用于在终端的显示设备上显示信息的方法
【专利摘要】本发明涉及在终端,特别是移动终端的显示设备(D1、D2)上显示信息的方法,其中终端包含实现正常运行时环境(NZ)和受保护运行时环境(TZ)的微处理器单元,其中可以通过正常运行时环境(NZ)和受保护运行时环境(TZ)的方式将显示数据(DD1、DD2、DD2’、TDD2)提供用于在显示设备(D1、D2)上再现。在这种情况下,通过正常运行时环境(NZ)提供的至少一些显示数据(DD2)被转送到受保护运行时环境(TZ),该受保护运行时环境检查被转送的显示数据(DD2)是否符合一项或多项安全标准,其中如果显示数据(DD2)不符合至少一项安全标准,那么它们被拒绝或者变更以使得:当接下来在显示设备(D1、D2)上再现它们时,它们可以与通过所述受保护运行时环境(TZ)的方式提供的显示数据(TDD2)区别开来。
【专利说明】用于在终端的显示设备上显示信息的方法
【技术领域】
[0001]本发明涉及在终端,特别是移动终端的显示设备上显示信息的方法,并且还涉及适当的终端。
【背景技术】
[0002]现有技术公开了在终端的微处理器单元中实现以下二者的实践:不仅有正常的、不受单独保护的运行时环境(runtime enviixmment),还有与正常运行时环境隔离并且用于执行安全关键(security-critical)应用的受保护运行时环境。这样的受保护运行时环境的示例是从现有技术得知的ARM? TrustZone? (信任区)。在这种情况下,该信任区具有在其内部运行的分离的操作系统,如同样已知的MobiCore*:操作系统。
[0003]为使用户与受保护运行时环境中的适当的应用通信,通常使用终端中提供的显示设备,其中分离的显示器或者分离的显示区域能够被提供作为用于例如来自信任区的应用的用户界面。在这种情况下,与正常运行时环境并行的受保护运行时环境的使用的一个问题是:如何可以以尽可能多地防止操纵的方式,向用户提供他当前正与来自受保护运行时环境的可信的应用通信的指示。具体而言,这种情况的目标是阻止这样的攻击:这些攻击使用来自正常运行时环境的被操纵的应用来诱导用户相信他正与受保护运行时环境通信。在这种情况下,未授权的第三方可以使用适当的输入请求来推敲出诸如密码、PIN等等的用户相关数据。
[0004]现有技术公开了向终端配备多个显示元件的实践。文档DE2009022222A1描述了具有两个可以被分别驱动的显示元件的终端,其中一个显示元件连接到安全元件。该显示元件用于再现可信的信息。文档DE602004007152T2公开了终端的多层显示,该多层显示被用于叠加数条信息。
【发明内容】
[0005]本发明的一个目的是在终端的显示设备上再现信息,以使得以防止操纵的方式向用户提供信息是否是可信的指示。
[0006]该目的是通过根据专利权利要求I的方法和根据专利权利要求14的终端实现的。在从属权利要求中限定了对本发明的进化。
[0007]本发明的方法用于在终端,特别是诸如移动电话、PDA等等之类的移动终端的显示设备上显示信息。终端包含实现正常运行时环境和受保护运行时环境的微处理器单元,其中用于在显示设备上再现的显示数据可以通过正常运行时环境和受保护运行时环境而被提供。
[0008]本发明的方法的区别在于:通过正常运行时环境提供的显示数据至少部分地被转送到受保护运行时环境,该受保护运行时环境检查所转送的显示数据是否符合一项或多项安全标准。安全标准可以是任意的设计。它们仅仅需要确保:当符合安全标准时,用户可以信任显示数据没有在未授权的情况下被操纵。如果显示数据不符合至少一项安全标准,本发明的一个变体涉及显示数据被拒绝,即根本不在显示设备上显示。同样的,可以变更显示数据以使得:在显示设备上的随后再现期间,用户能够将它们与通过受保护运行时环境提供的显示数据区别开来。这确保了 :即使在被操纵应用的情况下,也使得用户能够识别应用是在正常运行时环境还是受保护运行时环境中被执行的。
[0009]本发明的方法具有这样的优点:显示设备可以被受保护运行时环境和正常运行时环境二者使用,同时确保了 :对适当安全标准的检查可以识别出在没有授权的情况下被操纵的应用。在一个优选的实施例中,如果被转送到受保护运行时环境的显示数据符合一项或多项安全标准(即,所有的安全标准),那么它们可在显示设备上再现而无需变更。
[0010]在一个特定优选的实施例中,上文描述的一项或多项安全标准包括这样的标准:在被转送显示数据在显示设备上的再现期间,被转送显示数据可以与通过受保护运行时环境提供的显示数据区别开。就是说,如果数据是可区别的,那么就符合该安全标准。在本发明的这个变体中,在来自正常运行时环境的显示数据的基础上,信息的可信度的缺失被直接耦合到对受保护运行时环境的假装(feign)。
[0011]在一个特定优选的实施例中,本发明的方法被用在具有显示设备的终端中,该显示设备包括第一显示元件和第二显示元件。在这种情况下,第一显示元件用于专门再现由正常运行时环境提供的显示数据。通常,在这种情况下第一显示元件大于第二显示元件。相比之下,第二显示元件在本发明的上下文内被用于再现由受保护运行时环境提供的显示数据和由正常运行时环境提供的显示数据两者。在这种情况下,由正常运行时环境提供的、为了在第二显示元件上再现的目的而被提供的显示数据被转送到受保护运行时环境并且经受本发明对于安全标准的检查。这样,正常只由受保护运行时环境使用的某一(第二)显示元件,在对上述安全标准的检查防止了误用的情况下,也可以用于来自正常运行时环境的应用。
[0012]第一和第二显示元件可以可能地是两个被分别驱动的显示器。相似地,可能有第一和第二显示元件是单个显示器上的两个显示区域的选项。
[0013]在本发明的一个特定优选的实施例中,所使用的受保护运行时环境是固有已知的ARM?信任区?,优选地同样已知的MobiCoreK操作系统在其上运行。在本发明的另一变体中,终端是移动电话,而该移动电话的操作系统在正常运行时环境上运行。具体而言,移动电话是已知的智能电话,其使用具有扩展功能范围的操作系统(也被称作丰富OS)
[0014]当本发明的方法涉及到在至少一项安全标准不符合的情况下变更被转送到受保护运行时环境的显示数据时,可以用各种方式作出变更,只需要确保用户能够识别该显示数据没有通过受保护运行时环境提供。这可以通过例如向显示数据添加警告消息来实现。该警告消息向用户指出该显示数据尝试诱导人相信它们是通过受保护运行时环境提供的,尽管不是这种情况。变更被转送到受保护运行时环境的显示数据的另一方式可以涉及:修改或者从显示数据中移除一个或多个预定的图形元素,这些图形元素是所转送的显示数据包含的并且使得用户能够识别在显示设备上再现的显示数据是通过受保护运行时环境提供的。
[0015]在另一特定优选的实施例中,在对显示数据进行图形分析的基础上检查上述安全标准。在这种情况下,受保护运行时环境分析所转送的显示数据以确定它们是否包含一个或多个预定的图形元素,这些图形元素使得用户能够识别在显示设备上再现的显示数据是由受保护运行时环境提供的,其中如果显示数据包括(一个或多个)预定的图形元素,那么至少一项安全标准不被满足。
[0016]上述被修改或者从显示数据中移除或者作为图形分析的一部分被处理的图形元素可以是任意设计。举例来说,它们可以是预定的框架,特别是预定颜色(例如,红色)的框架。相似地,图形元素可以包括一个或多个动画的图像元素和/或图例(legend),如图例“信任区活动”。
[0017]由受保护运行时环境执行的对安全标准的检查还可以可能地包括密码检查(cryptographical check)。在这种情况下,可以广泛地理解术语“密码检查”。具体而言,密码检查还包括对被转送到受保护运行时环境的显示数据所包含的一个或多个数字签名的检查。在这种情况下,可以设计签名检查以使得:如果(一个或多个)签名是有效和/或可信的,那么就符合相关的安全标准。具体而言,对于密码检查,具有涉及对被转送的显示数据中的一个或多个图形元素的检查。优选地,这涉及对分别与显示数据中的图形元素相关联的一个或多个数字签名的检查。在这种情况下,该检查可以被设计为使得:如果签名被分类为有效和/或可信的,那么就符合安全标准。
[0018]除了上述的方法外,本发明还涉及终端,特别是移动终端。该终端包括实现正常运行时环境和受保护运行时环境的微处理器单元,还包括显示设备,其中用于在显示设备上再现的显示数据可以通过正常运行时环境和受保护运行时环境提供。在这种情况下,终端被设计为使得:通过正常运行时环境提供的显示数据至少部分地被转送到受保护运行时环境,该受保护运行时环境检查被转送的显示数据是否符合一项或多项安全标准,其中如果显示数据不符合至少一项安全标准,则它们被拒绝或者变更以使得:在显示设备上的随后的再现期间,用户能够将它们与通过受保护运行时环境提供的显示数据区别开来。在这种情况下,本发明的终端被优选地设计为使得:终端可以被用于执行上述本发明的方法的一个或多个变体。
【具体实施方式】
[0019]下文参考附图1,详细地描述本发明的示例性实施例。该图示出了用于本发明的方法的实施例的序列的示意性说明。
[0020]下面的文本描述了基于带有显示设备的移动电话形式的终端的本发明的方法的示例性实施例,该显示设备具有两个显示元件或显示器的形式。显示器及其硬件由图I中的Dl和D2示意性地表示。在移动电话中安装的微控制器具有正常运行时环境NZ和受保护运行时环境TZ,该受保护运行时环境TZ具有在其中被实现的已知的ARMk TrustZoneii(信任区)的形式。在这里描述的实施例中,从现有技术中得知并且由图I中的MC表示的MobiCorex操作系统在信任区上运行。相比之下,正常运行时环境包含传统的移动电话操作系统OS。如果移动电话是智能电话,那么操作系统是具有扩展的功能范围的已知的丰富(rich)OS。信任区TZ用于执行使用移动电话的安全关键应用,例如执行支付交易或银行应用或者处理个人的特定于用户(user-specific)的数据的其他应用。在这种情况下,受保护运行时环境被与正常运行时环境相隔离并且对实现免受来自未授权第三方的攻击的高效保护的安全关键进程进行封装。在信任区TZ内运行的安全关键应用被称作信任应用(trustlet),其中信任应用TRA和TRB通过示例的方式在图I中被再现。相比之下,由图I中的API和AP2通过示例的方式表示的传统应用在正常运行时环境NZ中运行。
[0021]为了使得信任应用与用户交互,使用移动电话中的显示器D2,用户可以从该显示器中读出来自信任应用的适当输出并且所述用户还可以使用小键盘在该显示器上进行输入。在这种情况下,用户被提供对如下事实的图形指示:当前正在运行的应用来自受保护运行时环境,该图形指示在这里描述的实施例中通过框架(frame)的方式完成,该框架在显示器上被再现并且特别地以诸如红色之类的特定颜色展现。还可能有其他选项用于通过显示器D2图形地向用户指出:他当前正与信任区中的应用通信。具体而言,诸如动画图标之类的具体图像或图标可以用于信任应用,或者显示器可以用于再现图例,该图例指出该显示指示与信任区中的应用有关。举例来说,这可以通过诸如“信任区活动”或者“受保护的显示”之类的图例实现。
[0022]通常地,显示器D2比显示器Dl小的多,这是因为信任区中的信任应用通常用于处理和显示较少量的数据。本发明现在提供这样的选项:较小的显示器D2也被来自正常运行时环境NZ的应用用于通信。举例来说,显示器D2可以被再现短状态消息或者诸如短消息之类的其他短信息的应用使用。其他示例为:MP3播放器软件的显示、新电子邮件或者SMS已经被接收的显示等等。在这种情况下,不再需要保持大显示器Dl处于运行中以再现这些少量的信息。这成就了低功率消耗并因此成就了移动电话更长的电池寿命。
[0023]为了向用户传送在显示器D2上再现的相关应用不是来自信任区的,显示器上指示信任应用的使用的适当标记或者图形元素(如上文描述的红色框架)对于正常运行时环境NZ中的应用被省略。然而,在这种情况下,有这样的问题:使用被操纵应用通过正常运行时环境对显示器D2的访问可以诱导用户相信该应用正在信任区中运行,即使不是这种情况。被操纵应用可以要求认为他正安全地与信任应用通信的用户输入诸如密码或PIN之类的个人信息,随后该信息被被操纵应用推敲出来(tap off)。为了抵制这种类型的攻击,本发明涉及在信任区内对来自正常运行时环境并意图在显示器D2上再现的显示数据进行检查,如下文更详细地说明。
[0024]在图I的场景中,正常运行时环境NZ中的应用APl与更大的显示器Dl交互。为此目的,向负责显示器Dl的显示呈现器DRl发送适当的呈现命令RC,其中显示呈现器将命令转换为在显示器Dl上显示的基于像素的显示数据DD1。相似地,分离的可信的显示呈现器TDR2被用于再现来自信任区TZ中的信任应用TRA和TRB的显示数据。来自信任应用TRA和TRB的相关呈现命令RC由这个呈现器转换为基于像素的显示数据,接着在显示器D2上再现该显示数据。在这种情况下,呈现器TDR2添加可以用于识别该显示数据来自信任区的适当元素(例如,上文提到的红色框架)。应用AP2与应用APl的区别在于:所产生的显示数据意图在更小的显示器D2上被再现。为此目的,使用适当的显示呈现器DR2来将来自应用AP2的呈现命令转换为意图用于显示器D2的基于像素的显示数据DD2。
[0025]为了防止上述使用显示数据DD2来假装活动信任区的被操纵应用,显示数据DD2被转送到MobiCore操作系统MC内的算法CH,该算法检查这些数据。为此目的,MobiCore操作系统知道在显示器D2上显示活动信任区的方式。这可以由例如已经在上文描述过的显示器D2中的红色框架实现。在这种情况下,算法CH检查意图在显示器D2上图形地显示的显示数据DD2,以确定要被显示的信息周围是否有红色框架。这样的检查不要求图像识别中的任何复杂算法并且可以因此在资源有限的移动电话上容易地实现。[0026]如果算法CH现在识别出显示数据DD2包含红色框架或者相似的表示,该框架在显示之前被至少部分地从像素数据DD2中移除,或者被变更以使得不再有任何这样的风险:显示器D2的用户对带有信任区的红色框架的该显示数据感到迷惑。作为示例,这可以通过减小显示器D2的边缘区域中红色的比例以使得框架不再以红色出现来实现。这样,移动电话的用户被通知:该应用不在信任区中运行,结果,用户知道:在与该应用的交互期间,他最好不应该输入任何个人数据,即使被要求这样的数据。在此实例中,被相应变更并且接着在显示器D2上显示的像素数据由图I中的DD2’表示。为了进一步增加安全性,算法CH也有可能可以完全拒绝该像素数据和/或在显示器D2中示出可能的攻击的警告,结果,向用户明确指出:在使用该应用时,他最好不应该输入任何个人数据。
[0027]取代使用红色框架指示活动的信任区,这还可以通过使用静态的或者动画的图像来完成,如上文已经提到的那样。在当今的移动电话上的操作系统中,所使用的图像或者动画被存储为图标并且在窗口内容被呈现(即,被绘制)之前不被复制到相关的图形存储器。通常不是在应用的执行时间中而是在针对相关应用的实际软件开发或者软件编写期间来产生图标的。如果活动的信任区现在被动画图标指出,那么用于对相关显示数据DD2是否包含用于假装信任区的这样的图标的图像检查比诸如上文所述的红色框架之类的较简单元素的情形要困难得多。具体而言,这要求针对信任区的该部分的复杂分析算法以确定针对人眼的相似性。
[0028]在一个修改的实施例中,对于图标的图形检查因此被签名检查替换。在这种情况下,从正常运行时环境传输到信任区的图标具有已经在相关应用的实际软件开发期间被引进的数字签名。如果显示数据DD2内的图标具有这样的数字签名,那么在显示器D2上显示该图标之前,信任区只检查这个签名。如果各个图标的签名接着被识别为有效或者可信,则包括这些图标的显示数据被没有更换地再现,因为在这种情况下该应用被归类为可信的。为了使数字签名需要尽可能少地被检查,信任区可以在高速缓存中存储图标自身或者信任区自身已计算出的图标的散列值(hash value) 0如果一个或多个图标不具有数字签名,则显示数据可以完全不在显示器D2上展现或者随后执行对于图标的图形检查以确定它们是否是被认为假装活动信任区的图标。如果是这种情况,从显示数据中移除这些图标或者输出警告消息,结果,用户被告知该应用不在受保护运行时环境中运行。
[0029]参考图I描述的本发明的实施例已经基于两个被分别驱动的显示器Dl和D2被说明。然而,本发明还可以被应用于显示器D2和更大的显示器Dl—起被使用的终端。就是说,两个显示器是普通大显示器内的两个显示区域。在这种情况下,正常运行时环境中带有合适驱动器的操作系统OS负责呈现要被展现的数据。从个体应用的视角来看,那么只存在单个显示器。
[0030]上文已经描述的本发明的实施例具有一系列的优点。具体而言,来自不受保护的正常运行时环境的应用的显示数据还能够在本身为受保护运行时环境提供的显示区域内再现。这确保用户可以安全地并且容易地识别当前正在使用的应用是否正在信任区上运行或者是否是可信的。来自正常运行时环境的应用对活动信任区的假装是通过如下方式发现的:对显示数据的图形检查的方式或者还可能对签名的检查的方式。根据本发明,为了在终端上指示信任区当前是活动的,不需要诸如LED等等之类的额外元件。
[0031]参考符号列表[0032]NZ正常运行时环境
[0033]TZ受保护运行时环境
[0034]API, AP2正常运行时环境中的应用
[0035]5 TRA,TRB信任应用
[0036]RC呈现命令
[0037]DRl, DR2, TDR2 显示呈现器
[0038]CH检查算法
[0039]DDl, DD2, DD2’,TDD2显示数据
[0040]10 OS正常运行时环境中的操作系统
[0041]MCMobiCore 操作系统
[0042]Dl, D2显示器
【权利要求】
1.一种用于在终端,特别是移动终端的显示设备(D1、D2)上显示信息的方法,其中所述终端包含实现正常运行时环境(NZ)和受保护运行时环境(TZ)的微处理器单元,其中用于在所述显示设备(D1、D2)上再现的显示数据(DD1、DD2、DD2’、TDD2)可以通过所述正常运行时环境(NZ)和所述受保护运行时环境(TZ)被提供, 其特征在于 通过所述正常运行时环境(NZ)提供的显示数据(DD2)至少部分地被转送到所述受保护运行时环境(TZ),所述受保护运行时环境检查被转送的显示数据(DD2)是否符合一项或多项安全标准,其中如果所述显示数据(DD2)不符合至少一项安全标准,那么它们被拒绝或者变更以使得:在所述显示设备(Dl、D2)上随后的再现期间,它们可以与通过所述受保护运行时环境(TZ)提供的显示数据(TDD2)区别开来。
2.如权利要求1所述的方法,其特征在于所述一项或多项安全标准包括如下标准:在所述显示设备(D1、D2)上再现上述显示数据期间,所述被转送的显示数据(DD2)是可以与通过所述受保护运行时环境(TZ)提供的显示数据区别开来的。
3.如权利要求1或2所述的方法,其特征在于所述显示设备(D1、D2)包括第一显示元件(Dl)和第二显示元件(D2),其中所述第一显示元件(Dl)用于专门再现通过所述正常运行时环境(NZ)提供的显示数据(Dl),并且其中所述第二显示元件(D2)用于再现如下两者:通过所述受保护运行时环境(TZ)提供的显示数据(TDD2)和通过所述正常运行时环境(NZ)提供的、已被预先转送到所述受保护运行时环境(TZ)并且经受了对于所述一项或多项安全标准的检查的显示数据(DD2、DD2’)。
4.如权利要求3所述的方法,其特征在于所述第一显示元件和所述第二显示元件(Dl、D2)是两个被分别驱动的显示器。
5.如权利要求3或4所述的方法,其特征在于所述第一显示元件和所述第二显示元件(D1、D2)是单个显示器上的两个显示区域。
6.如前述权利要求中的一个权利要求所述的方法,其中所述受保护运行时环境(TZ)是在其上优选地运行操作系统MobiCore ItJARM wTrustZonc 10 0
7.如前述权利要求中的一个权利要求所述的方法,其特征在于所述终端是移动电话以及所述移动电话的操作系统在所述正常运行时环境(NZ)上运行。
8.如前述权利要求中的一个权利要求所述的方法,其特征在于:如果不符合至少一项安全标准,那么所述受保护运行时环境(TZ)变更转送给它的所述显示数据(DD2)以使得所述显示数据具有添加到它们的警告消息。
9.如前述权利要求中的一个权利要求所述的方法,其特征在于:如果不符合至少一项安全标准,那么所述受保护运行时环境(TZ)变更转送给它的所述显示数据(DD2)以使得:所述被转送的显示数据(DD2)包含的并且使得用户能够识别所述显示设备(D1、D2)上再现的显示数据是通过所述受保护运行时环境(TZ)提供的的一个或多个预定图形元素被修改或者从所述显示数据(DD2)中移除。
10.如前述权利要求中的一个权利要求所述的方法,其特征在于:所述受保护运行时环境(TZ)图形地分析转送给它的所述显示数据(DD2)以确定它们是否包含一个或多个预定的图形元素,所述一个或多个预定的图形元素使得用户能够识别在所述显示设备(D1、D2)上再现的显示数据是通过所述受保护运行时环境(TZ)提供的,其中如果所述显示数据(DD2)包括所述一个或多个预定的图形元素,那么至少有一项安全标准不被符合。
11.如权利要求9或10所述的方法,其特征在于所述一个或多个图形元素包括预定框架和/或一个或多个动画图像元素和/或图例。
12.如前述权利要求中的一个权利要求所述的方法,其特征在于由所述受保护运行时环境(TZ)进行的对于所述一项或多项安全标准的检查包括密码检查,其中所述密码检查优选地包括对于所述被转送的显示数据(DD2)所包含的一个或多个数字签名的检查。
13.如权利要求12所述的方法,其特征在于针对所述被转送的显示数据(DD2)中的一个或多个图形元素执行所述密码检查,其中特别地对分别与所述显示数据(DD2)中的图形元素相关联的一个或多个数字签名进行检查。
14.一种终端,特别是移动终端,包括实现正常运行时环境(NZ)和受保护运行时环境(TZ)的微处理器单元、以及显示设备(D1、D2),其中用于在所述显示设备(D1、D2)上再现的显示数据(DD1、DD2、DD2’、TDD2)可以通过所述正常运行时环境(NZ)和所述受保护运行时环境(TZ)被提供, 其特征在于 所述终端被设计为使得通过所述正常运行时环境提供的显示数据(DD2)至少部分地被转送到所述受保护运行时环境(TZ),所述受保护运行时环境检查被转送的显示数据(DD2)是否符合一项或多项安全标准,其中如果所述显示数据(DD2)不符合所述一项或多项安全标准,那么它们被拒绝或者变更以使得:在所述显示设备(D1、D2)上随后的再现期间,它们可以与通过所述受保护运行时环境(TZ)提供的显示数据(TDD2)区别开来。
15.如权利要求14所述的终端,该终端被设计为使得所述终端可以用于执行如权利要求2至13中的一个权利要求所述的方法。
【文档编号】H04W12/10GK103503426SQ201280018611
【公开日】2014年1月8日 申请日期:2012年4月19日 优先权日:2011年4月21日
【发明者】阿克塞尔·海德 申请人:信特尼有限公司