用于装置的TEE执行的用户界面的制作方法

本文中所公开的主题涉及电子装置，且更具体地说，涉及用于将来自富操作系统环境的显示内容用作在受信任执行环境内实施的受信任用户界面中的背景图像的方法、设备和系统。

背景技术

受信任执行环境(tee)是装置(例如，智能手机、平板计算机、机顶盒、智能电视等)的主处理器中保证在内部加载的代码和数据将在保密性和完整性方面受到保护的安全区域。tee作为独立的执行环境与例如安卓的富操作系统(os)同时运行。它通过使用同时用硬件和软件来保护数据的混合方式提供了独立执行时的此类安全性特征和受信任应用的完整性。一般来说，tee提供具有比富os更高的安全性等级的执行空间。例如globalplatform的行业协会一直在努力使tee的规范标准化。

tee提供被称为“受信任应用”的经授权安全软件的安全执行，使得它能够通过加强保护性、保密性、完整性和数据存取权限来提供端到端安全性。受信任ui是一种特定模式，其中装置受tee控制，从而使得装置能够检查在显示屏上显示的信息是否来自认可的受信任应用且与富os分离。

企业在它们与用户的所有交互中可能想要用户尽可能多地接触它们的视觉标识，例如，公司名称、商标和/或标志。例如，当用户浏览在线商家的网站或使用在线商家的移动应用并在富os环境中进行购买时，她可以看到在网站上或在移动应用中突出显示的在线商家的名称和标志。通常，可通过不同于商家的一方(例如支付处理器)来提供相关的受信任应用。因此，当调用tee来认证和完成交易，且受信任应用完全控制装置显示器时，在线商家的名称和标志在受信任ui上可能会丢失。

技术实现要素：

本公开的一个方面涉及一种用于将来自富操作系统(os)环境的显示内容用作受信任用户界面(ui)中的背景图像的方法，包括：捕获富os环境的显示器缓存；将捕获的显示器缓存传递到受信任应用；以及利用受信任应用将捕获的显示器缓存显示为受信任ui中的背景图像，其中受信任应用在受信任执行环境(tee)中执行。

本公开的另一方面涉及一种设备，包括：存储器；以及耦合到存储器的处理器，所述处理器用于：捕获富操作系统(os)环境的显示器缓存，将捕获的显示器缓存传递到受信任应用，以及利用受信任应用将捕获的显示器缓存显示为受信任ui中的背景图像，其中受信任应用在受信任执行环境(tee)中执行。

本公开的又一方面涉及一种用于将来自富操作系统(os)环境的显示内容用作受信任用户界面(ui)中的背景图像的设备，包括：用于捕获富os环境的显示器缓存的装置；用于将捕获的显示器缓存传递到受信任应用的装置；以及用于利用受信任应用将捕获的显示器缓存显示为受信任ui中的背景图像的装置，其中受信任应用在受信任执行环境(tee)中执行。

本公开的又一方面涉及一种包括代码的非暂时性计算机可读媒体，所述代码在由处理器执行时使所述处理器执行功能，包括：捕获富操作系统(os)环境的显示器缓存；将捕获的显示器缓存传递到受信任应用；以及利用受信任应用将捕获的显示器缓存显示为受信任用户界面(ui)中的背景图像，其中受信任应用在受信任执行环境(tee)中执行。

附图说明

图1是实例常规受信任ui显示器的图示。

图2是说明可利用其实践本发明的实施例的实例装置的图式。

图3是说明用于将来自富os环境的显示内容用作受信任ui中的背景图像的实例方法的流程图。

图4是说明用于将来自富os环境的显示内容用作受信任ui中的背景图像的方法中所涉及的各个要素的图式。

图5是其中来自富os环境的显示内容作为背景图像的实例受信任ui显示器的图示。

具体实施方式

如上文所论述，受信任执行环境(tee)提供被称为“受信任应用”的经授权安全软件的安全执行，使得它能够通过加强保护性、保密性、完整性和数据存取权限来提供端到端安全性。在tee中运行的受信任应用可以接入装置的主处理器和存储器的满功率，而硬件分离保护这些受信任应用不受在富os中运行的应用的影响。可用于支持tee实施方案的硬件技术可包含(例如)来自arm的trustzone技术。此外，tee内部的软件和密码分离保护内含的受信任应用不受彼此影响。

tee的实例使用情况可包含电子金融服务应用，例如移动钱包、汇款、付款、点对点支付或非接触支付等。这些金融服务应用可涉及用户交互，并且对于这些应用来说，保证“所见即所签(whatyouseeiswhatyousign)”至关重要。这一目标可通过在tee中运行的专用受信任应用来实现，所述专用受信任应用控制富os的装置显示器并提供一个安全且受信任的用户界面(ui)。

