安全调度显示的系统、方法及辅助显示装置的制作方法

专利名称：安全调度显示的系统、方法及辅助显示装置的制作方法
技术领域：
本发明主要涉及显示技术领域，尤其涉及一种安全调度显示的系统、方法 及辅助显示装置。
背景技术：
随着计算机技术的演进和液晶显示屏技术的发展，越来越多的计算机生产 厂商通过在计算机上增加辅助显示屏来提升用户与计算机之间的交互体验。例
如，微软的辅助显示(Sideshow)技术，通过在笔记本计算机上设置辅助显示 屏来显示电子邮件、媒体播放等信息，使用户能够在不开机的情况下，方便地 使用计算机中包含的功能。另外， 一些笔记本计算机厂商通过在笔记本计算机 上增加辅助显示屏，通过该辅助显示屏显示CPU状态和时间等信息。除此以 外， 一些键盘厂商通过在键盘上设置辅助显示屏，通过该辅助显示屏显示游戏 的快捷按键信息。
由于额外设置了辅助显示屏，因此，用户将可以使用辅助显示屏进行相关 的业务操作，例如网上支付、虛拟专网(VPN， Virtual Private Network)登录、 个人防火墙设置。但是由于现有辅助显示技术中常釆用安全性较差的开放式共 享显示系统，对于显示的内容缺乏有效地安全性验证，因此，在用户使用辅助 显示屏的过程中容易受到恶意程序和网站的隐秘攻击(stealthattack),从而无 法保证用户使用辅助显示屏进行相关业务才喿作的安全性。例如，用户使用辅助 显示屏进行网上支付时，恶意程序和网站将可能对辅助显示屏的显示内容进行 截获、修改、伪造、或遮盖系统的正常提示，搜集并记录用户保留的关键金融 数据，通过记录下的金融数据伪造用户交易，从而造成用户的金融损失。

发明内容
有鉴于此，本发明的具体实施例的目的在于提供一种安全调度显示的系统、方法及辅助显示装置，通过本发明的具体实施例所述的安全调度显示的系 统、方法及辅助显示装置，达到对多个应用模块的待显示内容进行安全调度显 示的目的。
一方面，本发明具体实施例提供了一种安全调度显示的系统，包括主机 系统和辅助显示系统；
所述主才几系统包括至少 一个操作系统，所述至少一个操作系统包括至少一 个应用模块，用于向所述辅助显示系统发送显示请求消息和待显示内容；
所述辅助显示系统包括显示控制单元和辅助显示单元，所述显示控制单元 包括
请求响应模块，用于接收并根据所述显示请求消息，为所述至少一个应用 模块配置访问权限，并返回显示请求响应消息给所述至少一个应用模块；
鉴权模块，用于为所述至少一个应用模块分配鉴权参数，根据所述鉴权参 数对所述至少 一个应用模块进行鉴权；
显示调度模块，用于根据所述访问权限为所述至少一个应用模块配置显示 权限，根据所述显示权限对所述待显示内容进行调度；
显示驱动模块，用于在鉴权成功时，驱动所述辅助显示单元在所述显示调 度模块的调度下显示所述待显示内容。
优选地，所述主机系统与所述辅助显示系统的访问方式为虚拟机访问方 式，所述主机系统还包括虚拟机管理器，所述显示控制单元设置于所述虛拟机 管理器中。
或者优选地，所述鉴权模块具体为访问鉴权模块，用于发送密钥请求响应 消息，所述密钥请求响应消息用于要求所述至少一个应用模块返回显示访问密 钥，对所述至少 一个应用模块返回的所述显示访问密钥进行有效性验证。 或者优选地，所述鉴权模块具体为显示鉴权模块，包括 显示密钥分配模块，用于为所述至少一个应用模块分配第一显示密钥和第 二显示密钥；
显示密钥发送模块，用于将所述第一显示密钥发送给所述至少一个应用模
块；
9报文接收模块，用于接收所述至少一个应用模块发送的报文，所述报文为 所述至少一个应用模块根据所述第一显示密钥对所述待显示内容进行加密后
生成的报文；
报文解密模块，用于根据所述第二显示密钥对所述报文进行解密； 报文验证模块，用于对所述报文进行有效性验证。 或者优选地，所述鉴权模块具体为标识鉴权模块，包括 显示标识分配^^莫块，用于为所述至少一个应用才莫块分配第一显示标识； 显示标识发送模块，用于将所述第一显示标识发送给所述至少一个应用模
块；
显示标识接收模块，用于接收所述至少一个应用模块发送的第二显示标
识；
显示标识验证模块，用于根据所述第一、第二显示标识对所述至少一个应 用;f莫块进行有效性^r证；
其中，所述第一、第二显示标识包括应用标识和会话标识。 或者优选地，所述鉴权模块包括
访问鉴权模块，用于发送密钥请求响应消息，所述密钥请求响应消息用于 要求所述至少一个应用模块返回显示访问密钥，对所述至少一个应用模块返回 的所述显示访问密钥进行有效性验证；
显示鉴权模块，包括显示密钥分配模块，用于为所述至少一个应用模块 分配笫一显示密钥和第二显示密钥；显示密钥发送模块，用于将所述第一显示 密钥发送给所述至少一个应用模块；报文接收模块，用于接收所述至少一个应 用模块发送的报文，所述报文为所述至少一个应用模块根据所述第 一显示密钥 对所述待显示内容进行加密后生成的报文；报文解密模块，用于根据所述第二 显示密钥对所述报文进行解密；报文验证模块，用于对所述报文进行有效性验 证；
标识鉴权模块，包括显示标识分配模块，用于为所述至少一个应用模块 分配第一显示标识；显示标识发送模块，用于将所述第一显示标识发送给所述 至少一个应用模块；显示标识接收模块，用于接收所述至少一个应用模块发送 的第二显示标识；显示标识验证模块，用于根据所述第一、第二显示标识对所
10述至少 一个应用模块进行有效性验证。
优选地，所述第一显示密钥和所述第二显示密钥为同一密钥或者分别为一 个密钥对的^^钥和私钥。
优选地，所述显示控制单元还包括显示监控模块，包括
失效时间设定模块，用于设定所述待显示内容显示的失效时间；
访问权失效确定模块，在所述待显示内容的显示时间超过所述失效时间且
未收到所述至少一个应用模块重新发送的显示请求消息时，确定所述至少一个
应用模块的访问权限失效。
优选地，所述显示权限包括所述待显示内容的优先级和排队方式。 优选地，所述辅助显示系统为带有独立显示功能的嵌入式系统。 优选地，该系统设置于计算机、手持终端或个人数字助理设备中。
另一方面，本发明具体实施例还提供了一种安全调度显示的方法，包括 接收来自至少一个应用模块的显示请求消息和待显示内容；
在收到所述显示请求消息后，为所述至少一个应用模块配置访问权限并返 回显示请求响应消息给所述至少 一个应用模块；
为所述一个应用模块分配鉴权参数，根据所述鉴权参数对所述至少 一个应 用模块进行鉴权；
在鉴权成功时，根据所述访问权限为所述至少一个应用模块配置显示权 限，根据所述显示权限对所述待显示内容进行调度显示。
优选地，对所述至少一个应用;f莫块进行鉴权具体为
发送密钥请求响应消息，所述密钥请求响应消息用于要求所述至少一个应 用模块返回显示访问密钥，对所述至少一个应用模块返回的所述显示访问密钥 进行有效性验证，如果验证有效，表示鉴权成功。
或者优选地，对所述至少一个应用模块进行鉴权具体为
为所述至少一个应用模块分配第一显示密钥和第二显示密钥，将所述第一 显示密钥发送给所述至少一个应用模块；
接收所述至少 一个应用模块发送的报文，所述报文为所述至少 一个应用模 块根据所述第一显示密钥对所述待显示内容进行加密后生成的报文；
根据所述第二显示密钥对所述报文进行解密；
ii对解密后的所述报文进行有效性验证，如果验证有效，表示鉴权成功。
或者优选地，对所述至少一个应用模块进行鉴权具体为 为所述至少一个应用模块分配第一显示标识，将所述第一显示标识发送给 所述至少一个应用^^块；
接收所述至少一个应用模块发送的第二显示标识，根据所述第一、第二显 示标识对所述至少一个应用^t块进行有效性—睑-〖正，所述第一、第二显示标识包 括应用模块标识和会话标识；如果验证有效，表示鉴权成功。
优选地，所述显示权限包括所述待显示内容的优先级和排队方式。 优选地，该方法还包括通过设定所述待显示内容显示的失效时间监控所
述待显示内容的显示状态，当所述待显示内容的显示时间超过所述失效时间时
且未收到所述至少一个应用;f莫块重新发送的显示"t求消息时，确定所述至少一
个应用模块的访问权限失效。
另一方面，本发明具体实施例还提供了一种安全调度显示的辅助显示装
置，包括
请求响应模块，用于接收并根据所述显示请求消息，为所述至少一个应用 模块配置访问权限，并返回显示请求响应消息给所述至少一个应用模块；
鉴权模块，用于为所述至少一个应用模块分配鉴权参数，根据所述鉴权参 数对所述至少 一个应用才莫块进行鉴权；
显示调度才莫块，用于根据所述访问权限为所述至少一个应用模块配置显示 权限，根据所述显示权限对所述待显示内容进行调度；
显示驱动模块，用于在鉴权成功时，驱动所述辅助显示单元在所述显示调 度模块的调度下显示所述待显示内容。
优选地，所述鉴权模块具体为访问鉴权模块，用于发送密钥请求响应消息， 所述密钥请求响应消息用于要求所述至少一个应用模块返回显示访问密钥，对 所述至少 一个应用模块返回的所述显示访问密钥进行有效性验证。
或者优选地，所述鉴权模块具体为显示鉴权才莫块，包括
显示密钥分配才莫块，用于为所述至少一个应用才莫块分配第一显示密钥和第 二显示密钥；
显示密钥发送模块，用于将所述第一显示密钥发送给所述至少一个应用才莫块；
报文接收模块，用于接收所述至少一个应用模块发送的^^艮文，所述报文为 所述至少一个应用模块根据所述第一显示密钥对所述待显示内容进行加密后 生成的4艮文；
报文解密模块，用于根据所述第二显示密钥对所述报文进行解密； 报文验证模块，用于对所述报文进行有效性验证。 或者优选地，所述鉴权模块具体为标识鉴权模块，包括 显示标识分配模块，用于为所述至少一个应用模块分配第一显示标识； 显示标识发送模块，用于将所述第一显示标识发送给所述至少一个应用模
块；
显示标识接收模块，用于接收所述至少一个应用模块发送的第二显示标
识；
显示标识验证模块，用于根据所述第一、第二显示标识对所述至少一个应
用模块进行有效性验证；
其中，所述第一、第二显示标识包括应用模块标识和会话标识。 或者优选地，所述鉴权模块包括
访问鉴权模块，用于发送密钥请求响应消息，所述密钥请求响应消息用于 要求所述至少一个应用才莫块返回显示访问密钥，对所述至少一个应用模块返回 的所述显示访问密钥进行有效性验证；
显示鉴权模块，包括显示密钥分配模块，用于为所述至少一个应用模块 分配第一显示密钥和第二显示密钥；显示密钥发送模块，用于将所述第一显示 密钥发送给所述至少一个应用模块；报文接收模块，用于接收所述至少一个应 用模块发送的报文，所述报文为所述至少一个应用模块根据所述第一显示密钥 对所述待显示内容进行加密后生成的报文；报文解密模块，用于根据所述第二 显示密钥对所述报文进行解密；报文验证模块，用于对所述报文进行有效性验 证；
标识鉴权模块，包括显示标识分配模块，用于为所述至少一个应用模块 分配第一显示标识；显示标识发送模块，用于将所述第一显示标识发送给所述 至少一个应用模块；显示标识接收模块，用于接收所述至少一个应用模块发送
13的第二显示标识；显示标识验证模块，用于才艮据所述第一、第二显示标识对所 述至少 一 个应用才莫块进行有效性验证。
优选地，所述第一显示密钥和所述第二显示密钥为同一密钥或者分别为一 个密钥对的7>钥和私钥。
优选地，所述显示控制单元还包括显示监控模块，包括失效时间设定模 块，用于设定所述待显示内容显示的失效时间；访问权失效确定模块，在所述 待显示内容的显示时间超过所述失效时间且未收到所述至少一个应用模块重 新发送的显示请求消息时，确定所述至少一个应用模块的访问权限失效。
优选地，所述辅助显示单元为带有独立显示功能的嵌入式设备。
本发明的具体实施例所述的安全调度显示的系统、方法及辅助显示装置， 通过为应用模块分配显示密钥、访问权限和会话标识，对应用模块的待显示内 容进行显示访问密钥、显示密钥、应用标识和会话标识的多重有效性-睑i正，才艮 据访问权限为应用模块分配显示权限，根据显示权限的优先级和排队方式实现 对多个应用模块的待显示内容进行安全统一调度显示，使多个应用模块可以共 享一个辅助显示单元，保证辅助显示单元对多个应用模块的待显示内容的有序 安全显示，提高辅助显示单元的安全防护力度和工作效率以及用户的安全体 验，避免恶意程序和网站拦截或者修改辅助显示单元显示内容的事件发生。


图1为本发明第一具体实施例中安全调度显示系统的结构框图； 图1A为本发明第一具体实施例中显示鉴权^^块的内部结构框图; 图1B为本发明第一具体实施例中标识鉴权模块的内部结构框图； 图1C为本发明第一具体实施例中显示监控模块的内部结构框图； 图2为本发明第一具体实施例中安全调度显示方法的流程图； 图3为本发明第二具体实施例中安全调度显示系统的结构框图； 图3A为本发明第二具体实施例中显示鉴权模块的内部结构框图; 图3B为本发明第二具体实施例中标识鉴权模块的内部结构框图； 图3C为本发明第二具体实施例中显示监控模块的内部结构框图； 图4为本发明第二具体实施例中安全调度显示方法的流程图。
具体实施例方式
下面结合附图详细描述本发明的具体实施例。
图1为本发明第一具体实施例中安全调度显示系统的结构框图，图1中包
括主机系统1和辅助显示系统2，主机系统1包括主操作系统11,主操作系统
11包括第一应用模块1101、第二应用模块1102.....第n应用模块1103,辅
助显示系统2包括显示控制单元201和辅助显示单元202，其中，显示控制单 元201包括
请求响应模块2011，用于在收到主机系统1中的应用模块发送的显示请 求消息和待显示内容后，为所述应用模块配置访问权限并返回要求应用模块发 送显示访问密钥的密钥请求响应消息。
显示请求消息包括访问权限请求和应用标识。
所述访问权限为应用模块访问辅助显示系统的权限，辅助显示系统2根据 所述访问权限排队显示不同应用模块的待显示内容， 一般而言，访问权限优先 级高的应用模块可以中断访问权限优先级低的应用模块的待显示内容在辅助 显示系统2中的显示。
所述应用标识用以标识应用^t块，由于在系统中存在多个应用模块，为了 方便辅助显示系统2对多个应用模块进行区别划分，应用模块在发送的显示请 求消息中添加应用标识，当辅助显示系统2接收到该显示请求消息后，将根据 该显示请求消息中的应用标识确定相应的应用模块。
所述显示访问密钥可为辅助显示系统2生产厂商在辅助显示系统2出厂时 所设置的初始密钥，或者用户为了安全需要而预先设置的密钥，也可以根据辅 助显示系统2生产厂商预设的服务地址从网上下载或者由辅助显示系统2生 成。辅助显示系统2只有收到所述显示访问密钥时，才能开始启动运行。
访问鉴权模块2012,用于接收应用模块发送的显示访问密钥，对显示访 问密钥进行有效性验证，如果验证为有效，则通知显示鉴权模块2013执行显 示鉴权操作；如果验证为无效，则向应用模块发送错误报告。
显示鉴权模块2013，用于为应用模块分配第一显示密钥和第二显示密钥， 接收应用模块发送的根据第一显示密钥对待显示内容进行加密生成的报文，根据第二显示密钥对报文进行解密并对报文进行有效性验证，如果验证为有效，
则通知标识鉴权;漠块2014执行标识鉴权才喿作；如果验证为无效，则向应用才莫 块发送错误报告。
图1A为本发明第一具体实施例中显示鉴权;漠块2013的内部结构框图， 包括
显示密钥分配模块20131，用于为应用^^莫块分配第一显示密钥和第二显示 密钥;
显示密钥发送模块20132，用于将所述第一显示密钥发送给应用模块； 报文接收模块20133,用于接收应用模块发送的报文； 报文解密模块20134，用于根据所述第二显示密钥对所述报文进行解密； 报文验证模块20135,用于对所述报文进行有效性验证；
其中，所述第一显示密钥和第二显示密钥可以为同一密钥，也可以为一个 密钥对的公钥和私钥。所述报文为应用模块根据所述第一显示密钥对应用模块 的待显示内容进行加密后生成的报文。所述第一、第二显示密钥为辅助显示系 统2为该应用配置的专用密钥。辅助显示系统2只有在接收到该应用模块发送 的使用第 一显示密钥加密的待显示内容后，才对待显示内容进行显示。
标识鉴权模块2014，用于为应用模块分配会话标识，发送要求应用模块
返回会话标识和应用标识的验证消息，接收应用才莫块返回的会话标识和应用标
识，对会话标识和应用标识进行有效性验证，如果验证为有效，则通知显示调
度模块2015执行显示调度操作；如果验证为无效，则向应用模块发送错误报 告。
图1B为本发明第一具体实施例中标识鉴权模块2014的内部结构框图， 包括
显示标识分配模块20141，用于为应用^t块分配第一显示标识； 显示标识发送模块20142,用于将所述第一显示标识发送给应用模块； 显示标识接收模块20143,用于接收应用模块发送的第二显示标识； 显示标识验证模块20144,用于根据所述第一、第二显示标识对应用模块 进行有效性验证；
其中，所述会话标识用于标识应用模块与辅助显示系统2之间的会话通
16道。
访问鉴权模块2012、显示鉴权模块2013和标识鉴权模块2014作为辅助 显示系统2中的鉴权模块，用于为应用模块分配鉴权参数，与应用模块交互， 对应用模块进行鉴权。
显示调度模块2015，用于根据访问权限为应用模块配置显示权限，根据 显示权限判断经显示鉴权模块2013解密后的待显示内容的优先级，如果该待 显示内容的优先级是最高优先级，则发送通知给显示驱动模块2016;如果该 待显示内容的优先级不是最高优先级，则按照显示权限的优先级和排队方式对 该待显示内容进行排队。
所述显示权限包括待显示内容的优先级和排队方式。
显示驱动模块2016，用于接收显示调度模块2015的通知驱动辅助显示系 统2中的辅助显示单元202显示待显示内容。
显示监控模块2017，用于设定应用模块的待显示内容的失效时间，如果 应用模块的待显示内容占用辅助显示系统2的时间超过该失效时间且未收到 该应用模块重新发送的显示请求消息，则确定该应用才莫块的访问权限失效，自 动删除该应用的显示密钥、应用标识和会话标识。
图1C为本发明第一具体实施例中显示监控模块2017的内部结构框图， 包括
失效时间设定模块20171,用于设定应用模块的失效时间监控应用模块的 显示状态；
访问权失效确定模块20172 ，用于在应用模块的显示时间超过所述失效时 间且未收到应用模块重新发送的显示请求消息时，确定应用模块的访问权限失 效。
上述安全调度显示系统中的辅助显示系统2可为带有独立显示功能的嵌 入式系统。
图2为本发明第 一具体实施例中安全调度显示方法的流程图，具体实施步 骤如下
步骤201,辅助显示系统接收来自应用模块的显示请求消息和待显示内 容，显示请求消息包括访问权限请求和应用标识，进入步骤202。该步骤中，所述访问权限为应用访问辅助显示系统的权限，辅助显示系统 根据所述访问权限排队显示不同应用模块的待显示内容， 一般而言，访问权限 优先级高的应用模块可以中断访问权限优先级低的应用模块的待显示内容在 辅助显示系统中的显示。
所述应用标识用以标识不同应用模块，由于在系统中存在多个应用模块， 为了方便辅助显示系统对多个应用模块进行区别划分，应用模块在显示请求消 息中添加应用标识，当辅助显示系统接收到该显示请求消息后，将根据该显示 请求消息中的应用标识确定相应的应用模块。
步骤202，辅助显示系统收到显示请求消息后，向应用模块发送要求应用 模块发送显示访问密钥的密钥请求响应消息，进入步骤203 。
该步骤中，所述显示访问密钥为辅助显示系统生产厂商在辅助显示系统出 厂时所设置的初始密钥或者用户为了安全需要而预先设置的密钥，也可以根据 辅助显示系统生产厂商预设的服务地址从网上下载或者由辅助显示系统生成。 辅助显示系统只有收到该密钥时，才能开始启动运行。
步骤203，辅助显示系统接收来自应用模块的显示访问密钥，进入步骤
204。
步骤204，辅助显示系统判断显示访问密钥是否有效，如果是，进入步骤 205，否则，向应用模块发送错误报告。
步骤205，辅助显示系统为应用模块分配会话标识、显示权限，第一显示 密钥和第二显示密钥，并将会话标识、显示权限和第一显示密钥发送给应用模 块，进入步骤206。
所述会话标识用于标识该应用模块与辅助显示系统之间的会话通道。
所述显示权限包括待显示内容的优先级和排队方式，辅助显示系统可以根 据待显示内容的优先级优先显示优先级高的待显示内容，实现方式可以是中断 方式或其它方式。
所述第一、第二显示密钥为辅助显示系统为应用配置的专用密钥。辅助显 示系统只有在接收到该应用发送的使用第 一显示密钥加密的待显示内容后，才 对待显示内容进行显示。所述第 一显示密钥和第二显示密钥可以为同 一密钥， 也可以为一个密钥对的公钥和私钥。步骤206，辅助显示系统接收来自应用模块的报文，所述报文为应用模块 根据所述第一显示密钥对应用模块的待显示内容进行加密后生成的报文，进入 步骤207。
步骤207,辅助显示系统根据第二显示密钥对报文进行解密并判断报文是 否有效，如果是，进入步骤208,否则，向应用模块发送错误报告。
步骤208，辅助显示系统向应用模块发送验^E消息，要求应用返回会话标 识、显示权限和应用标识，进入步骤209。
步骤209,辅助显示系统接收来自应用才莫块的会话标识、显示权限和应用 标识，进入步骤210.
步骤210,辅助显示系统判断应用模块返回的会话标识和应用标识是否有 效，如果是，进入步骤211，否则，向应用模块发送错误报告。
步骤211 ，辅助显示系统根据显示权限判断解密后的待显示内容是否为最 高优先级，如果是，进入步骤212;否则，进入步骤213。
步骤212,辅助显示系统显示该待显示内容，进入步骤214。
步骤213，辅助显示系统按照显示权限的优先级和排队方式对待显示内容 进行排队。
步骤214,辅助显示系统设定应用模块的待显示内容显示的失效时间，监 控所述应用模块的显示状态，如果应用模块的待显示内容占用辅助显示系统的 时间超过该失效时间时且未收到该应用模块重新发送的显示请求消息时，则确 定该应用模块的访问权限失效，自动删除该应用模块的显示密钥、应用标识和 会话标识。
本发明第 一具体实施例中，整个安全调度显示过程均由辅助显示系统实 现，因此，只需将该辅助显示系统与主机系统相连接，即可实现对应用模块的 待显示内容的安全调度显示。
另外，在本发明第一具体实施例中的安全调度显示方法中，技术人员可以 根据设计的需要，对其中的一个或多个步骤的执行顺序进行适当调整。
图3为本发明第二具体实施例中安全调度显示系统的结构框图，图中包括 主机系统3和辅助显示单元4，主机系统3包括第一客户操作系统(GOS, Guest Operation System) 301、第二客户操作系统302和虚拟机管理器303,其中，
19第一客户操作系统301包括第一应用模块3011,第二客户操作系统302包括 第二应用模块3021和第三应用模块3022,虚拟机管理器303包括显示控制单 元3031，显示控制单元3031具体包括
请求响应模块30311，用于在收到主机系统3的客户操作系统的应用模块 发送的显示请求消息和待显示内容后，为所述应用模块配置访问权限并返回要 求应用模块发送显示访问密钥的密钥请求响应消息。
显示请求消息包括访问权限请求和应用标识。
所述访问权限为应用模块访问辅助显示系统的权限，所述访问权限用于应 用模块的待显示内容在辅助显示单元4的排队显示， 一般而言，访问权限优先 级高的应用模块可以中断访问权限优先级低的应用模块的待显示内容在辅助 显示单元4中的显示。
所述应用标识用以标识应用模块，由于在系统中存在多个应用模块，为了 方便虚拟机管理器303对多个应用模块进行区别划分，应用模块在发送的显示 请求消息中添加应用标识，当辅助显示单元4接收到该显示请求消息后，将根 据该显示请求消息中的应用标识确定相应的应用模块。
所述显示访问密钥为辅助显示单元4生产厂商在辅助显示单元4出厂时所 设置的初始密钥或者辅助显示单元4用户为了安全需要而预先设置的密钥，也 可以由应用模块根据辅助显示单元4生产厂商预设的服务地址从网上下载或 者由辅助显示单元4生成。辅助显示单元4只有收到该密钥时，才能开始启动 运行。
访问鉴权模块30312，用于接收应用模块发送的显示访问密钥，对显示访 问密钥进行有效性验证，如果验证为有效，则通知显示鉴权模块30313执行显 示鉴权操作；如果验证为无效，则向应用模块发送错误报告。
显示鉴权模块30313，用于为应用模块分配第一显示密钥和第二显示密 钥，接收应用模块发送的根据第一显示密钥对待显示内容进行加密生成的报 文，根据显示密钥对报文进行解密并对报文进行有效性验证，如果验证为有效， 则通知标识鉴权模块30314执行标识鉴权操作；如果验证为无效，则向应用模 块发送错误报告。
图3A为本发明第二具体实施例中显示鉴权模块30313的内部结构框图，
20包括
显示密钥分配模块303131，用于为应用模块分配第一显示密钥和第二显 示密钥；
显示密钥发送模块303132,用于将所述第一显示密钥发送给应用模块； 报文接收模块303133,用于接收应用模块发送的报文； 报文解密模块303134,用于根据所述第二显示密钥对所述报文进行解密； 报文验证模块303135,用于对所述报文进行有效性验证； 其中，所述第一显示密钥和第二显示密钥可以为同一密钥，也可以为一个 密钥对的公钥和私钥。所述4艮文为所述至少一个应用模块根据所述第 一显示密 钥对所述至少一个应用模块的待显示内容进行加密后生成的报文。
所述第一、第二显示密钥为虚拟机管理器303为应用模块配置的专用密 钥。虚拟机管理器303只有在接收到应用^t块发送的使用第一显示密钥加密的 待显示内容后，才驱动辅助显示单元4对待显示内容进行显示。
标识鉴权模块30314，用于为应用模块分配会话标识，发送要求应用模块 返回会话标识和应用标识的验证消息，接收应用模块返回的会话标识和应用标 识，对会话标识和应用标识进行有效性验证，如果验证为有效，则通知显示调 度模块30315执行显示调度操作；如果验证为无效，则向应用模块发送错误报 告。
图3B为本发明第二具体实施例中标识鉴权;漢块30314的内部结构框图， 包括
显示标识分配才莫块303141，用于为应用^f莫块分配第一显示标识； 显示标识发送模块303142，用于将所述第一显示标识发送给应用模块； 显示标识接收模块303143，用于接收应用模块发送的第二显示标识； 显示标识验证模块303144，用于根据所述第一、第二显示标识对应用模
块进行有效性验证；
其中，会话标识用于标识应用模块与虚拟机管理器303之间的会话通道。 访问鉴权才莫块30312、显示鉴权模块30313和标识鉴权模块30314作为辅
助显示系统2中的鉴权模块，用于为应用模块分配鉴权参数，与应用模块交互，
对应用模块进行鉴权。显示调度模块30315,用于根据访问权限为应用模块配置显示权限，根据 显示权限判断经显示鉴权模块30313解密后的待显示内容的优先级，如果该待 显示内容的优先级是最高优先级，则发送通知给显示驱动模块30316;如果该 待显示内容的优先级不是最高优先级，则按照显示权限的优先级和排队方式对 该待显示内容进行排队。
所述显示权限包括待显示内容的优先级和排队方式。
显示驱动模块30316，用于接收显示调度模块30315的通知，驱动辅助显 示单元4显示待显示内容。
显示监控模块30317，用于设定应用模块的待显示内容的失效时间，如果 应用模块的待显示内容占用辅助显示单元4的时间超过该失效时间时且未收 到应用模块重新发送的显示请求消息，则确定应用模块的访问权限失效，自动 删除应用模块的显示密钥、应用标识和会话标识。
图3C为本发明第二具体实施例中显示监控模块30317的内部结构框图， 包括
失效时间设定模块303171，用于设定应用模块的失效时间监控应用模块 的显示状态；
访问权失效确定模块303172,用于在应用模块的显示时间超过所述失效 时间且未收到应用模块重新发送的显示请求消息时，确定应用模块的访问权限 失效。
另外，辅助显示单元4可为带有独立显示功能的嵌入式设备。 图4为本发明第二具体实施例中安全调度显示方法的流程图，具体实施步 骤如下
步骤401,虚拟机管理器接收来自应用模块的显示请求消息和待显示内 容，所述显示请求消息包括访问权限请求和应用标识，进入步骤402。
该步骤中，所述访问权限为应用访问辅助显示系统的权限，虚拟机管理器 根据所述访问权限排队显示不同应用模块的待显示内容， 一般而言，访问权限 优先级高的应用摸可以中断访问权限优先级低的应用模块的待显示内容在辅 助显示单元中的显示。
所述应用标识用以标识不同应用模块，由于在系统中存在多个应用模块，
22为了方便虚拟机管理器对多个应用模块进行区别划分，应用模块在发送的显示 请求消息中添加应用标识，当虛拟机管理器接收到该显示请求消息后，将根据 该显示请求消息中的应用标识确定相应的应用才莫块。
步骤402,虚拟才几管理器收到显示请求消息后，向应用模块发送要求应用 模块发送显示访问密钥的密钥请求响应消息，进入步骤403。
该步骤中，所述显示访问密钥为辅助显示单元生产厂商在辅助显示单元出 厂时所设置的初始密钥或者用户为了安全需要而预先设置的密钥，辅助显示单 元只有收到该密钥时，才能开始启动运行。
所述显示访问密钥可以根据辅助显示单元生产厂商预设的服务地址从网 上下载或者由辅助显示单元生成。
步骤403，虚拟机管理器接收来自应用模块的显示访问密钥，进入步骤
404。
步骤404，虚拟^L管理器判断显示访问密钥是否有效，如果是，进入步骤
405, 否则，向应用模块发送错误报告。
步骤405,虚拟机管理器为应用模块分配会话标识、显示权限，第一显示 密钥和第二显示密钥，并将会话标识、显示权限和第一显示密钥发送给应用模 块，进入步骤406。
所述会话标识用于标识该应用模块与虚拟机管理器之间的会话通道。
所述显示权限包括待显示内容的优先级和排队方式。
所述第一、第二显示密钥为虚拟机管理器为应用配置的专用密钥。虚拟机 管理器只有在接收到该应用发送的使用该显示密钥加密的待显示内容后，才驱
动辅助显示单元对;降显示内容进行显示。第一显示密钥和第二显示密钥可以为 同一密钥，也可以为一个密钥对的公钥和私钥。
步骤406，虛拟机管理器接收来自应用模块的报文，所述报文为应用模块 根据所述第一显示密钥对应用模块的待显示内容进行加密后生成的报文，进入 步骤407
步骤407，虚拟机管理器根据第二显示密钥对报文进行解密并判断报文是 否有效，如果是，进入步骤408，否则，向应用模块发送错误报告。
步骤408,虛拟机管理器向应用模块发送验证消息，要求应用返回会话标
23识、显示权限和应用标识，进入步骤409。
步骤409，虚拟机管理器接收来自应用模块的会话标识、显示权限和应用 标识，进入步骤410。
步骤410，虚拟机管理器判断应用模块返回的会话标识和应用标识是否有 效，如果是，进入步骤411，否则，向应用模块发送错误报告。
步骤411，虚拟机管理器根据显示权限判断解密后的待显示内容是否为最 高优先级，如果是，进入步骤412;否则，进入步骤413。
步骤412，虚拟机管理器驱动辅助显示单元显示该待显示内容，进入步骤
414。
步骤413，虛拟机管理器按照显示权限的优先级和排队方式对待显示内容 进行排队。
步骤414,虛拟机管理器设定应用模块使用辅助显示单元的失效时间，监 控该应用模块的显示状态，如果应用模块的待显示内容占用辅助显示单元的时 间超过该失效时间时且未收到该应用模块重新发送的显示请求消息，则确定该 应用模块的访问权限失效，自动删除该应用模块的显示密钥、应用标识和会话 标识。
在本发明第二具体实施例中，辅助显示单元只需具有简单的显示功能，而 整个安全调度过程则通过虚拟机管理器实现。
另外，在本发明第二具体实施例中的安全调度显示方法中，技术人员可以 根据设计的需要，对其中的一个或多个步骤的执行顺序进行适当调整。
上述本发明具体实施例中，当多个应用需要使用辅助显示单元的安全性内 容时，应用一般期望在使用安全显示时，安全内容能够保持锁定，并不因为应 用程序离开用户当前焦点而使得待显示内容切换，因此应该保证应用能够独占 显示，而仅在具有更高优先级的应用发出显示请求消息时，辅助显示系统才进 行响应，对具有更高优先级的应用的待显示内容进行显示。另外，辅助显示系 统对于不同的应用或同一应用下要求显示的不同内容，辅助显示屏可以釆用不 同的界面表示形式，比如颜色，排布和关键显示区等。
本发明实施例中所述的安全调度显示系统可设置于计算机、手持终端或个 人数字助理设备中。本发明实施例中所述的应用可为应用程序。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发 明的保护范围之内。
权利要求
1. 一种安全调度显示的系统，其特征在于，包括主机系统和辅助显示系统；所述主机系统包括至少一个操作系统，所述至少一个操作系统包括至少一个应用模块，用于向所述辅助显示系统发送显示请求消息和待显示内容；所述辅助显示系统包括显示控制单元和辅助显示单元，所述显示控制单元包括请求响应模块，用于接收并根据所述显示请求消息，为所述至少一个应用模块配置访问权限，并返回显示请求响应消息给所述至少一个应用模块；鉴权模块，用于为所述至少一个应用模块分配鉴权参数，根据所述鉴权参数对所述至少一个应用模块进行鉴权；显示调度模块，用于根据所述访问权限为所述至少一个应用模块配置显示权限，根据所述显示权限对所述待显示内容进行调度；显示驱动模块，用于在鉴权成功时，驱动所述辅助显示单元在所述显示调度模块的调度下显示所述待显示内容。
2. 根据权利要求1所述的系统，其特征在于，所述主机系统与所述辅助显示系统的访问方式为虚拟机访问方式； 所述主机系统还包括虛拟机管理器，所述显示控制单元设置于所述虛拟机 管理器中。
3. 根据权利要求1所述的系统，其特征在于，所述鉴权模块具体为访问 鉴权模块，用于发送密钥请求响应消息，所述密钥请求响应消息用于要求所述 至少一个应用才莫块返回显示访问密钥，对所述至少一个应用才莫块返回的所述显 示访问密钥进行有效性验证。
4. 根据权利要求1所述的系统，其特征在于，所述鉴权模块具体为显示 鉴权模块，包括显示密钥分配模块，用于为所述至少一个应用模块分配第一显示密钥和第 二显示密钥；显示密钥发送模块，用于将所述第一显示密钥发送给所述至少一个应用模块；报文接收模块，用于接收所述至少一个应用模块发送的报文，所述报文为 所述至少一个应用模块根据所述第一显示密钥对所述待显示内容进行加密后生成的报文；报文解密模块，用于根据所述第二显示密钥对所述报文进行解密； 报文验证模块，用于对所述报文进行有效性验证。
5. 根据权利要求1所述的系统，其特征在于，所述鉴权模块具体为标识 鉴权模块，包括显示标识分配才莫块，用于为所述至少一个应用才莫块分配第一显示标识； 显示标识发送才莫块，用于将所述第一显示标识发送给所述至少一个应用模块；显示标识接收模块，用于接收所述至少一个应用模块发送的第二显示标识；显示标识验证^^莫块，用于根据所述第一、第二显示标识对所述至少一个应 用模块进行有效性验证；其中，所述第一、第二显示标识包括应用标识和会话标识。
6. 根据权利要求1所述的系统，其特征在于，所述鉴权模块包括 访问鉴权模块，用于发送密钥请求响应消息，所述密钥请求响应消息用于要求所述至少一个应用才莫块返回显示访问密钥，对所述至少一个应用模块返回 的所述显示访问密钥进行有效性验证；显示鉴权模块，包括显示密钥分配模块，用于为所述至少一个应用模块 分配第一显示密钥和第二显示密钥；显示密钥发送;t莫块，用于将所述第一显示 密钥发送给所述至少一个应用模块；报文接收模块，用于接收所述至少一个应 用模块发送的报文，所述报文为所述至少一个应用模块根据所述第一显示密钥 对所述待显示内容进行加密后生成的报文；报文解密模块，用于根据所述第二 显示密钥对所述报文进行解密；报文验证模块，用于对所述报文进行有效性验 证；标识鉴权模块，包括显示标识分配模块，用于为所述至少一个应用模块 分配第一显示标识；显示标识发送模块，用于将所述第一显示标识发送给所述至少一个应用模块；显示标识接收模块，用于接收所述至少一个应用模块发送 的第二显示标识；显示标识-险i正4莫块，用于根据所述第一、第二显示标识对所 述至少 一个应用模块进行有效性-验证。
7. 根据权利要求4或6所述的系统，其特征在于，所述第一显示密钥和 所述第二显示密钥为同一密钥或者分别为一个密钥对的公钥和私钥。
8. 根据权利要求1所述的系统，其特征在于，所述显示控制单元还包括 显示监控模块，包括失效时间设定模块，用于设定所述待显示内容显示的失效时间； 访问权失效确定模块，在所述待显示内容的显示时间超过所述失效时间且未收到所述至少一个应用模块重新发送的显示请求消息时，确定所述至少一个应用模块的访问权限失效。
9. 根据权利要求1所述的系统，其特征在于，所述显示权限包括所述待 显示内容的优先级和排队方式。
10. 根据权利要求1所述的系统，其特征在于，所述辅助显示系统为带有 独立显示功能的嵌入式系统。
11. 根据权利要求1所述的系统，其特征在于，该系统设置于计算机、手 持终端或个人数字助理设备中。
12. —种安全调度显示的方法，其特征在于，包括 接收来自至少一个应用模块的显示请求消息和待显示内容；在收到所述显示请求消息后，为所述至少一个应用模块配置访问权限并返 回显示请求响应消息给所述至少 一个应用模块；为所述一个应用模块分配鉴权参数，根据所述鉴权参数对所述至少一个应 用模块进行鉴权；在鉴权成功时，根据所述访问权限为所述至少一个应用模块配置显示权 限，根据所述显示权限对所述待显示内容进行调度显示。
13. 根据权利要求12所述的方法，其特征在于，所述对所述至少一个应 用模块进行鉴权具体为发送密钥请求响应消息，所述密钥请求响应消息用于要求所述至少一个应 用模块返回显示访问密钥，对所述至少一个应用模块返回的所述显示访问密钥进行有效性验证，如果验证有效，表示鉴权成功。
14. 根据权利要求12所述的方法，其特征在于，所述对所述至少一个应 用模块进行鉴权具体为为所述至少一个应用模块分配第一显示密钥和第二显示密钥，将所述第一 显示密钥发送给所述至少 一个应用模块；接收所述至少一个应用模块发送的报文，所述报文为所述至少一个应用模 块根据所述第一显示密钥对所述待显示内容进行加密后生成的报文；根据所述第二显示密钥对所述报文进行解密；对解密后的所述"f艮文进行有效性验证，如果验证有效，表示鉴权成功。
15. 根据权利要求12所述的方法，其特征在于，所述对所述至少一个应 用模块进行鉴权具体为为所述至少一个应用模块分配第一显示标识，将所述第一显示标识发送给 所述至少一个应用;f莫块；接收所述至少一个应用模块发送的第二显示标识，根据所述第一、第二显 示标识对所述至少一个应用模块进行有效性-睑证，所述第一、第二显示标识包 括应用模块标识和会话标识；如果验证有效，表示鉴权成功。
16. 根据权利要求12所述的方法，其特征在于，所述显示权限包括所述 待显示内容的优先级和排队方式。
17. 根据权利要求12所述的方法，其特征在于，该方法还包括通过设定所述待显示内容显示的失效时间监控所述待显示内容的显示状 态，当所述^f寺显示内容的显示时间超过所述失效时间时且未收到所述至少一个 应用模块重新发送的显示请求消息时，确定所述至少一个应用模块的访问权限 失效。
18. —种安全调度显示的辅助显示装置，其特征在于，包括显示控制单 元和辅助显示单元，所述显示控制单元包括请求响应模块，用于接收并根据所述显示请求消息，为所述至少一个应用 模块配置访问权限，并返回显示请求响应消息给所述至少一个应用模块；鉴权模块，用于为所述至少一个应用模块分配鉴权参数，根据所述鉴权参 数对所述至少 一个应用i^莫块进行鉴权；显示调度模块，用于根据所述访问权限为所述至少一个应用模块配置显示权限，根据所述显示权限对所述待显示内容进行调度；显示驱动模块，用于在鉴^l成功时，驱动所述辅助显示单元在所述显示调 度模块的调度下显示所述待显示内容。
19. 根据权利要求18所述的辅助显示装置，其特征在于，所述鉴权模块 具体为访问鉴权;漠块，用于发送密钥请求响应消息，所述密钥请求响应消息用 于要求所述至少一个应用模块返回显示访问密钥，对所述至少一个应用模块返 回的所述显示访问密钥进行有效性验证。
20. 根据权利要求18所述的辅助显示装置，其特征在于，所述鉴权4莫块 具体为显示鉴权才莫块，包括显示密钥分配模块，用于为所述至少一个应用模块分配第一显示密钥和第 二显示密钥；显示密钥发送模块，用于将所述第一显示密钥发送给所述至少一个应用模块；报文接收模块，用于接收所述至少一个应用模块发送的报文，所述报文为 所述至少一个应用模块根据所述第一显示密钥对所述待显示内容进行加密后 生成的才艮文；报文解密模块，用于根据所述第二显示密钥对所述报文进行解密； 报文验证模块，用于对所述报文进行有效性验证。
21. 根据权利要求18所述的辅助显示装置，其特征在于，所述鉴权模块 具体为标识鉴权it块，包括显示标识分配模块，用于为所述至少一个应用模块分配第一显示标识； 显示标识发送模块，用于将所述第一显示标识发送给所述至少一个应用模块；显示标识接收模块，用于接收所述至少一个应用模块发送的第二显示标识；显示标识验证模块，用于根据所述第一、第二显示标识对所述至少一个应 用模块进行有效性验证；其中，所述第一、第二显示标识包括应用模块标识和会话标识。
22. 根据权利要求18所述的辅助显示装置，其特征在于，所述鉴权才莫块 包括访问鉴权才莫块，用于发送密钥请求响应消息，所述密钥:清求响应消息用于 要求所述至少一个应用模块返回显示访问密钥，对所述至少一个应用模块返回 的所述显示访问密钥进行有效性验证；显示鉴权模块，包括显示密钥分配模块，用于为所述至少一个应用模块 分配第一显示密钥和第二显示密钥；显示密钥发送模块，用于将所述第一显示 密钥发送给所述至少一个应用模块；报文接收模块，用于接收所述至少一个应 用模块发送的报文，所述报文为所述至少一个应用模块根据所述第一显示密钥 对所述待显示内容进行加密后生成的报文；报文解密模块，用于根据所述第二 显示密钥对所述报文进行解密；报文验证模块，用于对所述报文进行有效性验 证；标识鉴权沖莫块，包括显示标识分配才莫块，用于为所述至少一个应用才莫块 分配第一显示标识；显示标识发送模块，用于将所述第一显示标识发送给所述 至少一个应用才莫块；显示标识接收模块，用于接收所述至少一个应用模块发送 的第二显示标识；显示标识验证模块，用于根据所述第一、第二显示标识对所 述至少 一个应用模块进行有效性验证。
23. 根据权利要求20或22所述的辅助显示装置，其特征在于，所述第一 显示密钥和所述第二显示密钥为同一密钥或者分别为一个密钥对的公钥和私 钥。
24. 才艮据权利要求18所述的辅助显示装置，其特征在于，所述显示控制 单元还包括显示监控模块，包括失效时间设定模块，用于设定所述待显示内容显示的失效时间；访问权失效确定模块，在所述待显示内容的显示时间超过所述失效时间且未收到所述至少一个应用模块重新发送的显示请求消息时，确定所述至少 一个应用模块的访问权限失效。
25. 根据权利要求18所述的辅助显示装置，其特征在于，所述辅助显示 单元为带有独立显示功能的嵌入式设备。
全文摘要
本发明公开了一种安全调度显示的系统、方法和辅助显示装置，所述安全调度显示系统包括主机系统和辅助显示系统，所述主机系统包括主操作系统，所述主操作系统包括应用，所述应用向辅助显示系统发送显示请求消息和待显示内容；其中，所述显示请求消息用于所述应用请求辅助显示系统的访问权限；所述辅助显示系统在收到所述显示请求消息后，为所述应用配置访问权限，并对所述应用执行鉴权操作，鉴权成功后，对所述应用的待显示内容进行调度显示。通过本发明使多个应用可以共享一个辅助显示系统，保证辅助显示系统对主机系统中多个应用的待显示内容进行有序安全显示，提高辅助显示系统的安全防护力度和工作效率以及用户的安全体验。
文档编号G06F21/04GK101499113SQ20081005701
公开日2009年8月5日 申请日期2008年1月28日 优先权日2008年1月28日
发明者于辰涛 申请人:联想(北京)有限公司