一种安全显示数据的方法和装置与流程

文档序号:17049271发布日期:2019-03-05 19:52阅读:196来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
一种安全显示数据的方法和装置与流程

本发明涉及一种安全支付领域,尤其涉及一种安全显示数据的方法和装置。



背景技术:

随着信息技术的快速发展,网上支付越来越普遍,但是与此同时,网上支付也存在着诸多安全风险,例如,在用移动终端进行支付的过程中,用户的交易数据在屏幕上进行显示,用户对交易信息数据进行确认,从而完成交易,但是攻击者可能劫持主处理器(例如,cpu),在对当前待显示的交易数据进行处理时,一方面将篡改后的交易数据发送至移动终端的安全模块进行签名,另一方面将用户真实的交易数据发送至显示模块显示。用户通过显示模块确认的是用户希望交易的交易数据,但是安全模块进行签名的是篡改后的数据,因此,移动终端执行的并非真正的交易数据,而是攻击者篡改后的交易数据,移动终端签名的数据并非屏幕上显示的数据(即,“所见非所签”),也就是说利用移动终端支付时,不能保证“所见即所签”,造成网上支付不安全。

在现有技术中,为保证网上支付的安全性,可以使用与终端连接的key(usbkey或音频key)上的显示屏对用户的交易数据进行显示,并利用设置于key上的物理按键对交易信息进行确认,由于攻击者是无法劫持key中的cpu的,无法篡改交易数据,则key上显示的交易数据即是真正的交易数据,保证了“所见即所签”。该方法虽然保证了“所见即所签”,但是,利用key操作复杂,且需要用户随时携带音频key,给用户带来极大的不便。

因此,亟需一种不需要使用key即可在终端上保证“所见即所签”的方法。



技术实现要素:

本发明旨在解决上述问题/之一。

本发明的目的是提供一种安全显示数据的方法;

本发明的另一目的是提供一种安全显示数据的装置。

为达到上述目的,本发明的技术方案具体是这样实现的:

本发明一方面提供一种安全显示数据的方法,包括:控制过滤模块在接收到启动安全显示状态的指令后,进入安全显示状态;控制过滤模块获取当前待显示数据包,其中,当前待显示数据包至少包括显示地址和与显示地址对应的当前待显示数据;控制过滤模块在显示地址包含安全显示地址时,从当前待显示数据中获取安全显示地址对应的安全数据,并将安全数据发送至安全模块进行安全处理,其中,安全显示地址为固定的地址;控制过滤模块控制显示模块在安全显示地址下显示对应的安全数据;控制过滤模块获取对安全数据的安全处理结果。

此外,控制过滤模块在获取当前待显示数据包后,获取对安全数据的安全处理结果之前,还包括:关闭接收下一待显示数据包的功能;控制过滤模块在获取对安全数据的安全处理结果后,还包括:开启接收下一待显示数据包的功能。

此外,在控制过滤模块获取对安全数据的安全处理结果之前,还包括:控制过滤模块接收下一待显示数据包,其中,下一待显示数据包至少包括下一显示地址和与下一显示地址对应的下一待显示数据,并判断下一待显示地址是否包含有安全显示地址;如果下一待显示地址包含安全显示地址,则丢弃下一待显示数据包或者在接收到安全处理结果之后,从下一待显示数据中获取安全显示地址对应的下一安全数据;如果下一待显示地址不包含安全显示地址,则控制显示模块显示下一待显示数据。

此外,还包括:控制过滤模块控制显示模块在非安全显示地址下显示对应的非安全显示数据,非安全显示地址为显示地址中除安全显示地址外的地址,非安全显示数据为当前待显示数据中除安全数据外的数据。

此外,控制过滤模块获取安全显示地址对应的安全数据后,还包括:控制过滤模块在安全数据中增加安全标识信息;控制过滤模块控制显示模块在安全显示地址下显示对应的安全数据具体包括:控制过滤模块控制显示模块在安全显示地址下显示对应的安全数据和安全标识信息。

本发明另一方面还提供一种安全显示数据的装置,至少包括:控制过滤模块、主处理器、显示模块和安全模块;其中,控制过滤模块用于在接收到启动安全显示状态的指令后,进入安全显示状态;控制过滤模块还用于获取当前待显示数据包,其中,当前待显示数据包至少包括显示地址和与显示地址对应的当前待显示数据;控制过滤模块还用于在显示地址包含安全显示地址时,从当前待显示数据中获取安全显示地址对应的安全数据,并将安全数据发送至安全模块,其中,安全显示地址为固定的地址;还用于控制显示模块在安全显示地址下显示对应的安全数据,其中,安全数据用于在安全模块接收到对安全数据的确认指令后参与安全模块的签名操作;还用于获取对安全数据的安全处理结果。

此外,控制过滤模块还用于在获取当前待显示数据包后,获取对安全数据的安全处理结果之前,关闭接收下一待显示数据包的功能;控制过滤模块还用于在获取对安全数据的安全处理结果后,开启接收下一待显示数据包的功能。

