用于在終端的顯示設(shè)備上顯示信息的方法
【專利摘要】本發(fā)明涉及在終端，特別是移動(dòng)終端的顯示設(shè)備(D1、D2)上顯示信息的方法，其中終端包含實(shí)現(xiàn)正常運(yùn)行時(shí)環(huán)境(NZ)和受保護(hù)運(yùn)行時(shí)環(huán)境(TZ)的微處理器單元，其中可以通過正常運(yùn)行時(shí)環(huán)境(NZ)和受保護(hù)運(yùn)行時(shí)環(huán)境(TZ)的方式將顯示數(shù)據(jù)(DD1、DD2、DD2’、TDD2)提供用于在顯示設(shè)備(D1、D2)上再現(xiàn)。在這種情況下，通過正常運(yùn)行時(shí)環(huán)境(NZ)提供的至少一些顯示數(shù)據(jù)(DD2)被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境(TZ)，該受保護(hù)運(yùn)行時(shí)環(huán)境檢查被轉(zhuǎn)送的顯示數(shù)據(jù)(DD2)是否符合一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)，其中如果顯示數(shù)據(jù)(DD2)不符合至少一項(xiàng)安全標(biāo)準(zhǔn)，那么它們被拒絕或者變更以使得：當(dāng)接下來在顯示設(shè)備(D1、D2)上再現(xiàn)它們時(shí)，它們可以與通過所述受保護(hù)運(yùn)行時(shí)環(huán)境(TZ)的方式提供的顯示數(shù)據(jù)(TDD2)區(qū)別開來。
【專利說明】用于在終端的顯示設(shè)備上顯示信息的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及在終端，特別是移動(dòng)終端的顯示設(shè)備上顯示信息的方法，并且還涉及適當(dāng)?shù)慕K端。
【背景技術(shù)】
[0002]現(xiàn)有技術(shù)公開了在終端的微處理器單元中實(shí)現(xiàn)以下二者的實(shí)踐：不僅有正常的、不受單獨(dú)保護(hù)的運(yùn)行時(shí)環(huán)境（runtime enviixmment)，還有與正常運(yùn)行時(shí)環(huán)境隔離并且用于執(zhí)行安全關(guān)鍵（security-critical)應(yīng)用的受保護(hù)運(yùn)行時(shí)環(huán)境。這樣的受保護(hù)運(yùn)行時(shí)環(huán)境的示例是從現(xiàn)有技術(shù)得知的ARM? TrustZone? (信任區(qū)）。在這種情況下，該信任區(qū)具有在其內(nèi)部運(yùn)行的分離的操作系統(tǒng)，如同樣已知的MobiCore*:操作系統(tǒng)。
[0003]為使用戶與受保護(hù)運(yùn)行時(shí)環(huán)境中的適當(dāng)?shù)膽?yīng)用通信，通常使用終端中提供的顯示設(shè)備，其中分離的顯示器或者分離的顯示區(qū)域能夠被提供作為用于例如來自信任區(qū)的應(yīng)用的用戶界面。在這種情況下，與正常運(yùn)行時(shí)環(huán)境并行的受保護(hù)運(yùn)行時(shí)環(huán)境的使用的一個(gè)問題是：如何可以以盡可能多地防止操縱的方式，向用戶提供他當(dāng)前正與來自受保護(hù)運(yùn)行時(shí)環(huán)境的可信的應(yīng)用通信的指示。具體而言，這種情況的目標(biāo)是阻止這樣的攻擊：這些攻擊使用來自正常運(yùn)行時(shí)環(huán)境的被操縱的應(yīng)用來誘導(dǎo)用戶相信他正與受保護(hù)運(yùn)行時(shí)環(huán)境通信。在這種情況下，未授權(quán)的第三方可以使用適當(dāng)?shù)妮斎胝埱髞硗魄贸鲋T如密碼、PIN等等的用戶相關(guān)數(shù)據(jù)。
[0004]現(xiàn)有技術(shù)公開了向終端配備多個(gè)顯示元件的實(shí)踐。文檔DE2009022222A1描述了具有兩個(gè)可以被分別驅(qū)動(dòng)的顯示元件的終端，其中一個(gè)顯示元件連接到安全元件。該顯示元件用于再現(xiàn)可信的信息。文檔DE602004007152T2公開了終端的多層顯示，該多層顯示被用于疊加數(shù)條信息。

【發(fā)明內(nèi)容】

[0005]本發(fā)明的一個(gè)目的是在終端的顯示設(shè)備上再現(xiàn)信息，以使得以防止操縱的方式向用戶提供信息是否是可信的指示。
[0006]該目的是通過根據(jù)專利權(quán)利要求I的方法和根據(jù)專利權(quán)利要求14的終端實(shí)現(xiàn)的。在從屬權(quán)利要求中限定了對本發(fā)明的進(jìn)化。
[0007]本發(fā)明的方法用于在終端，特別是諸如移動(dòng)電話、PDA等等之類的移動(dòng)終端的顯示設(shè)備上顯示信息。終端包含實(shí)現(xiàn)正常運(yùn)行時(shí)環(huán)境和受保護(hù)運(yùn)行時(shí)環(huán)境的微處理器單元，其中用于在顯示設(shè)備上再現(xiàn)的顯示數(shù)據(jù)可以通過正常運(yùn)行時(shí)環(huán)境和受保護(hù)運(yùn)行時(shí)環(huán)境而被提供。
[0008]本發(fā)明的方法的區(qū)別在于：通過正常運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)至少部分地被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境，該受保護(hù)運(yùn)行時(shí)環(huán)境檢查所轉(zhuǎn)送的顯示數(shù)據(jù)是否符合一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)。安全標(biāo)準(zhǔn)可以是任意的設(shè)計(jì)。它們僅僅需要確保：當(dāng)符合安全標(biāo)準(zhǔn)時(shí)，用戶可以信任顯示數(shù)據(jù)沒有在未授權(quán)的情況下被操縱。如果顯示數(shù)據(jù)不符合至少一項(xiàng)安全標(biāo)準(zhǔn)，本發(fā)明的一個(gè)變體涉及顯示數(shù)據(jù)被拒絕，即根本不在顯示設(shè)備上顯示。同樣的，可以變更顯示數(shù)據(jù)以使得：在顯示設(shè)備上的隨后再現(xiàn)期間，用戶能夠?qū)⑺鼈兣c通過受保護(hù)運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)區(qū)別開來。這確保了 ：即使在被操縱應(yīng)用的情況下，也使得用戶能夠識(shí)別應(yīng)用是在正常運(yùn)行時(shí)環(huán)境還是受保護(hù)運(yùn)行時(shí)環(huán)境中被執(zhí)行的。
[0009]本發(fā)明的方法具有這樣的優(yōu)點(diǎn)：顯示設(shè)備可以被受保護(hù)運(yùn)行時(shí)環(huán)境和正常運(yùn)行時(shí)環(huán)境二者使用，同時(shí)確保了 ：對適當(dāng)安全標(biāo)準(zhǔn)的檢查可以識(shí)別出在沒有授權(quán)的情況下被操縱的應(yīng)用。在一個(gè)優(yōu)選的實(shí)施例中，如果被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境的顯示數(shù)據(jù)符合一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)（即，所有的安全標(biāo)準(zhǔn)），那么它們可在顯示設(shè)備上再現(xiàn)而無需變更。
[0010]在一個(gè)特定優(yōu)選的實(shí)施例中，上文描述的一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)包括這樣的標(biāo)準(zhǔn)：在被轉(zhuǎn)送顯示數(shù)據(jù)在顯示設(shè)備上的再現(xiàn)期間，被轉(zhuǎn)送顯示數(shù)據(jù)可以與通過受保護(hù)運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)區(qū)別開。就是說，如果數(shù)據(jù)是可區(qū)別的，那么就符合該安全標(biāo)準(zhǔn)。在本發(fā)明的這個(gè)變體中，在來自正常運(yùn)行時(shí)環(huán)境的顯示數(shù)據(jù)的基礎(chǔ)上，信息的可信度的缺失被直接耦合到對受保護(hù)運(yùn)行時(shí)環(huán)境的假裝（feign)。
[0011]在一個(gè)特定優(yōu)選的實(shí)施例中，本發(fā)明的方法被用在具有顯示設(shè)備的終端中，該顯示設(shè)備包括第一顯示元件和第二顯示元件。在這種情況下，第一顯示元件用于專門再現(xiàn)由正常運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)。通常，在這種情況下第一顯示元件大于第二顯示元件。相比之下，第二顯示元件在本發(fā)明的上下文內(nèi)被用于再現(xiàn)由受保護(hù)運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)和由正常運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)兩者。在這種情況下，由正常運(yùn)行時(shí)環(huán)境提供的、為了在第二顯示元件上再現(xiàn)的目的而被提供的顯示數(shù)據(jù)被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境并且經(jīng)受本發(fā)明對于安全標(biāo)準(zhǔn)的檢查。這樣，正常只由受保護(hù)運(yùn)行時(shí)環(huán)境使用的某一（第二）顯示元件，在對上述安全標(biāo)準(zhǔn)的檢查防止了誤用的情況下，也可以用于來自正常運(yùn)行時(shí)環(huán)境的應(yīng)用。
[0012]第一和第二顯示元件可以可能地是兩個(gè)被分別驅(qū)動(dòng)的顯示器。相似地，可能有第一和第二顯示元件是單個(gè)顯示器上的兩個(gè)顯示區(qū)域的選項(xiàng)。
[0013]在本發(fā)明的一個(gè)特定優(yōu)選的實(shí)施例中，所使用的受保護(hù)運(yùn)行時(shí)環(huán)境是固有已知的ARM?信任區(qū)?，優(yōu)選地同樣已知的MobiCoreK操作系統(tǒng)在其上運(yùn)行。在本發(fā)明的另一變體中，終端是移動(dòng)電話，而該移動(dòng)電話的操作系統(tǒng)在正常運(yùn)行時(shí)環(huán)境上運(yùn)行。具體而言，移動(dòng)電話是已知的智能電話，其使用具有擴(kuò)展功能范圍的操作系統(tǒng)（也被稱作豐富OS)
[0014]當(dāng)本發(fā)明的方法涉及到在至少一項(xiàng)安全標(biāo)準(zhǔn)不符合的情況下變更被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境的顯示數(shù)據(jù)時(shí)，可以用各種方式作出變更，只需要確保用戶能夠識(shí)別該顯示數(shù)據(jù)沒有通過受保護(hù)運(yùn)行時(shí)環(huán)境提供。這可以通過例如向顯示數(shù)據(jù)添加警告消息來實(shí)現(xiàn)。該警告消息向用戶指出該顯示數(shù)據(jù)嘗試誘導(dǎo)人相信它們是通過受保護(hù)運(yùn)行時(shí)環(huán)境提供的，盡管不是這種情況。變更被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境的顯示數(shù)據(jù)的另一方式可以涉及：修改或者從顯示數(shù)據(jù)中移除一個(gè)或多個(gè)預(yù)定的圖形元素，這些圖形元素是所轉(zhuǎn)送的顯示數(shù)據(jù)包含的并且使得用戶能夠識(shí)別在顯示設(shè)備上再現(xiàn)的顯示數(shù)據(jù)是通過受保護(hù)運(yùn)行時(shí)環(huán)境提供的。
[0015]在另一特定優(yōu)選的實(shí)施例中，在對顯示數(shù)據(jù)進(jìn)行圖形分析的基礎(chǔ)上檢查上述安全標(biāo)準(zhǔn)。在這種情況下，受保護(hù)運(yùn)行時(shí)環(huán)境分析所轉(zhuǎn)送的顯示數(shù)據(jù)以確定它們是否包含一個(gè)或多個(gè)預(yù)定的圖形元素，這些圖形元素使得用戶能夠識(shí)別在顯示設(shè)備上再現(xiàn)的顯示數(shù)據(jù)是由受保護(hù)運(yùn)行時(shí)環(huán)境提供的，其中如果顯示數(shù)據(jù)包括（一個(gè)或多個(gè)）預(yù)定的圖形元素，那么至少一項(xiàng)安全標(biāo)準(zhǔn)不被滿足。
[0016]上述被修改或者從顯示數(shù)據(jù)中移除或者作為圖形分析的一部分被處理的圖形元素可以是任意設(shè)計(jì)。舉例來說，它們可以是預(yù)定的框架，特別是預(yù)定顏色（例如，紅色）的框架。相似地，圖形元素可以包括一個(gè)或多個(gè)動(dòng)畫的圖像元素和/或圖例（legend)，如圖例“信任區(qū)活動(dòng)”。
[0017]由受保護(hù)運(yùn)行時(shí)環(huán)境執(zhí)行的對安全標(biāo)準(zhǔn)的檢查還可以可能地包括密碼檢查(cryptographical check)。在這種情況下,可以廣泛地理解術(shù)語“密碼檢查”。具體而言，密碼檢查還包括對被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境的顯示數(shù)據(jù)所包含的一個(gè)或多個(gè)數(shù)字簽名的檢查。在這種情況下，可以設(shè)計(jì)簽名檢查以使得：如果（一個(gè)或多個(gè)）簽名是有效和/或可信的，那么就符合相關(guān)的安全標(biāo)準(zhǔn)。具體而言，對于密碼檢查，具有涉及對被轉(zhuǎn)送的顯示數(shù)據(jù)中的一個(gè)或多個(gè)圖形元素的檢查。優(yōu)選地，這涉及對分別與顯示數(shù)據(jù)中的圖形元素相關(guān)聯(lián)的一個(gè)或多個(gè)數(shù)字簽名的檢查。在這種情況下，該檢查可以被設(shè)計(jì)為使得：如果簽名被分類為有效和/或可信的，那么就符合安全標(biāo)準(zhǔn)。
[0018]除了上述的方法外，本發(fā)明還涉及終端，特別是移動(dòng)終端。該終端包括實(shí)現(xiàn)正常運(yùn)行時(shí)環(huán)境和受保護(hù)運(yùn)行時(shí)環(huán)境的微處理器單元，還包括顯示設(shè)備，其中用于在顯示設(shè)備上再現(xiàn)的顯示數(shù)據(jù)可以通過正常運(yùn)行時(shí)環(huán)境和受保護(hù)運(yùn)行時(shí)環(huán)境提供。在這種情況下，終端被設(shè)計(jì)為使得：通過正常運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)至少部分地被轉(zhuǎn)送到受保護(hù)運(yùn)行時(shí)環(huán)境，該受保護(hù)運(yùn)行時(shí)環(huán)境檢查被轉(zhuǎn)送的顯示數(shù)據(jù)是否符合一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)，其中如果顯示數(shù)據(jù)不符合至少一項(xiàng)安全標(biāo)準(zhǔn)，則它們被拒絕或者變更以使得：在顯示設(shè)備上的隨后的再現(xiàn)期間，用戶能夠?qū)⑺鼈兣c通過受保護(hù)運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)區(qū)別開來。在這種情況下，本發(fā)明的終端被優(yōu)選地設(shè)計(jì)為使得：終端可以被用于執(zhí)行上述本發(fā)明的方法的一個(gè)或多個(gè)變體。
【具體實(shí)施方式】
[0019]下文參考附圖1，詳細(xì)地描述本發(fā)明的示例性實(shí)施例。該圖示出了用于本發(fā)明的方法的實(shí)施例的序列的示意性說明。
[0020]下面的文本描述了基于帶有顯示設(shè)備的移動(dòng)電話形式的終端的本發(fā)明的方法的示例性實(shí)施例，該顯示設(shè)備具有兩個(gè)顯示元件或顯示器的形式。顯示器及其硬件由圖I中的Dl和D2示意性地表示。在移動(dòng)電話中安裝的微控制器具有正常運(yùn)行時(shí)環(huán)境NZ和受保護(hù)運(yùn)行時(shí)環(huán)境TZ，該受保護(hù)運(yùn)行時(shí)環(huán)境TZ具有在其中被實(shí)現(xiàn)的已知的ARMk TrustZoneii(信任區(qū)）的形式。在這里描述的實(shí)施例中，從現(xiàn)有技術(shù)中得知并且由圖I中的MC表示的MobiCorex操作系統(tǒng)在信任區(qū)上運(yùn)行。相比之下，正常運(yùn)行時(shí)環(huán)境包含傳統(tǒng)的移動(dòng)電話操作系統(tǒng)OS。如果移動(dòng)電話是智能電話，那么操作系統(tǒng)是具有擴(kuò)展的功能范圍的已知的豐富(rich)OS。信任區(qū)TZ用于執(zhí)行使用移動(dòng)電話的安全關(guān)鍵應(yīng)用，例如執(zhí)行支付交易或銀行應(yīng)用或者處理個(gè)人的特定于用戶（user-specific)的數(shù)據(jù)的其他應(yīng)用。在這種情況下，受保護(hù)運(yùn)行時(shí)環(huán)境被與正常運(yùn)行時(shí)環(huán)境相隔離并且對實(shí)現(xiàn)免受來自未授權(quán)第三方的攻擊的高效保護(hù)的安全關(guān)鍵進(jìn)程進(jìn)行封裝。在信任區(qū)TZ內(nèi)運(yùn)行的安全關(guān)鍵應(yīng)用被稱作信任應(yīng)用(trustlet)，其中信任應(yīng)用TRA和TRB通過示例的方式在圖I中被再現(xiàn)。相比之下，由圖I中的API和AP2通過示例的方式表示的傳統(tǒng)應(yīng)用在正常運(yùn)行時(shí)環(huán)境NZ中運(yùn)行。
[0021]為了使得信任應(yīng)用與用戶交互，使用移動(dòng)電話中的顯示器D2，用戶可以從該顯示器中讀出來自信任應(yīng)用的適當(dāng)輸出并且所述用戶還可以使用小鍵盤在該顯示器上進(jìn)行輸入。在這種情況下，用戶被提供對如下事實(shí)的圖形指示：當(dāng)前正在運(yùn)行的應(yīng)用來自受保護(hù)運(yùn)行時(shí)環(huán)境，該圖形指示在這里描述的實(shí)施例中通過框架（frame)的方式完成，該框架在顯示器上被再現(xiàn)并且特別地以諸如紅色之類的特定顏色展現(xiàn)。還可能有其他選項(xiàng)用于通過顯示器D2圖形地向用戶指出：他當(dāng)前正與信任區(qū)中的應(yīng)用通信。具體而言，諸如動(dòng)畫圖標(biāo)之類的具體圖像或圖標(biāo)可以用于信任應(yīng)用，或者顯示器可以用于再現(xiàn)圖例，該圖例指出該顯示指示與信任區(qū)中的應(yīng)用有關(guān)。舉例來說，這可以通過諸如“信任區(qū)活動(dòng)”或者“受保護(hù)的顯示”之類的圖例實(shí)現(xiàn)。
[0022]通常地，顯示器D2比顯示器Dl小的多，這是因?yàn)樾湃螀^(qū)中的信任應(yīng)用通常用于處理和顯示較少量的數(shù)據(jù)。本發(fā)明現(xiàn)在提供這樣的選項(xiàng)：較小的顯示器D2也被來自正常運(yùn)行時(shí)環(huán)境NZ的應(yīng)用用于通信。舉例來說，顯示器D2可以被再現(xiàn)短狀態(tài)消息或者諸如短消息之類的其他短信息的應(yīng)用使用。其他示例為：MP3播放器軟件的顯示、新電子郵件或者SMS已經(jīng)被接收的顯示等等。在這種情況下，不再需要保持大顯示器Dl處于運(yùn)行中以再現(xiàn)這些少量的信息。這成就了低功率消耗并因此成就了移動(dòng)電話更長的電池壽命。
[0023]為了向用戶傳送在顯示器D2上再現(xiàn)的相關(guān)應(yīng)用不是來自信任區(qū)的，顯示器上指示信任應(yīng)用的使用的適當(dāng)標(biāo)記或者圖形元素（如上文描述的紅色框架）對于正常運(yùn)行時(shí)環(huán)境NZ中的應(yīng)用被省略。然而，在這種情況下，有這樣的問題：使用被操縱應(yīng)用通過正常運(yùn)行時(shí)環(huán)境對顯示器D2的訪問可以誘導(dǎo)用戶相信該應(yīng)用正在信任區(qū)中運(yùn)行，即使不是這種情況。被操縱應(yīng)用可以要求認(rèn)為他正安全地與信任應(yīng)用通信的用戶輸入諸如密碼或PIN之類的個(gè)人信息，隨后該信息被被操縱應(yīng)用推敲出來（tap off)。為了抵制這種類型的攻擊，本發(fā)明涉及在信任區(qū)內(nèi)對來自正常運(yùn)行時(shí)環(huán)境并意圖在顯示器D2上再現(xiàn)的顯示數(shù)據(jù)進(jìn)行檢查，如下文更詳細(xì)地說明。
[0024]在圖I的場景中，正常運(yùn)行時(shí)環(huán)境NZ中的應(yīng)用APl與更大的顯示器Dl交互。為此目的，向負(fù)責(zé)顯示器Dl的顯示呈現(xiàn)器DRl發(fā)送適當(dāng)?shù)某尸F(xiàn)命令RC，其中顯示呈現(xiàn)器將命令轉(zhuǎn)換為在顯示器Dl上顯示的基于像素的顯示數(shù)據(jù)DD1。相似地，分離的可信的顯示呈現(xiàn)器TDR2被用于再現(xiàn)來自信任區(qū)TZ中的信任應(yīng)用TRA和TRB的顯示數(shù)據(jù)。來自信任應(yīng)用TRA和TRB的相關(guān)呈現(xiàn)命令RC由這個(gè)呈現(xiàn)器轉(zhuǎn)換為基于像素的顯示數(shù)據(jù)，接著在顯示器D2上再現(xiàn)該顯示數(shù)據(jù)。在這種情況下，呈現(xiàn)器TDR2添加可以用于識(shí)別該顯示數(shù)據(jù)來自信任區(qū)的適當(dāng)元素（例如，上文提到的紅色框架）。應(yīng)用AP2與應(yīng)用APl的區(qū)別在于：所產(chǎn)生的顯示數(shù)據(jù)意圖在更小的顯示器D2上被再現(xiàn)。為此目的，使用適當(dāng)?shù)娘@示呈現(xiàn)器DR2來將來自應(yīng)用AP2的呈現(xiàn)命令轉(zhuǎn)換為意圖用于顯示器D2的基于像素的顯示數(shù)據(jù)DD2。
[0025]為了防止上述使用顯示數(shù)據(jù)DD2來假裝活動(dòng)信任區(qū)的被操縱應(yīng)用，顯示數(shù)據(jù)DD2被轉(zhuǎn)送到MobiCore操作系統(tǒng)MC內(nèi)的算法CH，該算法檢查這些數(shù)據(jù)。為此目的，MobiCore操作系統(tǒng)知道在顯示器D2上顯示活動(dòng)信任區(qū)的方式。這可以由例如已經(jīng)在上文描述過的顯示器D2中的紅色框架實(shí)現(xiàn)。在這種情況下，算法CH檢查意圖在顯示器D2上圖形地顯示的顯示數(shù)據(jù)DD2，以確定要被顯示的信息周圍是否有紅色框架。這樣的檢查不要求圖像識(shí)別中的任何復(fù)雜算法并且可以因此在資源有限的移動(dòng)電話上容易地實(shí)現(xiàn)。[0026]如果算法CH現(xiàn)在識(shí)別出顯示數(shù)據(jù)DD2包含紅色框架或者相似的表示，該框架在顯示之前被至少部分地從像素?cái)?shù)據(jù)DD2中移除，或者被變更以使得不再有任何這樣的風(fēng)險(xiǎn)：顯示器D2的用戶對帶有信任區(qū)的紅色框架的該顯示數(shù)據(jù)感到迷惑。作為示例，這可以通過減小顯示器D2的邊緣區(qū)域中紅色的比例以使得框架不再以紅色出現(xiàn)來實(shí)現(xiàn)。這樣，移動(dòng)電話的用戶被通知：該應(yīng)用不在信任區(qū)中運(yùn)行，結(jié)果，用戶知道：在與該應(yīng)用的交互期間，他最好不應(yīng)該輸入任何個(gè)人數(shù)據(jù)，即使被要求這樣的數(shù)據(jù)。在此實(shí)例中，被相應(yīng)變更并且接著在顯示器D2上顯示的像素?cái)?shù)據(jù)由圖I中的DD2’表示。為了進(jìn)一步增加安全性，算法CH也有可能可以完全拒絕該像素?cái)?shù)據(jù)和/或在顯示器D2中示出可能的攻擊的警告，結(jié)果，向用戶明確指出：在使用該應(yīng)用時(shí)，他最好不應(yīng)該輸入任何個(gè)人數(shù)據(jù)。
[0027]取代使用紅色框架指示活動(dòng)的信任區(qū)，這還可以通過使用靜態(tài)的或者動(dòng)畫的圖像來完成，如上文已經(jīng)提到的那樣。在當(dāng)今的移動(dòng)電話上的操作系統(tǒng)中，所使用的圖像或者動(dòng)畫被存儲(chǔ)為圖標(biāo)并且在窗口內(nèi)容被呈現(xiàn)（即，被繪制）之前不被復(fù)制到相關(guān)的圖形存儲(chǔ)器。通常不是在應(yīng)用的執(zhí)行時(shí)間中而是在針對相關(guān)應(yīng)用的實(shí)際軟件開發(fā)或者軟件編寫期間來產(chǎn)生圖標(biāo)的。如果活動(dòng)的信任區(qū)現(xiàn)在被動(dòng)畫圖標(biāo)指出，那么用于對相關(guān)顯示數(shù)據(jù)DD2是否包含用于假裝信任區(qū)的這樣的圖標(biāo)的圖像檢查比諸如上文所述的紅色框架之類的較簡單元素的情形要困難得多。具體而言，這要求針對信任區(qū)的該部分的復(fù)雜分析算法以確定針對人眼的相似性。
[0028]在一個(gè)修改的實(shí)施例中，對于圖標(biāo)的圖形檢查因此被簽名檢查替換。在這種情況下，從正常運(yùn)行時(shí)環(huán)境傳輸?shù)叫湃螀^(qū)的圖標(biāo)具有已經(jīng)在相關(guān)應(yīng)用的實(shí)際軟件開發(fā)期間被引進(jìn)的數(shù)字簽名。如果顯示數(shù)據(jù)DD2內(nèi)的圖標(biāo)具有這樣的數(shù)字簽名，那么在顯示器D2上顯示該圖標(biāo)之前，信任區(qū)只檢查這個(gè)簽名。如果各個(gè)圖標(biāo)的簽名接著被識(shí)別為有效或者可信，則包括這些圖標(biāo)的顯示數(shù)據(jù)被沒有更換地再現(xiàn)，因?yàn)樵谶@種情況下該應(yīng)用被歸類為可信的。為了使數(shù)字簽名需要盡可能少地被檢查，信任區(qū)可以在高速緩存中存儲(chǔ)圖標(biāo)自身或者信任區(qū)自身已計(jì)算出的圖標(biāo)的散列值（hash value) 0如果一個(gè)或多個(gè)圖標(biāo)不具有數(shù)字簽名，則顯示數(shù)據(jù)可以完全不在顯示器D2上展現(xiàn)或者隨后執(zhí)行對于圖標(biāo)的圖形檢查以確定它們是否是被認(rèn)為假裝活動(dòng)信任區(qū)的圖標(biāo)。如果是這種情況，從顯示數(shù)據(jù)中移除這些圖標(biāo)或者輸出警告消息，結(jié)果，用戶被告知該應(yīng)用不在受保護(hù)運(yùn)行時(shí)環(huán)境中運(yùn)行。
[0029]參考圖I描述的本發(fā)明的實(shí)施例已經(jīng)基于兩個(gè)被分別驅(qū)動(dòng)的顯示器Dl和D2被說明。然而，本發(fā)明還可以被應(yīng)用于顯示器D2和更大的顯示器Dl—起被使用的終端。就是說，兩個(gè)顯示器是普通大顯示器內(nèi)的兩個(gè)顯示區(qū)域。在這種情況下，正常運(yùn)行時(shí)環(huán)境中帶有合適驅(qū)動(dòng)器的操作系統(tǒng)OS負(fù)責(zé)呈現(xiàn)要被展現(xiàn)的數(shù)據(jù)。從個(gè)體應(yīng)用的視角來看，那么只存在單個(gè)顯示器。
[0030]上文已經(jīng)描述的本發(fā)明的實(shí)施例具有一系列的優(yōu)點(diǎn)。具體而言，來自不受保護(hù)的正常運(yùn)行時(shí)環(huán)境的應(yīng)用的顯示數(shù)據(jù)還能夠在本身為受保護(hù)運(yùn)行時(shí)環(huán)境提供的顯示區(qū)域內(nèi)再現(xiàn)。這確保用戶可以安全地并且容易地識(shí)別當(dāng)前正在使用的應(yīng)用是否正在信任區(qū)上運(yùn)行或者是否是可信的。來自正常運(yùn)行時(shí)環(huán)境的應(yīng)用對活動(dòng)信任區(qū)的假裝是通過如下方式發(fā)現(xiàn)的：對顯示數(shù)據(jù)的圖形檢查的方式或者還可能對簽名的檢查的方式。根據(jù)本發(fā)明，為了在終端上指示信任區(qū)當(dāng)前是活動(dòng)的，不需要諸如LED等等之類的額外元件。
[0031]參考符號(hào)列表[0032]NZ正常運(yùn)行時(shí)環(huán)境
[0033]TZ受保護(hù)運(yùn)行時(shí)環(huán)境
[0034]API, AP2正常運(yùn)行時(shí)環(huán)境中的應(yīng)用
[0035]5 TRA，TRB信任應(yīng)用
[0036]RC呈現(xiàn)命令
[0037]DRl, DR2, TDR2 顯示呈現(xiàn)器
[0038]CH檢查算法
[0039]DDl, DD2, DD2’，TDD2顯示數(shù)據(jù)
[0040]10 OS正常運(yùn)行時(shí)環(huán)境中的操作系統(tǒng)
[0041]MCMobiCore 操作系統(tǒng)
[0042]Dl, D2顯示器
【權(quán)利要求】
1.一種用于在終端，特別是移動(dòng)終端的顯示設(shè)備（D1、D2)上顯示信息的方法，其中所述終端包含實(shí)現(xiàn)正常運(yùn)行時(shí)環(huán)境（NZ)和受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)的微處理器單元，其中用于在所述顯示設(shè)備（D1、D2)上再現(xiàn)的顯示數(shù)據(jù)（DD1、DD2、DD2’、TDD2)可以通過所述正常運(yùn)行時(shí)環(huán)境（NZ)和所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)被提供， 其特征在于 通過所述正常運(yùn)行時(shí)環(huán)境（NZ)提供的顯示數(shù)據(jù)（DD2)至少部分地被轉(zhuǎn)送到所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)，所述受保護(hù)運(yùn)行時(shí)環(huán)境檢查被轉(zhuǎn)送的顯示數(shù)據(jù)（DD2)是否符合一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)，其中如果所述顯示數(shù)據(jù)（DD2)不符合至少一項(xiàng)安全標(biāo)準(zhǔn)，那么它們被拒絕或者變更以使得：在所述顯示設(shè)備（Dl、D2)上隨后的再現(xiàn)期間，它們可以與通過所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)提供的顯示數(shù)據(jù)（TDD2)區(qū)別開來。
2.如權(quán)利要求1所述的方法，其特征在于所述一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)包括如下標(biāo)準(zhǔn)：在所述顯示設(shè)備（D1、D2)上再現(xiàn)上述顯示數(shù)據(jù)期間，所述被轉(zhuǎn)送的顯示數(shù)據(jù)（DD2)是可以與通過所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)提供的顯示數(shù)據(jù)區(qū)別開來的。
3.如權(quán)利要求1或2所述的方法，其特征在于所述顯示設(shè)備（D1、D2)包括第一顯示元件（Dl)和第二顯示元件（D2)，其中所述第一顯示元件（Dl)用于專門再現(xiàn)通過所述正常運(yùn)行時(shí)環(huán)境（NZ)提供的顯示數(shù)據(jù)（Dl)，并且其中所述第二顯示元件（D2)用于再現(xiàn)如下兩者：通過所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)提供的顯示數(shù)據(jù)（TDD2)和通過所述正常運(yùn)行時(shí)環(huán)境（NZ)提供的、已被預(yù)先轉(zhuǎn)送到所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)并且經(jīng)受了對于所述一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)的檢查的顯示數(shù)據(jù)（DD2、DD2’）。
4.如權(quán)利要求3所述的方法，其特征在于所述第一顯示元件和所述第二顯示元件（Dl、D2)是兩個(gè)被分別驅(qū)動(dòng)的顯示器。
5.如權(quán)利要求3或4所述的方法，其特征在于所述第一顯示元件和所述第二顯示元件(D1、D2)是單個(gè)顯示器上的兩個(gè)顯示區(qū)域。
6.如前述權(quán)利要求中的一個(gè)權(quán)利要求所述的方法，其中所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)是在其上優(yōu)選地運(yùn)行操作系統(tǒng)MobiCore ItJARM wTrustZonc 10 0
7.如前述權(quán)利要求中的一個(gè)權(quán)利要求所述的方法，其特征在于所述終端是移動(dòng)電話以及所述移動(dòng)電話的操作系統(tǒng)在所述正常運(yùn)行時(shí)環(huán)境（NZ)上運(yùn)行。
8.如前述權(quán)利要求中的一個(gè)權(quán)利要求所述的方法，其特征在于：如果不符合至少一項(xiàng)安全標(biāo)準(zhǔn)，那么所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)變更轉(zhuǎn)送給它的所述顯示數(shù)據(jù)（DD2)以使得所述顯示數(shù)據(jù)具有添加到它們的警告消息。
9.如前述權(quán)利要求中的一個(gè)權(quán)利要求所述的方法，其特征在于：如果不符合至少一項(xiàng)安全標(biāo)準(zhǔn)，那么所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)變更轉(zhuǎn)送給它的所述顯示數(shù)據(jù)（DD2)以使得：所述被轉(zhuǎn)送的顯示數(shù)據(jù)（DD2)包含的并且使得用戶能夠識(shí)別所述顯示設(shè)備（D1、D2)上再現(xiàn)的顯示數(shù)據(jù)是通過所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)提供的的一個(gè)或多個(gè)預(yù)定圖形元素被修改或者從所述顯示數(shù)據(jù)（DD2)中移除。
10.如前述權(quán)利要求中的一個(gè)權(quán)利要求所述的方法，其特征在于：所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)圖形地分析轉(zhuǎn)送給它的所述顯示數(shù)據(jù)（DD2)以確定它們是否包含一個(gè)或多個(gè)預(yù)定的圖形元素，所述一個(gè)或多個(gè)預(yù)定的圖形元素使得用戶能夠識(shí)別在所述顯示設(shè)備（D1、D2)上再現(xiàn)的顯示數(shù)據(jù)是通過所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)提供的，其中如果所述顯示數(shù)據(jù)(DD2)包括所述一個(gè)或多個(gè)預(yù)定的圖形元素，那么至少有一項(xiàng)安全標(biāo)準(zhǔn)不被符合。
11.如權(quán)利要求9或10所述的方法，其特征在于所述一個(gè)或多個(gè)圖形元素包括預(yù)定框架和/或一個(gè)或多個(gè)動(dòng)畫圖像元素和/或圖例。
12.如前述權(quán)利要求中的一個(gè)權(quán)利要求所述的方法，其特征在于由所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)進(jìn)行的對于所述一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)的檢查包括密碼檢查，其中所述密碼檢查優(yōu)選地包括對于所述被轉(zhuǎn)送的顯示數(shù)據(jù)（DD2)所包含的一個(gè)或多個(gè)數(shù)字簽名的檢查。
13.如權(quán)利要求12所述的方法，其特征在于針對所述被轉(zhuǎn)送的顯示數(shù)據(jù)（DD2)中的一個(gè)或多個(gè)圖形元素執(zhí)行所述密碼檢查，其中特別地對分別與所述顯示數(shù)據(jù)（DD2)中的圖形元素相關(guān)聯(lián)的一個(gè)或多個(gè)數(shù)字簽名進(jìn)行檢查。
14.一種終端，特別是移動(dòng)終端，包括實(shí)現(xiàn)正常運(yùn)行時(shí)環(huán)境（NZ)和受保護(hù)運(yùn)行時(shí)環(huán)境(TZ)的微處理器單元、以及顯示設(shè)備（D1、D2)，其中用于在所述顯示設(shè)備（D1、D2)上再現(xiàn)的顯示數(shù)據(jù)（DD1、DD2、DD2’、TDD2)可以通過所述正常運(yùn)行時(shí)環(huán)境（NZ)和所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)被提供， 其特征在于 所述終端被設(shè)計(jì)為使得通過所述正常運(yùn)行時(shí)環(huán)境提供的顯示數(shù)據(jù)（DD2)至少部分地被轉(zhuǎn)送到所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)，所述受保護(hù)運(yùn)行時(shí)環(huán)境檢查被轉(zhuǎn)送的顯示數(shù)據(jù)(DD2)是否符合一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)，其中如果所述顯示數(shù)據(jù)（DD2)不符合所述一項(xiàng)或多項(xiàng)安全標(biāo)準(zhǔn)，那么它們被拒絕或者變更以使得：在所述顯示設(shè)備（D1、D2)上隨后的再現(xiàn)期間，它們可以與通過所述受保護(hù)運(yùn)行時(shí)環(huán)境（TZ)提供的顯示數(shù)據(jù)（TDD2)區(qū)別開來。
15.如權(quán)利要求14所述的終端，該終端被設(shè)計(jì)為使得所述終端可以用于執(zhí)行如權(quán)利要求2至13中的一個(gè)權(quán)利要求所述的方法。
【文檔編號(hào)】H04W12/10GK103503426SQ201280018611
【公開日】2014年1月8日 申請日期:2012年4月19日 優(yōu)先權(quán)日:2011年4月21日
【發(fā)明者】阿克塞爾·海德 申請人:信特尼有限公司