可信用户界面显示方法及系统的制作方法
【技术领域】
[0001]本发明涉及智能移动终端领域,更为具体地,涉及与可信用户界面显示有关的技术。
【背景技术】
[0002]TEE (Trusted Execut1n Environment,可信执行环境)是为解决当前移动智能终端存在的安全风险而提出的解决方案。TEE构造了一个与移动智能终端操作系统(例如Android、1S、windows phone等)隔离的安全运行环境。TEE位于移动智能终端主处理器中的安全区域,能够保证在可信的环境中进行敏感数据的存储、处理和保护。TEE为授权的安全软件(可信软件)提供了安全的执行环境,通过执行保护、保密、完整和数据访问权限实现了端到端的安全。
[0003]换言之,采用TEE的智能终端,其上运行了两个操作系统,一个是例如Android、1S、windows phone等的移动操作系统,一个是安全操作系统。由于安全操作系统可保护运行程序的安全,保证与用户交互的可靠性,因而现有各种方式下的敏感性信息输入(如银行卡密码等信息)都可通过安全操作系统提供的可信用户界面输入。如此,对于如何区分安全操作系统与移动操作系统的用户界面,对于用户来说至关重要,也是目前安全操作系统在实现可信用户界面时所必须解决的一个问题。
[0004]现有技术采用的是终端显示屏的共享控制机制,每个系统下都有各自的显示驱动和显示帧缓冲,因而,各个系统可在获得显示屏的控制后,独自显示各自的用户界面。这样的显示方式,存在改进的空间。
【发明内容】
[0005]有鉴于此,本发明提供可信用户界面显示方法,其应用在采用安全操作系统与移动操作系统的电子设备中,该方法包括以下步骤:a)在显示之前,将移动操作系统的待显示界面的数据传送给所述安全操作系统;b)所述安全操作系统接收来自所述移动操作系统的待显示界面的数据,并处理待显示界面的数据;c)将经处理的待显示界面的数据输出到该电子设备的显示部件,以便显示。
[0006]可选地,所述的信用户界面显示方法,步骤b)包括:对所接收的数据进行特征分析,基于预设特征值确定所接收的数据是否表明该待显示界面为不可信界面;以及在确定为不可信界面的情况下,对该界面进行标识。
[0007]可选地,所述的可信用户界面显示方法,步骤b)还包括在对所接收的数据进行特征分析之前,先对所接收的数据以时间T作为采样间隔进行采样,然后对经过采样的数据进行特征分析,并基于预设特征值确定所采样的数据是否为不可信界面。
[0008]可选地,所述的可信用户界面显示方法,所述时间T略小于处理来自所述移动操作系统的敏感用户界面的时间或与该时间相当。
[0009]可选地,所述的可信用户界面显示方法,标识该界面为不可信界面是在特征分析结果表明该数据不符合预设特征值的情况下,在该数据的显示界面中插入水印来标识其为不可信界面。
[0010]本发明还提供可信用户界面显示系统,其应用在采用安全操作系统与移动操作系统的电子设备中,该系统包括:数据通路,其设置于所述电子设备,用于将移动操作系统的待显示界面的数据传送给所述安全操作系统;处理单元,其设置于安全操作系统,用于处理待显示界面的数据;显示输出单元,其设置于安全操作系统,用于将经处理的待显示界面输出到该电子设备的显示部件。
[0011]可选地,所述可信用户界面显示系统中,处理单元包括:特征分析子单元,其设置于所述安全操作系统中,用于对所接收的数据进行特征分析,基于预设特征值确定所接收的数据是否表明该待显示界面为不可信界面;以及标识子单元,其用于在确定为不可信界面的情况下,对该界面进行标识。
[0012]可选地,可信用户界面显示系统中,处理单元还包括采样子单元,其用于在对所接收的数据进行特征分析之前,先对所接收的数据以时间T作为采样间隔进行采样,然后传送给所述特征分析子单元。
[0013]可选地,可信用户界面显示系统中,所述时间T略小于用户处理来自所述移动操作系统的敏感用户界面的时间或与该时间相当。且,可选地,标识子单元设置成在在确定为不可信界面的情况下,在该数据的显示界面中插入水印从而标识其为不可信界面。
[0014]如上所示的各示例中,可选地,所述电子设备为智能手机。
[0015]根据本发明的技术方案,电子设备的显示,包括移动操作系统的显示,均在安全操作系统的控制之下。
【附图说明】
[0016]图1示出了先有的具有TEE安全运行环境的智能终与显示有关的架构。
[0017]图2是根据本发明一个示例的可信用户界面显示方法的流程图。
[0018]图3是根据本发明示例的可信用户界面显示系统的结构示意图。
[0019]图4是根据本发明的一个具体示例的可信用户界面显示系统的结构示意图。
【具体实施方式】
[0020]现在参照附图描述本发明的示意性示例。相同的附图标号表示相同的元件。下文描述的各实施例有助于本领域技术人员透彻理解本发明,且意在示例而非限制。除非另有限定,文中使用的术语(包括科学、技术和行业术语)具有与本发明所属领域的技术人员普遍理解的含义相同的含义。此外,流程图中各步骤的先后顺序也不以图示的顺序为限。
[0021]现有的具有TEE安全运行环境的智能终端,其移动操作系统与安全操作系统共享该智能终端的显示屏。图1示出了这样的智能终端与显示有关的架构。如图1所示,智能终端I包括安全操作系统10与移动操作系统20。安全操作系统10包括安全显示驱动单元100,而该安全显示驱动单元100则进一步有自己的显示帧缓冲单元102。同样地,移动操作系统20包括移动显示驱动单元200,而该显示驱动单元200则进一步有自己的显示帧缓冲单元202。智能终端I的显示屏30则接收来自安全操作系统10的帧缓冲单元102或来自移动操作系统20的帧缓冲单元202的数据,以进行显示。
[0022]为将安全操作系统的可信用户界面与移动操作系统下的普通用户界面区分开,图1所示的智能终端可采取硬件或软件的方式来进行这一区分。
[0023]在通过硬件的方式中,通过安全操作系统单独控制的外设部件来提示用户目前是否处于可信用户界面;例如当用户进入可信用户界面时,安全操作系统通过由其单独控制的LED亮灯的方式来提示用户当前是可信用户界面。由于很多智能终端并不存在由安全操作系统独立控制的外设部件,如LED灯等,因而需要额外增加这种外设部件,这将提高终端成本,同时还需要对终端的设计进行更改、美化等工作,耗时耗力。此外,外设部件一旦损坏,一定程度上影响可信用户界面的使用。
[0024]在通过软件的方式中,则通过在可信用户界面显示个人预先定制好的界面标识等方式来提示用户进入了可信用户界面;例如预先设置好一显示图像,当在安全操作系统下的可信用户界面时,就显示该图像。对于可信用户界面上显示用户独有的界面标识而言,则在如何确保设置界面标识的安全性上存在一定困难,一般只能强制用户刚买到手机第一次开机时就设置界面标识,这种方式因要求用户必须在第一次开机时就设置,从而影响用户体验。此外,界面标识还存在被以例如拍摄等方式窃取、复制的风险。
[0025]图2是根据本发明一个示例的可信用户界面显示方法的流程图。该可信用户界面显不方法执行在电子设备中,该电子设备安装了安全操作系统与移动操作系统。该电子设备例如为智能手机,ipad等平板,笔记本电脑以及台式电脑等。在此,本领域技术人员可以理解到,“安全操作系统”指的是TEE安全环境系统下的操作系统。“移动操作系统”在此应做广义理解,其指的是安装在电子设备上的操作系统,可以是安装在智能手机、平板上的例如Android、1S、windows phone等移动操作系统,也可是安装在笔记本电脑或台式电脑上的诸如Widows系列的操作系统。
[0026]在步骤200,将来自所述移动操作系统的待显示界面的数据传送给所述电子设备中的安全操作系统。来自所述移动操作系统的待显示界面指的是产生自移动操作系统的且要通过电子设备的显示设备显示的界面;相应地,待显示界面的数据指的是为了能将该待显示界面显示在显示设备上所需要的所有数据,包括用于界面本身的数据以及所需要的例如控制数据等其它数据。在下文的示例中,电子设备例如为智能手机,如此,移动操作系统则为Android、1S、windows phone等移动操作系统中的一个。当然,并不排除智能手机可同时安装两个或更多个移动操作系统,在那样的情况下,该智能手机有安全操作系统及若干移动操作系统。来自安全操作系统的待显示界面的数据原本就是经由安全操作系统显示,因此,该步骤中所提到的待显示界面的数据主要来自一个或多个移动操作系统。
[0027]在步骤201,所述安全操作系统接收来自所述移动操作系统的待显示界面的数据,并处理待显示界面的数据。与如上文结合图1所描述的采用安全操作系统的先有技术中的智能电子设备相比,根据本发明的示例中,与安全操作系统一起安装在电子设备中的一个或多个移动操作系统,其数据在输出到显示屏显示之前,首先要传输给安全操作系统,由其进行处理。安全操作系统处理待显示界面的数据的一个目的在于使用户更为方便地获知所看到的界面是否为可信界面,尤其是在面对敏感界面的显示时。
[0028]在步骤202,将经处理的待显示界面的数据输出到该电子设备的显示部件,以便显不O
[0029]根据本发明的一个示例,在步骤201中,安全操作系统接收来自所述移动操作系统的待显示界面的数据,对所接收的数据进行特征分析,基于预设特征值确定该数据是否表明该待显示界面为不可信界面。针对来自移动操作系统的界面,用户预先设置了针对其的特征值到电子设备中,亦即预设特征值。根据本发明的示例,特征分析结果表明该数据不符合预设特征值,即表明该待显示界面为不可信界面。在该待显示界面为不可信界面,对其进行标识,以便用户获知其为