种电子设备500，包括处理器501和存储器502，存储器502上存储有可在所述处理器501上运行的程序或指令，该程序或指令被处理器501执行时实现上述安全状态评估方法实施例的各个步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。

图6为实现本申请实施例的一种电子设备的硬件结构示意图。

该电子设备600包括但不限于：射频单元601、网络模块602、音频输出单元603、输入单元604、传感器605、显示单元606、用户输入单元607、 接口单元608、存储器609、以及处理器6010等部件。

本领域技术人员可以理解，电子设备600还可以包括给各个部件供电的电源(比如电池)，电源可以通过电源管理系统与处理器6010逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图6中示出的电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，在此不再赘述。

其中，处理器6010，用于采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；

处理器6010，还用于采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；

处理器6010，还用于根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。

可选地，处理器6010，还用于构建目标层的成对比较矩阵，并计算所述成对比较矩阵的权重向量和最大特征根；

根据所述成对比较矩阵以及所述成对比较矩阵的权重向量和最大特征根，得到一致性指标；

根据所述一致性指标以及随机一致性指标，得到一致性比率，所述随机一致性指标与所述成对比较矩阵的行数或列数相关；

在所述一致性比率满足预设条件的情况下，根据所述成对比较矩阵的权重向量确定每一目标层指标要素的权重；

其中，所述目标层为所述第二层或所述第三层，所述成对比较矩阵中的数值与应用场景相关。

可选地，处理器6010，还用于根据所述第二层指标要素包括的至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息和权重，确定所述第二层指标要素的评分；

根据每一个所述第二层指标要素的评分以及对应的权重，生成所述安全 状态评估结果。

处理器6010，还用于根据所述第三层指标要素的状态信息，确定对应的所述第三层指标要素的评分；

根据所述第二层指标要素包括的每一个第三层指标要素的评分以及权重，计算所述第二层指标要素的评分。

可选地，所述方法应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个第二层指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。

可选地，所述REE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、应用签名验证、验证启动、应用层数据加密、软件方式的内存漏洞防御、应用层可信度量；

所述TEE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、可信验证启动、可信用户交互、生物特征识别、敏感信息存储、内核实时安全保护、系统完整性度量、内核控制流完整性度量；

所述硬件及固件安全状态信息包括的第三层指标要素包括以下至少一者：硬件可信根、安全单元、硬件加解密、安全启动、硬件方式的内存漏洞防御、内存加密、固件版本是否满足要求、防侧信道攻击、防故障注入攻击；

所述通信安全状态信息包括的第三层指标要素包括以下至少一者：蜂窝网络通信、Wi-Fi通信、通信协议安全、虚拟专用网络(Virtual Private Network，VPN)、域名系统(Domain Name System，DNS)安全解析。

在本申请实施例中，在需要进行安全状态评估时，例如在接收到查询电子设备的安全状态的安全状态查询请求等情况时，通过采集电子设备的目标安全状态信息，并采用层次分析法确定目标安全状态信息中各个指标要素的权重，继而根据目标安全状态信息和确定的权重，从而可以得到准确、全面的安全状态评估结果，为高安全要求的业务提供了更准确的评估依据。

应理解的是，本申请实施例中，输入单元604可以包括图形处理器 (Graphics Processing Unit，GPU)6041和麦克风6042，图形处理器6041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元606可包括显示面板6061，可以采用液晶显示器、有机发光二极管等形式来配置显示面板6061。用户输入单元607包括触控面板6071以及其他输入设备6072中的至少一种。触控面板6071，也称为触摸屏。触控面板6071可包括触摸检测装置和触摸控制器两个部分。其他输入设备6072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

存储器609可用于存储软件程序以及各种数据，存储器609可主要包括存储程序或指令的第一存储区和存储数据的第二存储区，其中，第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器609可以包括易失性存储器或非易失性存储器，或者，存储器609可以包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。本申请实施例中的存储器609包括但不限于这些和任意其它适合类型的存储器。

处理器6010可包括一个或多个处理单元；可选的，处理器6010集成应用处理器和调制解调处理器，其中，应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作，调制解调处理器主要处理无线通信信号，如基 带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器6010中。

本申请实施例还提供一种可读存储介质，所述可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述安全状态评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器、随机存取存储器、磁碟或者光盘等。

本申请实施例另提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现上述安全状态评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。

本申请实施例提供一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如上述安全状态评估方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被 组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims (17)

1. 一种安全状态评估方法，包括：

   采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；

   采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；

   根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。
2. 根据权利要求1所述的方法，其中，所述采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重包括：

   构建目标层的成对比较矩阵，并计算所述成对比较矩阵的权重向量和最大特征根；

   根据所述成对比较矩阵以及所述成对比较矩阵的权重向量和最大特征根，得到一致性指标；

   根据所述一致性指标以及随机一致性指标，得到一致性比率，所述随机一致性指标与所述成对比较矩阵的行数或列数相关；

   在所述一致性比率满足预设条件的情况下，根据所述成对比较矩阵的权重向量确定每一目标层指标要素的权重；

   其中，所述目标层为所述第二层或所述第三层，所述成对比较矩阵中的数值与应用场景相关。
3. 根据权利要求1所述的方法，其中，所述根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果包括：

   根据所述第二层指标要素包括的至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息和权重，确定所述第二层指标要素的评分；

   根据每一个所述第二层指标要素的评分以及对应的权重，生成所述安全状态评估结果。
4. 根据权利要求3所述的方法，其中，所述根据所述第二层指标要素包括的至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息和权重，确定所述第二层指标要素的评分包括：

   根据所述第三层指标要素的状态信息，确定对应的所述第三层指标要素的评分；

   根据所述第二层指标要素包括的每一个第三层指标要素的评分以及权重，计算所述第二层指标要素的评分。
5. 根据权利要求1所述的方法，其中，所述方法应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个第二层指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。
6. 根据权利要求5所述的方法，其中，所述REE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、应用签名验证、验证启动、应用层数据加密、软件方式的内存漏洞防御、应用层可信度量；

   所述TEE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、可信验证启动、可信用户交互、生物特征识别、敏感信息存储、内核实时安全保护、系统完整性度量、内核控制流完整性度量；

   所述硬件及固件安全状态信息包括的第三层指标要素包括以下至少一者：硬件可信根、安全单元、硬件加解密、安全启动、硬件方式的内存漏洞防御、内存加密、固件版本是否满足要求、防侧信道攻击、防故障注入攻击；

   所述通信安全状态信息包括的第三层指标要素包括以下至少一者：蜂窝网络通信、Wi-Fi通信、通信协议安全、VPN、DNS安全解析。
7. 一种安全状态评估装置，包括：

   采集模块，用于采集目标安全状态信息，所述目标安全状态信息包括至少一个第二层指标要素，每一所述第二层指标要素包括至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息；

   权重确定模块，用于采用层次分析法确定每一所述第二层指标要素和每一所述第三层指标要素的权重；

   评估模块，用于根据所述目标安全状态信息以及所述权重，生成电子设备的安全状态评估结果。
8. 根据权利要求7所述的装置，其中，所述权重确定模块包括：

   构造单元，用于构建目标层的成对比较矩阵，并计算所述成对比较矩阵的权重向量和最大特征根；

   一致性指标单元，用于根据所述成对比较矩阵以及所述成对比较矩阵的权重向量和最大特征根，得到一致性指标；

   一致性比率单元，用于根据所述一致性指标以及随机一致性指标，得到一致性比率，所述随机一致性指标与所述成对比较矩阵的行数或列数相关；

   权重确定单元，用于在所述一致性比率满足预设条件的情况下，根据所述成对比较矩阵的权重向量确定每一所述目标层指标要素的权重；

   其中，所述目标层为所述第二层或所述第三层，所述成对比较矩阵中的数值与应用场景相关。
9. 根据权利要求7所述的装置，其中，所述评估模块包括：

   评分单元，用于根据所述第二层指标要素包括的至少一个第三层指标要素以及每一个所述第三层指标要素的状态信息和权重，确定所述第二层指标要素的评分；

   评估单元，用于根据每一个所述第二层指标要素的评分以及对应的权重，生成所述安全状态评估结果。
10. 根据权利要求9所述的装置，其中，所述评分单元包括：

    第一评分子单元，根据所述第三层指标要素的状态信息，确定对应的所述第三层指标要素的评分；

    第二评分子单元，用于根据所述第二层指标要素包括的每一个第三层指标要素的评分以及权重，计算所述第二层指标要素的评分。
11. 根据权利要求7所述的装置，其中，应用于支持可信执行环境TEE和富执行环境REE的电子设备，所述至少一个第二层指标要素包括：TEE安全状态信息、REE安全状态信息、硬件及固件安全状态信息以及通信安全状态信息中的至少一者。
12. 根据权利要求11所述的装置，其中，所述REE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、应用签名验证、验证启动、应用层数据加密、软件方式的内存漏洞防御、应用层可信度量；

    所述TEE安全状态信息包括的第三层指标要素包括以下至少一者：恶意/欺骗/伪冒应用、病毒感染、可信验证启动、可信用户交互、生物特征识别、敏感信息存储、内核实时安全保护、系统完整性度量、内核控制流完整性度量

    所述硬件及固件安全状态信息包括的第三层指标要素包括以下至少一者：硬件可信根、安全单元、硬件加解密、安全启动、硬件方式的内存漏洞防御、内存加密、固件版本是否满足要求、防侧信道攻击、防故障注入攻击；

    所述通信安全状态信息包括的第三层指标要素包括以下至少一者：蜂窝网络通信、Wi-Fi通信、通信协议安全、VPN、DNS安全解析。
13. 一种电子设备，包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，其中，所述程序或指令被所述处理器执行时实现如权利要求1-6中任一项所述的安全状态评估方法的步骤。
14. 一种可读存储介质，所述可读存储介质上存储程序或指令，其中，所述程序或指令被处理器执行时实现如权利要求1-6中任一项所述的安全状态评估方法的步骤。
15. 一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如权利要求1-6中任一 项所述的安全状态评估方法的步骤。
16. 一种计算机程序产品，该程序产品被存储在存储介质中，该程序产品被至少一个处理器执行以实现如权利要求1-6中任一项所述的安全状态评估方法的步骤。
17. 一种电子设备，其中，所述电子设备用于执行如权利要求1-6中任一项所述的安全状态评估方法的步骤。