此外,控制过滤模块还用于在接收下一待显示数据包,其中,下一待显示数据包至少包括下一显示地址和与下一显示地址对应的下一待显示数据,并判断下一待显示地址是否包含有安全显示地址;如果下一待显示地址包含安全显示地址,控制过滤模块还用于丢弃下一待显示数据包或者在接收到安全处理结果之后,从下一待显示数据中获取安全显示地址对应的下一安全数据;如果下一待显示地址不包含安全显示地址,控制过滤模块还用于控制显示模块显示下一待显示数据。

此外,控制过滤模块还用于控制显示模块在非安全显示地址下显示对应的非安全显示数据,非安全显示地址为显示地址中除安全显示地址外的地址,非安全显示数据为当前待显示数据中除安全数据外的数据。

此外,控制过滤模块还用于在获取安全显示地址对应的安全数据后,在安全数据中增加安全标识信息,并控制显示模块在安全显示地址下显示安全数据和安全标识信息。

本发明中安全显示数据的方法和装置,通过主处理器与控制过滤模块直接通信,并通过固定的安全显示地址显示安全数据,解决了现有技术中由于主处理器直接与安全模块或显示模块通信导致的“所见非所签”的技术问题;另外,通过在接收到下一待显示数据包后直接丢弃的方式,解决了由于接收下一待显示数据包导致的“所见非所签”的技术问题,或者,在接收到对当前待显示数据中安全数据的安全处理结果之后,才从下一待显示数据中获取下一安全数据,以解决由于接收下一待显示数据包导致的“所见非所签”的技术问题,或者,控制过滤模块在获取当前待显示数据包后,关闭接收下一待显示数据包的功能,在获取对安全数据的安全处理结果后,才开启接收下一待显示数据包的功能,同样解决了由于接收下一待显示数据包导致的“所见非所签”的技术问题。

附图说明

为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。

图1为本发明实施例1提供的安全显示数据的方法流程图;

图2为本发明实施例2提供的安全显示数据的装置的结构示意图。

具体实施方式

下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。

在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。

在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。

下面将结合附图对本发明实施例作进一步地详细描述。

实施例1

图1为本实施例提供的一种安全显示数据的方法的流程示意图,如图1所示,本实施例提供的安全显示数据的方法主要包括以下步骤(s1-s5):

步骤s1:控制过滤模块在接收到启动安全显示状态的指令后,进入安全显示状态。

在本实施例中,启动安全显示状态的指令可以为应用初始化指令,例如进入应用程序就启动安全显示状态;也可以为签名指令,例如,接收到签名指令后才进入安全显示状态;也可以为准备安全计算环境的指令,当然,对安全数据(例如,交易账号或交易金额等)进行安全处理(例如,签名)之前的所有指令流中的任何一条指令均可作为启动安全显示状态的指令,本实施例不做具体限定,只要能指示启动安全显示状态即在本发明的保护范围之内。

步骤s2:控制过滤模块获取当前待显示数据包,其中,当前待显示数据包至少包括显示地址和与显示地址对应的当前待显示数据。

本实施例中的执行主体是终端(例如,个人计算机,手机,ipad等)中的控制过滤模块,终端除了包括控制过滤模块,还包括主处理器、安全模块和显示模块。与现有终端不同的是,本实施例中的主处理器并不是直接与安全模块和显示模块进行直接通信的,而是主处理器与控制过滤模块进行直接通信。

在本实施例中,控制过滤模块可以集成在终端的显卡或图像处理芯片(gpu)中,当然也可以通过单独的芯片实现该控制过滤模块的功能,或者,与安全模块集成在同一芯片上实现,本实施例不做限定,只要能实现本实施例中控制过滤模块的功能皆在本发明的保护范围之内。

在本实施例中,显示地址为存储单元的物理地址,需要在显示屏上显示的数据需要通过存储单元来保存,在显示地址下的存储单元内存储与显示地址对应的当前待显示数据。需要说明的是,存储单元可以为显卡内单独的存储单元,也可以为与主处理器共用的存储单元,或者,也可以是一部分为显存内的存储单元,另一部分为与主处理器共用的存储单元,本实施例不做具体限定。

作为本实施例的一种可选实施方式,在控制过滤模块获取当前待显示数据包之前:主处理器判断当前待显示数据包中是否包含安全数据。具体应用中,主处理器可通过判断当前待显示数据中是否有符合预设格式的数据,如果有,则符合预设格式的数据为安全数据,当然,也可通过其它方式判断当前待显示数据中是否包含安全数据。主处理器判断出包含安全数据后,方便主处理器将安全数据与安全显示地址对应发送至控制过滤模块。

在本实施例中,控制过滤模块具体可通过如下方式之一获取当前待显示数据包:

方式一:在控制过滤模块接收到启动安全显示状态的指令之后,主处理器向控制过滤模块发送当前待显示数据包,控制过滤模块获取主处理器发送的当前待显示数据包。例如,当启动安全显示状态的指令为应用初始化指令时,则在进入安全显示状态后接收主处理器发送的当前待显示数据包。

方式二:控制过滤模块接收到的启动安全状态的指令中携带当前待显示数据包,控制过滤模块从启动安全状态的指令中获取当前待显示数据包;例如,当启动安全显示状态的指令为签名指令时,控制过滤模块可以从签名指令中获取当前待显示数据包。

步骤s3:控制过滤模块在显示地址包含安全显示地址时,从当前待显示数据中获取安全显示地址对应的安全数据,并将安全数据发送至安全模块进行安全处理,其中,安全显示地址为固定的地址。

在本实施例中,安全数据可以为交易信息(例如,交易账号和/或交易金额等),也可以为其它需要安全显示的数据,本实施例不做具体限定。

在本实施例中,安全显示地址为固定的地址,例如,安全显示地址为某一个固定的存储单元的物理地址,或者,安全显示地址为某几个固定的存储单元的物理地址。每个存储单元的物理地址对应显示屏的某一固定显示区域,安全数据每次均与该固定的安全显示地址对应存储,即显示屏显示安全数据时,均是在显示屏的固定区域显示该安全数据。需要说明的是,进入安全显示状态后,显示屏的安全显示区域只用来显示安全数据或者安全标识信息,其中,安全标识信息用于告知用户安全标识信息所在区域显示的数据为安全数据(具体可参见下文)。通过在显示屏的固定区域显示安全数据可以方便用户确认安全数据处于安全显示状态,另外,攻击者发送的显示地址中不包含安全显示地址时,安全模块不会对攻击者篡改的安全数据进行签名,实现“所见即所签”。

具体应用中,控制过滤模块和主处理器可通过协商确定该固定的安全显示地址,当然,控制过滤模块和主处理器也可通过其它方式确定固定的安全显示地址,本实施例不做具体限定。主处理器判断当前待显示数据中包含安全数据后,主处理器发送至控制过滤模块的显示地址中包括该固定的安全显示地址,且安全数据是与该固定的安全显示地址对应发送至控制过滤模块的。控制过滤模块每次接收的安全显示地址为固定的地址,即显示屏上的固定区域显示待用户确认的安全数据,通过在显示屏的固定区域显示安全数据,用户可以方便的对该区域的数据进行确认。

作为本实施例的一种可选实施方式,在步骤s2之后,步骤s3之前,还包括:控制过滤模块判断显示地址是否包含安全显示地址,是则执行步骤s3,否则控制显示模块显示当前待显示数据。具体应用中,如果控制过滤模块判断显示地址包含安全显示地址,说明当前待显示数据中包含安全数据,控制过滤模块从当前待显示数据中获取安全显示地址对应的安全数据,并将安全数据发送至安全模块进行安全处理,如果控制过滤模块判断显示地址不包含安全显示地址,说明当前待显示数据中不包含安全数据,不需要进行安全显示,则控制显示模块在非安全显示地址下直接显示当前待显示数据,其中,非安全显示地址为显示地址中除安全显示地址外的地址。通过判断是否包含安全显示地址,控制过滤模块可以判断是直接显示当前待显示数据还是对当前待显示数据中的安全数据进行安全处理。

步骤s4:控制过滤模块控制显示模块在安全显示地址下显示对应的安全数据。

在本实施例中,显示模块可以为显示屏,该显示屏可以为led显示屏、液晶显示屏等,本实施例不做具体限定,只要能用于显示待显示数据即在本发明的保护范围之内。

在本实施例中,控制过滤模块控制显示模块显示安全数据后,用户对显示的安全数据进行确认,当安全模块接收到对安全数据的确认信息后,安全模块对安全数据进行安全处理。

在本实施例中,用户通过设置在终端上的物理按键对安全数据进行确认、取消或其它操作。进行确认、取消或其它操作的物理按键可以是在现有物理按键(例如电源、音量键等),通过在现有物理按键上的复用实现对安全数据的确认或取消等功能,可以减少对现有终端的改造,当然,也可以在终端上重新设置新的物理按键,本实施例不做具体限定。

在本实施例中,控制过滤模块和安全模块均可能具备检测按键的功能,本实施例不做具体限定。具备按键检测功能的控制过滤模块、安全模块均可以检测物理按键是否被按下,通过检测物理按键是否被按下可以判断用户对安全数据是确认、取消或者其它操作。

作为本实施例的一种可选实施方式,当安全显示地址为固定的地址时,控制过滤模块控制显示模块在非安全显示地址下显示对应的非安全显示数据,非安全显示地址为显示地址中除安全显示地址外的地址,非安全显示数据为当前待显示数据中除安全数据外的数据。即显示屏除了显示安全数据外,还显示待显示数据中除安全数据外的其它数据,实现对显示屏的充分利用。

