DE102011018431A1 - Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts - Google Patents
Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts Download PDFInfo
- Publication number
- DE102011018431A1 DE102011018431A1 DE102011018431A DE102011018431A DE102011018431A1 DE 102011018431 A1 DE102011018431 A1 DE 102011018431A1 DE 102011018431 A DE102011018431 A DE 102011018431A DE 102011018431 A DE102011018431 A DE 102011018431A DE 102011018431 A1 DE102011018431 A1 DE 102011018431A1
- Authority
- DE
- Germany
- Prior art keywords
- runtime environment
- display data
- display
- secure runtime
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/84—Protecting input, output or interconnection devices output devices, e.g. displays or monitors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M1/00—Substation equipment, e.g. for use by subscribers
- H04M1/72—Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
- H04M1/724—User interfaces specially adapted for cordless or mobile telephones
- H04M1/72403—User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Abstract
Die Erfindung betrifft Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung (D1, D2) eines Endgeräts, insbesondere eines mobilen Endgeräts, wobei in dem Endgerät eine Mikroprozessoreinheit vorgesehen ist, in der eine normale Laufzeitumgebung (NZ) und eine gesicherte Laufzeitumgebung (TZ) implementiert sind, wobei Anzeigedaten (DD1, DD2, DD2', TDD2) zur Wiedergabe auf der Anzeigeeinrichtung (D1, D2) über die normale Laufzeitumgebung (NZ) und die gesicherte Laufzeitumgebung (TZ) bereitstellbar sind. Dabei werden über die normale Laufzeitumgebung (NZ) bereitgestellte Anzeigedaten (DD2) zumindest teilweise an die gesicherte Laufzeitumgebung (TZ) übergeben, welche überprüft, ob die übergebenen Anzeigedaten (DD2) ein oder mehrere Sicherheitskriterien erfüllen, wobei die Anzeigedaten (DD2) im Falle, dass sie zumindest ein Sicherheitskriterium nicht erfüllen, verworfen oder derart verändert werden, dass sie bei der anschließenden Wiedergabe auf der Anzeigeeinrichtung (D1, D2) von über die gesicherte Laufzeitumgebung (TZ) bereitgestellten Anzeigedaten (TDD2) unterschieden werden können.
Description
- Die Erfindung betrifft ein Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts, insbesondere eines mobilen Endgeräts, sowie ein entsprechendes Endgerät.
- Aus dem Stand der Technik ist bekannt, in einer Mikroprozessoreinheit eines Endgeräts neben einer normalen, nicht gesondert geschützten Laufzeitumgebung auch eine gesicherte Laufzeitumgebung zu implementieren, welche von der normalen Laufzeitumgebung isoliert ist und zur Ausführung von sicherheitskritischen Applikationen dient. Ein Beispiel einer solchen gesicherten Laufzeitumgebung ist die aus dem Stand der Technik bekannte ARM® TrustZone®. Innerhalb dieser TrustZone läuft dabei ein gesondertes Betriebssystem, wie z. B. das ebenfalls bekannte Betriebssystem MobiCore®.
- Zur Kommunikation eines Benutzers mit einer entsprechenden Applikation in der gesicherten Laufzeitumgebung dient in der Regel eine im Endgerät vorgesehene Anzeigeeinrichtung, wobei beispielsweise ein separates Display bzw. ein separater Displaybereich als Benutzerschnittstelle für Applikationen aus der TrustZone vorgesehen sein kann. Ein Problem bei der Verwendung einer gesicherten Laufzeitumgebung parallel zu einer normalen Laufzeitumgebung besteht dabei darin, wie einem Benutzer möglichst manipulationssicher angezeigt werden kann, dass er gerade mit einer vertrauenswürdigen Applikation aus der gesicherten Laufzeitumgebung kommuniziert. Insbesondere sollen dabei Angriffe verhindert werden, welche einem Benutzer über eine manipulierte Applikation aus der normalen Laufzeitumgebung vortäuschen, dass er mit der gesicherten Laufzeitumgebung kommuniziert. In diesem Fall können über entsprechende Eingabeaufforderungen benutzerpersonenbezogene Daten, wie z. B. Passwörter, PINs und dergleichen von unbefugten Dritten, abgegriffen werden.
- Aus dem Stand der Technik ist es bekannt, Endgeräte mit mehreren Anzeigeelementen auszustatten. In der Druckschrift
DE 2009 022 222 A1 wird ein Endgerät mit zwei separat ansteuerbaren Anzeigeelementen beschrieben, wobei eines der Anzeigeelemente mit einem Sicherheitselement verbunden ist. Auf diesem Anzeigeelement werden vertrauenswürdige Informationen wiedergegeben. In der DruckschriftDE 60 2004 007 152 T2 ist eine Mehrschichtanzeige für ein Endgerät offenbart, wobei über die Mehrschichtanzeige mehrere Teilinformationen überlagert werden. - Aufgabe der Erfindung ist es, Informationen auf einer Anzeigeeinrichtung eines Endgeräts derart wiederzugeben, dass einem Benutzer manipulationssicher angezeigt wird, ob die Informationen vertrauenswürdig sind.
- Diese Aufgabe wird durch das Verfahren gemäß Patentanspruch 1 bzw. das Endgerät gemäß Patentanspruch 14 gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen definiert.
- Das erfindungsgemäße Verfahren dient zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts, bei dem es sich insbesondere um ein mobiles Endgerät, wie z. B. ein Mobiltelefon, ein PDA und dergleichen, handelt. In dem Endgerät ist eine Mikroprozessoreinheit vorgesehen, in der eine normale Laufzeitumgebung und eine gesicherte Laufzeitumgebung implementiert sind, wobei Anzeigedaten zur Wiedergabe auf der Anzeigeeinrichtung über die normale Laufzeitumgebung und die gesicherte Laufzeitumgebung bereitstellbar sind.
- Das erfindungsgemäße Verfahren zeichnet sich dadurch aus, dass über die normale Laufzeitumgebung bereitgestellte Anzeigedaten zumindest teilweise an die gesicherte Laufzeitumgebung übergeben werden, welche überprüft, ob die übergebenen Anzeigedaten ein oder mehrere Sicherheitskriterien erfüllen. Die Sicherheitskriterien können beliebig ausgestaltet sein. Sie müssen lediglich gewährleisten, dass bei Erfüllung der Sicherheitskriterien ein Benutzer den Anzeigedaten dahingehend vertrauen kann, dass sie nicht unbefugt manipuliert wurden. Im Falle, dass die Anzeigedaten zumindest ein Sicherheitskriterium nicht erfüllen, werden in einer Variante der Erfindung die Anzeigedaten verworfen, d. h. überhaupt nicht zur Anzeige auf der Anzeigeeinrichtung gebracht. Ebenso ist es möglich, dass die Anzeigedaten derart verändert werden, dass sie bei der anschließenden Wiedergabe auf der Anzeigeeinrichtung von über die gesicherte Laufzeitumgebung bereitgestellten Anzeigedaten durch den Benutzer unterschieden werden können. Auf diese Weise wird sichergestellt, dass für einen Benutzer auch bei manipulierten Applikationen erkennbar wird, ob die Applikation in der normalen oder gesicherten Laufzeitumgebung ausgeführt wird.
- Das erfindungsgemäße Verfahren weist den Vorteil auf, dass eine Anzeigeeinrichtung sowohl von einer gesicherten Laufzeitumgebung als auch von einer normalen Laufzeitumgebung genutzt werden kann, wobei gleichzeitig gewährleistet ist, dass durch die Überprüfung entsprechender Sicherheitskriterien unbefugt manipulierte Applikationen erkannt werden können. In einer bevorzugten Ausführungsform werden die an die gesicherte Laufzeitumgebung übergebenen Anzeigedaten im Falle, dass sie das oder die Sicherheitskriterien (d. h. alle Sicherheitskriterien) erfüllen, unverändert auf der Anzeigeeinrichtung wiedergegeben.
- Das oder die oben beschriebenen Sicherheitskriterien umfassen in einer besonders bevorzugten Ausführungsform das Kriterium, dass die übergebenen Anzeigedaten unterscheidbar zu über die gesicherte Laufzeitumgebung bereitgestellten Anzeigedaten bei deren Wiedergabe auf der Anzeigeeinrichtung sind. Das heißt, wenn die Daten unterscheidbar sind, ist dieses Sicherheitskriterium erfüllt. Die mangelnde Vertrauenswürdigkeit von Informationen ist in dieser Variante der Erfindung dabei unmittelbar an das Vortäuschen einer gesicherten Laufzeitumgebung basierend auf Anzeigedaten aus der normalen Laufzeitumgebung gekoppelt.
- In einer besonders bevorzugten Ausführungsform wird das erfindungsgemäße Verfahren in einem Endgerät mit einer Anzeigeeinrichtung eingesetzt, welches ein erstes Anzeigeelement und ein zweites Anzeigeelement umfasst. Dabei werden auf dem ersten Anzeigeelement ausschließlich durch die normale Laufzeitumgebung bereitgestellte Anzeigedaten wiedergegeben. In der Regel ist das erste Anzeigeelement dabei größer als das zweite Anzeigeelement. Demgegenüber werden auf dem zweiten Anzeigeelement im Rahmen der Erfindung sowohl durch die gesicherte Laufzeitumgebung bereitgestellte Anzeigedaten als auch durch die normale Laufzeitumgebung bereitgestellte Anzeigedaten wiedergegeben. Dabei werden die durch die normale Laufzeitumgebung bereitgestellte Anzeigedaten, welche zur Wiedergabe auf dem zweiten Anzeigeelement vorgesehen sind, an die gesicherte Laufzeitumgebung übergeben und der erfindungsgemäßen Überprüfung der Sicherheitskriterien unterzogen. Auf diese Weise kann ein (zweites) Anzeigeelement, welches normalerweise nur von der gesicherten Laufzeitumgebung genutzt wird, auch für Applikationen aus der normalen Laufzeitumgebung verwendet werden, wobei durch die Überprüfung der obigen Sicherheitskriterien einem Missbrauch vorgebeugt wird.
- Das erste und das zweite Anzeigeelement können ggf. zwei separat angesteuerte Displays sein. Ebenso besteht ggf. die Möglichkeit, dass das erste und das zweite Anzeigeelement zwei Displaybereiche eines einzelnen Displays sind.
- In einer besonders bevorzugten Ausführungsform der Erfindung wird als gesicherte Laufzeitumgebung die an sich bekannte ARM® TrustZone® verwendet, auf der vorzugsweise das ebenfalls bekannte Betriebssystem MobiCore® läuft. In einer weiteren Variante der Erfindung ist das Endgerät ein Mobiltelefon, wobei auf der normalen Laufzeitumgebung das Betriebssystem des Mobiltelefons läuft. Insbesondere handelt es sich bei dem Mobiltelefon um ein sog. Smartphone, welches ein Betriebssystem mit erweitertem Funktionsumfang (auch als rich OS bezeichnet) verwendet.
- Werden im Rahmen des erfindungsgemäßen Verfahrens die an die gesicherte Laufzeitumgebung übergebenen Anzeigedaten im Falle der Nichterfüllung zumindest eines Sicherheitskriteriums verändert, so kann die Veränderung auf verschiedene Art und Weise erfolgen, wobei lediglich sichergestellt werden muss, dass für einen Benutzer erkennbar ist, dass die Anzeigedaten nicht über die gesicherte Laufzeitumgebung bereitgestellt wurden. Dies kann beispielsweise durch die Hinzufügung einer Warnmeldung zu den Anzeigedaten erreicht werden. Durch diese Warnmeldung wird der Benutzer darauf hingewiesen, dass die Anzeigedaten vorzutäuschen versuchen, dass sie von der gesicherten Laufzeitumgebung bereitgestellt werden, obwohl dies nicht der Fall ist. Eine weitere Art der Veränderung der an die gesicherte Laufzeitumgebung übergebenen Anzeigedaten kann darin bestehen, dass ein oder mehrere vorbestimmte, in den übergebenen Anzeigedaten enthaltenen graphischen Elemente, anhand derer für einen Benutzer erkennbar ist, dass auf der Anzeigeeinrichtung wiedergegebene Anzeigedaten durch die gesicherte Laufzeitumgebung bereitgestellt werden, abgewandelt oder aus den Anzeigedaten entfernt werden.
- In einer weiteren, besonders bevorzugten Ausführungsform erfolgt die Überprüfung der obigen Sicherheitskriterien basierend auf einer graphischen Analyse der Anzeigedaten. Dabei analysiert die gesicherte Laufzeitumgebung die übergebenen Anzeigedaten dahingehend, ob sie ein oder mehrere vorbestimmte graphische Elemente enthalten, anhand derer für einen Benutzer erkennbar ist, dass auf der Anzeigeeinrichtung wiedergegebene Anzeigedaten durch die gesicherte Laufzeitumgebung bereitgestellt werden, wobei zumindest ein Sicherheitskriterium nicht erfüllt ist, falls die Anzeigedaten das oder die vorbestimmten graphischen Elemente umfassen.
- Die oben beschriebenen graphischen Elemente, welche abgewandelt bzw. aus den Anzeigedaten entfernt werden bzw. im Rahmen der graphischen Analyse verarbeitet werden, können beliebig ausgestaltet sein. Beispielsweise kann es sich um einen vorbestimmten Rahmen, insbesondere in einer vorbestimmten Farbe (z. B. rot), handeln. Ebenso können die graphischen Elemente ein oder mehrere animierte Bildelemente und/oder einen Schriftzug umfassen, wie z. B. den Schriftzug „TrustZone aktiv”.
- Die von der gesicherten Laufzeitumgebung durchgeführte Überprüfung von Sicherheitskriterien kann ggf. auch eine kryptographische Überprüfung umfassen. Der Begriff der kryptographischen Überprüfung ist dabei weit zu verstehen. Insbesondere umfasst die kryptographische Überprüfung auch die Überprüfung einer oder mehrerer digitaler Signaturen, welche in den an die gesicherte Laufzeitumgebung übergebenen Anzeigedaten enthalten sind. Die Signaturüberprüfung kann dabei derart ausgestaltet sein, dass im Falle, dass die Signatur(en) gültig und/oder vertrauenswürdig sind, das entsprechende Sicherheitskriterium erfüllt ist. Insbesondere besteht die Möglichkeit, dass im Rahmen der kryptographischen Überprüfung ein oder mehrere graphische Elemente in den übergebenen Anzeigedaten überprüft werden. Vorzugsweise werden dabei eine oder mehrere digitale Signaturen, welche jeweils einem graphischen Element in den Anzeigedaten zugeordnet sind, überprüft. Die Überprüfung kann dabei wiederum derart ausgestaltet sein, dass im Falle, dass die Signatur als gültig und/oder vertrauenswürdig eingestuft wird, das Sicherheitskriterium erfüllt ist.
- Neben dem oben beschriebenen Verfahren betrifft die Erfindung auch ein Endgerät, insbesondere ein mobiles Endgerät. Dieses Endgerät umfasst eine Mikroprozessoreinheit, in der eine normale Laufzeitumgebung und eine gesicherte Laufzeitumgebung implementiert sind, sowie eine Anzeigeeinrichtung, wobei Anzeigedaten zur Wiedergabe auf der Anzeigeeinrichtung über die normale Laufzeitumgebung und die gesicherte Laufzeitumgebung bereitgestellt werden können. Das Endgerät ist dabei derart ausgestaltet, dass über die normale Laufzeitumgebung bereitgestellte Anzeigedaten zumindest teilweise an die gesicherte Laufzeitumgebung übergeben werden, welche überprüft, ob die übergebenen Anzeigedaten ein oder mehrere Sicherheitskriterien erfüllen, wobei die Anzeigedaten im Falle, dass sie zumindest ein Sicherheitskriterium nicht erfüllen, verworfen oder derart verändert werden, dass sie bei der anschließenden Wiedergabe auf der Anzeigeeinrichtung von über die gesicherte Laufzeitumgebung bereitgestellten Anzeigedaten durch einen Benutzer unterschieden werden können. Das erfindungsgemäße Endgerät ist dabei vorzugsweise derart ausgestaltet, dass mit dem Endgerät eine oder mehrere Varianten des oben beschriebenen erfindungsgemäßen Verfahrens durchgeführt werden können.
- Ein Ausführungsbeispiel der Erfindung wird nachfolgend anhand der beigefügten
1 detailliert beschrieben. Diese Figur zeigt eine schematische Darstellung eines Ablaufs einer Ausführungsform des erfindungsgemäßen Verfahrens. - Nachfolgend wird ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens basierend auf einem Endgerät in der Form eines Mobiltelefons mit einer Anzeigeeinrichtung in der Form von zwei Anzeigeelementen bzw. Displays beschrieben. Die Displays bzw. deren Hardware sind in
1 schematisch mit D1 und D2 bezeichnet. In dem im Mobiltelefon verbauten Mikrocontroller sind eine normale Laufzeitumgebung NZ sowie eine gesicherte Laufzeit TZ in der Form einer sog. ARM® TrustZone® implementiert. In der hier beschriebenen Ausführungsform läuft auf der TrustZone das aus dem Stand der Technik bekannte Betriebssystem MobiCore®, das in1 mit MC bezeichnet ist. Demgegenüber enthält die normale Laufzeitumgebung ein herkömmliches Mobiltelefon-Betriebssystem OS. Ist das Mobiltelefon ein Smartphone, ist das Betriebssystem ein sog. rich OS mit einem weitreichenden Funktionsumfang. Die TrustZone TZ dient zur Ausführung von sicherheitskritischen Anwendungen mit Hilfe des Mobiltelefons, wie z. B. zur Durchführung von Bezahlvorgängen bzw. Bankanwendungen bzw. anderen Anwendungen, bei denen persönliche benutzerspezifische Daten verarbeitet werden. Die gesicherte Laufzeitumgebung ist dabei isoliert von der normalen Laufzeitumgebung und kapselt sicherheitskritische Prozesse, wodurch ein effizienter Schutz gegenüber Angriffen unbefugter Dritter erreicht wird. Die innerhalb der TrustZone TZ laufenden sicherheitskritischen Applikationen werden als sog. Trustlets bezeichnet, wobei in1 beispielhaft die Trustlets TRA und TRB wiedergegeben sind. Im Unterschied hierzu laufen in der normalen Laufzeitumgebung NZ herkömmliche Applikationen, welche in1 beispielhaft mit AP1 und AP2 bezeichnet sind. - Um eine Interaktion der Trustlets mit einem Benutzer zu ermöglichen, wird in dem Mobiltelefon das Display D2 verwendet, an dem ein Benutzer entsprechende Ausgaben der Trustlets ablesen kann und auch Eingaben mit Hilfe einer Tastatur tätigen kann. Dabei wird dem Benutzer graphisch angezeigt, dass die gerade laufende Anwendung aus der gesicherten Laufzeitumgebung stammt, was in der hier beschriebenen Ausführungsform über einen auf dem Display wiedergegebenen Rahmen erfolgt, der insbesondere in einer speziellen Farbe, wie z. B. rot, dargestellt ist. Gegebenenfalls bestehen auch andere Möglichkeiten, um den Benutzer graphisch über das Display D2 darauf hinzuweisen, dass er gerade mit einer Anwendung in der TrustZone kommuniziert. Insbesondere können für Trustlets spezielle Bilder bzw. Icons, wie z. B. animierte Icons, verwendet werden, oder es kann auf dem Display ein Schriftzug wiedergegeben werden, der darauf hinweist, dass die Displayanzeige eine Anwendung in der TrustZone betrifft. Beispielsweise kann dies durch Schriftzüge wie „TrustZone aktiv” oder „gesicherte Anzeige” erreicht werden.
- In der Regel ist das Display D2 wesentlich kleiner als das Display D1, da über die Trustlets der TrustZone normalerweise kleinere Datenmengen verarbeitet und zur Anzeige gebracht werden. Erfindungsgemäß wird nunmehr die Möglichkeit geschaffen, dass über das kleinere Display D2 auch Applikationen aus der normalen Laufzeitumgebung NZ kommunizieren. Beispielsweise kann das Display D2 von Applikationen genutzt werden, welche kurze Statusmeldungen oder andere kurze Informationen wiedergeben, wie z. B. Kurznachrichten. Weitere Beispiele sind die Anzeige von MP3-Player-Software, die Anzeige, dass eine neue E-Mail oder SMS erhalten wurde, und dergleichen. In diesem Fall ist es nicht mehr notwendig, dass das große Display D1 für die Wiedergabe dieser kleinen Informationsmengen in Betrieb gehalten wird. Dies führt zu einem geringen Energieverbrauch und somit zu einer längeren Batterielaufzeit des Mobiltelefons.
- Um dem Benutzer zu vermitteln, dass eine entsprechende, auf dem Display D2 wiedergegebene Applikation nicht aus der TrustZone stammt, werden die entsprechenden Markierungen bzw. graphische Elemente, welche die Verwendung eines Trustlets auf dem Display anzeigen (wie z. B. der oben beschriebene rote Rahmen), für Applikation in der normalen Laufzeitumgebung NZ weggelassen Dabei besteht jedoch das Problem, dass durch den Zugriff auf das Display D2 über die normale Laufzeitumgebung mittels einer manipulierten Applikation vorgetäuscht werden kann, dass die Applikation in der TrustZone läuft, obwohl dies nicht der Fall ist. Durch die manipulierte Applikation kann der Benutzer, der meint, mit einem Trustlet sicher zu kommunizieren, dazu aufgefordert werden, persönliche Informationen ein zugeben, wie z. B. Passwörter oder PINs, die dann durch die manipulierte Applikation abgegriffen werden. Um dieser Art von Angriffen entgegenzuwirken, erfolgt erfindungsgemäß innerhalb der TrustZone TZ eine Überprüfung der auf dem Display D2 wiederzugebenden Anzeigedaten aus der normalen Laufzeitumgebung, wie weiter unter näher erläutert wird.
