CN103503426A - 用于在终端的显示设备上显示信息的方法 - Google Patents

用于在终端的显示设备上显示信息的方法 Download PDF

Info

Publication number
CN103503426A
CN103503426A CN201280018611.8A CN201280018611A CN103503426A CN 103503426 A CN103503426 A CN 103503426A CN 201280018611 A CN201280018611 A CN 201280018611A CN 103503426 A CN103503426 A CN 103503426A
Authority
CN
China
Prior art keywords
runtime environment
demonstration data
protected
display device
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280018611.8A
Other languages
English (en)
Other versions
CN103503426B (zh
Inventor
阿克塞尔·海德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Giesecke and Devrient GmbH
Original Assignee
Giesecke and Devrient GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Giesecke and Devrient GmbH filed Critical Giesecke and Devrient GmbH
Publication of CN103503426A publication Critical patent/CN103503426A/zh
Application granted granted Critical
Publication of CN103503426B publication Critical patent/CN103503426B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Abstract

本发明涉及在终端,特别是移动终端的显示设备(D1、D2)上显示信息的方法,其中终端包含实现正常运行时环境(NZ)和受保护运行时环境(TZ)的微处理器单元,其中可以通过正常运行时环境(NZ)和受保护运行时环境(TZ)的方式将显示数据(DD1、DD2、DD2’、TDD2)提供用于在显示设备(D1、D2)上再现。在这种情况下,通过正常运行时环境(NZ)提供的至少一些显示数据(DD2)被转送到受保护运行时环境(TZ),该受保护运行时环境检查被转送的显示数据(DD2)是否符合一项或多项安全标准,其中如果显示数据(DD2)不符合至少一项安全标准,那么它们被拒绝或者变更以使得:当接下来在显示设备(D1、D2)上再现它们时,它们可以与通过所述受保护运行时环境(TZ)的方式提供的显示数据(TDD2)区别开来。

Description

用于在终端的显示设备上显示信息的方法
技术领域
本发明涉及在终端,特别是移动终端的显示设备上显示信息的方法,并且还涉及适当的终端。
背景技术
现有技术公开了在终端的微处理器单元中实现以下二者的实践:不仅有正常的、不受单独保护的运行时环境(runtime environment),还有与正常运行时环境隔离并且用于执行安全关键(security-critical)应用的受保护运行时环境。这样的受保护运行时环境的示例是从现有技术得知的
Figure BDA0000396002480000011
(信任区)。在这种情况下,该信任区具有在其内部运行的分离的操作系统,如同样已知的
Figure BDA0000396002480000012
操作系统。
为使用户与受保护运行时环境中的适当的应用通信,通常使用终端中提供的显示设备,其中分离的显示器或者分离的显示区域能够被提供作为用于例如来自信任区的应用的用户界面。在这种情况下,与正常运行时环境并行的受保护运行时环境的使用的一个问题是:如何可以以尽可能多地防止操纵的方式,向用户提供他当前正与来自受保护运行时环境的可信的应用通信的指示。具体而言,这种情况的目标是阻止这样的攻击:这些攻击使用来自正常运行时环境的被操纵的应用来诱导用户相信他正与受保护运行时环境通信。在这种情况下,未授权的第三方可以使用适当的输入请求来推敲出诸如密码、PIN等等的用户相关数据。
现有技术公开了向终端配备多个显示元件的实践。文档DE2009022222A1描述了具有两个可以被分别驱动的显示元件的终端,其中一个显示元件连接到安全元件。该显示元件用于再现可信的信息。文档DE602004007152T2公开了终端的多层显示,该多层显示被用于叠加数条信息。
发明内容
本发明的一个目的是在终端的显示设备上再现信息,以使得以防止操纵的方式向用户提供信息是否是可信的指示。
该目的是通过根据专利权利要求1的方法和根据专利权利要求14的终端实现的。在从属权利要求中限定了对本发明的进化。
本发明的方法用于在终端,特别是诸如移动电话、PDA等等之类的移动终端的显示设备上显示信息。终端包含实现正常运行时环境和受保护运行时环境的微处理器单元,其中用于在显示设备上再现的显示数据可以通过正常运行时环境和受保护运行时环境而被提供。
本发明的方法的区别在于:通过正常运行时环境提供的显示数据至少部分地被转送到受保护运行时环境,该受保护运行时环境检查所转送的显示数据是否符合一项或多项安全标准。安全标准可以是任意的设计。它们仅仅需要确保:当符合安全标准时,用户可以信任显示数据没有在未授权的情况下被操纵。如果显示数据不符合至少一项安全标准,本发明的一个变体涉及显示数据被拒绝,即根本不在显示设备上显示。同样的,可以变更显示数据以使得:在显示设备上的随后再现期间,用户能够将它们与通过受保护运行时环境提供的显示数据区别开来。这确保了:即使在被操纵应用的情况下,也使得用户能够识别应用是在正常运行时环境还是受保护运行时环境中被执行的。
本发明的方法具有这样的优点:显示设备可以被受保护运行时环境和正常运行时环境二者使用,同时确保了:对适当安全标准的检查可以识别出在没有授权的情况下被操纵的应用。在一个优选的实施例中,如果被转送到受保护运行时环境的显示数据符合一项或多项安全标准(即,所有的安全标准),那么它们可在显示设备上再现而无需变更。
在一个特定优选的实施例中,上文描述的一项或多项安全标准包括这样的标准:在被转送显示数据在显示设备上的再现期间,被转送显示数据可以与通过受保护运行时环境提供的显示数据区别开。就是说,如果数据是可区别的,那么就符合该安全标准。在本发明的这个变体中,在来自正常运行时环境的显示数据的基础上,信息的可信度的缺失被直接耦合到对受保护运行时环境的假装(feign)。
在一个特定优选的实施例中,本发明的方法被用在具有显示设备的终端中,该显示设备包括第一显示元件和第二显示元件。在这种情况下,第一显示元件用于专门再现由正常运行时环境提供的显示数据。通常,在这种情况下第一显示元件大于第二显示元件。相比之下,第二显示元件在本发明的上下文内被用于再现由受保护运行时环境提供的显示数据和由正常运行时环境提供的显示数据两者。在这种情况下,由正常运行时环境提供的、为了在第二显示元件上再现的目的而被提供的显示数据被转送到受保护运行时环境并且经受本发明对于安全标准的检查。这样,正常只由受保护运行时环境使用的某一(第二)显示元件,在对上述安全标准的检查防止了误用的情况下,也可以用于来自正常运行时环境的应用。
第一和第二显示元件可以可能地是两个被分别驱动的显示器。相似地,可能有第一和第二显示元件是单个显示器上的两个显示区域的选项。
在本发明的一个特定优选的实施例中,所使用的受保护运行时环境是固有已知的
Figure BDA0000396002480000031
,优选地同样已知的
Figure BDA0000396002480000032
操作系统在其上运行。在本发明的另一变体中,终端是移动电话,而该移动电话的操作系统在正常运行时环境上运行。具体而言,移动电话是已知的智能电话,其使用具有扩展功能范围的操作系统(也被称作丰富OS)
当本发明的方法涉及到在至少一项安全标准不符合的情况下变更被转送到受保护运行时环境的显示数据时,可以用各种方式作出变更,只需要确保用户能够识别该显示数据没有通过受保护运行时环境提供。这可以通过例如向显示数据添加警告消息来实现。该警告消息向用户指出该显示数据尝试诱导人相信它们是通过受保护运行时环境提供的,尽管不是这种情况。变更被转送到受保护运行时环境的显示数据的另一方式可以涉及:修改或者从显示数据中移除一个或多个预定的图形元素,这些图形元素是所转送的显示数据包含的并且使得用户能够识别在显示设备上再现的显示数据是通过受保护运行时环境提供的。
在另一特定优选的实施例中,在对显示数据进行图形分析的基础上检查上述安全标准。在这种情况下,受保护运行时环境分析所转送的显示数据以确定它们是否包含一个或多个预定的图形元素,这些图形元素使得用户能够识别在显示设备上再现的显示数据是由受保护运行时环境提供的,其中如果显示数据包括(一个或多个)预定的图形元素,那么至少一项安全标准不被满足。
上述被修改或者从显示数据中移除或者作为图形分析的一部分被处理的图形元素可以是任意设计。举例来说,它们可以是预定的框架,特别是预定颜色(例如,红色)的框架。相似地,图形元素可以包括一个或多个动画的图像元素和/或图例(legend),如图例“信任区活动”。
由受保护运行时环境执行的对安全标准的检查还可以可能地包括密码检查(cryptographical check)。在这种情况下,可以广泛地理解术语“密码检查”。具体而言,密码检查还包括对被转送到受保护运行时环境的显示数据所包含的一个或多个数字签名的检查。在这种情况下,可以设计签名检查以使得:如果(一个或多个)签名是有效和/或可信的,那么就符合相关的安全标准。具体而言,对于密码检查,具有涉及对被转送的显示数据中的一个或多个图形元素的检查。优选地,这涉及对分别与显示数据中的图形元素相关联的一个或多个数字签名的检查。在这种情况下,该检查可以被设计为使得:如果签名被分类为有效和/或可信的,那么就符合安全标准。
除了上述的方法外,本发明还涉及终端,特别是移动终端。该终端包括实现正常运行时环境和受保护运行时环境的微处理器单元,还包括显示设备,其中用于在显示设备上再现的显示数据可以通过正常运行时环境和受保护运行时环境提供。在这种情况下,终端被设计为使得:通过正常运行时环境提供的显示数据至少部分地被转送到受保护运行时环境,该受保护运行时环境检查被转送的显示数据是否符合一项或多项安全标准,其中如果显示数据不符合至少一项安全标准,则它们被拒绝或者变更以使得:在显示设备上的随后的再现期间,用户能够将它们与通过受保护运行时环境提供的显示数据区别开来。在这种情况下,本发明的终端被优选地设计为使得:终端可以被用于执行上述本发明的方法的一个或多个变体。
具体实施方式
下文参考附图1,详细地描述本发明的示例性实施例。该图示出了用于本发明的方法的实施例的序列的示意性说明。
下面的文本描述了基于带有显示设备的移动电话形式的终端的本发明的方法的示例性实施例,该显示设备具有两个显示元件或显示器的形式。显示器及其硬件由图1中的D1和D2示意性地表示。在移动电话中安装的微控制器具有正常运行时环境NZ和受保护运行时环境TZ,该受保护运行时环境TZ具有在其中被实现的已知的
Figure BDA0000396002480000051
(信任区)的形式。在这里描述的实施例中,从现有技术中得知并且由图1中的MC表示的
Figure BDA0000396002480000052
操作系统在信任区上运行。相比之下,正常运行时环境包含传统的移动电话操作系统OS。如果移动电话是智能电话,那么操作系统是具有扩展的功能范围的已知的丰富(rich)OS。信任区TZ用于执行使用移动电话的安全关键应用,例如执行支付交易或银行应用或者处理个人的特定于用户(user-specific)的数据的其他应用。在这种情况下,受保护运行时环境被与正常运行时环境相隔离并且对实现免受来自未授权第三方的攻击的高效保护的安全关键进程进行封装。在信任区TZ内运行的安全关键应用被称作信任应用(trustlet),其中信任应用TRA和TRB通过示例的方式在图1中被再现。相比之下,由图1中的AP1和AP2通过示例的方式表示的传统应用在正常运行时环境NZ中运行。
为了使得信任应用与用户交互,使用移动电话中的显示器D2,用户可以从该显示器中读出来自信任应用的适当输出并且所述用户还可以使用小键盘在该显示器上进行输入。在这种情况下,用户被提供对如下事实的图形指示:当前正在运行的应用来自受保护运行时环境,该图形指示在这里描述的实施例中通过框架(frame)的方式完成,该框架在显示器上被再现并且特别地以诸如红色之类的特定颜色展现。还可能有其他选项用于通过显示器D2图形地向用户指出:他当前正与信任区中的应用通信。具体而言,诸如动画图标之类的具体图像或图标可以用于信任应用,或者显示器可以用于再现图例,该图例指出该显示指示与信任区中的应用有关。举例来说,这可以通过诸如“信任区活动”或者“受保护的显示”之类的图例实现。
通常地,显示器D2比显示器D1小的多,这是因为信任区中的信任应用通常用于处理和显示较少量的数据。本发明现在提供这样的选项:较小的显示器D2也被来自正常运行时环境NZ的应用用于通信。举例来说,显示器D2可以被再现短状态消息或者诸如短消息之类的其他短信息的应用使用。其他示例为:MP3播放器软件的显示、新电子邮件或者SMS已经被接收的显示等等。在这种情况下,不再需要保持大显示器D1处于运行中以再现这些少量的信息。这成就了低功率消耗并因此成就了移动电话更长的电池寿命。
为了向用户传送在显示器D2上再现的相关应用不是来自信任区的,显示器上指示信任应用的使用的适当标记或者图形元素(如上文描述的红色框架)对于正常运行时环境NZ中的应用被省略。然而,在这种情况下,有这样的问题:使用被操纵应用通过正常运行时环境对显示器D2的访问可以诱导用户相信该应用正在信任区中运行,即使不是这种情况。被操纵应用可以要求认为他正安全地与信任应用通信的用户输入诸如密码或PIN之类的个人信息,随后该信息被被操纵应用推敲出来(tap off)。为了抵制这种类型的攻击,本发明涉及在信任区内对来自正常运行时环境并意图在显示器D2上再现的显示数据进行检查,如下文更详细地说明。