受信任ui是一种特定模式，其中装置受tee控制，从而使得装置能够检查在显示屏上显示的信息是否来自认可的受信任应用且与富os分离。受信任ui还使得信息能够通过验证装置的ui而由最终用户进行安全配置且由tee进行安全控制。因此，例如，当用户进行交易时，交易的摘要可在新窗口中通过tee显示，从而确保存储在富os中的任何非安全应用无法篡改支付细节。最终用户能够确切地对显示屏上显示的内容进行签名，并通过(例如)输入个人身份识别码(pin)或密码来认证自己。因此，受信任ui确保只有特定受信任应用能够通过它交换信息。

参考图1，示出实例常规受信任ui显示器100的图示。已知的常规受信任ui显示器100包括支付处理器名称和/或标志110、账户号码120、精确支付金额130、pin输入框140、用于取消交易的取消(cancel)按钮150和用于确定交易的确认(confirm)按钮160。用户可在此受信任ui上认证自己并完成交易。用户可在点击(例如)在线商家网站上或在线商家移动应用中的结帐链接之后进入此受信任ui显示器100，其通过富os呈现。当受信任ui显示器100由tee中所含的受信任应用提供，且受信任应用由完全控制装置显示器的支付处理器提供时，关于在线商家的视觉信息缺失，例如它的名称和/或标志。

参考图2，示出适于实施tee的实例装置200。装置200示出为包括可通过总线205电耦合(或可按需要以其它方式通信)的硬件元件。硬件元件可包含一或多个处理器210，包含(但不限于)一或多个通用处理器和/或一或多个专用处理器(例如，数字信号处理芯片、图形加速处理器等等)；一或多个输入/输出装置215，包含显示器217、鼠标、键盘、扬声器、打印机等等。处理器210可包括可利用其实施tee的硬件安全元件。

装置200可进一步包含一或多个非暂时性存储装置225(和/或与其通信)，所述非暂时性存储装置225可包括(但不限于)本地和/或网络可存取的存储装置，和/或可包含(但不限于)磁盘驱动器、驱动阵列、光学存储装置、例如随机存取存储器(“ram”)和/或只读存储器(“rom”)的固态存储装置(其可为可编程的、可快闪更新的)等等。此类存储装置可经配置以实施任何适当的数据存储装置，包含(但不限于)各种文件系统、数据库结构等等。

装置200还可包含通信子系统230，其可包含(但不限于)调制解调器、网卡(无线或有线)、红外线通信装置、无线通信装置和/或芯片组(例如，蓝牙装置、802.11装置、wi-fi装置、wimax装置、蜂窝式通信设施等)等等。通信子系统230可准许与网络、其它计算机系统/装置和/或本文中所描述的任何其它装置交换数据。在许多实施例中，装置200将进一步包括工作存储器235，其可包含ram或rom装置，如上文所描述。

装置200还可包括软件元件，其示出为当前位于工作存储器235内，包含例如富os的操作系统240、装置驱动器、可执行库和/或可包括或可设计成实施方法和/或配置系统的通过其它实施例提供的其它代码，例如一或多个应用程序245，如本文中所描述。仅举例来说，相对于下文所论述的方法描述的一或多个程序可实施为可由计算机(和/或计算机内的处理器)执行的代码和/或指令；在一个方面中，然后，此类代码和/或指令可用于配置及/或调适通用计算机(或其它装置)以根据所描述方法执行一或多个操作。

这些指令和/或代码的集合可存储在非暂时性计算机可读存储媒体上，例如上文所描述的存储装置225。在一些情况下，存储媒体可并入于例如装置200的计算机装置内。在其它实施例中，存储媒体可与计算机装置分开(例如，可卸除式媒体，例如，压缩光盘)，和/或提供于安装包中，使得存储媒体可用于编程、配置和/或调适其上存储有指令/代码的通用计算机。这些指令可呈可由装置200执行的可执行代码的形式，和/或可呈源和/或可安装代码的形式，所述源和/或可安装代码在装置200上编译和/或安装于装置200上(例如，使用多种通常可用的编译程序、安装程序、压缩/解压缩实用程序等等中的任一者)后，接着呈可执行代码的形式。

本公开的一个实施例是针对设备200，包括存储器235；以及耦合到存储器235的处理器210，所述处理器210用于：捕获富操作系统(os)环境的显示器缓存，将捕获的显示器缓存传递到受信任应用，以及利用受信任应用将捕获的显示器缓存显示为受信任ui中的背景图像，其中受信任应用在受信任执行环境(tee)中执行。

现在参考图3和4，图3示出说明用于将来自富os环境的显示内容用作受信任ui中的背景图像的实例方法300的流程图。图4是说明用于将来自富os环境的显示内容用作受信任ui中的背景图像的方法中所涉及的各个要素的图式400。

在框310处，装置的处理器(例如，图2的处理器210)可捕获显示器缓存或富os环境。例如，当检测到富os440环境中调用tee450中的受信任应用的用户动作时，可捕获富os440环境的当前显示器缓存。此类用户动作可包含(例如)富os应用410中的用户动作，例如点击在线购物应用中的结帐按钮。应了解，富os440环境的显示器缓存可包含(例如)来自富os应用410的内容，例如与购物应用相关联的商家的名称和/或标志和其它商家内容。在一个方面中，在检测到富os440环境中调用tee450中的受信任应用的用户动作后，处理器可切换到受信任ui，如460(图4)中所示。

在框320处，处理器可将捕获的显示器缓存传递到受信任应用。例如，富os440环境的捕获的显示器缓存可被传递给调用的受信任应用430，如470(图4)中所示。在一个方面中，可通过富ostee后台程序420传递捕获的显示器缓存，所述富ostee后台程序420充当富os440和tee450之间的中介。

在框330处，处理器可利用受信任应用在装置的显示器(例如，图2的显示器217)上将捕获的显示器缓存显示为受信任ui中的背景图像。例如，富os440环境的捕获的显示器缓存可显示为调用的受信任应用430的受信任ui中的背景图像，如480(图4)中所示。可使用实施tee450的常规方法来显示受信任应用430的受信任ui，所述方法可包含将来自受信任应用430的显示内容传递到富ostee后台程序420。

在受信任ui内，可在背景图像上叠加安全内容，例如支付授权和确认窗口，同时仅占用比全部显示区域小的区域。因此，背景图像的部分可保持对用户可见。例如阴影的视觉效果可施加到背景图像，以免遮蔽更重要的安全内容。因此，在切换到tee450之前在富os环境中显示的内容，例如商家名称/标志和/或其它内容，可与安全内容一起保持可见，即使受信任应用430是由不同的一方(例如，支付处理器)提供也如此。

参考图5，示出其中来自富os环境的显示内容作为背景图像的实例受信任ui显示器500的图示。安全内容窗口505可类似于图1的常规受信任ui显示器100，且可包含支付处理器名称和/或标志510、账户号码520、精确支付金额530、pin(或密码)输入框540、用于取消交易的取消(cancel)按钮550以及用于确定交易的确认(confirm)按钮560。在安全内容窗口505外可以看到背景图像565，它可为在调用受信任应用之前在富os环境中显示的内容的屏面复制。例如阴影590的视觉效果可施加到背景图像565，以免遮蔽更重要的安全内容窗口505。在背景图像565中，可以看到商家的名称/标志570和一些其它商家内容580。

因此，本发明的实施例使得装置能够将来自富os环境的显示内容显示为在tee中执行的受信任应用的受信任ui中的背景图像。因此，当用户在受信任ui内操作时，用户可以看到企业视觉标识，例如在线商家的名称/标志和/或其它商家内容。即使信任应用是由不同于商家的一方(例如，支付处理器)提供，这也是可能的。

先前已经详细地描述用于将来自富os环境的显示内容用作用tee实施的受信任ui中的背景图像的设备、方法和系统的各种实施方案。应了解，完成相关操作的应用或系统可实施为软件、固件、硬件、其组合等。在一个实施例中，先前描述的功能可由装置200的一或多个处理器(例如，处理器210)实施以实现先前所要功能(例如，图3的方法操作)。将来自富os环境的显示内容用作受信任ui中的背景图像可提供或改进企业的视觉标识的可视性，即使受信任应用是由不同于企业的一方提供也可如此。

本文中呈现的实例方法、设备或制品可以整体或部分地实施以在移动通信装置中使用或结合移动通信装置使用。如本文中所使用，“移动装置”、“移动通信装置”、“手持式装置”、“平板计算机”等等或此类术语的多种形式可互换使用，并且可指代能够根据一或多个通信协议通过经由合适的通信网络无线传输或接收信息而进行通信并且可不时地具有改变的定位或位置的任何种类专用计算平台或装置。作为说明，专用移动通信装置可包含(例如)蜂窝式电话、卫星电话、智能电话、热图或无线电图生成工具或装置、观测信号参数生成工具或装置、个人数字助理(pda)、膝上型计算机、个人娱乐系统、电子书阅读器、平板个人计算机(pc)、个人音频或视频装置、个人导航单元、可穿戴装置等等。然而，应了解，这些仅仅是与可用于促进或支持本文中所描述的一或多个过程或操作的移动装置相关的说明性实例。

取决于具体应用，本文中所描述的方法可以不同方式且以不同配置实施。例如，此类方法可连同软件一起以硬件、固件和/或其组合实施。例如，在硬件实施方案中，处理单元可实施于一或多个专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理装置(dspd)、可编程逻辑装置(pld)、现场可编程门阵列(fpga)、处理器、控制器、微控制器、微处理器、电子装置、经设计以执行本文中所描述的功能的其它装置单元和/或其组合内。

本文中所描述的存储媒体可包括一级、二级和/或三级存储媒体。一级存储媒体可包含存储器，例如，随机存取存储器和/或只读存储器。二级存储媒体可包含大容量存储装置，例如磁性或固态硬盘驱动器。三级存储媒体可包含可卸除式存储媒体，例如磁盘或光盘、磁带、固态存储装置等。在某些实施方案中，存储媒体或其部分可操作性地接收或以其它方式可配置以耦合到计算平台的其它组件，例如处理器。

在至少一些实施方案中，本文中所描述的存储媒体的一或多个部分可存储信号，所述信号表示通过存储媒体的具体状态表达的数据和/或信息。例如，表示数据和/或信息的电子信号可通过影响或改变存储媒体的此类部分的状态以将数据和/或信息表示成二进制信息(例如，一和零)来“存储”在存储媒体(例如，存储器)的一部分中。因而，在具体实施方案中，用于存储表示数据和/或信息的信号的存储媒体的所述部分的状态的此类改变构成存储媒体到不同状态或内容的变换。

在之前详细描述中，已阐述众多特定细节以提供对所要求的主题的透彻理解。然而，所属领域的技术人员将理解，可在没有这些特定细节的情况下实践所要求的主题。在其它情况下，未详细描述所属领域的技术人员已知的方法和设备以免混淆所要求的主题。

在对特定的设备或专用计算装置或平台的存储器内存储的二进制数字电子信号的操作的算法或符号表示方面呈现先前详细描述中的一些部分。在此具体说明书的上下文中，术语“特定设备”等等包含通用计算机，条件是其经编程以依据来自程序软件的指令执行具体功能。算法描述或符号表示是信号处理或相关领域的技术人员用来向所属领域的其它技术人员传达其工作的实质内容的技术的实例。在此，算法一般被视为产生期望结果的操作或类似信号处理的自一致序列。在此上下文中，操作或处理涉及对物理量的物理操控。通常但不一定，此类量可呈能够作为表示信息的电子信号而存储、传送、组合、比较或以其它方式操控的电或磁信号的形式。已证实主要出于普通使用的原因而将此类信号称为位、数据、值、要素、符号、字符、术语、数值、标号、信息等常常是方便的。然而，应理解，所有这些或类似术语应与适当物理量相关联且仅为方便的标记。

除非另外确切地说明，否则根据以下论述显而易见的是，应了解，贯穿本说明书，利用例如“处理”、“计算(computing)”、“计算(calculating)”、“识别”、“确定”、“建立”、“获得”等等的术语的论述是指例如专用计算机或类似专用电子计算装置的特定设备的动作或过程。因此，在本说明书的上下文中，专用计算机或类似的专用电子计算装置能够操控或变换信号，所述信号通常表示为在专用计算机或类似的专用电子计算装置的存储器、寄存器或其它信息存储装置、发射装置或显示装置内的物理电子或磁性量。在此特定专利申请的上下文中，术语“特定设备”可包含通用计算机，条件是其经编程以依据来自程序软件的指令执行特定功能。

贯穿本说明书对“一个实例”、“实例”、“某些实例”或“示例性实施方案”的提及意味关于特征和/或实例描述的特定特征、结构或特性可包含在所要求的主题的至少一个特征和/或实例中。因此，短语“在一个实例中”、“实例”、“在某些实例中”或“在一些实施方案中”或其它相似短语在贯穿本说明书的各处的出现未必都是指同一特征、实例和/或限制。此外，所述特定特征、结构或特性可在一或多个实例和/或特征中组合。

虽然已图解说明和描述当前视为实例特征的内容，但所属领域的技术人员应理解，在不脱离所要求的主题的情况下可做出各种其它修改并且可用等效物替代。另外，在不脱离本文中描述的中心概念的情况下，可进行许多修改以使特定情形适合于所要求的主题的教示。因此，希望所要求的主题不限于所公开的特定实例，而是此类所要求的主题还可包含属于所附权利要求书和其等效物的范围内的所有方面。