作为本实施例的一种可选实施方式,控制过滤模块获取安全显示地址对应的安全数据后,还包括:控制过滤模块在安全数据中增加安全标识信息;控制过滤模块控制显示模块在安全显示地址下显示对应的安全数据具体包括:控制过滤模块控制显示模块在安全显示地址下显示对应的安全数据和安全标识信息。具体应用中,通过安全标识信息告知用户安全标识信息所在区域显示的数据为安全数据,方便用户对安全数据的确认。

骤s5:控制过滤模块获取对安全数据的安全处理结果。

在本实施例中,控制过滤模块和安全模块可以通过同一个芯片来实现,也可以通过不同的芯片来实现,本实施例不做具体限定。

在本实施例中,安全处理结果可以为确认响应、签名完成响应、取消响应或超时响应。当安全处理结果为确认响应时,控制过滤模块可通过如下方式获取对安全数据的安全处理结果:

方式一:控制过滤模块在预设时间内检测到确认键按下后,生成确认响应;

方式二:安全模块在预设时间内检测到确认键按下后,生成确认响应并发送至控制过滤模块。

在本实施例中,安全处理结果为签名完成响应时,控制过滤模块可通过如下方式获取对安全数据的安全处理结果:

方式一:控制过滤模块在预设时间内检测到确认键按下后,向安全模块发送确认响应,安全模块接收到确认响应后,对安全数据进行签名操作,生成签名完成响应,并将签名完成响应发送至控制过滤模块。

方式二:安全模块在预设时间内检测到确认键按下后,对安全数据进行签名操作,生成签名完成响应,并将签名完成响应发送至控制过滤模块。

在本实施例中,安全处理结果为取消响应时,控制过滤模块可通过如下方式获取对安全数据的安全处理结果:

方式一:控制过滤模块在预设时间内检测到取消键按下后,生成取消响应;

方式二:安全模块在预设时间内检测到取消键按下后,生成取消响应,并将取消响应发送至控制过滤模块。

在本实施例中,安全处理结果为超时响应时,控制过滤模块可通过如下方式获取对安全数据的安全处理结果:

方式一:控制过滤模块在预设时间内未检测到确认键或取消键被按下,生成超时响应。

方式二:安全模块在预设时间内未检测到确认键或取消键被按下,生成超时响应,并将超时响应发送至控制过滤模块。

现有技术中,主处理器直接将当前待显示数据发送至安全模块或显示模块,导致安全模块进行签名的安全数据与显示模块显示的安全数据不同,不能保证“所见即所签”。本实施例与现有技术不同的是,主处理器并不是将待当前显示数据包直接发送至安全模块或显示模块,而是将当前待显示数据包发送至控制过滤模块,再由控制过滤模块将待显示数据一方面发送至安全模块进行安全处理,另一方面控制显示模块进行显示,这样,即使攻击者攻击了主处理器并将安全数据进行篡改了,但是攻击者如果不清楚进行安全显示的固定地址,则主处理器发送至控制过滤模块的当前待显示数据包中的显示地址不会包含安全显示地址,则安全模块不会对安全数据进行签名,解决了现有技术中不能保证“所见即所签”的技术问题。另外,如果攻击者攻击了主处理器并将安全数据进行篡改了,且攻击者清楚进行安全显示的固定地址,但是控制过滤模块发送至安全模块进行安全处理的安全数据与控制显示模块显示的安全数据相同,由于显示的攻击者篡改后的安全数据不正确,则用户不会对所见的不正确的安全数据进行确认,只要用户不对篡改后的安全数据进行确认,就不会对篡改后的安全数据进行签名,同样解决了现有技术中不能保证“所见即所签”的技术问题。

本实施例通过主处理器与控制过滤模块直接通信,解决了现有技术中由于主处理器直接与安全模块或显示模块通信导致的“所见非所签”的技术问题,但是,在本实施例中,控制过滤模块在获取当前待显示数据包后,执行步骤s2-s5中对当前待显示数据包中的安全数据的显示和安全处理操作,主处理器可能在控制过滤模块执行步骤s2-s5的任一时间内向控制过滤模块发送下一待显示数据包,而该下一待显示数据包有可能是攻击者篡改安全数据后生成的数据包,如果直接显示下一待显示数据包中的下一待显示数据,有可能导致安全模块签名的安全数据并不是显示模块显示的安全数据,不能保证“所见即所签”。

为了进一步解决由于接收下一待显示数据包导致的“所见非所签”的技术问题,具体的可通过如下方式实现:

方式一:控制过滤模块在获取当前待显示数据包后,获取对安全数据的安全处理结果之前,还包括:关闭接收下一待显示数据包的功能;控制过滤模块在获取对安全数据的安全处理结果后,还包括:开启接收下一待显示数据包的功能。

具体应用中,可通过关闭或开启控制过滤模块的i/o口等方式实现控制过滤模块关闭或开启接收下一待显示数据包的功能。如果主处理器在控制过滤模块执行步骤s2-s5的时间内向控制过滤模块发送下一待显示数据包,控制过滤模块通过关闭接收功能拒绝接收下一待显示数据包,在获取对安全数据的安全处理结果后,才开启接收下一待显示数据包的功能。可见,通过此方法,在对当前待显示数据包中的安全数据签名之前,不可能接收到包含攻击者篡改的数据的下一待显示数据包,也就不可能对篡改后的安全数据进行签名,这样,显示模块显示的安全数据即为安全模块进行签名的安全数据,保证了“所见即所签”。

方式二:在控制过滤模块获取对安全数据的安全处理结果之前,还包括:控制过滤模块接收下一待显示数据包,其中,下一待显示数据包至少包括下一显示地址和与下一显示地址对应的下一待显示数据,并判断下一待显示地址是否包含有安全显示地址;如果下一待显示地址包含安全显示地址,则丢弃下一待显示数据包或者在接收到安全处理结果之后,从下一待显示数据中获取安全显示地址对应的下一安全数据;如果下一待显示地址不包含安全显示地址,则控制显示模块显示下一待显示数据。

具体应用中,如果主处理器在控制过滤模块执行步骤s2-s5的时间内向控制过滤模块发送下一待显示数据包,控制过滤模块在获取安全处理结果之前接收下一待显示数据包,接收到下一待显示数据包后,判断下一待显示地址是否包含安全显示地址,如果包含,则说明下一待显示数据中也包括下一安全数据,该下一安全数据有可能是攻击者篡改的。为防止出现“所见非所签”的问题,控制过滤模块直接丢弃接收到的下一待显示数据包,这样,在对当前待显示数据包中的安全数据签名之前,不可能对接收到的攻击者篡改的安全数据进行签名,这样,显示模块显示的安全数据即为安全模块进行签名的安全数据,保证了“所见即所签”;或者,控制过滤模块在接收到安全处理结果之后,才从下一待显示数据中获取安全显示地址对应的下一安全数据,控制过滤模块接收到安全处理结果,说明控制过滤模块对当前待显示数据包处理已完成,由于在处理当前待显示数据包的过程中没有从下一待显示数据中获取下一安全数据,这样,安全模块进行签名的也不可能是下一安全数据,保证了“所见即所签”。

具体应用中,如果下一待显示地址不包含安全显示地址,则说明下一待显示数据不包含安全数据,不需要进行安全显示,则控制过滤模块直接控制显示模块在非安全显示地址下显示下一待显示数据。

本实施例提供的一种安全显示数据的方法,通过主处理器与控制过滤模块直接通信,并通过固定的安全显示地址显示安全数据,解决了现有技术中由于主处理器直接与安全模块或显示模块通信导致的“所见非所签”的技术问题;另外,通过在接收到下一待显示数据包后直接丢弃的方式,解决了由于接收下一待显示数据包导致的“所见非所签”的技术问题,或者,在接收到对当前待显示数据中安全数据的安全处理结果之后,才从下一待显示数据中获取下一安全数据,以解决由于接收下一待显示数据包导致的“所见非所签”的技术问题,或者,控制过滤模块在获取当前待显示数据包后,关闭接收下一待显示数据包的功能,在获取对安全数据的安全处理结果后,才开启接收下一待显示数据包的功能,同样解决了由于接收下一待显示数据包导致的“所见非所签”的技术问题。

实施例2

图2为本实施例提供的一种安全显示数据的装置,如图2所示,该装置至少包括:控制过滤模块201、主处理器202、显示模块203和安全模块204;其中,控制过滤模块201用于在接收到启动安全显示状态的指令后,进入安全显示状态;所述控制过滤模块201还用于获取当前待显示数据包,其中,所述当前待显示数据包至少包括显示地址和与所述显示地址对应的当前待显示数据;所述控制过滤模块201还用于在所述显示地址包含安全显示地址时,从当前待显示数据中获取所述安全显示地址对应的安全数据,并将所述安全数据发送至安全模块204,其中,所述安全显示地址为固定的地址;还用于控制显示模块203在所述安全显示地址下显示对应的所述安全数据,其中,所述安全数据用于在所述安全模块204接收到对所述安全数据的确认指令后参与所述安全模块204的签名操作;还用于获取对所述安全数据的安全处理结果。

在本实施例中,启动安全显示状态的指令可以为应用初始化指令,例如进入应用程序就启动安全显示状态;也可以为签名指令,例如,接收到签名指令后才进入安全显示状态;也可以为准备安全计算环境的指令,当然,对安全数据(例如,交易账号或交易金额等)进行安全处理(例如,签名)之前的所有指令流中的任何一条指令均可作为启动安全显示状态的指令,本实施例不做具体限定,只要能指示启动安全显示状态即在本发明的保护范围之内。

本实施例中的装置可以为终端(例如,个人计算机,手机,ipad)等,与现有终端不同的是,本实施例中的主处理器202并不是直接与安全模块204和显示模块203进行直接通信的,而是主处理器202与控制过滤模块201进行直接通信。

在本实施例中,控制过滤模块201可以集成在终端的显卡或图像处理芯片(gpu)中,当然也可以通过单独的芯片实现该控制过滤模块201的功能,或者,与安全模块204集成在同一芯片上实现,本实施例不做限定,只要能实现本实施例中控制过滤模块201的功能皆在本发明的保护范围之内。

在本实施例中,显示地址为存储单元的物理地址,需要在显示屏上显示的数据需要通过存储单元来保存,在显示地址下的存储单元内存储与显示地址对应的当前待显示数据。需要说明的是,存储单元可以为显卡内单独的存储单元,也可以为与主处理器202共用的存储单元,或者,也可以是一部分为显存内的存储单元,另一部分为与主处理器202共用的存储单元,本实施例不做具体限定。

作为本实施例的一种可选实施方式,主处理器202用于判断当前待显示数据包中是否包含安全数据。具体应用中,主处理器202可通过判断当前待显示数据中是否有符合预设格式的数据,如果有,则符合预设格式的数据为安全数据,当然,也可通过其它方式判断当前待显示数据中是否包含安全数据。主处理器202判断出包含安全数据后,方便主处理器202将安全数据与安全显示地址对应发送至控制过滤模块201。

在本实施例中,控制过滤模块201具体可通过如下方式之一获取当前待显示数据包:

方式一:在控制过滤模块201接收到启动安全显示状态的指令之后,主处理器202向控制过滤模块201发送当前待显示数据包,控制过滤模块201获取主处理器202发送的当前待显示数据包。例如,当启动安全显示状态的指令为应用初始化指令时,则在进入安全显示状态后接收主处理器202发送的当前待显示数据包。

方式二:控制过滤模块201接收到的启动安全状态的指令中携带当前待显示数据包,控制过滤模块201从启动安全状态的指令中获取当前待显示数据包;例如,当启动安全显示状态的指令为签名指令时,控制过滤模块201可以从签名指令中获取当前待显示数据包。

在本实施例中,安全数据可以为交易信息(例如,交易账号和/或交易金额),也可以为其它需要安全显示的数据,本实施例不做具体限定。

在本实施例中,安全显示地址为固定的地址,例如,安全显示地址为某一个固定的存储单元的物理地址,或者,安全显示地址为某几个固定的存储单元的物理地址。每个存储单元的物理地址对应显示屏的某一固定显示区域,安全数据每次均与该固定的安全显示地址对应存储,即显示屏显示安全数据时,均是在显示屏的固定区域显示该安全数据。需要说明的是,进入安全显示状态后,显示屏的安全显示区域只用来显示安全数据或者安全标识信息,其中,安全标识信息用于告知用户安全标识信息所在区域显示的数据为安全数据(具体可参照下文)。通过在显示屏的固定区域显示安全数据可以方便用户确认安全数据处于安全显示状态,另外,攻击者发送的显示地址中不包含安全显示地址时,不会对攻击者篡改的安全数据进行签名,实现“所见即所签”。

具体应用中,控制过滤模块201和主处理器202可通过协商确定该固定的安全显示地址,当然,控制过滤模块201和主处理器202也可通过其它方式确定固定的安全显示地址,本实施例不做具体限定。主处理器202判断当前待显示数据中包含安全数据后,主处理器202发送至控制过滤模块201的显示地址中包括该固定的安全显示地址,且安全数据是与该固定的安全显示地址对应发送至控制过滤模块201的。控制过滤模块201每次接收的安全显示地址为固定的地址,即显示屏上的固定区域显示待用户确认的安全数据,通过在显示屏的固定区域显示安全数据,用户可以方便的对该区域的数据进行确认。

作为本实施例的一种可选实施方式,控制过滤模块201判断显示地址是否包含安全显示地址。具体应用中,如果控制过滤模块201判断显示地址包含安全显示地址,说明当前待显示数据中包含安全数据,控制过滤模块201从当前待显示数据中获取安全显示地址对应的安全数据,并将安全数据发送至安全模块204进行安全处理,如果控制过滤模块201判断显示地址不包含安全显示地址,说明当前待显示数据中不包含安全数据,不需要进行安全显示,则控制显示模块203在非安全显示地址下直接显示当前待显示数据,其中,非安全显示地址为显示地址中除安全显示地址外的地址。通过判断是否包含安全显示地址,控制过滤模块201可以判断是直接显示当前待显示数据还是对当前待显示数据中的安全数据进行安全处理。

在本实施例中,显示模块203可以为显示屏,该显示屏可以为led显示屏、液晶显示屏等,本实施例不做具体限定,只要能用于显示待显示数据即在本发明的保护范围之内。

在本实施例中,控制过滤模块201控制显示模块203显示安全数据后,用户对显示的安全数据进行确认,当安全模块204接收到对安全数据的确认信息后,安全模块204对安全数据进行安全处理。