在图1的场景中,正常运行时环境NZ中的应用AP1与更大的显示器D1交互。为此目的,向负责显示器D1的显示呈现器DR1发送适当的呈现命令RC,其中显示呈现器将命令转换为在显示器D1上显示的基于像素的显示数据DD1。相似地,分离的可信的显示呈现器TDR2被用于再现来自信任区TZ中的信任应用TRA和TRB的显示数据。来自信任应用TRA和TRB的相关呈现命令RC由这个呈现器转换为基于像素的显示数据,接着在显示器D2上再现该显示数据。在这种情况下,呈现器TDR2添加可以用于识别该显示数据来自信任区的适当元素(例如,上文提到的红色框架)。应用AP2与应用AP1的区别在于:所产生的显示数据意图在更小的显示器D2上被再现。为此目的,使用适当的显示呈现器DR2来将来自应用AP2的呈现命令转换为意图用于显示器D2的基于像素的显示数据DD2。
为了防止上述使用显示数据DD2来假装活动信任区的被操纵应用,显示数据DD2被转送到MobiCore操作系统MC内的算法CH,该算法检查这些数据。为此目的,MobiCore操作系统知道在显示器D2上显示活动信任区的方式。这可以由例如已经在上文描述过的显示器D2中的红色框架实现。在这种情况下,算法CH检查意图在显示器D2上图形地显示的显示数据DD2,以确定要被显示的信息周围是否有红色框架。这样的检查不要求图像识别中的任何复杂算法并且可以因此在资源有限的移动电话上容易地实现。
如果算法CH现在识别出显示数据DD2包含红色框架或者相似的表示,该框架在显示之前被至少部分地从像素数据DD2中移除,或者被变更以使得不再有任何这样的风险:显示器D2的用户对带有信任区的红色框架的该显示数据感到迷惑。作为示例,这可以通过减小显示器D2的边缘区域中红色的比例以使得框架不再以红色出现来实现。这样,移动电话的用户被通知:该应用不在信任区中运行,结果,用户知道:在与该应用的交互期间,他最好不应该输入任何个人数据,即使被要求这样的数据。在此实例中,被相应变更并且接着在显示器D2上显示的像素数据由图1中的DD2’表示。为了进一步增加安全性,算法CH也有可能可以完全拒绝该像素数据和/或在显示器D2中示出可能的攻击的警告,结果,向用户明确指出:在使用该应用时,他最好不应该输入任何个人数据。
取代使用红色框架指示活动的信任区,这还可以通过使用静态的或者动画的图像来完成,如上文已经提到的那样。在当今的移动电话上的操作系统中,所使用的图像或者动画被存储为图标并且在窗口内容被呈现(即,被绘制)之前不被复制到相关的图形存储器。通常不是在应用的执行时间中而是在针对相关应用的实际软件开发或者软件编写期间来产生图标的。如果活动的信任区现在被动画图标指出,那么用于对相关显示数据DD2是否包含用于假装信任区的这样的图标的图像检查比诸如上文所述的红色框架之类的较简单元素的情形要困难得多。具体而言,这要求针对信任区的该部分的复杂分析算法以确定针对人眼的相似性。
在一个修改的实施例中,对于图标的图形检查因此被签名检查替换。在这种情况下,从正常运行时环境传输到信任区的图标具有已经在相关应用的实际软件开发期间被引进的数字签名。如果显示数据DD2内的图标具有这样的数字签名,那么在显示器D2上显示该图标之前,信任区只检查这个签名。如果各个图标的签名接着被识别为有效或者可信,则包括这些图标的显示数据被没有更换地再现,因为在这种情况下该应用被归类为可信的。为了使数字签名需要尽可能少地被检查,信任区可以在高速缓存中存储图标自身或者信任区自身已计算出的图标的散列值(hash value)。如果一个或多个图标不具有数字签名,则显示数据可以完全不在显示器D2上展现或者随后执行对于图标的图形检查以确定它们是否是被认为假装活动信任区的图标。如果是这种情况,从显示数据中移除这些图标或者输出警告消息,结果,用户被告知该应用不在受保护运行时环境中运行。
参考图1描述的本发明的实施例已经基于两个被分别驱动的显示器D1和D2被说明。然而,本发明还可以被应用于显示器D2和更大的显示器D1一起被使用的终端。就是说,两个显示器是普通大显示器内的两个显示区域。在这种情况下,正常运行时环境中带有合适驱动器的操作系统OS负责呈现要被展现的数据。从个体应用的视角来看,那么只存在单个显示器。
上文已经描述的本发明的实施例具有一系列的优点。具体而言,来自不受保护的正常运行时环境的应用的显示数据还能够在本身为受保护运行时环境提供的显示区域内再现。这确保用户可以安全地并且容易地识别当前正在使用的应用是否正在信任区上运行或者是否是可信的。来自正常运行时环境的应用对活动信任区的假装是通过如下方式发现的:对显示数据的图形检查的方式或者还可能对签名的检查的方式。根据本发明,为了在终端上指示信任区当前是活动的,不需要诸如LED等等之类的额外元件。
参考符号列表
NZ                                  正常运行时环境
TZ                                  受保护运行时环境
AP1,AP2                            正常运行时环境中的应用
5  TRA,TRB                         信任应用
RC                                  呈现命令
DR1,DR2,TDR2                      显示呈现器
CH                                  检查算法
DD1,DD2,DD2’,TDD2               显示数据
10     OS                           正常运行时环境中的操作系统
MC                                  MobiCore操作系统
D1,D2                              显示器

Claims (15)

1.一种用于在终端,特别是移动终端的显示设备(D1、D2)上显示信息的方法,其中所述终端包含实现正常运行时环境(NZ)和受保护运行时环境(TZ)的微处理器单元,其中用于在所述显示设备(D1、D2)上再现的显示数据(DD1、DD2、DD2’、TDD2)可以通过所述正常运行时环境(NZ)和所述受保护运行时环境(TZ)被提供,
其特征在于
通过所述正常运行时环境(NZ)提供的显示数据(DD2)至少部分地被转送到所述受保护运行时环境(TZ),所述受保护运行时环境检查被转送的显示数据(DD2)是否符合一项或多项安全标准,其中如果所述显示数据(DD2)不符合至少一项安全标准,那么它们被拒绝或者变更以使得:在所述显示设备(D1、D2)上随后的再现期间,它们可以与通过所述受保护运行时环境(TZ)提供的显示数据(TDD2)区别开来。
2.如权利要求1所述的方法,其特征在于所述一项或多项安全标准包括如下标准:在所述显示设备(D1、D2)上再现上述显示数据期间,所述被转送的显示数据(DD2)是可以与通过所述受保护运行时环境(TZ)提供的显示数据区别开来的。
3.如权利要求1或2所述的方法,其特征在于所述显示设备(D1、D2)包括第一显示元件(D1)和第二显示元件(D2),其中所述第一显示元件(D1)用于专门再现通过所述正常运行时环境(NZ)提供的显示数据(D1),并且其中所述第二显示元件(D2)用于再现如下两者:通过所述受保护运行时环境(TZ)提供的显示数据(TDD2)和通过所述正常运行时环境(NZ)提供的、已被预先转送到所述受保护运行时环境(TZ)并且经受了对于所述一项或多项安全标准的检查的显示数据(DD2、DD2’)。
4.如权利要求3所述的方法,其特征在于所述第一显示元件和所述第二显示元件(D1、D2)是两个被分别驱动的显示器。
5.如权利要求3或4所述的方法,其特征在于所述第一显示元件和所述第二显示元件(D1、D2)是单个显示器上的两个显示区域。
6.如前述权利要求中的一个权利要求所述的方法,其中所述受保护运行时环境(TZ)是在其上优选地运行操作系统
Figure FDA0000396002470000021
Figure FDA0000396002470000023
7.如前述权利要求中的一个权利要求所述的方法,其特征在于所述终端是移动电话以及所述移动电话的操作系统在所述正常运行时环境(NZ)上运行。
8.如前述权利要求中的一个权利要求所述的方法,其特征在于:如果不符合至少一项安全标准,那么所述受保护运行时环境(TZ)变更转送给它的所述显示数据(DD2)以使得所述显示数据具有添加到它们的警告消息。
9.如前述权利要求中的一个权利要求所述的方法,其特征在于:如果不符合至少一项安全标准,那么所述受保护运行时环境(TZ)变更转送给它的所述显示数据(DD2)以使得:所述被转送的显示数据(DD2)包含的并且使得用户能够识别所述显示设备(D1、D2)上再现的显示数据是通过所述受保护运行时环境(TZ)提供的的一个或多个预定图形元素被修改或者从所述显示数据(DD2)中移除。
10.如前述权利要求中的一个权利要求所述的方法,其特征在于:所述受保护运行时环境(TZ)图形地分析转送给它的所述显示数据(DD2)以确定它们是否包含一个或多个预定的图形元素,所述一个或多个预定的图形元素使得用户能够识别在所述显示设备(D1、D2)上再现的显示数据是通过所述受保护运行时环境(TZ)提供的,其中如果所述显示数据(DD2)包括所述一个或多个预定的图形元素,那么至少有一项安全标准不被符合。
11.如权利要求9或10所述的方法,其特征在于所述一个或多个图形元素包括预定框架和/或一个或多个动画图像元素和/或图例。
12.如前述权利要求中的一个权利要求所述的方法,其特征在于由所述受保护运行时环境(TZ)进行的对于所述一项或多项安全标准的检查包括密码检查,其中所述密码检查优选地包括对于所述被转送的显示数据(DD2)所包含的一个或多个数字签名的检查。
13.如权利要求12所述的方法,其特征在于针对所述被转送的显示数据(DD2)中的一个或多个图形元素执行所述密码检查,其中特别地对分别与所述显示数据(DD2)中的图形元素相关联的一个或多个数字签名进行检查。
14.一种终端,特别是移动终端,包括实现正常运行时环境(NZ)和受保护运行时环境(TZ)的微处理器单元、以及显示设备(D1、D2),其中用于在所述显示设备(D1、D2)上再现的显示数据(DD1、DD2、DD2’、TDD2)可以通过所述正常运行时环境(NZ)和所述受保护运行时环境(TZ)被提供,
其特征在于
所述终端被设计为使得通过所述正常运行时环境提供的显示数据(DD2)至少部分地被转送到所述受保护运行时环境(TZ),所述受保护运行时环境检查被转送的显示数据(DD2)是否符合一项或多项安全标准,其中如果所述显示数据(DD2)不符合所述一项或多项安全标准,那么它们被拒绝或者变更以使得:在所述显示设备(D1、D2)上随后的再现期间,它们可以与通过所述受保护运行时环境(TZ)提供的显示数据(TDD2)区别开来。
15.如权利要求14所述的终端,该终端被设计为使得所述终端可以用于执行如权利要求2至13中的一个权利要求所述的方法。
CN201280018611.8A 2011-04-21 2012-04-19 用于在终端的显示设备上显示信息的方法 Active CN103503426B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102011018431.7 2011-04-21
DE102011018431A DE102011018431A1 (de) 2011-04-21 2011-04-21 Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts
PCT/EP2012/001700 WO2012143132A1 (de) 2011-04-21 2012-04-19 Verfahren zur anzeige von informationen auf einer anzeigeeinrichtung eines endgeräts

Publications (2)

Publication Number Publication Date
CN103503426A true CN103503426A (zh) 2014-01-08
CN103503426B CN103503426B (zh) 2016-02-03

Family

ID=45999774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280018611.8A Active CN103503426B (zh) 2011-04-21 2012-04-19 用于在终端的显示设备上显示信息的方法

Country Status (7)

Country Link
US (1) US9489505B2 (zh)
EP (1) EP2700033B1 (zh)
JP (1) JP5864723B2 (zh)
KR (1) KR101902176B1 (zh)
CN (1) CN103503426B (zh)
DE (1) DE102011018431A1 (zh)
WO (1) WO2012143132A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103986837A (zh) * 2014-05-28 2014-08-13 天地融科技股份有限公司 信息处理方法及装置
WO2015180502A1 (zh) * 2014-05-28 2015-12-03 天地融科技股份有限公司 安全手机
CN106330885A (zh) * 2016-08-19 2017-01-11 福州瑞芯微电子股份有限公司 一种强制安全的云终端系统及其强制安全的方法

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011108069A1 (de) 2011-07-19 2013-01-24 Giesecke & Devrient Gmbh Verfahren zum Absichern einer Transaktion
DE102011115135A1 (de) 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
EP2747071A1 (de) * 2012-12-21 2014-06-25 Deutsche Telekom AG Anzeige eines fälschungssicheren Identitätsindikators
JP2015215687A (ja) * 2014-05-08 2015-12-03 パナソニックIpマネジメント株式会社 可搬型決済端末装置
CN105335672B (zh) * 2014-06-16 2020-12-04 华为技术有限公司 一种安全模式提示方法及装置
US9734313B2 (en) 2014-06-16 2017-08-15 Huawei Technologies Co., Ltd. Security mode prompt method and apparatus
CN104216777B (zh) * 2014-08-29 2017-09-08 宇龙计算机通信科技(深圳)有限公司 双系统电子装置及终端
CN105468659B (zh) 2014-09-28 2019-01-04 阿里巴巴集团控股有限公司 一种数据同步方法及装置
KR102130744B1 (ko) * 2015-07-21 2020-07-06 삼성전자주식회사 전자 장치 및 이의 제어 방법
KR102514062B1 (ko) 2018-02-27 2023-03-24 삼성전자주식회사 트러스트존 그래픽 렌더링 방법 및 그에 따른 디스플레이 장치
US20220300667A1 (en) * 2021-03-09 2022-09-22 Hub data security Ltd. Hardware User Interface Firewall

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005108223A (ja) * 2003-09-26 2005-04-21 Arm Ltd 安全保護データと非安全保護データとを出力データ・ストリームの中にマージするデータ処理装置とデータ処理方法
US20080209212A1 (en) * 2007-02-27 2008-08-28 L-3 Communication Corporation Integrated Secure And Non-Secure Display For A Handheld Communications Device
WO2009059935A1 (de) * 2007-11-06 2009-05-14 Giesecke & Devrient Gmbh Daten verarbeitende vorrichtung und verfahren zum betreiben einer daten verarbeitenden vorrichtung
US20090254986A1 (en) * 2008-04-08 2009-10-08 Peter William Harris Method and apparatus for processing and displaying secure and non-secure data

Family Cites Families (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01185734A (ja) 1988-01-20 1989-07-25 Fujitsu Ltd バッファメモリ管理方式
US5001742A (en) 1990-01-29 1991-03-19 At&T Bell Laboratories Baseband signal processing unit and method of operating the same
JPH05265779A (ja) 1992-03-23 1993-10-15 Nec Corp タスク間通信システム
US7089214B2 (en) 1998-04-27 2006-08-08 Esignx Corporation Method for utilizing a portable electronic authorization device to approve transactions between a user and an electronic transaction system
US6298446B1 (en) * 1998-06-14 2001-10-02 Alchemedia Ltd. Method and system for copyright protection of digital images transmitted over networks
US6633984B2 (en) 1999-01-22 2003-10-14 Sun Microsystems, Inc. Techniques for permitting access across a context barrier on a small footprint device using an entry point object
SE515327C2 (sv) 1999-08-27 2001-07-16 Ericsson Telefon Ab L M Anordning för att utföra säkra transaktioner i en kommunikationsanordning
US6795905B1 (en) 2000-03-31 2004-09-21 Intel Corporation Controlling accesses to isolated memory using a memory controller for isolated execution
JP4812989B2 (ja) * 2001-09-17 2011-11-09 株式会社リコー ディスプレイ装置、及びプログラム
GB0226874D0 (en) 2002-11-18 2002-12-24 Advanced Risc Mach Ltd Switching between secure and non-secure processing modes
GB2396930B (en) 2002-11-18 2005-09-07 Advanced Risc Mach Ltd Apparatus and method for managing access to a memory
GB2402785B (en) 2002-11-18 2005-12-07 Advanced Risc Mach Ltd Processor switching between secure and non-secure modes
US20050033972A1 (en) 2003-06-27 2005-02-10 Watson Scott F. Dual virtual machine and trusted platform module architecture for next generation media players
CN100451983C (zh) 2003-06-27 2009-01-14 迪斯尼实业公司 下一代媒体播放器的双虚拟机以及信任平台
US7205959B2 (en) 2003-09-09 2007-04-17 Sony Ericsson Mobile Communications Ab Multi-layered displays providing different focal lengths with optically shiftable viewing formats and terminals incorporating the same
US8122361B2 (en) * 2003-10-23 2012-02-21 Microsoft Corporation Providing a graphical user interface in a system with a high-assurance execution environment
JP2006018745A (ja) * 2004-07-05 2006-01-19 Hitachi Ltd 電子データ認証システム、認証マーク偽造検証方法、認証マーク偽造検証プログラム、閲覧者用端末、及び認証マーク生成サーバ
US8640194B2 (en) 2004-08-25 2014-01-28 Nec Corporation Information communication device and program execution environment control method
DE102005005378A1 (de) 2004-09-14 2006-03-30 Wincor Nixdorf International Gmbh Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen
DE102004054571B4 (de) 2004-11-11 2007-01-25 Sysgo Ag Verfahren zur Verteilung von Rechenzeit in einem Rechnersystem
US7661126B2 (en) * 2005-04-01 2010-02-09 Microsoft Corporation Systems and methods for authenticating a user interface to a computer user
US7627807B2 (en) 2005-04-26 2009-12-01 Arm Limited Monitoring a data processor to detect abnormal operation
US20070079111A1 (en) 2005-09-30 2007-04-05 Chiu-Fu Chen Activating method of computer multimedia function
DE102006002824B4 (de) 2006-01-19 2008-10-09 Phoenix Contact Gmbh & Co. Kg Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht
US7765399B2 (en) 2006-02-22 2010-07-27 Harris Corporation Computer architecture for a handheld electronic device
US7950020B2 (en) 2006-03-16 2011-05-24 Ntt Docomo, Inc. Secure operating system switching
CN101427222B (zh) * 2006-04-24 2012-11-21 松下电器产业株式会社 数据处理装置、方法、程序生成装置、方法
US7752658B2 (en) 2006-06-30 2010-07-06 Microsoft Corporation Multi-session connection across a trust boundary
US8194088B1 (en) * 2006-08-03 2012-06-05 Apple Inc. Selective composite rendering
WO2008049186A1 (en) 2006-10-23 2008-05-02 Behruz Nader Daroga Digital transmission system (dts) for bank automated teller machines (atm) security
JP4358224B2 (ja) 2006-12-27 2009-11-04 株式会社東芝 ゲストosスケジューリング方法及び仮想計算機モニタ
JP2008211332A (ja) * 2007-02-23 2008-09-11 Canon Inc 画像形成装置及びその制御方法、並びにプログラム及び記憶媒体
US8190778B2 (en) 2007-03-06 2012-05-29 Intel Corporation Method and apparatus for network filtering and firewall protection on a secure partition
FR2914457B1 (fr) 2007-03-30 2009-09-04 Ingenico Sa Procede et dispositif de visualisation securitaire
GB2453518A (en) 2007-08-31 2009-04-15 Vodafone Plc Telecommunications device security
EP2218238A1 (en) 2007-12-07 2010-08-18 Nokia Corporation Transaction authentication
CN101299228B (zh) 2008-01-26 2010-09-01 青岛大学 一种基于单cpu双总线的安全网络终端
US8793786B2 (en) * 2008-02-08 2014-07-29 Microsoft Corporation User indicator signifying a secure mode
US8607034B2 (en) 2008-05-24 2013-12-10 Via Technologies, Inc. Apparatus and method for disabling a microprocessor that provides for a secure execution mode
US7809875B2 (en) 2008-06-30 2010-10-05 Wind River Systems, Inc. Method and system for secure communication between processor partitions
JP5157726B2 (ja) * 2008-07-31 2013-03-06 富士通モバイルコミュニケーションズ株式会社 電子機器
US8528041B1 (en) 2008-11-07 2013-09-03 Sprint Communications Company L.P. Out-of-band network security management
US8595491B2 (en) 2008-11-14 2013-11-26 Microsoft Corporation Combining a mobile device and computer to create a secure personalized environment
KR101540798B1 (ko) * 2008-11-21 2015-07-31 삼성전자 주식회사 가상화 환경에서 보안 정보를 제공하기 위한 장치 및 방법
JP4698724B2 (ja) 2008-12-01 2011-06-08 株式会社エヌ・ティ・ティ・ドコモ プログラム実行装置
US8490176B2 (en) * 2009-04-07 2013-07-16 Juniper Networks, Inc. System and method for controlling a mobile device
US9736675B2 (en) 2009-05-12 2017-08-15 Avaya Inc. Virtual machine implementation of multiple use context executing on a communication device
DE102009022222A1 (de) 2009-05-20 2010-11-25 Giesecke & Devrient Gmbh Anordnung zur Anzeige von Informationen, Verfahren zur Anzeige von Informationen und elektronische Endgeräteeinrichhtung
US9003517B2 (en) * 2009-10-28 2015-04-07 Microsoft Technology Licensing, Llc Isolation and presentation of untrusted data
US9207968B2 (en) 2009-11-03 2015-12-08 Mediatek Inc. Computing system using single operating system to provide normal security services and high security services, and methods thereof
AU2011202838B2 (en) * 2010-12-21 2014-04-10 Lg Electronics Inc. Mobile terminal and method of controlling a mode screen display therein
DE102011012227A1 (de) 2011-02-24 2012-08-30 Giesecke & Devrient Gmbh Verfahren zum Datenaustausch in einer gesicherten Laufzeitumgebung
DE102011012226A1 (de) 2011-02-24 2012-08-30 Giesecke & Devrient Gmbh Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät
DE102011115135A1 (de) 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
DE102011116489A1 (de) 2011-10-20 2013-04-25 Giesecke & Devrient Gmbh Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005108223A (ja) * 2003-09-26 2005-04-21 Arm Ltd 安全保護データと非安全保護データとを出力データ・ストリームの中にマージするデータ処理装置とデータ処理方法
US20080209212A1 (en) * 2007-02-27 2008-08-28 L-3 Communication Corporation Integrated Secure And Non-Secure Display For A Handheld Communications Device
WO2009059935A1 (de) * 2007-11-06 2009-05-14 Giesecke & Devrient Gmbh Daten verarbeitende vorrichtung und verfahren zum betreiben einer daten verarbeitenden vorrichtung
US20090254986A1 (en) * 2008-04-08 2009-10-08 Peter William Harris Method and apparatus for processing and displaying secure and non-secure data

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103986837A (zh) * 2014-05-28 2014-08-13 天地融科技股份有限公司 信息处理方法及装置
WO2015180502A1 (zh) * 2014-05-28 2015-12-03 天地融科技股份有限公司 安全手机
CN103986837B (zh) * 2014-05-28 2017-11-10 天地融科技股份有限公司 信息处理方法及装置
CN106330885A (zh) * 2016-08-19 2017-01-11 福州瑞芯微电子股份有限公司 一种强制安全的云终端系统及其强制安全的方法

Also Published As

Publication number Publication date
US9489505B2 (en) 2016-11-08
US20140041050A1 (en) 2014-02-06
KR20140061313A (ko) 2014-05-21
EP2700033B1 (de) 2018-09-05
KR101902176B1 (ko) 2018-10-01
CN103503426B (zh) 2016-02-03
JP5864723B2 (ja) 2016-02-17
DE102011018431A1 (de) 2012-10-25
EP2700033A1 (de) 2014-02-26
JP2014512059A (ja) 2014-05-19
WO2012143132A1 (de) 2012-10-26

Similar Documents

Publication Publication Date Title
CN103503426B (zh) 用于在终端的显示设备上显示信息的方法
US10499248B2 (en) Secure interaction method and device
CN104838388B (zh) 安全本地web应用数据管理器
CN106921799A (zh) 一种移动终端安全防护方法以及移动终端
CN101529366A (zh) 可信用户界面对象的标识和可视化
US11822684B1 (en) Systems and methods for identifying possible leakage paths of sensitive information
CN109644196A (zh) 消息保护
CN105809000A (zh) 一种信息处理方法及电子设备
US11948233B2 (en) Image display method and electronic device
EP2354994A1 (en) Secure signature creation application using a TPM comprising a middleware stack
CN116738503B (zh) 用于硬件系统与操作系统的协同加密方法、电子设备
CN104408376A (zh) 一种文档保护方法、设备以及系统
CN103650459A (zh) 一种信息呈现方法及设备
EP1952297A2 (fr) Procede et dispositif d'authentification par un utilisateur d'une interface de confiance et programme d'ordinateur associe
EP3016015B1 (en) Method for indicating operating environment of mobile device and mobile device capable of indicating operating environment
WO2015043444A1 (zh) 安全模式提示方法和实现该方法的移动设备
KR20130015566A (ko) 숫자 또는 그래픽 키 패드를 이용한 보안 인증 장치 및 그 방법
CN104363326A (zh) 一种联系人显示方法、装置及终端
CN107153791B (zh) 一种数据呈现方法及电子设备
Bacara et al. Virtual keyboard logging counter-measures using human vision properties
CN107330321A (zh) 一种应用安装方法、移动终端和计算机可读存储介质
KR102047547B1 (ko) 자기보호 자바스크립트에서 암호화 모드를 이용한 보안 시스템 및 그 방법
CN108399320A (zh) 一种控制应用内功能运行的方法及装置
Liu Enhanced Password Security on Mobile Devices.
CN116886767A (zh) 消息推送方法、终端、电子设备及应用服务器

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant