防偽型指示符的顯示的制作方法

防偽型指示符的顯示的制作方法
【專利說明】防偽型指示符的顯示
[0001]本發明涉及一種用于顯示防偽型或安全型身份指示符的方法。本發明尤其涉及使用由硬件實現的幀緩沖區疊加來顯示防偽型身份指示符。例如，依照本發明，用于應用的身份的防偽型指示符的顯示可以通過使用顯示控制器的疊加功能來提供。
【背景技術】
[0002]當多個應用共享一個顯示器時，可能會發生一個應用偽裝成另一個應用以使得用戶泄露機密信息，例如個人識別號碼(PIN)或安全密碼。這種攻擊方法被稱為“網絡釣魚”。一種防偽型或者不可假冒型身份指示符可以通過“在用戶在屏幕上實際查看該應用的任何時間向用戶顯示”的方法來緩解或解決上述問題。用戶由此可以決定該應用是否可信任。
[0003]為了防偽型身份指示符順利執行其功能，相應的計算機系統或其可信任組件必須能夠為用戶確定應用的身份并且給它命名。此外，所述應用不能影響該指示符。
[0004]市場上常見的操作系統(諸如Wind0ws7或基于Xorg的窗口管理程序)都不可能確定應用的身份。在這些系統中，每個有關應用身份的指示符(如窗口標頭或任務欄條目)均由相應的應用自身來填充內容，因而極易被惡意應用假冒。
[0005]此類“不可信應用”的問題在當前操作系統中未得到有效處理。下列文獻描述了此類問題以及不可假冒型身份指示符的概念。
[0006]Jonathan S.Shapiro, John Vanderburgh,Eric Northup和David Chizmadia.《厄洛斯可信任窗口系統的設計》(Design of the eros trusted window system), USENIX 安全研討會(USENIX Security Symposium)，165-178 頁，2004 年。
[0007](http://www.usenix.0rg/legacy/event/sec04/tech/full_papers/shapiro/shapir0.pdf)
[0008]N.Feske和 C.Helmuth.最小復雜度安全GUI 的挑錯指南(A nitpickers guide toa minimal-complexity secure gui).〈〈第 21 界計算機安全應用會議記錄〉〉(Proceedingsof the 21st Annual Computer Security Applicat1ns Conference)，85-94 頁，2005 年(http://www.acsac.0rg/2005/papers/54.pdf)。
[0009]首先，一些術語的定義應依照本發明來理解。
[0010]“顯示控制器”通常為一裝置或者一裝置的部件，優選為一電路，其從顯示存儲器(幀緩沖區，圖形存儲器)讀取圖形的數字表示，并且按照已存的數字信息在屏幕上(監視器，顯示器)顯示該圖形。在個人電腦或筆記本電腦中，該顯示控制器一般為圖形卡的一部分。依據本發明，該顯示控制器不只限于圖形卡中的電路。例如，本發明所述的顯示控制器也可以處于其他位置，特別是在SoC(片上系統)上。片上系統是指在單芯片(管芯)上集成系統的全部功能或大部分功能，即半導體襯底上的集成電路(1C)，也稱為單片集成。而系統最初包括微處理器或微控制器1C以及許多其他用于特定功能的ICS，其焊接在電路板上。當今可行的集成密度允許在單個1C上實現多個功能，若需要的話，甚至全部重要功能。在這里，數字、模擬和混合信號功能單元集成一體。其優勢特別是成本節省、降低的能耗或功率損失以及全面微型化。現在，例如移動電話中的數字功能(除存儲器之外)均可在1C上實現。而且連接鍵盤、S頂卡或顯示器的接口也可以包含在此1C上。
[0011]—種為了實現高集成密度及包含高差異組件的類似技術被稱為系統級封裝(SiP)，其中多個芯片集成到一個封裝中。
[0012]因此，依據本發明，顯示控制器不只限于某個硬件實現，而優選由該顯示控制器的功能來定義。
[0013]“幀緩沖區”為一存儲器或存儲器區域，優選為圖形卡中的屏幕緩沖器，其包含所要顯示的圖形的數字表示。換言之，該幀緩沖區的至少一部分與屏幕的數字副本相對應，即任意屏幕像素可被指派包含其經數字轉換的顏色值的幀緩沖區的某個區域。依據本發明，如果顯示控制器讀出所述幀緩沖區區域，優選屏幕上的定期讀出和顯示，則幀緩沖區是可視的。此外，除了可視的幀緩沖區之外，幀緩沖區還可以包括附加的存儲區，下文中叫做緩沖區，其中該緩沖區的內容通常不直接讀出以用于在屏幕上顯示內容。
[0014]此外，術語“幀緩沖區”不只限于某個硬件實現。參見上述SoC，幀緩沖區也可以是SoC的主存儲器。依據本發明，幀緩沖區因而不只限于某個硬件實現，而優選由其功能來定義。
[0015]“疊加”是一種能力，其允許顯示控制器附加地顯示至少另一個圖形數字表示(已存入例如緩沖區中)，并且基于該可視幀緩沖區，例如以不透明、透明或部分透明方式，淡入淡出該第一顯示。因此，例如除了顯示來自幀緩沖區的圖像之外，疊加功能還可以用于直接讀取和顯示來自總線(例如相機)的其他圖像。疊加功能用于例如手機攝像頭或數碼相機，從而可以縮短相機與顯示之間的等待時間。
[0016]此外，據資料記載，顯示控制器的疊加功能已知可以用在電視機上顯示電視節目編號。優選地，依據本發明的方法使用此疊加功能。然而，依據本發明，該疊加功能特別用于控制“不可偽造性”，并將其在屏幕上顯示出來。該疊加功能由相應的計算機程序或應用程序來使用。
[0017]依據本發明的“指示符”在用戶可以隨時識別出假冒應用的惡意嘗試時被認為是防偽的或不可假冒的或安全的，例如這是因為在沒有用戶交互的情況下顯示指示符或者指示符硬件(例如，顯示區域)逃離潛在假冒應用的控制。尤其依據本發明，顯示控制器的疊加功能被用于在屏幕上顯示防偽型或不可假冒型或安全型指示符。例如通過顯示控制器(例如，硬件)逃離潛在假冒應用的控制來達到防偽目的。換言之，本發明可以通過使用由硬件實現的幀緩沖區疊加來顯示防偽身份指示符。
[0018]為了顯示防偽型指示符，系統已知被劃分為安全子系統和非安全子系統。例如通過在安全和非安全區的虛擬化來進行劃分，其中附加硬件(如紅色和綠色LED)指示哪個子系統活躍，特別是哪個子系統負責屏幕顯示。安全子系統有時也稱為綠色，反之非安全子系統稱為紅色。這種系統常稱為紅/綠系統。
[0019]參考文章“鎖定:對于商品平臺上的安全應用的一種安全且實用的架構(Lockdown:Towards a safe and practical Architecture for Security Applicat1nson Commodity Platforms) ”，Vasudevan等人著，發表于2012年的《信任與可信計算(Trust and Trustworthy Computing)》，《計算機科學講義(Lecture Notes in ComputerScience)》7344卷，34-54頁。該文描述了基于分區而非虛擬化的劃分的紅/綠系統。
[0020]除上述用于紅/綠系統的硬件指示符外，還有將屏幕用作顯示身份指示符的解決方案。圖la以示例方式示出了一種已知解決方案的基本步驟的流程圖。特別是，可信軟件組件(下文稱為幀緩沖區管理器)對幀緩沖區具有控制權。首先，該幀緩沖區管理器允許全部應用(即可信應用和不可信應用)寫入緩沖區(步驟S1:用戶在緩沖區中繪圖)。下文中，幀緩沖區的緩沖區區域或者上述緩沖區中的寫入過程也稱為“繪圖”。該緩沖區不是可視幀緩沖區的一部分。
[0021]為了在屏幕上顯示，可信軟件組