- In dem Szenario der
1 wechselwirkt die Applikation AP1 in der normalen Laufzeitumgebung NZ mit dem größeren Display D1. Hierzu werden entsprechende Render-Kommandos RC an einen für das Display D1 zuständigen Display-Renderer DR1 gegeben, der die Kommandos in pixelbasierte Anzeigedaten DD1 wandelt, welche auf dem Display D1 zur Anzeige gebracht werden. Analog wird zur Wiedergabe von Anzeigedaten der Trustlets TRA und TRB in der TrustZone TZ ein separater vertrauenswürdiger Display-Renderer TDR2 verwendet. Die entsprechenden Render-Kommandos RC der Trustlets TRA und TRB werden von diesem Renderer in pixelbasierte Anzeigedaten gewandelt, welche dann auf dem Display D2 wiedergegeben werden. Der Renderer TDR2 fügt dabei die entsprechenden Elemente (z. B. den oben erwähnten roten Rahmen) hinzu, anhand derer erkennbar wird, dass die Anzeigedaten aus der TrustZone stammen. Die Applikation AP2 unterscheidet sich von der Applikation AP1 darin, dass die erzeugten Anzeigedaten auf dem kleineren Display D2 wiederzugeben sind. Hierzu wird ein entsprechender Display-Renderer DR2 verwendet, der die Render-Kommandos der Applikation AP2 in pixelbasierte Anzeigedaten DD2 wandelt, welche für das Display D2 vorgesehen sind. - Zum Schutz gegen die oben erwähnten manipulierten Applikationen, welche mittels der Anzeigedaten DD2 eine aktive TrustZone vortäuschen, werden die Anzeigedaten DD2 an einen Algorithmus CH innerhalb des MobiCore-Betriebssystems MC übergeben, der diese Daten überprüft. Hierfür ist es dem MobiCore-Betriebssystem bekannt, auf welche Art und Weise eine aktive TrustZone auf dem Display D2 angezeigt wird. Dies kann beispielsweise durch den bereits oben beschriebenen roten Rahmen im Display D2 geschehen. Der Algorithmus CH überprüft in diesem Fall die zur Anzeige auf dem Display D2 vorgesehenen Anzeigedaten DD2 graphisch daraufhin, ob sich ein roter Rahmen um die anzuzeigenden Informationen befindet. Eine derartige Prüfung erfordert keine aufwändigen Algorithmen in der Bilderkennung und ist somit auf einem ressourcenbeschränkten Mobiltelefon leicht umsetzbar.
- Wird nunmehr durch den Algorithmus CH erkannt, dass ein roter Rahmen oder eine ähnliche Darstellung in den Anzeigedaten DD2 enthalten ist, so wird dieser Rahmen vor der Anzeige aus den Pixeldaten DD2 zumindest teilweise entfernt bzw. so verändert, dass für den Benutzer des Displays D2 keine Verwechslungsgefahr mit dem roten Rahmen der TrustZone mehr besteht. Dies kann beispielsweise dadurch erreicht werden, dass der Rotanteil im Randbereich des Displays D2 vermindert wird, so dass der Rahmen nicht mehr in roter Farbe erscheint. Auf diese Weise wird der Benutzer des Mobiltelefons darüber informiert, dass die Applikation nicht in der TrustZone abläuft, so dass der Benutzer weiß, dass er möglichst keine personenbezogenen Daten bei der Interaktion mit der Applikation eingeben sollte, auch wenn nach solchen Daten gefragt wird. Die entsprechend veränderten und anschließend auf dem Display D2 angezeigten Pixeldaten sind dabei in
1 mit DD2' bezeichnet. Um die Sicherheit weiter zu erhöhen, können durch den Algorithmus CH die Pixeldaten gegebenenfalls auch komplett verworfen werden und/oder eine Warnung vor einem möglichen Angriff in dem Display D2 eingeblendet werden, so dass der Benutzer explizit darauf hingewiesen wird, dass er bei der Verwendung der Applikation möglichst keine personenbezogenen Daten eingeben sollte. - Anstatt eine aktive TrustZone über einen roten Rahmen anzuzeigen, kann dies auch über statische oder animierte Bilder erfolgen, wie bereits oben erwähnt wurde. In heutigen Betriebssystemen von Mobiltelefonen sind die verwendeten Bilder bzw. Animationen als Icons abgelegt und werden erst beim Rendern (d. h. Zeichnen) des Fensterinhalts in den entsprechenden Grafikspeicher kopiert. Die Icons werden üblicherweise nicht zur Laufzeit der Applikation erzeugt, sondern bereits bei der Software-Entwicklung bzw. Software-Erstellung für die entsprechende Applikation. Wird auf eine aktive TrustZone nunmehr durch animierte Icons hingewiesen, gestaltet sich die graphische Prüfung, ob entsprechende Anzeigedaten DD2 solche Icons zur Vortäuschung einer TrustZone enthalten, deutlich schwieriger als bei einfacheren Elementen wie dem oben beschriebenen roten Rahmen. Insbesondere sind dabei aufwändige Analysealgorithmen auf Seiten der TrustZone erforderlich, um Ähnlichkeiten für das menschliche Auge festzustellen.
- In einer abgewandelten Ausführungsform wird deshalb die graphische Überprüfung von Icon durch eine Signaturprüfung ersetzt. Dabei weisen die von der normalen Laufzeitumgebung an die TrustZone übermittelten Icon eine digitale Signatur auf, die bereits bei der Entwicklung der Software der entsprechenden Applikation eingebracht wurde. Besitzt ein Icon innerhalb der Anzeigedaten DD2 eine solche digitale Signatur, wird nur diese vor Anzeige des Icon auf dem Display D2 von der TrustZone geprüft. Wird die Signatur der einzelnen Icon dabei als gültig bzw. vertrauenswürdig erkannt, erfolgt die Wiedergabe der Anzeigedaten inklusive der Icon ohne Veränderung, da in diesem Fall die Applikation als vertrauenswürdig eingestuft wird. Damit die digitale Signatur möglichst selten geprüft werden muss, kann die TrustZone in einem Cache das Icon selbst oder einen von der TrustZone selbst berechneten Hashwert des Icon speichern. Besitzen ein oder mehrere Icon keine digitale Signatur, können die Anzeigedaten entweder überhaupt nicht auf dem Display D2 dargestellt werden oder es wird anschließend eine graphische Prüfung der Icon dahingehend durchgeführt, ob es sich um Icon handelt, welche eine aktive TrustZone vortäuschen sollen. Ist dies der Fall, werden die Icon aus den Anzeigedaten entfernt oder es wird eine Warnmeldung ausgegeben, so dass der Benutzer darüber informiert ist, dass die Applikation nicht in der gesicherten Laufzeitumgebung läuft.
- Die anhand von
1 beschriebene Ausführungsform der Erfindung wurde basierend auf zwei separat angesteuerten Displays D1 und D2 erläutert. Die Erfindung ist jedoch auch auf Endgeräte anwendbar, bei denen das Display D2 zusammen mit dem größeren Display D1 verwendet wird. Das heißt, die beiden Displays stellen zwei Anzeigebereiche innerhalb eines gemeinsamen großen Displays dar. In diesem Fall kümmert sich das Betriebssystem OS in der normalen Laufzeitumgebung mit entsprechenden Treibern um das Rendern der darzustellenden Daten. Aus der Sicht der einzelnen Applikationen ist dann nur ein einziges Display vorhanden. - Die im Vorangegangenen beschriebene Ausführungsform der Erfindung weist eine Reihe von Vorteilen auf. Insbesondere wird es ermöglicht, dass innerhalb eines, an sich für die gesicherte Laufzeitumgebung vorgesehenen Display-Bereichs auch Anzeigedaten von Applikationen aus einer ungesicherten normalen Laufzeitumgebung wiedergegeben werden. Dabei ist gewährleistet, dass ein Benutzer sicher und leicht erkennt, ob die gerade verwendete Applikation auf der TrustZone läuft bzw. vertrauenswürdig ist. Das Vortäuschen einer aktiven TrustZone durch eine Applikation aus der normalen Laufzeitumgebung wird über eine graphische Überprüfung der Anzeigedaten bzw. gegebenenfalls auch mittels der Überprüfung von Signaturen erreicht. Erfindungsgemäß werden keine zusätzlichen Elemente, wie z. B. eine LED oder ähnliches, benötigt, um an dem Endgerät anzuzeigen, dass die TrustZone gerade aktiv ist.
- Bezugszeichenliste
-
-
- NZ
- normale Laufzeitumgebung
- TZ
- gesicherte Laufzeitumgebung
- AP1, AP2
- Applikationen in der normalen Laufzeitumgebung
- TRA, TRB
- Trustlets
- RC
- Render-Kommandos
- DR1, DR2, TDR2
- Display-Renderer
- CH
- Überprüfungsalgorithmus
- DD1, DD2, DD2', TDD2
- Anzeigedaten
- OS
- Betriebssystem in der normalen Laufzeitumgebung
- MC
- MobiCore-Betriebssystem
- D1, D2
- Displays
- ZITATE ENTHALTEN IN DER BESCHREIBUNG
- Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
- Zitierte Patentliteratur
-
- DE 2009022222 A1 [0004]
- DE 602004007152 T2 [0004]
Claims (15)
- Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung (D1, D2) eines Endgeräts, insbesondere eines mobilen Endgeräts, wobei in dem Endgerät eine Mikroprozessoreinheit vorgesehen ist, in der eine normale Laufzeitumgebung (NZ) und eine gesicherte Laufzeitumgebung (TZ) implementiert sind, wobei Anzeigedaten (DD1, DD2, DD2', TDD2) zur Wiedergabe auf der Anzeigeeinrichtung (D1, D2) über die normale Laufzeitumgebung (NZ) und die gesicherte Laufzeitumgebung (TZ) bereitstellbar sind, dadurch gekennzeichnet, dass über die normale Laufzeitumgebung (NZ) bereitgestellte Anzeigedaten (DD2) zumindest teilweise an die gesicherte Laufzeitumgebung (TZ) übergeben werden, welche überprüft, ob die übergebenen Anzeigedaten (DD2) ein oder mehrere Sicherheitskriterien erfüllen, wobei die Anzeigedaten (DD2) im Falle, dass sie zumindest ein Sicherheitskriterium nicht erfüllen, verworfen oder derart verändert werden, dass sie bei der anschließenden Wiedergabe auf der Anzeigeeinrichtung (D1, D2) von über die gesicherte Laufzeitumgebung (TZ) bereitgestellten Anzeigedaten (TDD2) unterschieden werden können.
- Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das oder die Sicherheitskriterien das Kriterium umfassen, dass die übergebenen Anzeigedaten (DD2) unterscheidbar zu über die gesicherte Laufzeitumgebung (TZ) bereitgestellten Anzeigedaten bei deren Wiedergabe auf der Anzeigeeinrichtung (D1, D2) sind.
- Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Anzeigeeinrichtung (D1, D2) ein erstes Anzeigeelement (D1) und ein zweites Anzeigeelement (D2) umfasst, wobei auf dem ersten Anzeigeelement (D1) ausschließlich durch die normale Laufzeitumgebung (NZ) bereitgestellte Anzeigedaten (DD1) wiedergegeben werden und wobei auf dem zweiten Anzeigeelement (D2) sowohl durch die gesicherte Laufzeitumgebung (TZ) bereitgestellte Anzeigedaten (TDD2) als auch durch die normale Laufzeitumgebung (NZ) bereitgestellte Anzeigedaten (DD2, DD2'), welche zuvor an die gesicherte Laufzeitumgebung (TZ) übergeben und der Überprüfung des oder der Sicherheitskriterien unterzogen würden, wiedergegeben werden.
- Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das erste und das zweite Anzeigeelement (D1, D2) zwei separat angesteuerte Displays sind.
- Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass das erste und das zweite Anzeigeelement (D1, D2) zwei Displaybereiche eines einzelnen Displays sind.
- Verfahren nach einem der vorhergehenden Ansprüche, bei dem die gesicherte Laufzeitumgebung (TZ) eine ARM® TrustZone® ist, auf der vorzugsweise das Betriebssystem MobiCore® läuft.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Endgerät ein Mobiltelefon ist und auf der normalen Laufzeitumgebung (NZ) das Betriebssystem des Mobiltelefons läuft.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Laufzeitumgebung (TZ) die an sie übergebenen Anzeigedaten (DD2) im Falle der Nichterfüllung zumindest eines Sicherheitskriteriums derart verändert, dass den Anzeigedaten eine Warnmeldung hinzugefügt wird.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Laufzeitumgebung (TZ) die an sie übergebenen Anzeigedaten (DD2) im Falle der Nichterfüllung zumindest eines Sicherheitskriteriums derart verändert, dass ein oder mehrere vorbestimmte, in den übergebenen Anzeigedaten (DD2) enthaltene graphische Elemente, anhand derer für einen Benutzer erkennbar ist, dass auf der Anzeigeeinrichtung (D1, D2) wiedergegebene Anzeigedaten durch die gesicherte Laufzeitumgebung (TZ) bereitgestellt werden, abgewandelt oder aus den Anzeigedaten (DD2) entfernt werden.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gesicherte Laufzeitumgebung (TZ) die an sie übergebenen Anzeigedaten (DD2) graphisch dahingehend analysiert, ob sie ein oder mehrere vorbestimmte graphische Elemente enthalten, anhand derer für einen Benutzer erkennbar ist, dass auf der Anzeigeeinrichtung (D1, D2) wiedergegebene Anzeigedaten durch die gesicherte Laufzeitumgebung (TZ) bereitgestellt werden, wobei zumindest ein Sicherheitskriterium nicht erfüllt ist, falls die Anzeigedaten (DD2) das oder die vorbestimmten graphischen Elemente umfassen.
- Verfahren nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass das oder die graphischen Elemente einen vorbestimmen Rahmen und/oder ein oder mehrere animierte Bildelemente und/oder einen Schriftzug umfassen.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Überprüfung des oder der Sicherheitskriterien durch die gesicherte Laufzeitumgebung (TZ) eine kryptographische Überprüfung umfasst, wobei die kryptographische Überprüfung vorzugsweise die Überprüfung einer oder mehrerer, in den übergebenen Anzeigedaten (DD2) enthaltener digitaler Signaturen umfasst.
- Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die kryptographische Überprüfung für ein oder mehrere graphische Elemente in den übergebenen Anzeigedaten (DD2) durchgeführt wird, wobei insbesondere eine oder mehrere digitale Signaturen, welche jeweils einem graphischen Element in den Anzeigedaten (DD2) zugeordnet sind, überprüft werden.
- Endgerät, insbesondere mobiles Endgerät, umfassend eine Mikroprozessoreinheit, in der eine normale Laufzeitumgebung (NZ) und eine gesicherte Laufzeitumgebung (TZ) implementiert sind, und eine Anzeigeeinrichtung (D1, D2), wobei Anzeigedaten (DD1, DD2, DD2', TDD2) zur Wiedergabe auf der Anzeigeeinrichtung (D1, D2) über die normale Laufzeitumgebung (NZ) und die gesicherte Laufzeitumgebung (TZ) bereitstellbar sind, dadurch gekennzeichnet, dass das Endgerät derart ausgestaltet ist, dass über die normale Laufzeitumgebung bereitgestellte Anzeigedaten (DD2) zumindest teilweise an die gesicherte Laufzeitumgebung (TZ) übergeben werden, welche überprüft, ob die übergebenen Anzeigedaten (DD2) ein oder mehrere Sicherheitskriterien erfüllen, wobei die Anzeigedaten (DD2) im Falle, dass sie das oder die Sicherheitskriterien nicht erfüllen, verworfen oder derart verändert werden, dass sie bei der anschließenden Wiedergabe auf der Anzeigeeinrichtung (D1, D2) von über die gesicherte Laufzeitumgebung (TZ) bereitgestellten Anzeigedaten (TDD2) unterschieden werden können.
- Endgerät nach Anspruch 14, welches derart ausgestaltet ist, dass mit dem Endgerät ein Verfahren nach einem der Ansprüche 2 bis 13 durchführbar ist.
Priority Applications (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011018431A DE102011018431A1 (de) | 2011-04-21 | 2011-04-21 | Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts |
EP12716254.3A EP2700033B1 (de) | 2011-04-21 | 2012-04-19 | Verfahren zur anzeige von informationen auf einer anzeigeeinrichtung eines endgeräts |
US14/113,066 US9489505B2 (en) | 2011-04-21 | 2012-04-19 | Method for displaying information on a display device of a terminal |
CN201280018611.8A CN103503426B (zh) | 2011-04-21 | 2012-04-19 | 用于在终端的显示设备上显示信息的方法 |
PCT/EP2012/001700 WO2012143132A1 (de) | 2011-04-21 | 2012-04-19 | Verfahren zur anzeige von informationen auf einer anzeigeeinrichtung eines endgeräts |
KR1020137029398A KR101902176B1 (ko) | 2011-04-21 | 2012-04-19 | 단말기의 디스플레이 장치상에 정보를 디스플레이하는 방법 |
JP2014505539A JP5864723B2 (ja) | 2011-04-21 | 2012-04-19 | 端末のディスプレイデバイス上に情報を表示する方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102011018431A DE102011018431A1 (de) | 2011-04-21 | 2011-04-21 | Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102011018431A1 true DE102011018431A1 (de) | 2012-10-25 |
Family
ID=45999774
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102011018431A Withdrawn DE102011018431A1 (de) | 2011-04-21 | 2011-04-21 | Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts |
Country Status (7)
Country | Link |
---|---|
US (1) | US9489505B2 (de) |
EP (1) | EP2700033B1 (de) |
JP (1) | JP5864723B2 (de) |
KR (1) | KR101902176B1 (de) |
CN (1) | CN103503426B (de) |
DE (1) | DE102011018431A1 (de) |
WO (1) | WO2012143132A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011108069A1 (de) | 2011-07-19 | 2013-01-24 | Giesecke & Devrient Gmbh | Verfahren zum Absichern einer Transaktion |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011115135A1 (de) | 2011-10-07 | 2013-04-11 | Giesecke & Devrient Gmbh | Mikroprozessorsystem mit gesicherter Laufzeitumgebung |
EP2747071A1 (de) * | 2012-12-21 | 2014-06-25 | Deutsche Telekom AG | Anzeige eines fälschungssicheren Identitätsindikators |
JP2015215687A (ja) * | 2014-05-08 | 2015-12-03 | パナソニックIpマネジメント株式会社 | 可搬型決済端末装置 |
CN103986837B (zh) * | 2014-05-28 | 2017-11-10 | 天地融科技股份有限公司 | 信息处理方法及装置 |
CN103996117B (zh) * | 2014-05-28 | 2017-09-19 | 天地融科技股份有限公司 | 安全手机 |
CN105335672B (zh) * | 2014-06-16 | 2020-12-04 | 华为技术有限公司 | 一种安全模式提示方法及装置 |
US9734313B2 (en) | 2014-06-16 | 2017-08-15 | Huawei Technologies Co., Ltd. | Security mode prompt method and apparatus |
CN104216777B (zh) * | 2014-08-29 | 2017-09-08 | 宇龙计算机通信科技(深圳)有限公司 | 双系统电子装置及终端 |
CN105468659B (zh) | 2014-09-28 | 2019-01-04 | 阿里巴巴集团控股有限公司 | 一种数据同步方法及装置 |
KR102130744B1 (ko) | 2015-07-21 | 2020-07-06 | 삼성전자주식회사 | 전자 장치 및 이의 제어 방법 |
CN106330885A (zh) * | 2016-08-19 | 2017-01-11 | 福州瑞芯微电子股份有限公司 | 一种强制安全的云终端系统及其强制安全的方法 |
KR102514062B1 (ko) | 2018-02-27 | 2023-03-24 | 삼성전자주식회사 | 트러스트존 그래픽 렌더링 방법 및 그에 따른 디스플레이 장치 |
US20220300667A1 (en) * | 2021-03-09 | 2022-09-22 | Hub data security Ltd. | Hardware User Interface Firewall |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE602004007152T2 (de) | 2003-09-09 | 2008-02-14 | Sony Ericsson Mobile Communications Ab | Mehrschichtanzeige und endgerät mit einer solchen einrichtung |
US20100132015A1 (en) * | 2008-11-21 | 2010-05-27 | Sung-Min Lee | Apparatus and method for providing security information in virtual environment |
DE102009022222A1 (de) | 2009-05-20 | 2010-11-25 | Giesecke & Devrient Gmbh | Anordnung zur Anzeige von Informationen, Verfahren zur Anzeige von Informationen und elektronische Endgeräteeinrichhtung |
Family Cites Families (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01185734A (ja) | 1988-01-20 | 1989-07-25 | Fujitsu Ltd | バッファメモリ管理方式 |
US5001742A (en) | 1990-01-29 | 1991-03-19 | At&T Bell Laboratories | Baseband signal processing unit and method of operating the same |
JPH05265779A (ja) | 1992-03-23 | 1993-10-15 | Nec Corp | タスク間通信システム |
US7089214B2 (en) | 1998-04-27 | 2006-08-08 | Esignx Corporation | Method for utilizing a portable electronic authorization device to approve transactions between a user and an electronic transaction system |
US6298446B1 (en) * | 1998-06-14 | 2001-10-02 | Alchemedia Ltd. | Method and system for copyright protection of digital images transmitted over networks |
US6633984B2 (en) | 1999-01-22 | 2003-10-14 | Sun Microsystems, Inc. | Techniques for permitting access across a context barrier on a small footprint device using an entry point object |
SE515327C2 (sv) | 1999-08-27 | 2001-07-16 | Ericsson Telefon Ab L M | Anordning för att utföra säkra transaktioner i en kommunikationsanordning |
US6795905B1 (en) | 2000-03-31 | 2004-09-21 | Intel Corporation | Controlling accesses to isolated memory using a memory controller for isolated execution |
JP4812989B2 (ja) * | 2001-09-17 | 2011-11-09 | 株式会社リコー | ディスプレイ装置、及びプログラム |
GB0226874D0 (en) | 2002-11-18 | 2002-12-24 | Advanced Risc Mach Ltd | Switching between secure and non-secure processing modes |
AU2003274383A1 (en) | 2002-11-18 | 2004-06-15 | Arm Limited | Processor switching between secure and non-secure modes |
GB2396930B (en) | 2002-11-18 | 2005-09-07 | Advanced Risc Mach Ltd | Apparatus and method for managing access to a memory |
JP5189764B2 (ja) | 2003-06-27 | 2013-04-24 | ディズニー エンタープライゼス インコーポレイテッド | 次世代メディアプレーヤ向けデュアルバーチャルマシン及びトラステッドプラットフォームモジュールアーキテクチャ |
CN100451983C (zh) | 2003-06-27 | 2009-01-14 | 迪斯尼实业公司 | 下一代媒体播放器的双虚拟机以及信任平台 |
GB2406403B (en) | 2003-09-26 | 2006-06-07 | Advanced Risc Mach Ltd | Data processing apparatus and method for merging secure and non-secure data into an output data stream |
US8122361B2 (en) * | 2003-10-23 | 2012-02-21 | Microsoft Corporation | Providing a graphical user interface in a system with a high-assurance execution environment |
JP2006018745A (ja) * | 2004-07-05 | 2006-01-19 | Hitachi Ltd | 電子データ認証システム、認証マーク偽造検証方法、認証マーク偽造検証プログラム、閲覧者用端末、及び認証マーク生成サーバ |
JP4811271B2 (ja) | 2004-08-25 | 2011-11-09 | 日本電気株式会社 | 情報通信装置及びプログラム実行環境制御方法 |
DE102005005378A1 (de) | 2004-09-14 | 2006-03-30 | Wincor Nixdorf International Gmbh | Vorrichtung zur Eingabe und Übertragung von verschlüsselten Signalen |
DE102004054571B4 (de) | 2004-11-11 | 2007-01-25 | Sysgo Ag | Verfahren zur Verteilung von Rechenzeit in einem Rechnersystem |
US7661126B2 (en) * | 2005-04-01 | 2010-02-09 | Microsoft Corporation | Systems and methods for authenticating a user interface to a computer user |
US7627807B2 (en) | 2005-04-26 | 2009-12-01 | Arm Limited | Monitoring a data processor to detect abnormal operation |
US20070079111A1 (en) | 2005-09-30 | 2007-04-05 | Chiu-Fu Chen | Activating method of computer multimedia function |
DE102006002824B4 (de) | 2006-01-19 | 2008-10-09 | Phoenix Contact Gmbh & Co. Kg | Verfahren und Vorrichtung zur Umwandlung mehrkanalig vorliegender Nachrichten in eine einkanalige sichere Nachricht |
US7765399B2 (en) | 2006-02-22 | 2010-07-27 | Harris Corporation | Computer architecture for a handheld electronic device |
US7950020B2 (en) | 2006-03-16 | 2011-05-24 | Ntt Docomo, Inc. | Secure operating system switching |
CN101427222B (zh) * | 2006-04-24 | 2012-11-21 | 松下电器产业株式会社 | 数据处理装置、方法、程序生成装置、方法 |
US7752658B2 (en) | 2006-06-30 | 2010-07-06 | Microsoft Corporation | Multi-session connection across a trust boundary |
US8194088B1 (en) * | 2006-08-03 | 2012-06-05 | Apple Inc. | Selective composite rendering |
CA2667368A1 (en) | 2006-10-23 | 2008-05-02 | Behruz Nader Daroga | Digital transmission system (dts) for bank automated teller machines (atm) security |
JP4358224B2 (ja) | 2006-12-27 | 2009-11-04 | 株式会社東芝 | ゲストosスケジューリング方法及び仮想計算機モニタ |
JP2008211332A (ja) * | 2007-02-23 | 2008-09-11 | Canon Inc | 画像形成装置及びその制御方法、並びにプログラム及び記憶媒体 |
US8261064B2 (en) * | 2007-02-27 | 2012-09-04 | L-3 Communications Corporation | Integrated secure and non-secure display for a handheld communications device |
US8190778B2 (en) | 2007-03-06 | 2012-05-29 | Intel Corporation | Method and apparatus for network filtering and firewall protection on a secure partition |
FR2914457B1 (fr) | 2007-03-30 | 2009-09-04 | Ingenico Sa | Procede et dispositif de visualisation securitaire |
GB2453518A (en) | 2007-08-31 | 2009-04-15 | Vodafone Plc | Telecommunications device security |
DE102007052826A1 (de) * | 2007-11-06 | 2009-05-07 | Giesecke & Devrient Gmbh | Daten verarbeitende Vorrichtung und Verfahren zum Betreiben einer Daten verarbeitenden Vorrichtung |
CN101868953A (zh) | 2007-12-07 | 2010-10-20 | 诺基亚公司 | 事务处理认证 |
CN101299228B (zh) | 2008-01-26 | 2010-09-01 | 青岛大学 | 一种基于单cpu双总线的安全网络终端 |
US8793786B2 (en) * | 2008-02-08 | 2014-07-29 | Microsoft Corporation | User indicator signifying a secure mode |
GB2459097B (en) * | 2008-04-08 | 2012-03-28 | Advanced Risc Mach Ltd | A method and apparatus for processing and displaying secure and non-secure data |
US8978132B2 (en) | 2008-05-24 | 2015-03-10 | Via Technologies, Inc. | Apparatus and method for managing a microprocessor providing for a secure execution mode |
US7809875B2 (en) | 2008-06-30 | 2010-10-05 | Wind River Systems, Inc. | Method and system for secure communication between processor partitions |
JP5157726B2 (ja) * | 2008-07-31 | 2013-03-06 | 富士通モバイルコミュニケーションズ株式会社 | 電子機器 |
US8528041B1 (en) | 2008-11-07 | 2013-09-03 | Sprint Communications Company L.P. | Out-of-band network security management |
US8595491B2 (en) | 2008-11-14 | 2013-11-26 | Microsoft Corporation | Combining a mobile device and computer to create a secure personalized environment |
JP4698724B2 (ja) | 2008-12-01 | 2011-06-08 | 株式会社エヌ・ティ・ティ・ドコモ | プログラム実行装置 |
US8490176B2 (en) * | 2009-04-07 | 2013-07-16 | Juniper Networks, Inc. | System and method for controlling a mobile device |
US9736675B2 (en) * | 2009-05-12 | 2017-08-15 | Avaya Inc. | Virtual machine implementation of multiple use context executing on a communication device |
US9003517B2 (en) * | 2009-10-28 | 2015-04-07 | Microsoft Technology Licensing, Llc | Isolation and presentation of untrusted data |
US9207968B2 (en) | 2009-11-03 | 2015-12-08 | Mediatek Inc. | Computing system using single operating system to provide normal security services and high security services, and methods thereof |
AU2011202838B2 (en) * | 2010-12-21 | 2014-04-10 | Lg Electronics Inc. | Mobile terminal and method of controlling a mode screen display therein |
DE102011012227A1 (de) | 2011-02-24 | 2012-08-30 | Giesecke & Devrient Gmbh | Verfahren zum Datenaustausch in einer gesicherten Laufzeitumgebung |
DE102011012226A1 (de) | 2011-02-24 | 2012-08-30 | Giesecke & Devrient Gmbh | Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät |
DE102011115135A1 (de) | 2011-10-07 | 2013-04-11 | Giesecke & Devrient Gmbh | Mikroprozessorsystem mit gesicherter Laufzeitumgebung |
DE102011116489A1 (de) | 2011-10-20 | 2013-04-25 | Giesecke & Devrient Gmbh | Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts |
-
2011
- 2011-04-21 DE DE102011018431A patent/DE102011018431A1/de not_active Withdrawn
-
2012
- 2012-04-19 WO PCT/EP2012/001700 patent/WO2012143132A1/de active Application Filing
- 2012-04-19 EP EP12716254.3A patent/EP2700033B1/de active Active
- 2012-04-19 US US14/113,066 patent/US9489505B2/en active Active
- 2012-04-19 JP JP2014505539A patent/JP5864723B2/ja active Active
- 2012-04-19 CN CN201280018611.8A patent/CN103503426B/zh active Active
- 2012-04-19 KR KR1020137029398A patent/KR101902176B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE602004007152T2 (de) | 2003-09-09 | 2008-02-14 | Sony Ericsson Mobile Communications Ab | Mehrschichtanzeige und endgerät mit einer solchen einrichtung |
US20100132015A1 (en) * | 2008-11-21 | 2010-05-27 | Sung-Min Lee | Apparatus and method for providing security information in virtual environment |
DE102009022222A1 (de) | 2009-05-20 | 2010-11-25 | Giesecke & Devrient Gmbh | Anordnung zur Anzeige von Informationen, Verfahren zur Anzeige von Informationen und elektronische Endgeräteeinrichhtung |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011108069A1 (de) | 2011-07-19 | 2013-01-24 | Giesecke & Devrient Gmbh | Verfahren zum Absichern einer Transaktion |
Also Published As
Publication number | Publication date |
---|---|
JP2014512059A (ja) | 2014-05-19 |
KR101902176B1 (ko) | 2018-10-01 |
CN103503426A (zh) | 2014-01-08 |
EP2700033B1 (de) | 2018-09-05 |
JP5864723B2 (ja) | 2016-02-17 |
CN103503426B (zh) | 2016-02-03 |
WO2012143132A1 (de) | 2012-10-26 |
US20140041050A1 (en) | 2014-02-06 |
US9489505B2 (en) | 2016-11-08 |
EP2700033A1 (de) | 2014-02-26 |
KR20140061313A (ko) | 2014-05-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2700033B1 (de) | Verfahren zur anzeige von informationen auf einer anzeigeeinrichtung eines endgeräts | |
DE102004062203B4 (de) | Datenverarbeitungseinrichtung, Telekommunikations-Endgerät und Verfahren zur Datenverarbeitung mittels einer Datenverarbeitungseinrichtung | |
DE202014011086U1 (de) | System zur Bestimmung einer Vertrauenswürdigkeitskategorie von Anwendungen, die eine Schnittstellenüberlagerung durchführen | |
DE102012210887B4 (de) | Verfahren zum Einrichten einer sicher verwalteten Ausführungsumgebung für eine virtuelle Maschine und eine Computervorrichtung | |
DE60102555T2 (de) | Verhinderung der map-aktivierten modulmaskeradeangriffe | |
DE102011012226A1 (de) | Verfahren zum Betrieb einer Mikroprozessoreinheit, insbesondere in einem mobilen Endgerät | |
DE112017006948T5 (de) | Fahrzeugkommunikationsüberwachungseinrichtung, fahrzeugkommunikationsüberwachungsverfahren und fahrzeugkommunikationsüberwachungsprogramm | |
EP3254227B1 (de) | Verfahren zum schutz sicherheitsrelevanter daten in einem cachespeicher | |
DE102011115135A1 (de) | Mikroprozessorsystem mit gesicherter Laufzeitumgebung | |
DE102011012227A1 (de) | Verfahren zum Datenaustausch in einer gesicherten Laufzeitumgebung | |
DE102014208838A1 (de) | Verfahren zum Betreiben eines Steuergeräts | |
DE102008049599A1 (de) | Verfahren und Vorrichtung zur Erkennung von Angriffen auf einen Selbstbedienungsautomat | |
DE102017113147A1 (de) | Sicheres Zahlungsschutzverfahren und entsprechendes elektronisches Gerät | |
EP2210241B1 (de) | Daten verarbeitende vorrichtung und verfahren zum betreiben einer daten verarbeitenden vorrichtung | |
EP2113855A1 (de) | Verfahren zur Verwaltung und Handhabung mehrerer Betriebssysteme in einem Computer oder Computernetzwerk | |
DE102017219242A1 (de) | Ein-Chip-System, Verfahren zum Betrieb eines Ein-Chip-Systems und Kraftfahrzeug | |
WO2014096334A1 (de) | Anzeige eines fälschungsicheren identitätsindikators | |
DE102016205321A1 (de) | Reduzieren einer Angriffsmöglichkeit auf eine Schwachstelle eines Gerätes über eine Netzwerkzugangsstelle | |
DE60211900T2 (de) | Verfahren und vorrichtung zur bewahrung von sicherer dateneingabe und datenausgabe | |
DE102013226700A1 (de) | Fahrzeugelektronikeinheit | |
DE102014204462A1 (de) | Anzeigevorrichtung und Verfahren zum Präsentieren eines blickwinkelabhängig erkennbaren grafischen Inhaltes | |
DE102005053848B4 (de) | Verfahren zur bildbasierten Authentifizierung von Online-Transaktionen | |
EP1473614A2 (de) | Computersystem für ein Fahrzeug und Verfahren zum Kontrollieren des Datenverkehrs in einem solchen Computersystem | |
DE102013221764A9 (de) | Verfahren zur Erzeugung einer elektronischen Signatur | |
WO2022090179A1 (de) | Verfahren zum betreiben einer berührungssensitiven eingabeeinheit sowie bedienvorrichtung und kraftfahrzeug |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R163 | Identified publications notified | ||
R081 | Change of applicant/patentee |
Owner name: TRUSTONIC LTD., GB Free format text: FORMER OWNER: GIESECKE & DEVRIENT GMBH, 81677 MUENCHEN, DE Effective date: 20130912 |
|
R082 | Change of representative |
Representative=s name: KSNH PATENTANWAELTE KLUNKER/SCHMITT-NILSON/HIR, DE Effective date: 20130912 |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |