不可信界面。示例地,可通过在该待显示界面中插入水印的方式标识其为不可信界面。
[0030]考虑到安全系统如果要处理来自移动操作系统的每一项数据,有可能会降低显示速度。因此,根据本发明的一个示例,由安全操作系统对传送来的移动操作系统的待显示界面的数据以时间T作为采样间隔来进行采样,随后对经采样的数据进行特征分析,并基于预设特征值确定所采样的数据是否表明该待显示界面为不可信界面。在本发明中,采样时间T略小于处理来自所述移动操作系统的敏感用户界面的时间或与该时间相当。敏感用户界面在本文中指的是例如密码输入界面等可能涉及到用户隐私数据的界面。确保T略小于或等于处理敏感用户界面所用的时间,可保证在安全操作系统在采样中不会遗漏用户敏感用户界面。一般而言,涉及到用户隐私输入的界面,都需要I秒或I秒以上的处理时间,因此可设置T略小于I秒或为I秒。
[0031]如上所述的根据本发明示例的可信用户界面显示方法可通过软件实现、也可通过硬件或硬件与软件的结合实现。
[0032]图3是根据本发明示例的可信用户界面显示系统的结构示意图。该显示系统执行在电子设备中,该电子设备安装有安全操作系统与移动操作系统,其中,移动操作系统可以是一个或多个移动操作系统。根据图3所示的系统,其包括数据通路50,设置在安全操作系统10与移动操作系统20之间。虽然图3中仅仅示意了一个数据通路,但是本领域技术人员不难理解到在包括若干移动操作系统20的情况下,各移动操作系统与安全操作系统10之间均设置有数据通路50,或各移动操作系统共用同一个数据通路50。图3所示的可信用户界面显示系统还包括处理单元51与显示输出单元53。数据通路50用于将移动操作系统20的待显示界面的数据传送给安全操作系统10。处理单元51设置于安全操作系统10中,用于处理自数据通路50传输来的待显示界面的数据。显示输出单元53用于将经处理的待显示界面的数据输出到该电子设备的显示部件。
[0033]根据本发明的一个示例,处理单元51还包括特征分析子单元(未示出)。该特征分析子单元用于对所接收的数据进行特征分析,基于预设特征值确定所接收的数据是否表明该待显示界面为不可信界面。对来自移动操作系统的界面,用户预先设置了针对其的特征值到电子设备中,亦即预设特征值。根据本发明的示例,特征分析结果表明该数据不符合预设特征值,即表明所采样的数据是不可信界面。处理单元51还包括标识子单元(未图示)在确定为不可信界面的情况下,对该界面进行标识。作为示例,标识子单元通过在该待显示界面中插入水印来标识其为不可信界面。可替代地,标识子单元实现在该显示输出单元53中,在确定为不可信界面的情况下,处理单元51通知显示输出单元53,令实现在其中的标识子单元在该待显示界面中插入水印以将该待显示界面标识为不可信界面。
[0034]根据本发明的又一个示例,处理单元51还包括采样子单元(未图示)。采样子单元用于在对所接收的数据进行特征分析之前,先对所接收的数据以时间T作为采样间隔进行采样,然后传送给所述特征分析单元。因安全系统要在移动系统的数据显示之前对其进行处理,从而对显示速度有一定影响,如此经由采样子单元对要显示的界面的数据进行采样处理,可大大削弱上述影响。采样时间T的设置已在上文阐述,不再赘述。
[0035]例如图3所示的可信用户界面显示系统,其可通过软件实现为软件模块、硬件模块或软件与硬件模块的结合。其中数据通路50可是新设置的电子传输线路,也可复用电子设备中原本就已存在的电子传输线路。处理单元51可实现为安全显示驱动单元的一部分,而显示输出单元53可实现为显示帧缓冲单元的一部分。
[0036]执行根据图2所示的方法,或采用如图3所示的系统,可使移动操作系统的数据在显示之前,均经由安全操作系统进行例如标记的处理,从而显示时,便可使用户一目了然该界面是否是可信操作界面。与已有技术相比,本发明提供的技术方案中,显示屏完全由安全操作系统控制,来自移动操作系统的待显示界面的数据经过安全操作系统的处理才能显示,这使得待显示的界面都处于安全操作系统的监控之下,这也使得安全操作系统方便地区分安全操作系统与移动操作系统。
[0037]图4是根据本发明的一个具体示例的可信用户界面显示系统的结构示意图。如图4所示,该示例中,图3中所示的显示输出单元53实现在显示帧缓冲单元(下文以标号53标识该显示帧缓冲单元),而移动操作系统依然保留其显示驱动单元60,图3中所示的数据通路则具体实现在该移动操作系统的显示驱动单元60与显示帧缓冲单元53之间。结合图4所示的可信用户界面显示系统与图2所示的可信用户界面显示方法,阐述一个具体示例。该具体示例中,待显示的界面是银行卡密码输入界面。
[0038]在步骤200,移动操作系统20’将银行卡密码输入界面通过显示驱动单元60输入到安全操作系统10’。在步骤201,安全操作系统10’的显示输出单元53接收待显示的银行卡密码输入界面的数据;进一步,安全操作系统10’的处理单元51对该数据进行处理。具体而言,采样子单元510以例如I秒的间隔时间采样该数据,特征分析子单元512对采样后的数据进行特征分析,并基于预设特征值确定所采样的数据是否表明该待显示界面为不可信界面。如果特征子单元512发现特征分析结果与预设特征值不符,则在该显示帧缓冲单元中,在该待显示界面上插入水印以表明该银行卡密码输入界面是不可信界面。被插入了水印的银行卡密码输入界面最终再经由显示帧缓冲区输出到显示屏,因为水印,用户可确知该界面是非可信界面,由此,便可避免通过该界面输入银行卡密码。
[0039]此外,如图4所示的示例中,安全操作系统的显示单元,其数据直接输出到显示帧缓冲单元53,而无需经过处理单元51。
[0040]根据本发明的各示例,移动操作系统下的恶意程序将无法复制可信用户界面,也无法扰乱可信用户界面的使用。假设能把水印信息一起加入到伪造的可信新用户界面,但因为特征值检测,使得被识别出的伪造界面依然会被打上不可信的水印,从而明确该界面的为不可信界面。
[0041]尽管已结合附图在上文的描述中,公开了本发明的具体实施例,但是本领域技术人员可以理解到,可在不脱离本发明精神的情况下,对公开的具体实施例进行变形或修改。本发明的实施例仅用于示意并不用于限制本发明。
【主权项】
1.一种可信用户界面显示方法,其应用在采用安全操作系统与移动操作系统的电子设备中,该方法包括以下步骤: a)在显示之前,将来自所述移动操作系统的待显示界面的数据传送给所述安全操作系统; b)所述安全操作系统接收待显示界面的数据,并处理待显示界面的数据; c)将经处理的待显示界面的数据输出到该电子设备的显示部件,以便显示。2.如权利要求1所述的可信用户界面显示方法,其特征在于,所述步骤b)包括: bl)对所接收的数据进行特征分析,基于预设特征值确定所接收的数据是否表明该待显示界面为不可信界面; b2)在确定为不可信界面的情况下,对该界面进行标识。3.如权利要求2所述的可信用户界面显示方法,其特征在于,所述步骤b)还包括在对所接收的数据进行特征分析之前,先对所接收的数据以时间T作为采样间隔进行采样,然后对经过采样的数据进行特征分析,并基于预设特征值确定所采样的数据是否为不可信界面。4.如权利要求3所述的可信用户界面显示方法,其特征在于,所述时间T略小于处理来自所述移动操作系统的敏感用户界面的时间或与该时间相当。5.如权利要求2所述的可信用户界面显示方法,其特征在于,步骤b2)中,是通过在该数据的显示界面中插入水印来标识其为不可信界面。6.如权利要求1到5中任意一项所述的可信用户界面显示方法,其特征在于,所述电子设备为智能手机。7.一种可信用户界面显示系统,其应用在采用安全操作系统与移动操作系统的电子设备中,该系统包括: 数据通路,其设置于所述电子设备,用于将移动操作系统的待显示界面的数据传送给所述安全操作系统; 处理单元,其设置于安全操作系统,用于处理待显示界面的数据; 显示输出单元,其设置于安全操作系统,用于将经处理的待显示界面输出到该电子设备的显示部件。8.如权利要求7所述的可信用户界面显示系统,其特征在于,处理单元包括: 特征分析子单元,其用于对所接收的数据进行特征分析,基于预设特征值确定所接收的数据是否表明该待显示界面为不可信界面; 标识子单元,其用于在确定为不可信界面的情况下,对该界面进行标识。9.如权利要求8所述的可信用户界面显示系统,其特征在于,处理单元还包括采样子单元,其用于在对所接收的数据进行特征分析之前,先对所接收的数据以时间T作为采样间隔进行采样,然后传送给所述特征分析子单元。10.如权利要求9所述的可信用户界面显示系统,其特征在于,所述时间T略小于用户处理来自所述移动操作系统的敏感用户界面的时间或与该时间相当。11.如权利要求8所述的可信用户界面显示系统,其特征在于,所述标识子单元设置成在在确定为不可信界面的情况下,在该数据的显示界面中插入水印从而标识其为不可信界面。12.如权利要求7到11中任意一项所述的可信用户界面显示系统,其特征在于,所述电子设备为智能手机。
【专利摘要】本发明涉及可信用户界面显示方法,其应用在采用安全操作系统与移动操作系统的电子设备中,该方法包括:a)在显示之前,将移动操作系统的待显示界面的数据传送给所述安全操作系统;b)所述安全操作系统接收来自所述移动操作系统的待显示界面的数据,并处理待显示界面的数据;c)将经处理的待显示界面的数据输出到该电子设备的显示部件,以便显示。还提供可信用户界面显示系统。
【IPC分类】G06F21/74, G06F21/57
【公开号】CN105590069
【申请号】CN201510714409
【发明人】陈成钱, 周钰, 郭伟
【申请人】中国银联股份有限公司
【公开日】2016年5月18日
【申请日】2015年10月29日