在本实施例中,用户通过设置在终端上的物理按键对安全数据进行确认、取消或其它操作。进行确认、取消或其它操作的物理按键可以是在现有物理按键(例如电源、音量键等),通过在现有物理按键上的复用实现对安全数据的确认或取消等功能,可以减少对现有终端的改造,当然,也可以在终端上重新设置新的物理按键,本实施例不做具体限定。

在本实施例中,控制过滤模块201和安全模块204均可能具备检测按键的功能,本实施例不做具体限定。具备按键检测功能的控制过滤模块201、安全模块204可以检测物理按键是否被按下。通过检测物理按键是否被按下可以判断用户对安全数据是确认、取消或者其它操作。

作为本实施例的一种可选实施方式,当安全显示地址为固定的地址时,控制过滤模块201还用于控制显示模块203在非安全显示地址下显示对应的非安全显示数据,非安全显示地址为显示地址中除安全显示地址外的地址,非安全显示数据为当前待显示数据中除安全数据外的数据。即显示屏除了显示安全数据外,还显示待显示数据中除安全数据外的其它数据,实现对显示屏的充分利用。

作为本实施例的一种可选实施方式,控制过滤模块201还用于在获取安全显示地址对应的安全数据后,在安全数据中增加安全标识信息,并控制显示模块203在安全显示地址下显示对应的安全数据和安全标识信息。具体应用中,通过安全标识信息告知用户安全标识信息所在区域显示的数据为安全数据,方便用户对安全数据的确认。

在本实施例中,控制过滤模块201和安全模块204可以通过同一个芯片来实现,也可以通过不同的芯片来实现,本实施例不做具体限定。

在本实施例中,安全处理结果可以为确认响应、签名完成响应、取消响应或超时响应。

在本实施例中,安全处理结果为确认响应时,控制过滤模块201可通过如下方式获取对安全数据的安全处理结果:

方式一:控制过滤模块201在预设时间内检测到确认键按下后,生成确认响应;

方式二:安全模块204在预设时间内检测到确认键按下后,生成确认响应并发送至控制过滤模块201。

在本实施例中,安全处理结果为签名完成响应时,控制过滤模块201可通过如下方式获取对安全数据的安全处理结果:

方式一:控制过滤模块201在预设时间内检测到确认键按下后,向安全模块204发送确认响应,安全模块204接收到确认响应后,对安全数据进行签名操作,生成签名完成响应,并将签名完成响应发送至控制过滤模块201。

方式二:安全模块204在预设时间内检测到确认键按下后,对安全数据进行签名操作,生成签名完成响应,并将签名完成响应发送至控制过滤模块201。

在本实施例中,安全处理结果为取消响应时,控制过滤模块201可通过如下方式获取对安全数据的安全处理结果:

方式一:控制过滤模块201在预设时间内检测到取消键按下后,生成取消响应;

方式二:安全模块204在预设时间内检测到取消键按下后,生成取消响应,并将取消响应发送至控制过滤模块201。

在本实施例中,安全处理结果为超时响应时,控制过滤模块201可通过如下方式获取对安全数据的安全处理结果:

控制过滤模块201在预设时间内未检测到确认键或取消键被按下,生成超时响应。

安全模块204在预设时间内未检测到确认键或取消键被按下,生成超时响应,并将超时响应发送至控制过滤模块201。

现有技术中,主处理器202直接将当前待显示数据发送至安全模块204或显示模块203,导致安全模块204进行签名的安全数据与显示模块203显示的安全数据不同,不能保证“所见即所签”。本实施例与现有技术不同的是,主处理器202并不是将待当前显示数据包直接发送至安全模块204或显示模块203,而是将当前待显示数据包发送至控制过滤模块201,再由控制过滤模块201将待显示数据一方面发送至安全模块204进行安全处理,另一方面控制显示模块203进行显示,这样,即使攻击者攻击了主处理器202并将安全数据进行篡改了,但是攻击者如果不清楚进行安全显示的固定地址,则主处理器202发送至控制过滤模块201的当前待显示数据包中的显示地址不会包含安全显示地址,则安全模块204不会对安全数据进行签名,解决了现有技术中不能保证“所见即所签”的技术问题。另外,如果攻击者攻击了主处理器202并将安全数据进行篡改了,且攻击者清楚进行安全显示的固定地址,但是控制过滤模块201发送至安全模块204进行安全处理的安全数据与控制显示模块203显示的安全数据相同,由于显示的攻击者篡改后的安全数据不正确,则用户不会对所见的不正确的安全数据进行确认,只要用户不对篡改后的安全数据进行确认,就不会对篡改后的安全数据进行签名,同样解决了现有技术中不能保证“所见即所签”的技术问题。

本实施例通过主处理器202与控制过滤模块201直接通信,解决了现有技术中由于主处理器202直接与安全模块204或显示模块203通信导致的“所见非所签”的技术问题,但是,在本实施例中,控制过滤模块201在获取当前待显示数据包后,对当前待显示数据包中的安全数据的显示和安全处理操作,主处理器202可能在控制过滤模块201处理当前待显示数据包的任一时间内向控制过滤模块201发送下一待显示数据包,而该下一待显示数据包有可能是攻击者篡改安全数据后生成的数据包,如果直接显示下一待显示数据包中的下一待显示数据,有可能导致安全模块204签名的安全数据并不是显示模块203显示的安全数据,不能保证“所见即所签”。

为了进一步解决由于接收下一待显示数据包导致的“所见非所签”的技术问题,具体的可通过如下方式实现:

方式一:所述控制过滤模块201还用于在获取当前待显示数据包后,获取对所述安全数据的安全处理结果之前,关闭接收下一待显示数据包的功能;所述控制过滤模块201还用于在获取对所述安全数据的安全处理结果后,开启接收下一待显示数据包的功能。

具体应用中,可通过关闭或开启控制过滤模块201的i/o口等方式实现控制过滤模块201关闭或开启接收下一待显示数据包的功能。如果主处理器202在控制过滤模块201处理当前待显示数据包的时间内向控制过滤模块201发送下一待显示数据包,控制过滤模块201通过关闭接收功能拒绝接收下一待显示数据包,在获取对安全数据的安全处理结果后,才开启接收下一待显示数据包的功能。可见,通过此方法,在对当前待显示数据包中的安全数据签名之前,不可能接收到包含攻击者篡改的数据的下一待显示数据包,也就不可能对篡改后的安全数据进行签名,这样,显示模块203显示的安全数据即为安全模块204进行签名的安全数据,保证了“所见即所签”。

方式二:所述控制过滤模块201还用于在接收下一待显示数据包,其中,所述下一待显示数据包至少包括下一显示地址和与所述下一显示地址对应的下一待显示数据,并判断所述下一待显示地址是否包含有所述安全显示地址;如果下一待显示地址包含所述安全显示地址,所述控制过滤模块201还用于丢弃所述下一待显示数据包或者在接收到所述安全处理结果之后,从下一待显示数据中获取所述安全显示地址对应的下一安全数据;如果下一待显示地址不包含所述安全显示地址,所述控制过滤模块201还用于控制显示模块203显示所述下一待显示数据。

具体应用中,如果主处理器202在控制过滤模块201在处理当前待显示数据包的时间内向控制过滤模块201发送下一待显示数据包,控制过滤模块201在获取安全处理结果之前接收下一待显示数据包,接收到下一待显示数据包后,判断下一待显示地址是否包含安全显示地址,如果包含,则说明下一待显示数据中也包括下一安全数据,该下一安全数据有可能是攻击者篡改的。为防止出现“所见非所签”的问题,控制过滤模块201直接丢弃接收到的下一待显示数据包,这样,在对当前待显示数据包中的安全数据签名之前,不可能对接收到的攻击者篡改的安全数据进行签名,这样,显示模块203显示的安全数据即为安全模块204进行签名的安全数据,保证了“所见即所签”;或者,控制过滤模块201在接收到安全处理结果之后,才从下一待显示数据中获取安全显示地址对应的下一安全数据,控制过滤模块201接收到安全处理结果,说明控制过滤模块201对当前待显示数据包处理已完成,由于在处理当前待显示数据包的过程中没有从下一待显示数据中获取下一安全数据,这样,安全模块204进行签名的也不可能是下一安全数据,保证了“所见即所签”。

具体应用中,如果下一待显示地址不包含安全显示地址,则说明下一待显示数据不包含安全数据,不需要进行显示,则控制过滤模块201直接控制显示模块203在非安全显示地址下显示下一待显示数据。

本实施例提供的一种安全显示数据的装置,通过主处理器202与控制过滤模块201直接通信,并通过固定的安全显示地址显示安全数据,解决了现有技术中由于主处理器202直接与安全模块204或显示模块203通信导致的“所见非所签”的技术问题;另外,通过在接收到下一待显示数据包后直接丢弃的方式,解决了由于接收下一待显示数据包导致的“所见非所签”的技术问题,或者,在接收到对当前待显示数据中安全数据的安全处理结果之后,才从下一待显示数据中获取下一安全数据,以解决由于接收下一待显示数据包导致的“所见非所签”的技术问题,或者,控制过滤模块201在获取当前待显示数据包后,关闭接收下一待显示数据包的功能,在获取对安全数据的安全处理结果后,才开启接收下一待显示数据包的功能,同样解决了由于接收下一待显示数据包导致的“所见非所签”的技术问题。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。

应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(pga),现场可编程门阵列(fpga)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。

此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器,磁盘或光盘等。

在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李东声
  • 技术所有人:天地融科技股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
数据安全保护系统相关技术
数据安全系统相关技术
数据安全领域相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2