可信用户界面的显示方法、设备、可读存储介质及芯片与流程

本技术涉及信息安全，尤其涉及一种可信用户界面的显示方法、设备、可读存储介质及芯片。

背景技术：

1、随着智能终端的推广和普及，移动支付已成为人们日常消费的主要支付方式之一。移动支付在为用户带来便利的同时，其安全性也一直是备受关注的问题。

2、目前，为了保证移动支付的安全性，在移动支付中引入了可信用户界面（trusteduser interface，tui），使得用户可以在tui上完成支付。但目前出现了与tui类似的不可信用户界面，而从显示界面上来看，用户无法分辨哪个是可信用户界面，哪个是不可信用户界面，从而导致存在用户在不可信用户界面上进行支付的情况，进而引发严重的信息和财产安全问题。

技术实现思路

1、本技术提供一种可信用户界面的显示方法、设备、可读存储介质及芯片，解决了现有技术中由于用户无法分辨可信用户界面，从而导致存在用户在不可信用户界面上进行支付的情况，进而引发严重的信息和财产安全的问题。

2、为达到上述目的，本技术采用如下技术方案：

3、第一方面，提供一种可信用户界面的显示方法，应用于终端设备，该终端设备包括富执行环境ree、可信执行环境tee和第一元件，其中，该ree中运行有第一应用，该第一元件连接tee，该方法包括：接收对第一应用的第一操作，第一操作用于请求显示第一应用的可信用户界面；响应于第一操作，通过tee检测第二操作；其中，第二操作为对第一元件的操作，第二操作用于显示可信用户界面；在通过tee检测到第二操作之后，显示可信用户界面。

4、本实施例提供的方法，在终端设备中设置与可信执行环境连接的第一元件，通过检测第一元件对应的第二操作来显示可信用户界面，即检测到第二操作后显示可信用户界面，以使用户对于当前显示的可信用户界面存在强感知，从而避免用户在不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

5、另外，本实施例提供的方法中，终端设备是通过tee来检测第二操作的，因此，该第一元件仅能够在tee中被感知，ree侧的恶意应用无法监听并感知该第一元件对应的第二操作，也就是说，恶意应用无法模拟上述检测及显示可信用户界面的过程，从而避免tui被非法ui替换而用户无法分辨的问题。

6、在一种可能的实现方式中，该方法还包括：若通过tee未检测到第二操作，则不显示可信用户界面。

7、本实施例中，终端设备通过tee未检测到第二操作，表明第一元件未被按照用于显示可信用户界面的第二操作进行操作，此时，则不显示可信用户界面，从而避免用户在其他不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

8、在一种可能的实现方式中，第一元件包括物理按键，第二操作包括该物理按键被按下，在该物理按键被按下时，向tee发送中断消息。

9、其中，该物理按键为终端设备侧用于控制显示可信用户界面所新增的物理按键，即该新增的物理按键为终端设备中除电源键、音量键等原有按键之外的其他按键。用户以第二操作的方式操作该新增的物理按键时，仅用于显示可信用户界面，而不做其他用途。

10、可选的，该新增的按键可以为一个按键，也可以为多个按键。当该新增的按键为一个按键时，第二操作包括该专用按键被按下；若该新增的按键为多个按键时，第二操作包括多个按键按照预设顺序被按下。

11、在一种可能的实现方式中，响应于第一操作，通过tee检测第二操作，包括：响应于第一操作，控制第一应用向tee发送通知消息，该通知消息用于通知tee显示可信用户界面；根据通知消息，通过tee监听中断消息；若通过tee监听到中断消息，则确定检测到第二操作。

12、在一些实施例中，第一元件为终端设备侧用于控制显示可信用户界面的新增的物理按键，第一元件连接tee为新增的物理按键与tee中的可信操作系统直接连接。当用户按照第二操作操作新增的物理按键时，新增的物理按键可直接向可信操作系统发送中断消息。该种情况下，tee中的可信操作系统在接收到用于通知tee显示可信用户界面的通知消息时，能够通过监听中断消息的方式来确定是否检测到第二操作。若可信操作系统监听到中断消息，则确定检测到第二操作，若可信操作系统未监听到中断消息，则确定未检测到第二操作。

13、通过本实施例提供的方法，新增的物理按键与tee中的可信操作系统直接连接，并仅由该新增的物理按键启动tui，整个处理流程简单直接。当用户按下该新增的物理按键后，才会调起tui，使得用户能够感知强烈tui。

14、在一种可能的实现方式中，第一元件包括至少一个物理按键，第二操作包括多次按下至少一个物理按键中的同一物理按键，比如，多次按下电源键；或者按照第一顺序依次按下至少一个物理按键中的不同物理按键，比如依次按下音量加、音量减以及电源键。

15、其中，该至少一个物理按键为终端设备侧原有的一个或者多个物理按键，比如电源键、音量键等。同样的，用户以第二操作的方式操作该至少一个物理按键时，仅用于显示可信用户界面，而不做其他用途。

16、在一种可能的实现方式中，终端设备还包括传感集线器，相应地，第一元件连接tee，包括：第一元件通过传感集线器连接tee，第一元件被操作时向传感集线器发送操作信息，以使传感集线器根据操作信息生成操作记录。

17、其中，第一元件可以是终端设备侧用于控制显示可信用户界面的新增的物理按键，也可以是终端设备侧原有的一个或者多个物理按键。

18、在一种可能的实现方式中，响应于第一操作，通过tee检测第二操作，包括：响应于第一操作，控制第一应用向tee发送通知消息，通知消息用于通知tee显示可信用户界面；根据通知消息，控制tee向传感集线器发送查询消息，查询消息用于指示传感集线器查询第一元件的操作记录，操作记录是传感集线器根据接收到的操作信息生成的；在传感集线器查询到操作记录，并且确定操作记录是由第二操作产生时，控制传感集线器向tee返回确认信息；若识别到tee接收到确认信息，则确定检测到第二操作。

19、通过本实施例提供的方法，终端设备侧的第一元件通过传感集线器接入tee中，该第一元件产生的操作信息直接发送至传感集线器，以供tee在确定显示可信用户界面时，从传感集线器中查询第一元件所产生的操作记录，从而在查询到该操作记录，并且确定操作记录是由第二操作产生时，确定为检测到第二操作，然后控制显示可信用户界面。

20、另外，当第一元件为终端设备原有的至少一个物理按键时，通过本实施例提供的方法能够复用既有的物理按键，无需新增物理按键，且用户以第二操作操作至少一个物理按键时启动tui，从而使得用户对于tui界面感知强烈，有利于树立安全形象。

21、在一种可能的实现方式中，在第一元件包括至少一个物理按键时，至少一个物理按键还通过传感集线器连接ree。

22、本实施例中，基于至少一个物理按键为终端设备侧原有的一个或者多个物理按键，为了不影响原有的一个或者多个物理按键的处理逻辑，该至少一个物理按键在通过传感集线器接入tee的同时，还通过传感集线器连接ree。

23、在一种可能的实现方式中，该方法还包括：通过传感集线器检测第三操作；其中，第三操作为对至少一个物理按键的操作，且第三操作与第二操作不同；在通过传感集线器检测到第三操作后，控制ree处理第三操作对应的操作信息。

24、其中，第三操作为除第二操作之外的其他操作，即非第二操作。传感集线器对接收到的操作信息所产生的操作记录进行判断，若判断出该操作记录未达成第二操作，则将该操作记录所对应的操作确定为第三操作，并将当前的操作信息传递给ree，以使ree按照至少一个物理按键的既有逻辑处理该操作信息。

25、本实施例中，终端设备通过复用既有物理按键的方式来控制启动tui，且复用既有物理按键的方式也不会影响物理按键本身既有的处理逻辑，也就是说，用于启动tui的处理机制与当前物理按键本身的处理机制不会产生冲突，彼此之间相互兼容，从而提升用户体验，利于tui的规模应用。

26、在一种可能的实现方式中，在接收对第一应用的第一操作之后，响应于第一操作，通过tee检测第二操作之前，方法还包括：显示第一提示信息，第一提示信息用于指示用户在第一预设时间内执行第二操作。

27、本实施例中，通过显示提示信息的方式以提示用户在规定时间内按照第二操作操作第一元件，从而提高终端设备的处理效率以及用户对于可信用户界面的感知程度。

28、在一种可能的实现方式中，在通过tee检测到第二操作之后，显示可信用户界面，包括：在第二预设时间内通过tee检测到第二操作之后，显示可信用户界面。

29、本实现方式中，终端设备是在一定时间内检测第二操作的，避免由于检测时间过长，影响终端设备的处理效率。

30、可选的，该方法还包括：在第二预设时间内通过tee未检测到第二操作，提示用户操作超时。

31、第二方面，提供一种可信用户界面的显示方法，应用于终端设备，该终端设备包括富执行环境ree、可信执行环境tee和第二元件，其中，ree中运行有第一应用，第二元件连接tee，该方法包括：接收对第一应用的第一操作，第一操作用于请求显示第一应用的可信用户界面；响应于第一操作，通过tee控制显示可信用户界面，并通过tee控制第二元件按照第一模式运行，第二元件按照第一模式运行时，用于唯一指示可信用户界面。

32、本实施例提供的方法，在终端设备中设置与可信执行环境连接的第二元件，终端设备通过tee控制显示可信用户界面的同时，控制第二元件按照第一模式运行，以使得用户对于可信用户界面存在强感知，从而避免用户在不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

33、另外，本实施例提供的方法中，终端设备是通过tee来控制第二元件按照第一模式运行的，因此，该第二元件仅能够被tee所控制，ree侧的恶意应用无法控制该第二元件，从而避免tui被非法ui替换时用户无法分辨的问题。

34、在一种可能的实现方式中，第二元件为指示装置，通过tee控制第二元件按照第一模式运行，包括：通过tee向第二元件发送第一指示消息，第一指示消息用于指示第二元件启动运行；根据第一指示消息启动第二元件。

35、其中，该指示装置为终端设备侧用于指示显示可信用户界面所新增的指示装置，该指示装置启动时，仅用于指示当前的显示界面为可信用户界面，而不做其他用途。

36、可选的，该新增的指示装置可以为一个指示装置，比如指示灯；也可以是多个指示装置，比如两个指示灯，或者一个指示灯和一个喇叭。当该新增的指示装置为一个指示装置时，第一模式包括该指示装置启动，比如，指示灯亮起；当该新增的指示装置为多个指示装置时，第一模式包括多个指示装置均启动，比如多个指示灯同时亮起。

37、在一种可能的实现方式中，响应于第一操作，通过tee控制显示可信用户界面，并通过tee控制第二元件按照第一模式运行，包括：响应于第一操作，控制第一应用向tee发送通知消息，通知消息用于通知tee显示可信用户界面；根据通知消息，通过tee控制显示可信用户界面，并通过tee向第二元件发送第一指示消息，第一指示消息用于指示第二元件按照第一模式运行；控制第二元件在接收到第一指示消息后，按照第一模式运行。

38、在一些实施例中，第二元件为终端设备侧用于指示显示可信用户界面所新增的指示装置，第二元件连接tee为新增的指示装置与tee中的可信操作系统直接连接。基于此，终端设备通过tee控制第二元件按照第一模式运行时，直接向第二元件发送第一指示消息，以使得第二元件在接收到第一指示消息后，按照第一模式运行。

39、通过本实施例提供的方法，新增的指示装置与tee中的可信操作系统直接连接，且伴随tui的显示而启动，方案简单直接。另外，基于该新增的指示装置直接接入可信操作系统，因此，ree侧恶意应用无法控制该新增的指示装置，从而避免tui被非法ui替换而用户无法分辨的问题。

40、在一种可能的实现方式中，第二元件为至少一个指示装置，第一模式包括至少一个指示装置中的同一指示装置按照预设模式运行，或者至少一个指示装置中的不同指示装置按照第二顺序依次运行。

41、其中，该至少一个指示装置为终端设备侧原有的一个或者多个指示装置，比如指示灯、喇叭等。同样的，该至少一个指示装置按照第一模式运行时，仅用于指示当前的显示界面为可信用户界面，而不做其他用途。

42、在一种可能的实现方式中，终端设备还包括传感集线器，相应地，第二元件连接tee，包括：第二元件通过传感集线器连接tee。

43、本实施例中，第二元件可以是终端设备侧用于指示显示可信用户界面所新增的指示装置，也可以是终端设备侧原有的一个或者多个指示装置。

44、在一种可能的实现方式中，响应于第一操作，通过tee控制显示可信用户界面，并通过tee控制第二元件按照第一模式运行，包括：响应于第一操作，控制第一应用向tee发送通知消息，通知消息用于通知tee显示可信用户界面；根据通知消息，通过tee控制显示可信用户界面，并通过tee向传感集线器发送第一控制信息，第一控制信息用于指示传感集线器控制第二元件按照第一模式运行；控制传感集线器在接收到第一控制信息后，向第二元件发送第一指示消息，第一指示消息用于指示第二元件按照第一模式运行；控制第二元件在接收到第一指示消息后，按照第一模式运行。

45、通过本实施例提供的方法，终端设备侧的第二元件通过传感集线器接入tee中，终端设备显示可信用户界面时，通过传感集线器来控制第二元件按照第一模式运行，该种方式更加通用，且更易扩展。

46、在一种可能的实现方式中，在第二元件为至少一个指示装置时，至少一个指示装置还通过传感集线器连接ree。

47、本实施例中，基于至少一个指示装置为终端设备侧原有的一个或者多个指示装置，为了不影响原有的一个或者多个指示装置的控制逻辑，该至少一个指示装置在通过传感集线器接入tee的同时，还通过传感集线器连接ree，以通过传感集线器接收ree的控制信息。

48、在一种可能的实现方式中，该方法还包括：通过传感集线器接收ree发送的第二控制信息，第二控制信息用于指示至少一个指示装置按照第二模式运行，第二模式与第一模式不同；控制传感集线器在接收到第二控制信息时，向第二元件发送第二指示消息，第二指示消息用于指示第二元件按照第二模式运行；控制第二元件在接收到第二指示消息后，按照第二模式运行。

49、其中，第二模式为除第一模式之外的其他模式，即第二元件按照非第一模式运行的其他模式。

50、本实施例中，以终端设备本身原有的至少一个指示装置按照第一模式的运行状态来指示tui，充分利用指示装置的固有属性，比如频率等，“特定闪烁频率指示安全界面”，使得用户感知强烈，利于树立安全形象。同时，至少一个指示装置按照第二模式运行时可指示其他业务，从而实现一灯多用。

51、在一种可能的实现方式中，在第二元件为至少一个指示装置时，该方法还包括：通过传感集线器接收ree发送的第三控制信息，第三控制信息用于指示传感集线器控制至少一个指示装置按照第一模式运行；控制传感集线器向ree返回错误信息，并拒绝控制至少一个指示装置按照第一模式运行。

52、通过该种方式能够防止ree中的恶意应用意图控制至少一个指示装置按照第一模式运行的问题。

53、在一种可能的实现方式中，响应于第一操作，通过tee显示可信用户界面，并通过tee控制第二元件按照第一模式运行，还包括：通过tee显示第二提示信息，第二提示信息用于指示用户判断第二元件是否按照第一模式运行。

54、通过该种方式以提醒用户对于当前显示的界面进行判断，以在判断当前的显示界面为可信用户界面时，再进行下一步操作，比如，输入密码或者个人安全信息等，从而避免用户在不可信用户界面上完成支付或者输入重要信息，进一步保证了信息输入的安全性。

55、在一种可能的实现方式中，该方法还包括：在可信用户界面退出显示时，通过tee控制第二元件停止按照第一模式运行。

56、本实施例中，可信用户界面退出显示时，表明需要可信用户界面的显示流程已经结束，此时，终端设备通过tee控制第二元件停止按照第一模式运行，从而避免用户在其他不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

57、需要说明的是，本技术实施例中，终端设备侧的第一元件与第二元件可以不同，比如第一元件为物理按键，第二元件为指示灯；也可以相同，比如，第一元件或第二元件为具有指示功能的物理按键。

58、第三方面，提供一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面或第二方面示出的可信用户界面的显示方法。

59、需要说明的是，本实施例提供的终端设备可以既包括第一元件，又包括第二元件。终端设备在执行本技术实施例第一方面或第二方面提供的可信用户界面的显示方法时，可以是终端设备仅执行第一方面示出的方法；也可以是终端设备仅执行第二方面示出的方法；还可以是终端设备既执行第一方面示出的方法，又执行第二方面示出的方法，比如，终端设备在通过tee检测到第二操作之后，显示可信用户界面，并通过tee控制第二元件按照第一模式运行，其具体的执行过程参见前述实施例中所示，本部分不做赘述。

60、第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面或第二方面示出的可信用户界面的显示方法。

61、第五方面，提供一种芯片，所述芯片包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时实现如第一方面或第二方面示出的可信用户界面的显示方法。

62、可以理解的是，上述第三方面至第五方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。