WO2024078159A1

WO2024078159A1 - 完整性度量方法及装置

Info

Publication number: WO2024078159A1
Application number: PCT/CN2023/115263
Authority: WO
Inventors: 朱少峰; 左鹏; 张小虎
Original assignee: 华为技术有限公司
Priority date: 2022-10-09
Filing date: 2023-08-28
Publication date: 2024-04-18
Also published as: CN117892359A

Abstract

本申请实施例提供了一种完整性度量方法及装置，方法所应用的电子设备中包括TEE和非TEE两种环境。其中，TEE中包括第一可信区域和TEE管理模块。第一可信区域与非TEE中的各组件以及TEE中的其他可信区域隔离，即非TEE中的各组件与TEE中的其他可信区域中的组件在未被授权的情况下，是不具备对第一可信区域中的组件的访问权限的。本申请实施例中用于执行完整性度量的度量模块位于第一可信区域中，且以轻量级的TEE管理模块为可信基执行完整性度量流程，从而使得度量模块在具备隔离性，以避免被其它组件直接或间接攻击的同时，能够进一步降低被可信基，即TEE管理器攻击的风险。

Description

完整性度量方法及装置

本申请要求于2022年10月09日提交中国国家知识产权局、申请号为202211226020.1、申请名称为“完整性度量方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及网络安全领域，尤其涉及一种完整性度量方法及装置。

背景技术

随着互联网技术的不断发展，网络安全技术也得到的了长足的发展。近年来，遭受恶意网络攻击的对象已经逐渐从终端设备的系统中可执行文件转移到内存中正在运行的进程，并且这种针对内存的恶意攻击具有很强的隐蔽性。因此，如何准确的验证内存的完整性已经成为当前亟待解决的问题之一

已有技术中通常会采用动态完整性度量(dynamic integrity measurement，DIM)方法来对内存的完整性进行验证。所谓的DIM方法，就是针对内存映像中不发生变化的部分(如内核代码段、内核模块代码段、用户态进程代码段等)进行完整性度量，然后根据得到的度量结果来判断内存映像是否被篡改，从而确定内存是否遭受到恶意攻击。

目前，已有技术的DIM方法是由度量模块对目标对象执行完整性验证，但是，度量模块同样可能受到攻击。而在度量模块的安全性无法得到保证的情况下，将影响其得到的完整性验证结果的可信度。

发明内容

本申请实施例提供一种完整性度量方法及装置，能够一定程度上提供系统的安全性。

第一方面，本申请实施例提供一种完整性度量方法。该方法应用于电子设备，该电子设备包括可信执行环境TEE和非TEE。其中，TEE中包括第一可信区域和TEE管理模块，第一可信区域与非TEE中的各组件隔离，并且，第一可信区域与TEE中的其它可信区域也是隔离的。第一可信区域中包括度量模块，TEE管理模块的体量为轻量级，方法包括：TEE管理模块获取度量请求信息，度量请求信息用于请求对目标组件进行完整性度量；其中，目标组件为TEE或非TEE中的组件。TEE管理模块响应于度量请求信息，向度量模块发送度量指示信息；度量指示信息用于指示度量模块对目标组件执行完整性度量。TEE管理模块接收度量模块反馈的完整性度量结果。其中，完整性度量结果用于指示目标组件是否完整。这样，本申请实施例用于执行完整性度量的度量模块，以管理模块为可信基，执行完整性度量的交互流程。由于管理模块属于轻量级模块，可以有效降低攻击面，从而进一步降低通过管理模块攻击度量模块的概率。此外，由于度量模块与其他组件隔离，其自身受到保护，以避免被其它组件直接或间接攻击。

示例性的，TEE管理模块为本申请实施例中的TEE管理器。

示例性的，度量请求信息可以是目标组件发送的，也可以是周期度量模块发送的。

在一种可能的实现方式中，TEE中还包括第二可信区域，第二可信区域中包括至少一个TEE应用和TEE操作系统，其中，至少一个TEE应用依赖于TEE操作系统。第一可信区域中不包括TEE操作系统，度量模块依赖于TEE管理模块。这样，在本申请实施例中，度量模块独属一块可信区域，且不依赖于量级较大的TEE操作系统，可有效降低可能被攻击的面积，提高度量模块的安全性。

示例性的，第二可信区域中的TEE应用依赖于TEE操作系统，TEE操作系统具有访问TEE应用的权限，即，TEE操作系统可以访问TEE应用的内存。如果存在攻击，则可能通过TEE操作系统攻击TEE应用。而由于度量模块独属于一个可信区域，不依赖于TEE OS，仅依赖于轻量级的TEE管理器，使得攻击面变小，降低被TEE管理器攻击的风险。

在一种可能的实现方式中，TEE管理模块响应于度量请求信息，向度量模块发送度量指示信息，包括：TEE管理模块基于度量请求信息，对目标组件进行合法性验证。在目标组件合法性验证成功的情况下，TEE管理模块向度量模块发送度量指示信息。这样，本申请实施例中的TEE管理器增加合法性验证功能，避免非法应用通过TEE管理器访问度量模块，保证度量模块的安全性。例如非法软件伪装成目标组件向TEE管理器发送度量请求信息。而由于TEE管理器预先未保存非法软件的相关信息，则其合法性验证失败。TEE管理器拒绝非法软件的请求，从而避免非法软件通过TEE管理器访问度量模块。

在一种可能的实现方式中，度量请求信息中包括目标组件的标识信息和目标存储地址信息，目标存储地址信息用于指示目标组件的程序代码所在的目标存储空间；TEE管理模块基于度量请求信息，对目标组件进行合法性验证，包括：TEE管理模块基于预先保存的组件信息，对目标组件的标识信息和目标存储地址信息进行校验；组件信息为电子设备安装TEE管理模块时，TEE管理模块获取到的，组件信息包括非TEE中的所有组件对应的标识信息和存储地址信息。在目标组件的标识信息和目标存储地址信息校验成功的情况下，TEE管理模块确定目标组件合法性校验成功。这样，本申请实施例通过预先维护合法组件的标识和地址。在标识和地址均校验成功的情况下，确定组件合法。而对于伪装的不合法组件，由于未预先维护其标识信息和存储地址，则确定为不合法组件，拒绝其其它操作，以保证系统的安全性，避免非法组件访问。

在一种可能的实现方式中，TEE管理模块响应于度量请求信息，向度量模块发送度量指示信息，还包括：在目标组件合法性校验成功的情况下，TEE管理模块将目标组件对目标存储空间的访问权限从第一访问权限更新为第二访问权限，并向度量模块发送度量指示信息；其中，第一访问权限为禁止访问权限，第二访问权限为读访问权限；度量指示信息包括目标存储地址信息，使得度量模块基于目标存储地址信息和第二访问权限，从目标存储空间中获取目标组件的程序代码，并对目标组件的程序代码进行完整性度量。这样，本申请实施利中只有在度量模块需要对组件进行完整性度量时，才允许度量模块访问其它组件的内存，以实现以单一应用的读访问权限为访问设置的颗粒度，通过精准控制访问权限，以避免通过度量模块攻击其它组件，提高组件的安全性。

在一种可能的实现方式中，TEE管理模块接收度量模块反馈的完整性度量结果之后，方法还包括：TEE管理模块将目标组件对目标存储空间的访问权限从第二访问权限更新为第一访问权限。这样，本申请实施例中通过及时将度量模块的权限回收，以避免其它组件被度量模块攻击。例如，当非法软件攻击度量模块，并尝试进一步通过度量模块访问其它组件，以篡改其它组件的程序代码。则由于度量模块不具有对其他组件的访问权限，则系统拒绝度量模块的访问。

在一种可能的实现方式中，目标组件为应用程序、操作系统或服务。

示例性的，目标组件可以是非TEE环境中的应用程序或者是操作系统。目标组件还可以是非TEE环境中的虚拟机(或称为虚拟化环境)中的应用程序、操作系统或虚拟化管理器(也可以理解为是一种虚拟化管理服务)。目标组件还可以是TEE中的TEE App或TEE OS等。

第二方面，本申请实施例提供一种完整性度量装置。该装置包括可信执行环境TEE和非TEE，TEE中包括第一可信区域和TEE管理模块，第一可信区域与非TEE中的各组件隔离，第一可信区域与TEE中的其它可信区域隔离，第一可信区域中包括度量模块，TEE管理模块的体量为轻量级；TEE管理模块，用于获取度量请求信息，度量请求信息用于请求对目标组件进行完整性度量；其中，目标组件为TEE或非TEE中的组件；TEE管理模块，还用于响应于度量请求信息，向度量模块发送度量指示信息；度量指示信息用于指示度量模块对目标组件执行完整性度量；度量模块，用于基于度量请求信息，对目标组件执行完整性度量，并获取完整性度量结果；其中，完整性度量结果用于指示目标组件是否完整；度量模块，还用于将完整性度量结果反馈给TEE管理模块。

在一种可能的实现方式中，TEE中还包括第二可信区域，第二可信区域中包括至少一个TEE应用和TEE操作系统，其中，至少一个TEE应用依赖于TEE操作系统；第一可信区域中不包括TEE操作系统，度量模块依赖于TEE管理模块。

在一种可能的实现方式中，TEE管理模块，具体用于：基于度量请求信息，对目标组件进行合法性验证；在目标组件合法性验证成功的情况下，向度量模块发送度量指示信息。

在一种可能的实现方式中，度量请求信息中包括目标组件的标识信息和目标存储地址信息，目标存储地址信息用于指示目标组件的程序代码所在的目标存储空间；TEE管理模块，具体用于：基于预先保存的组件信息，对目标组件的标识信息和目标存储地址信息进行校验；组件信息为电子设备安装TEE管理模块时，TEE管理模块获取到的，组件信息包括非TEE中的所有组件对应的标识信息和存储地址信息；在目标组件的标识信息和目标存储地址信息校验成功的情况下，确定目标组件合法性校验成功。

在一种可能的实现方式中，TEE管理模块，具体用于：在目标组件合法性校验成功的情况下，TEE管理模块将目标组件对目标存储空间的访问权限从第一访问权限更新为第二访问权限，并向度量模块发送度量指示信息；其中，第一访问权限为禁止访问权限，第二访问权限为读访问权限；度量指示信息包括目标存储地址信息；度量模块，用于基于目标存储地址信息和第二访问权限，从目标存储空间中获取目标组件的程序代码，并对目标组件的程序代码进行完整性度量。

在一种可能的实现方式中，TEE管理模块，具体用于：接收度量模块反馈的完整性度量结果之后，将目标组件对目标存储空间的访问权限从第二访问权限更新为第一访问权限。

第三方面，本申请实施例提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第四方面，本申请实施例提供了一种计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第五方面，本申请实施例提供了一种芯片，该芯片包括处理电路、收发管脚。其中，该收发管脚、和该处理电路通过内部连接通路互相通信，该处理电路执行第一方面或第一方面的任一种可能的实现方式中的方法，以控制接收管脚接收信号，以控制发送管脚发送信号。

附图说明

图1为示例性示出的系统架构图；

图2为示例性示出的一种多可信域的结构示意图；

图3为示例性示出的非TEE的结构示意图；

图4为示例性示出的完整性度量技术的流程示意图；

图5为示例性示出的系统架构图；

图6为示例性示出的系统架构图；

图7为本申请实施例提供的TEE的结构示意图；

图8为示例性示出的TEE的部署示意图；

图9为示例性示出的模块交互示意图；

图10为示例性示出的完整性度量的流程示意图；

图11为示例性示出的装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请实施例的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象，而不是用于描述对象的特定顺序。例如，第一目标对象和第二目标对象等是用于区别不同的目标对象，而不是用于描述目标对象的特定顺序。

在本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

在本申请实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。例如，多个处理单元是指两个或两个以上的处理单元；多个系统是指两个或两个以上的系统。

图1为示例性示出的系统架构图。请参照图1，在该系统架构中，包括可信执行环境(trusted execution environment，TEE)和富执行环境(rich execution environment，REE)。将高安全敏感的应用与通用的软件环境进行隔离，提供专门的可信执行环境TEE，并保护应用的资源和数据的保密性、完整性和访问权限；对Android等容易被攻击的传统操作系统提供通用的富执行环境REE。在REE侧执行的应用称为客户端应用程序(client application，CA)，比如银行类应用等第三方支付应用，在TEE侧执行的应用称为可信应用程序(trusted application，TA)，比如执行签名、加解密计算等关键服务的应用。由于TA运行在可信执行环境TEE中，TA的部署/升级操作需要严格遵循TEE发行方(通常是终端厂商)的安全验证规范，比如使用数字签名等措施，确保TEE各个环节是真正可信的。可信执行环境TEE中包括可信执行环境内部应用程序编程接口(trusted execution environment internal application programming interface，TEE Internal API)和可信操作系统部件，TEE Internal API的主要作用为：向上提供可信操作系统部件的功能、与客户端应用程序CA通信、实现TA与TA通信、提供安全存储、密码学功能、时间功能等；可信操作系统部件主要包括可信核心框架、可信功能、可信内核和可信执行环境TEE通信代理，其中，可信核心框架为TA提供类似操作系统的功能；可信功能为应用开发者提供支持能力；可信内核用于与平台硬件中的可信设备进行交互；可信执行环境通信代理为TA和CA提供一个安全的通信通道，例如，可信执行环境通信代理通过平台硬件将消息传递至富执行环境通信代理，实现TA和CA的交互。富执行环境REE中包括可信执行环境客户端应用程序编程接口(trusted execution environment client application programming interface，TEE Client API)、可信执行环境功能应用程序编程接口(trusted execution environment functional application programming interface，TEE Functional API)和多媒体操作系统，多媒体操作系统部件主要包括公共设备驱动和富执行环境通信代理，其中，富执行环境通信代理用于与TEE进行通信，CA和TA提供一个安全的通信通道，公共设备驱动用于驱动平台硬件中的公共设备。CA使用TEE Client API、TEE Functional API接入到由TA提供的安全服务。

在本申请实施例中，用于实现计算机系统安全保护的所有安全保护机制的集合可以称为计算机系统的可信基。其中，机制可以硬件、固件和/或软件的形式出现。一旦可信基的某个构件出现程序错误或者安全隐患，则会对整个系统的安全造成危害。

需要说明的是，图1中的系统架构仅为示意性举例，在其他实施例中，可以包括更多或更少的组件或模块，本申请不做限定。

进一步需要说明的是，本申请实施例中所述的终端可以是诸如平板电脑、移动终端(如手机)、膝上计算机、台式计算机、可穿戴设备、光线路终端(optical line terminal，OLT)、光网络终端(optical network terminal，ONT)等电子设备，本申请不做限定。

进一步需要说明的是，本申请实施例中所涉及到的系统框架可以是ARM架构，也可以是其他架构，本申请不做限定。

在一种可能的实现方式中，TEE中可以包括至少一个可信域(也可以称为可信区域或安全域，本申请不做限定)。图2为示例性示出的一种多可信域的结构示意图。请参照图2，示例性的，TEE中可包括至少一个可信域。图2中仅以TEE中包括第一可信域、第二可信域以及第三可信域为例进行说明，在其他实施例中，系统可以包括更多或更少的可信域，本申请不做限定。

示例性的，TEE中的多可信域与非TEE中的虚拟化(可参照图3)方式类似，同样可以理解为是一种虚拟化方案。即，本申请实施例中可以在TEE的结构上，虚拟化出多个可信域。

示例性的，各可信域之间相互隔离，即，不同可信域之间在未授权的情况下无法相互访问。也可以理解为是可信域的内存相互隔离。即，不同可信域之间在未授权的情况下无法互相访问对方的内存。

示例性的，可信域之间可以包括TA、TEE OS中的至少一种，例如，第一可信域中包括至少一个TA和TEE OS。第二可信域中包括TEE OS。第三可信域中包括至少一个TA。具体布局可根据实际需求设置，本申请不做限定。

示例性的，TEE中还包括TEE管理器(也可以称为TEE管理模块)。TEE管理器，也可以称为TEE管理模块，TEE管理器用于为TEE提供建立和管理TEE中的可信域的服务。在本申请实施例中，TEE管理器负责的功能较少，代码量较小。

可选地，终端中除TEE以外的区域，也可以称为非TEE。图3为示例性示出的非TEE的结构示意图。请参照图3，示例性的，非TEE中可设置虚拟化环境，包括但不限于：第一VM(Virtual machine，虚拟机)、第二VM以及第三VM。需要说明的是，图3中的VM的数量以及包含的组件仅为示意性举例，本申请不做限定。

仍参照图3，示例性的，每个VM中包括但不限于至少一个应用程序(App)和操作系统(OS，Operating System)。可选地，在虚拟化环境下，非TEE中还可以设置虚拟化管理器(也可以称为虚拟化管理模块，虚拟化管理单元，或虚拟化管理组件等，本申请不做限定)，虚拟化管理器用于创建和管理非TEE中的至少一个VM。

需要说明的是，本申请实施例中的非TEE环境中的布局可以参照图1，也可以参照图3，即非TEE中可以是虚拟化环境，也可以是非虚拟化环境，还可以是虚拟化环境与非虚拟化环境的结合，本申请不做限定。

示例性的，在计算机系统运行期间，非TEE中的组件(包括非虚拟化环境下的应用程序、操作系统和/或虚拟化环境下的应用程序和操作系统等)易受到攻击，导致组件在内存中的程序代码(也可以称为程序指令或计算机程序，本申请不做限定)被篡改。为实时监测破坏非TEE组件的完整性攻击，可通过完整性度量技术，对组件进行完整性校验，以检测组件是否完整，即是否被篡改。

示例性的，完整性度量技术是一种监测计算系统运行时程序如App、OS完整性的机制。在系统运行时，通过读取要度量的目标组件的内存中存储的程序代码或者是程序代码与数据，并计算度量Hash(哈希)值。通过与参考Hash值比对的方式，判断度量目标组件完整性是否受到破坏。

也就是说，完整性度量的原理是检测内存中当前存储的组件的程序代码与组件原本的程序代码是否一致。如果一致，则组件完整，如果不一致，则组件不完整，即遭到篡改。

需要说明的是，本申请实施例中所述的目标组件可以是非TEE中的组件，例如可以是应用程序、操作系统和虚拟化管理器等组件，还可以是TEE中的组件，例如可以是TEE App、TEE OS等。本申请实施例中仅以对非TEE中的目标组件进行完整性度量为例进行说明。对于TEE中的组件的完整性度量同样可以参考非TEE中的完整性度量流程，本申请不再逐一举例说明。可选地，本申请实施例中所述的应用程序与操作系统可以是指图1中的非虚拟化环境下的应用程序和操作系统，也可以是指图3中的虚拟化环境中的应用程序和操作系统，本申请不做限定，下文中不再重复说明。

进一步需要说明的是，在本申请实施例中，目标组件的数据也可以称为是只读数据段，该只读数据段可选地为目标组件中不可变的数据，而对于可变的数据，由于其在程序运行中的可变性，无法对其进行完整性度量，下文中不再重复说明。

举例说明，图4为示例性示出的完整性度量技术的流程示意图。请参照图4，非TEE中的目标组件可向TEE中的度量模块发送度量请求。其中，度量请求中包括但不限于：目标组件的标识信息、目标组件的内存地址信息等，度量请求用于请求度量模块对目标组件进行完整性度量。示例性的，目标组件的内存地址信息包括但不限于：目标组件的程序代码的内存地址信息和目标组件的数据的内存地址信息。其中，内存地址信息用于指示对应的代码或数据所存储在内存空间中的位置。示例性的，目标组件的程序代码即为硬件调用目标组件时所执行的程序代码。目标组件的数据可选地为目标组件所对应的一些数据，例如可以是用户账号、密码等，本申请不做限定。

仍参照图4，示例性的，度量模块响应于度量请求，从目标地址信息所指示的内存控件内，获取目标组件的程序代码和目标组件的数据。度量模块可基于获取到的目标组件的程序代码和数据，生成哈希值(以下称为度量哈希值)。具体生成方式可参照已有技术实施例，本申请不再赘述。

示例性的，度量模块预先保存有非TEE中的至少一个组件对应的哈希值，在本申请实施例中称为参考哈希值，例如包括参考哈希值1至参考哈希值n。其中，参考哈希值可选地度量模块在初始阶段获取到的，即，度量模块在初始阶段(也可以理解为初次安装或加载)，可获取非TEE中的各组件的程序代码和数据，生成对应的参考哈希值并保存。

请继续参照图4，示例性的，度量模块可将目标组件的度量哈希值与目标组件的参考哈希值进行比较。一个示例中，如果两者相同，则完整性校验成功，即目标组件完整，也可以理解为是目标组件当前的目标组件的程序代码和数据与度量模块初始化阶段获取到的是一致的。另一个示例中，如果两者不相同，则完整性校验失败，即目标组件不完整(或可理解为被篡改)，也可以理解为是目标组件当前的目标组件的程序代码和数据与度量模块初始化阶段获取到的不一致。

一个示例中，度量模块可以向目标组件反馈度量结果。其中，度量结果包括完整性校成功指示或完整性校验失败指示。

另一个示例中，度量模块可以向目标组件和远程用户反馈度量结果。其中，远程用户可以是终端的主机，也可以是连接该终端的其它终端用户，本申请不做限定。

又一个示例中，如果完整性校验成功，可以将结果反馈给目标组件和远程用户。如果完整性校验失败，则证明目标组件异常，无需向目标组件反馈结果，可直接向远程用户反馈结果。

示例性的，目标组件响应于接收到的度量结果，可执行后续操作。例如，如果度量请求是目标组件需要运行或者是下载数据之前向度量模块发送的，则如果度量结果是完整性校验成功，则目标组件可继续运行或下载数据。如果度量结果是完整性校验失败，则目标组件停止运行。

示例性的，如果远程用户基于度量结果，确定完整性校验失败，可以在远程用户的显示屏上显示提示信息等，向用户进行告警，具体后续流程可根据实际需求设置，本申请不做限定。

图5和图6分别示出已有技术实施例中的系统架构图。请参照图5，示例性的，在该示例中，以虚拟化环境为实现基础，系统的可信基包括虚拟化管理器以及一些其它安全固件或安全硬件。其中，度量模块设置于虚拟化管理器。示例性的，具体步骤包括但不限于：

1)在启动阶段通过加载时内部计算或外部导入方式，度量模块保存所有要度量的组件(包括应用程序、操作系统等，例如可以是第一VM中的App)的参考Hash值。

2)运行时，目标组件向位于虚拟化管理器中的度量模块发送度量请求。

3)度量模块根据度量请求直接读取目标内存空间(可参照图4中的示意)中的目标组件的程序代码和数据，并计算度量Hash值。

4)度量模块将计算得到的度量Hash值与目标组件的参考Hash值做比较，并得到度量结果。

5)度量模块将度量结果反馈给目标组件和/或远程用户。未描述部分可参照上文，此处不再赘述。

在图5所示的已有技术中，度量模块依赖于虚拟化管理模块，虚拟化模块的代码量通常为846KloC，由于度量模块所依赖的可信基的代码量较大，导致系统攻击面较大。并且，由于虚拟化管理器的特权级别(也可以称为权限级别)较高，其具有访问所有VM及其所包括的应用程序和操作系统的内存空间的权限。因此，如果度量模块由于自身漏洞受到攻击，则其可能通过度量模块访问系统中的虚拟化管理器上运行的所有虚拟化操作系统和虚拟化应用程序，并破坏VM中的应用程序和/或操作系统的完整性。另外，同样是由于度量模块设置于虚拟管理器中，由于虚拟管理器中包括其它组件，则可能由于其它组件存在程序漏洞，而使得敌方通过其它组件攻击度量模块，并可通过度量模块篡改非TEE中的应用程序和操作系统的完整性，以及，由于度量模块自身可能会遭到攻击，则其所得到的度量结果的可信度降低。

请参照图6，示例性的，在该示例中，系统的可信基包括但不限于：可信域中的TEE OS和安全固件或安全硬件等。示例性的，具体步骤包括但不限于：目标组件向TEE OS发送度量请求，TEE OS将度量请求发送给度量模块，度量模块执行完整性度量。具体描述可参照上文，此处不再赘述。度量模块将度量结果反馈给TEE OS，并由TEE OS将度量结果反馈给目标组件。在该示例中，度量模块同样具有访问所有应用程序和操作系统的权限。

在图6所示的已有技术中，度量模块依赖于操作系统，即，通过操作系统与其它组件进行交互，而由于TEE OS的代码量约为253KloC，因此，度量模块的DIM方案依赖的可信基较大(即代码量较大)，导致攻击面较大。并且，与图5中的流程类似，由于度量模块的权限较大，如果度量模块受到攻击，则攻击方可通过度量模块访问系统中运行的所有应用程序和操作系统，并破坏应用程序和操作系统的完整性。

针对已有技术中度量模块易受攻击，安全性较差的问题，本申请实施例提供一种完整性度量方法，在该方法中，度量模块设置于独立的TEE环境中，且依赖于轻量级的可信基，从而保证度量模块的安全性，提升系统整体的安全性和稳定性。

结合图1，图7为本申请实施例提供的TEE的结构示意图。请参照图7，示例性的，TEE中可包括至少一个可信区域，例如第一可信区域、第二可信区域以及第三可信区域。需要说明的是，本申请实施例中的可信区域的数量和布局仅为示意性举例，本申请不做限定。

示例性的，第一可信区域中包括度量模块。第二可信区域包括但不限于：至少一个TA和TEE OS。第三可信区域包括但不限于：TEE OS。在本申请实施例中，第二可信区域与第三可信区域中包括的组件的数量和类型仅为示意性举例，第二可信区域与第三可信区域中可以包括TA与TEE OS中的至少一个，例如可以是仅包括TA，也可以是包括TA和TEE OS，还可以是仅包括TEE OS，可根据实际需求设置，本申请不做限定。

示例性的，TEE的可信基包括但不限于：TEE管理器和一些安全固件或安全硬件等。

在本申请实施例中，非TEE中的布局可以参照图1或图3，本申请不做限定。

示例性的，度量模块可用于对目标组件执行完整性度量。

TEE管理器可选地包括但不限于度量中继模块(或可称为度量中继组件)，其中，度量中继模块中包括校验单元和权限控制单元(也可以称为校验组件、权限控制组件，本申请不做限定)。其中，校验单元，用于对需要进行完整性度量的组件进行安全校验。权限控制单元，用于管理和控制度量模块对其它组件的访问权限。

示例性的，度量中继模块与度量模块进行数据交互，度量中继模块可用于向度量模块发送度量指示或接收度量模块反馈的度量结果。也就是说，本申请实施例中，度量模块是依赖于度量中继模块的，其仅与度量中继模块进行控制信息(包括度量指示和度量结果)的交互。

结合图7，图8为示例性示出的TEE的部署示意图。请参照图8，终端中包括但不限于处理器和内部存储器。内部存储器可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。内部存储器可以包括高速随机存取存储器，还可以包括非易失性存储器(Flash)，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，UFS)等。

在本申请实施例中，在系统启动之前(也可以理解为是终端初始化之前)，度量模块、TEE管理器、目标组件(图中未示出)以及TEE App、TEE OS等组件的镜像存储于非易失性存储器。在系统启动(即终端初始化阶段)后，终端(具体可以是终端中的启动模块(例如BootLoader)，下文中不再重复说明)将非易失性存储器中的多个镜像加载到系统内存(例如DRAM)中。

如图8所示，系统加载后，内存中包括但不限于：第一可信域的内存、TEE管理器内存、第二可信域的内存以及目标组件内存等。

示例性的，第一可信域的内存中包括度量模块的内存。其中，度量模块的内存用于存储度量模块的程序代码。也就是说，度量模块的程序代码所在的内存空间位于第一可信域的内存区域(或内存空间)中。

示例性的，第二可信域的内存中包括但不限于：TEE App的内存和TEE OS的内存。其中，TEE App的内存用于存储TEE App的程序代码和数据，TEE OS的内存用于存储TEE OS的程序代码。也就是说，TEE App的程序代码(和数据)所在的内存空间和TEE OS的程序代码所在的内存空间均位于第二可信域的内存区域中。

示例性的，TEE管理器的内存用于存储TEE管理器所包含的各组件的程序代码。目标组件的内存用于存储目标组件的程序代码，或者，目标组件的程序代码和数据。

在本申请实施例中，度量模块所在的第一可信域的内存对于终端中除TEE管理器以外的任意组件(包括TEE中的组件或非TEE中的组件)是隔离的。相应的，度量模块的内存对于其它组件是隔离的。也就是说，在本申请实施例中，终端中除TEE管理器以外的任意组件，均不具有对度量模块的内存的访问权限。

在本申请实施例中，度量模块在未设置度量模块具有访问其它组件的内存的访问权限的情况下，度量模块同样是不具备访问其它组件的内存的权限的。度量模块的访问权限配置方式将在下文中详细说明，此处再不赘述。

在本申请实施例中，内存的隔离也可以理解为是组件的隔离，即，相互隔离的组件之间在未授权的情况下，不可互相访问对方的内存。

此外，在本申请实施例中，如图8所示，度量模块的内存独属于一个内存区域，即独属于一个可信域，其可信域中不包括其它组件。可选地，在其他实施例中，度量模块所属的可信域中也可以包括至少一个量级较小(即程序代码为轻量级)的TEE App。其中，与度量模块同在一个可信域的TEE App的程序代码总量小于阈值(可根据实际需求设置，本申请不做限定)，以降低可信域的量级，减小攻击面，降低被攻击概率。

在本申请实施例中，在加载阶段，即终端将各组件的镜像加载到内存的阶段，TEE管理器的内存中可加载非TEE中所有的组件(包括应用程序、操作系统和/或虚拟化管理器等)的标识信息和地址信息，或者是加载非TEE中的需要进行完整性校验的组件的标识信息和地址信息。

其中，标识信息可以是组件的ID。地址信息即为组件的程序代码或数据所在内存空间对应的地址(也可以称为内存地址)。可选地，组件的标识信息与地址信息可以以列表等形式存储在TEE管理器的内存中，本申请不做限定。这样，在完整性度量阶段，TEE管理器(具体为校验模块)可以基于维护的地址信息，对组件进行安全校验(也可以称为合法性校验，本申请不做限定)。具体校验方式将在下文中详细说明。

示例性的，TEE管理器中维护的组件的标识信息与内存地址信息可以是以列表(例如称为地址空间布局列表)的形式存储。在其他实施例中也可以是以其他形式存储，本申请不做限定。

可选地，系统启动后，非TEE中也可以新安装虚拟VM(包括应用程序和/或操作系统)、应用程序和/或操作系统，TEE管理器的内存同样会获取新安装的组件的标识信息和地址信息。

示例性的，TEE管理器的内存中还加载度量模块的页表(以下简称度量模块页表)。示例性的，度量模块页表中包括但不限于：组件的内存地址，内存地址对应的物理地址以及访问权限等。其中，组件即为非TEE中的所有组件，或者是需要进行完整性度量的组件。内存地址即为组件所述内存空间的内存地址。物理地址即为内存地址所对应的实际物理地址。访问权限包括但不限于：读访问权限、写访问权限以及禁止访问权限等。示例性的，页表中的初始访问权限均为禁止访问权限。也就是说，度量模块对页表中所指示的各组件的内存空间的权限为“禁止访问”，即禁止度量模块访问组件的内存空间。可以理解为，如上文所述，本申请实施例中的度量模块在未授权的情况下，是不具有访问其它组件的权限的。

示例性的，度量模块的内存中存储有度量模块的程序代码以及参考哈希值列表。一个示例中，参考哈希值列表中包括但不限于每个组件(可以是非TEE中所有组件或者需要进行完整性度量的组件)的内存地址信息和参考哈希值之间的对应关系。另一个示例中，参考哈希值列表中可以包括但不限于：每个组件的标识信息和参考哈希值之间的对应关系。又一个示例中，参考哈希值列表中也可以仅包括每个组件的参考哈希值。本申请不做限定。

其中，每个组件的参考哈希值可以是终端(例如可以是启动模块)基于组件的程序代码计算得到的，或者是基于组件的程序代码与数据计算得到的，具体计算方式可参照已有技术，本申请不再赘述。可选地，组件的参考哈希值也可以是外部导入的，例如可以是从组件的供应商服务器下载的，本申请不做限定。可以理解为，参考哈希值是验证组件是否完整，即组件的程序代码和/或数据是否完整的基准，这样，度量模块可以基于预先保存的参考哈希值，对需要进行完整性度量的组件进行完整性校验。具体校验方式将在下文中详细说明。

示例性的，与度量模块类似，其它组件同样对应有各自的页表，每个组件的页表用于记录组件对于不同组件的内存的访问权限。在本申请实施例中，如上文所述，度量模块的内存对于其它组件而言是隔离的，即，除TEE管理器以外的其它组件均不具备对度量模块的内存(也可以理解为是第一可信域的内存)的访问权限。相应的，其它组件的页表中可以不包括度量模块(或第一可信区域)的内存的相关信息，以用于表示组件不具备访问度量模块的内存的权限。或者是，组件的页表中可以包括度量模块的内存的相关信息，而对应的访问权限为禁止访问。该种布局方式可以认为是度量模块实现独立可信域，其与其它可信域中的组件以及非TEE中的各组件隔离，从而可避免攻击方通过其它组件攻击度量模块，降低度量模块被攻击的概率。并且，在本申请实施例中，度量模块不再依赖于TEEOS或虚拟化管理器等体量(即程序代码)较大的组件，而是依赖于体量较小的TEE管理器，即本申请实施例中的DIM方案是以TEE管理器为可信基实现的，其中，TEE管理器的程序代码(即体量)为10KLoC量级，远小于TEE OS与虚拟化管理器的量级。相应的，TEE管理器的体量较小，可攻击面相应较小，从而降低通过TEE管理器攻击度量模块的概率。度量模块依赖于TEE管理器的DIM交互过程将在下面实施例中详细说明。

仍参照图8，处理器运行存储器中的程序代码，可使得终端执行相应的功能。例如，在本申请实施例中，在完整性度量阶段，处理器可通过运行度量模块和TEE管理器，在运行过程中，处理器读取度量模块的内存以运行度量模块的程序代码，处理器读取TEE管理器的内存以运行TEE管理器的相关组件的程序代码。

图9为示例性示出的模块交互示意图。请参照图9，示例性的，目标组件在具有完整性校验需求的情况下，向TEE管理器发送度量请求。示例性的，度量请求中包括但不限于：目标组件的标识信息(例如目标组件的ID)和内存地址信息(概念可参照上文)。

可选地，目标组件可以通过与TEE管理器的API接口向度量中继模块发送度量请求。

示例性的，目标组件的完整性需求可以是目标组件响应于接收到的用户指令，确定需要启动之前，也可以是目标组件启动后，需要向存储中读取或写入数据的情况下，具体可根据实际需求设置，本申请不做限定。

需要说明的是，本申请实施例中所述的目标组件的数量可以是一个或多个。也就是说，多个目标组件可以同时或顺序向TEE管理器发送度量请求，以请求进行完整性度量。TEE管理器与度量模块可以串行或并行处理多个目标组件的度量请求，本申请不做限定。多个组件的处理方式是与单个组件的处理方式相同的，本申请仅以单个目标组件为例进行说明，下文中不再重复说明。

在一种可能的实现方式中，TEE中还可以包括周期度量模块(图中未示出)，周期度量模块可以设置有定时器。其中，定时器的定时时长可根据实际需求设置，例如可以5分钟，本申请不做限定。示例性的，周期度量模块可以维护有非TEE中所有组件或者是需要执行完整性度量的组件的标识信息和内存地址信息。度量模块在定时器触发时刻，向度量中继模块发送度量请求，度量请求中包括但不限于：度量模块维护的至少一个组件的标识信息和内存地址信息，用于请求对至少一个组件进行完整性校验。

示例性的，度量中继模块接收到度量请求后，可执行完整性度量流程。图10为示例性示出的完整性度量的流程示意图。请参照图10，具体包括但不限于如下步骤：

S1001，度量中继模块响应于接收到的度量请求，对目标组件进行合法性校验。

示例性的，度量中继模块(具体为校验单元，下文中不再重复说明)获取来自目标组件的度量请求，并获取度量请求中的目标组件的标识信息和内存地址信息。

如上文所述，度量中继模块(即TEE管理器)的内存中维护有地址空间布局列表，其中，列表中包括但不限于组件(包括非TEE中所有组件或者是需要进行完整性度量的组件，下文中不再重复说明)的标识信息和内存地址信息。示例性的，度量中继模块可将度量请求中的组件的标识信息与地址空间布局列表中的组件的标识信息进行匹配。

一个示例中，如果匹配不成功，则度量中继模块可确定发送度量请求的组件为非法组件。也就是说，在本申请实施例中，如果非法组件伪装成合法组件申请完整性度量，则由于度量中继模块预先未存储有该非法组件的相关信息，则合法性验证失败。度量中继模块可确定该组件为非法组件，并拒绝其完整性度量请求，防止非法组件通过度量中继模块攻击度量模块。

另一个示例中，如果匹配成功，则度量中继模块获取匹配成功的标识信息对应的内存地址空间。度量中继模块将度量请求中的内存地址信息与匹配成功的地址空间信息进行比较，以确定两者是否一致。

一个示例中，如果两者一致，则确定合法性校验成功，执行S1002。另一个示例中，若两者不一致，则确定合法性校验失败。度量中继模块结束目标组件的完整性度量流程。可选地，度量中继模块还可以执行异常处理流程。异常处理流程可以包括在终端的显示屏上显示告警信息、或者是请求处理器卸载非法组件等，本申请不做限定。

S1002，度量中继模块为度量模块授予对目标组件的读访问权限。

示例性的，校验单元确定目标组件的合法性校验成功之后，可向权限控制单元发送触发指令，以指示权限控制单元为度量模块授权。

示例性的，如上文所述，TEE管理器维护有度量模块页表，其中包括度量模块对页表中内的各组件的访问权限。并且，在初始阶段，度量模块对各组件的访问权限均为禁止访问。

示例性的，度量中继模块(具体为权限控制单元，下文中不再重复说明)获取度量模块页表。度量中继模块基于从度量请求中获取到的目标组件的内存地址信息，在页表中进行匹配，并获取匹配成功的内存地址信息对应的物理地址信息和权限信息。其中，目标组件当前的权限信息指示为禁止访问，即禁止度量模块访问目标组件，也可以理解为禁止度量模块从目标组件的内存中读取或写入数据。

示例性的，度量中继模块将度量模块对目标组件的访问权限修改为读访问权限，即，将页表中与目标组件对应的权限信息修改为读访问权限(也可以称为可读访问权限或只读访问权限)。也就是说，度量模块可以读取目标组件的内存中的数据，但是，度量模块不具备对目标组件的除读访问权限以外的权限。例如度量模块不可对目标组件的内存中的数据进行操作(例如写入，即不具备写访问权限)。

S1003，度量中继模块向度量模块发送度量指示。

示例性的，度量中继模块为度量模块授权之后，向度量模块发送度量指示。其中，度量指示中包括但不限于：目标组件的内存地址信息。度量指示用于指示度量模块对目标组件进行完整性校验。

S1004，度量模块读取目标组件的程序代码和数据。

示例性的，度量模块接收度量指示，并提取内存地址信息。度量模块可基于内存地址信息，从对应的内存空间中获取目标组件的程序代码和数据(其中，数据可能是空的，下文中不再重复说明)。

具体的，如上文所述，度量模块对应有度量模块页表。度量模块可以向MMU(Memory Management Unit，内存管理单元)发送读取请求，读取请求中可以包括目标组件的内存地址信息，用于请求读取目标组件的内存地址信息所指示的内存空间内的内容。

示例性的，MMU可基于目标组件的内存地址信息，遍历度量模块页表，以查找与内存地址信息对应的权限信息。在该示例中，如上文所述，度量中继模块已对度量模块授权，即度量模块对目标组件的访问权限信息为读访问权限。相应的，MMU根据内存地址信息对应的访问权限信息，确定度量模块具有对目标组件的内存的读访问权限，即允许度量模块从目标组件的内存空间中读取数据。

示例性的，度量模块可基于页表中内存地址信息与物理地址信息的对应关系，从内存中读取目标组件的内存空间中所存储的内容，即包括但不限于：目标组件的程序代码和数据。度量模块的具体读取方式可参照已有技术实施例，本申请不做限定。

S1005，度量模块基于目标组件的程序代码和数据，生成度量哈希值。

示例性的，度量模块从目标组件的内存中读取目标组件的程序代码和数据之后，可基于程序代码和数据，生成目标组件的度量哈希值。生成方式可参照已有技术实施例，本申请不做限定。

S1006，度量模块基于度量哈希值与参考哈希值，对目标组件进行完整性验证。

示例性的，如上文所述，度量模块维护有参考哈希值列表。如上文所述，哈希值列表中可能包括不同组合：

一个示例中，如果参考哈希值列表中包括但不限于每个组件(可以是非TEE中所有组件或者需要进行完整性度量的组件)的内存地址信息和参考哈希值之间的对应关系。相应的，度量模块可基于度量指示中的目标组件的内存地址，遍历参考哈希值列表。度量模块获取匹配成功的内存地址信息所对应的参考哈希值。

另一个示例中，如果参考哈希值列表中包括但不限于：每个组件的标识信息和参考哈希值之间的对应关系。相应的，度量中继模块发送的度量指示中还需要包括目标组件的标识信息。度量模块可基于目标组件的标识信息，遍历参考哈希值列表，并获取匹配成功的标识信息对应的参考哈希值。

又一个示例中，如果参考哈希值列表中仅包括每个组件的参考哈希值，则度量模块可以将度量哈希值逐一与列表中的参考哈希值进行匹配。如果匹配成功，即列表中包括与度量哈希值相同的参考哈希值，则可直接确定完整性验证成功。如果匹配失败，则确定完整性度量失败。

在本申请实施例中，度量模块获取到目标组件的参考哈希值之后，将参考哈希值与度量哈希值进行比较。

一个示例中，如果两者一致，则确定完整性度量成功，即，目标组件的程序代码和数据是完整的，未被篡改，执行S1007。

另一个示例中，如果两者不一致，则确定完整性度量失败。例如，如果目标组件被攻击方篡改，导致程序代码与初始状态不一致。则度量模块所生成的目标组件的度量哈希值将与参考哈希值不一致。

S1007，度量模块向度量中继模块发送度量结果。

示例性的，度量模块执行完整性校验之后，获取到度量结果，度量结果包括完整性校验成功(或称为完整性度量成功)或完整性校验失败(或称为完整性度量失败)。

示例性的，度量模块向度量中继模块发送目标组件的地址信息与度量结果。可选地，如果度量中继模块向度量模块发送的度量指示中包括目标组件的标识信息，则度量模块也可以向度量中继模块反馈目标组件的标识信息和度量结果，以标识度量结果所对应的目标组件。

S1008，度量中继模块撤销度量模块对目标组件的读访问权限。

示例性的，度量中继模块接收到度量模块发送的度量结果之后，可确定度量模块已完成对目标组件的完整性度量操作。度量中继模块即刻撤销度量模块对目标组件的读访问权限。

具体的，度量中继模块(具体为权限控制单元)基于目标组件的标识信息或内存地址信息，遍历地址空间布局列表，并确定匹配成功的标识信息或内存地址信息所对应的访问权限信息。当前访问权限信息为读访问权限。

示例性的，度量中继模块将访问权限信息修改为禁止访问，即撤销度量模块对目标组件的读访问权限。这样，如果由于度量模块自身存在漏洞，导致攻击方攻击度量模块，并尝试通过度量模块读取目标组件的内存，以修改目标组件的内存中的程序代码和/或数据。在该场景下，由于度量模块对目标组件的访问权限为禁止访问权限，则度量模块是无法对目标组件的内存中的内容进行操作(包括读或写)的。此外，由于完整性度量过程中，度量模块仅具备读访问权限，因此，如果度量模块受到攻击后，由于度量模块不具备对目标组件内存的其他访问权限，例如写访问权限，相应的，攻击方同样无法通过度量模块篡改目标组件的内存中的内容。综上，本申请实施例中，通过动态调整度量模块对目标组件的权限，并且，将权限控制的颗粒度具体到单一组件，进一步具体到单一组件的读访问权限，从而可以有效避免攻击方通过度量模块篡改目标组件，以保护组件的安全性和完整性。

请继续参照图9，示例性的，度量中继模块获取到度量模块反馈的度量结果之后，还可以向目标组件和/或远程用户反馈度量结果。目标组件的处理可参照上文实施例中的描述，此处不再赘述。

可选地，如上文所述，度量请求也可能是由周期度量模块发送的。相应的，度量中继模块将度量结果反馈给周期度量模块。周期度量模块可以将所有度量结果反馈给相应的组件。或者，周期度量模块也可以仅向度量结果为完整性度量失败的组件反馈，本申请不做限定。

需要说明的是，在本申请实施例中，由于度量模块的页表中的访问权限是动态设置的(具体方式将在下文中说明)，则在初始阶段后的任意时刻，度量模块的页表中的访问权限可以全为禁止访问，也可以包括至少一个组件的权限为读访问权限。例如，系统在对第一组件进行完整性度量的过程中，度量模块对第一组件的访问权限即为读访问权限，其它组件的访问权限为禁止访问。在第一组件的完整性度量流程结束之前，度量中继模块可能接收到第二组件的度量请求，并修改度量模块对第二组件的访问权限为读访问权限。而在当前时刻，度量模块的页表中，度量模块对第一组件的访问权限与第二组件的访问权限均为可读。

进一步需要说明的是，图10中仅以单一目标组件的一次完整性度量操作为例进行说明。在本申请实施例中，终端可基于图10的流程对多个目标组件执行完整性度量操作。每个组件的完整性度量操作为独立流程，即互不影响。示例性的，单一目标组件也可以多次触发完整性度量流程，其中，每次完整性度量流程中，度量模块对组件的访问权限均会动态修改。

在一种可能的实现方式中，S1005和S1006也可以由远端校验服务器完成。在该示例中，度量模块在加载阶段无需预先存储参考哈希值，参考哈希值可存储于远端服务器上。度量模块生成度量哈希值之后，可以将度量哈希值发送给远端服务器，由远端服务器执行度量哈希值与参考哈希值的比较操作，并向度量模块反馈度量结果。

综上，在本申请实施例中，由于度量模块与其他组件隔离，其自身受到保护，可降低攻击方通过其它模块攻击度量模块的概率。例如，如果攻击方尝试通过第二可信域中的TEE App访问度量模块，以篡改度量模块的程序代码，而由于其它组件是不具备对度量的访问权限的，将会拒绝对度量模块的内存的访问，避免度量模块被攻击。并且，度量模块依赖于程序代码为轻量级(例如为10KLoC量级)的TEE管理器，即，度量模块与TEE管理器进行控制信息交互，不再依赖于量级较大的操作系统，从而降低攻击面，减小被攻击的概率。以及，如果攻击方通过TEE管理器攻击度量模块，由于度量模块的访问权限的颗粒度被设置为针对单一组件的读访问权限，则攻击方无法通过度量模块篡改组件的程序代码，进一步保证了组件的安全性。例如，如果攻击方通过TEE管理器成功攻击度量模块，并进一步尝试通过度量模块以篡改其他组件，而由于度量模块对组件的访问权限为禁止访问，则拒绝访问。

可以理解的是，电子设备为了实现上述功能，其包含了执行各个功能相应的硬件和/或软件模块。结合本文中所公开的实施例描述的各示例的算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以结合实施例对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

一个示例中，图11示出了本申请实施例的一种装置1100的示意性框图装置1100可包括：处理器1101和收发器/收发管脚1102，可选地，还包括存储器1103。

装置1100的各个组件通过总线1104耦合在一起，其中总线1104除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图中将各种总线都称为总线1104。

可选地，存储器1103可以用于前述方法实施例中的指令。该处理器1101可用于执行存储器1103中的指令，并控制接收管脚接收信号，以及控制发送管脚发送信号。

装置1100可以是上述方法实施例中的电子设备或电子设备的芯片。

另一个示例中，本申请实施例提供一种完整性度量装置。该装置包括可信执行环境TEE和非TEE等环境。其中，TEE中包括但不限于：第一可信区域和TEE管理模块。示例性的，第一可信区域与非TEE中的各组件隔离，并且，第一可信区域与TEE中的其它可信区域隔离。第一可信区域中包括度量模块，也就是说，度量模块与非TEE中的各组件隔离，并且，度量模块与TEE中的其他可信区域隔离。示例性的，TEE管理模块的体量为轻量级。具体的，TEE管理模块用于获取度量请求信息，度量请求信息用于请求对目标组件进行完整性度量。其中，目标组件为TEE或非TEE中的组件。TEE管理模块还用于响应于度量请求信息，向度量模块发送度量指示信息；度量指示信息用于指示度量模块对目标组件执行完整性度量。度量模块用于基于度量请求信息，对目标组件执行完整性度量，并获取完整性度量结果。其中，完整性度量结果用于指示目标组件是否完整；度量模块还用于将完整性度量结果反馈给TEE管理模块。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

本实施例还提供一种计算机存储介质，该计算机存储介质中存储有计算机指令，当该计算机指令在电子设备上运行时，使得电子设备执行上述相关方法步骤实现上述实施例中的方法。

本实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关步骤，以实现上述实施例中的方法。

另外，本申请的实施例还提供一种装置，这个装置具体可以是芯片，组件或模块，该装置可包括相连的处理器和存储器；其中，存储器用于存储计算机执行指令，当装置运行时，处理器可执行存储器存储的计算机执行指令，以使芯片执行上述各方法实施例中的方法。

其中，本实施例提供的电子设备、计算机存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

通过以上实施方式的描述，所属领域的技术人员可以了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

本申请各个实施例的任意内容，以及同一实施例的任意内容，均可以自由组合。对上述内容的任意组合均在本申请的范围之内。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

结合本申请实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

Claims

一种完整性度量方法，其特征在于，应用于电子设备，所述电子设备包括可信执行环境TEE和非TEE，所述TEE中包括第一可信区域和TEE管理模块，所述第一可信区域与所述非TEE中的各组件隔离，所述第一可信区域与所述TEE中的其它可信区域隔离，所述第一可信区域中包括度量模块，所述TEE管理模块的体量为轻量级，所述方法包括：

所述TEE管理模块获取度量请求信息，所述度量请求信息用于请求对目标组件进行完整性度量；其中，所述目标组件为所述TEE或所述非TEE中的组件；

所述TEE管理模块响应于所述度量请求信息，向所述度量模块发送度量指示信息；所述度量指示信息用于指示所述度量模块对所述目标组件执行完整性度量；

所述TEE管理模块接收所述度量模块反馈的完整性度量结果；其中，所述完整性度量结果用于指示所述目标组件是否完整。
根据权利要求1所述的方法，其特征在于，所述TEE中还包括第二可信区域，所述第二可信区域中包括至少一个TEE应用和TEE操作系统，其中，所述至少一个TEE应用依赖于所述TEE操作系统；

所述第一可信区域中不包括TEE操作系统，所述度量模块依赖于所述TEE管理模块。
根据权利要求1所述的方法，其特征在于，所述TEE管理模块响应于所述度量请求信息，向所述度量模块发送度量指示信息，包括：

所述TEE管理模块基于所述度量请求信息，对所述目标组件进行合法性验证；

在所述目标组件合法性验证成功的情况下，所述TEE管理模块向所述度量模块发送所述度量指示信息。
根据权利要求3所述的方法，其特征在于，所述度量请求信息中包括所述目标组件的标识信息和目标存储地址信息，所述目标存储地址信息用于指示所述目标组件的程序代码所在的目标存储空间；所述TEE管理模块基于所述度量请求信息，对所述目标组件进行合法性验证，包括：

所述TEE管理模块基于预先保存的组件信息，对所述目标组件的标识信息和目标存储地址信息进行校验；所述组件信息为所述电子设备安装所述TEE管理模块时，所述TEE管理模块获取到的，所述组件信息包括所述非TEE中的所有组件对应的标识信息和存储地址信息；

在所述目标组件的标识信息和目标存储地址信息校验成功的情况下，所述TEE管理模块确定所述目标组件合法性校验成功。
根据权利要求4所述的方法，其特征在于，所述TEE管理模块响应于所述度量请求信息，向所述度量模块发送度量指示信息，还包括：

在所述目标组件合法性校验成功的情况下，所述TEE管理模块将所述目标组件对所述目标存储空间的访问权限从第一访问权限更新为第二访问权限，并向所述度量模块发送所述度量指示信息；其中，所述第一访问权限为禁止访问权限，所述第二访问权限为读访问权限；所述度量指示信息包括所述目标存储地址信息，使得所述度量模块基于所述目标存储地址信息和所述第二访问权限，从所述目标存储空间中获取所述目标组件的程序代码，并对所述目标组件的程序代码进行完整性度量。
根据权利要求5所述的方法，其特征在于，所述TEE管理模块接收所述度量模块反馈的完整性度量结果之后，所述方法还包括：

所述TEE管理模块将所述目标组件对所述目标存储空间的访问权限从所述第二访问权限更新为所述第一访问权限。
根据权利要求1至6任一项所述的方法，其特征在于，所述目标组件为应用程序、操作系统或服务。
一种完整性度量装置，其特征在于，所述装置包括可信执行环境TEE和非TEE，所述TEE中包括第一可信区域和TEE管理模块，所述第一可信区域与所述非TEE中的各组件隔离，所述第一可信区域与所述TEE中的其它可信区域隔离，所述第一可信区域中包括度量模块，所述TEE管理模块的体量为轻量级；

所述TEE管理模块，用于获取度量请求信息，所述度量请求信息用于请求对目标组件进行完整性度量；其中，所述目标组件为所述TEE或所述非TEE中的组件；

所述TEE管理模块，还用于响应于所述度量请求信息，向所述度量模块发送度量指示信息；所述度量指示信息用于指示所述度量模块对所述目标组件执行完整性度量；

所述度量模块，用于基于所述度量请求信息，对所述目标组件执行完整性度量，并获取完整性度量结果；其中，所述完整性度量结果用于指示所述目标组件是否完整；

所述度量模块，还用于将所述完整性度量结果反馈给所述TEE管理模块。
根据权利要求8所述的装置，其特征在于，所述TEE中还包括第二可信区域，所述第二可信区域中包括至少一个TEE应用和TEE操作系统，其中，所述至少一个TEE应用依赖于所述TEE操作系统；

所述第一可信区域中不包括TEE操作系统，所述度量模块依赖于所述TEE管理模块。
根据权利要求8所述的装置，其特征在于，所述TEE管理模块，具体用于：

基于所述度量请求信息，对所述目标组件进行合法性验证；

在所述目标组件合法性验证成功的情况下，向所述度量模块发送所述度量指示信息。
根据权利要求10所述的装置，其特征在于，所述度量请求信息中包括所述目标组件的标识信息和目标存储地址信息，所述目标存储地址信息用于指示所述目标组件的程序代码所在的目标存储空间；所述TEE管理模块，具体用于：

基于预先保存的组件信息，对所述目标组件的标识信息和目标存储地址信息进行校验；所述组件信息为所述电子设备安装所述TEE管理模块时，所述TEE管理模块获取到的，所述组件信息包括所述非TEE中的所有组件对应的标识信息和存储地址信息；

在所述目标组件的标识信息和目标存储地址信息校验成功的情况下，确定所述目标组件合法性校验成功。
根据权利要求11所述的装置，其特征在于，所述TEE管理模块，具体用于：

在所述目标组件合法性校验成功的情况下，所述TEE管理模块将所述目标组件对所述目标存储空间的访问权限从第一访问权限更新为第二访问权限，并向所述度量模块发送所述度量指示信息；其中，所述第一访问权限为禁止访问权限，所述第二访问权限为读访问权限；所述度量指示信息包括所述目标存储地址信息；

所述度量模块，用于基于所述目标存储地址信息和所述第二访问权限，从所述目标存储空间中获取所述目标组件的程序代码，并对所述目标组件的程序代码进行完整性度量。
根据权利要求12所述的装置，其特征在于，所述TEE管理模块，具体用于：

接收所述度量模块反馈的完整性度量结果之后，将所述目标组件对所述目标存储空间的访问权限从所述第二访问权限更新为所述第一访问权限。
根据权利要求8至13任一项所述的装置，其特征在于，所述目标组件为应用程序、操作系统或服务。
一种计算机存储介质，其特征在于，包括计算机指令，当所述计算机指令在电子设备上运行时，使得所述电子设备执行如权利要求1-7任一项所述的方法。
一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1-7任一项所述的方法。
一种芯片，其特征在于，包括一个或多个接口电路和一个或多个处理器；所述接口电路用于从电子设备的存储器接收信号，并向所述处理器发送所述信号，所述信号包括存储器中存储的计算机指令；当所述处理器执行所述计算机指令时，使得所述电子设备执行权利要求1-7任一项所述的方法。