本发明专利技术公开了对于显示在非安全域中的主题图像的安全性设置。一种数据处理设备被提供有处理器核,其可以在安全域和非安全域的任一者中操作。存储在存储器的安全区域内的数据仅在处理器核在安全域中运行时才可被访问。用于存储将被显示的显示图像的帧缓冲器被存储在存储器的非安全区域内,存储器的非安全区域可由处理器核访问,而不管处理器核是在安全域还是在非安全域中,并且可由显示控制器访问。当主题图像被写入帧缓冲器时,用于主题图像的验证数据被存储在安全区域内。当用户输入被接收到时,在用户输入被认证之前,存储在主题图像被写入其中的经验证显示区处的所显示数据被读回,并被用来生成检查数据,该检查数据被与验证数据相比较。
【技术实现步骤摘要】
本专利技术涉及数据处理系统领域。更具体地,本专利技术涉及确保支持安全域和非安全域两者的数据处理系统中的主题图像的显示安全。
技术介绍
提供诸如包括由英国剑桥的RAM有限公司设计的信任域(TrustZone)技术的处理器之类的数据处理系统是已知的,这些数据处理系统提供安全域和非安全域两者。当处理器在安全域中操作时,其可访问存储在存储器的安全区域和存储器的非安全区域两者内的数据,而当处理器在非安全域中操作时,其可访问存储在非安全区域内的数据,但不能访问存储在安全区域内的数据。在这些系统内显示图像以提示用户提供用户输入是已知的。作为一个示例,系统可以显示用于提示用户输入个人识别号(PIN)或口令以便认证交易的主题图像,该交易的细节被表示在该主题图像中,例如,安全图像可以表示交易的费用和与交易有关的资金的接收者,其中,用户被提示输入他们的PIN以便对该交易进行认证并且对资金转移进行授权。在这样的系统中,潜在的安全性弱点在于可能如下这样危及主题图像的显示安全用户被呈现以指定了不同细节(例如,交易量、接收者细节)的图像,并被提示输入他们的PIN以对随后以其它参数(例如,更高的交易量或者不同的接收者)进行的交易进行授权。解决该安全性弱点中的一个问题在于尽管从US-B-7,509,502 (Secure IXD Controller and Frame Store)知道了用于安全显示的专用硬件,然而许多广泛使用的数据处理系统并不具有用于限制对一个或多个帧缓冲器的访问的机制,一个或多个帧缓冲器用于驱动对于在安全域中或者以另外的可信方式运行的软件的显示。用于提供一个或多个安全帧缓冲器的机制的缺乏开启了这样的可能性向用户示出的是表示与将由用户的用户输入进行授权的那些交易细节不同的交易细节的被操纵图像。
技术实现思路
从一个方面看,本专利技术提供了一种用于处理数据的装置,包括处理电路,被配置为在从安全域和非安全域中选出的一个中操作;存储器,被耦合到所述处理电路并被配置为将安全数据存储在所述存储器的安全区域内并且将非安全数据存储在所述存储器的非安全区域内,所述安全数据在所述处理电路在所述安全域中操作时能由所述处理电路访问并且在所述处理电路在所述非安全域中操作时不能由所述处理电路访问,并且所述非安全数据在所述处理电路在所述安全域中操作时能由所述处理电路访问并且在所述处理电路在所述非安全域中操作时能由所述处理电路访问;用户输入设备,被耦合到所述处理电路并且被配置为接收用户输入数据;以及显示器,被耦合到所述处理电路并且被配置为显示取决于从存储在所述非安全区域内的帧缓冲器读取的图像数据的帧的显示图像;其中所述处理电路被配置为在所述安全域中操作以将包括所述图像数据的帧的至少一部分的主题图像存储在所述帧缓冲器的经验证显示区内,并且将取决于所述主题图像的验证数据存储在所述安全区域内;以及所述处理电路被配置为在所述安全域中操作,以从所述用户输入设备接收用户输入,并且当接收到所述用户输入时,读取存储在所述经验证显示区内的所显示数据,并且将取决于所述所显示数据的检查数据与所述验证数据相比较以确认所述所显示数据与所述主题图像匹配。本技术提供了一种机制,通过该机制,主题图像被写入存储在非安全域内的帧缓冲器,而安全域存储验证数据,该验证数据在用户输入被接收到时用来通过确认从主题图像被写入的位置(经验证显示区)处的帧缓冲器读取的所显示数据与最初被写入该经验证显示区的主题图像相匹配,来验证该所显示数据。因此,如果在主题图像被写入该经验证显示区之后该经验证显示区内的显示数据被更改,则当用户输入被接收到时检查数据将与验证数据不匹配。本技术使得能够在每次在安全域内接收到用户输入时判断所显示数据仍然与主题图像相匹配并且因此用户正对合适的主题图像作出响应并且经验证显示区内的所显示数据未被不当地更改。在一些实施例中,用户输入设备可被配置为使得当用户生成用户输入时,如果所述处理电路正在所述非安全域中操作,则所述处理电路被切换为在所述安全域中操作,而不给非安全域对用户输入事件作出反应的机会。这种布置准许系统在等待用户输入的同时既能在非安全域中操作又能在安全域中操作,但是根据需要,确保设备被切换到安全域以使得经验证显示区内的所显示数据的验证可以从安全域内执行。当接收到用户输入数据时的这种切换可以如下这样配置处理电路来执行使得用户输入数据的接收引起中断信号的生成,该中断信号触发在安全域内运行的中断处理代码的运行。在其它实施例中,处理电路可被配置为使得当所述处理电路正在所述安全域中操作时,其轮询所述用户输入设备以确定任何用户输入是否被接收到。因此,该设备在处于安全域中之前不处理任何用户输入,并且当处于安全域中时,还可以验证经验证显示区内的显示数据。验证数据可以是由散列算法对主题图像生成的验证散列值,所述检查数据是由相同散列算法(或相关散列算法)对所述所显示数据进行操作而生成的检查散列值。这具有如下优点减少用于向安全域内存储数据的需求。在其它实施例中,验证数据可以是所述主题图像本身,主题图像的副本被存储在安全域内并且直接与所显示数据相比较以验证所显示数据与主题图像相匹配。在许多系统中,显示控制器被耦合到显示器和存储器,该显示控制器被配置为从所述存储器读取图像数据的帧并且控制显示器显示取决于所述图像数据的帧的显示图像。所述显示控制器通常利用显示配置数据被配置,显示配置数据包括指定所述帧缓冲器在所述存储器内的存储位置以及该数据将如何被显示的数据。在这样的系统的上下文中,通过提供如下处理电路可提高安全性,该处理电路被配置为当用户输入被接收到时,读取所述显示配置数据,以确认自所述主题图像被存储在所述经验证显示区内起所述显示配置数据没有以不可接受的方式被改变。这提供了对攻击的阻止,攻击例如通过改变到帧缓冲器的指针并同时依赖于安全域内的软件从存储器内原始主题图像仍然驻留的位置读取原始主题图像(即使,其未被用来驱动显示器)来试图修改显示给用户的图像。所准许的改变可以是视频重叠位置的改变,假设其未被移动到主题图像的上面的话。应当被保护以防止对呈现给用户的显示的不希望操纵的显示控制器的配置参数的其它示例是显示图像的大小参数以及构成参数(例如,分层、窗口指针、透明度值,等等 ο在一些实施例中,该装置可经由数据网络被连接到远程处理装置,该远程处理装置向该装置提供用来显示主题图像的主题图像定义数据,主题图像是依据主题图像定义数据得出的。作为一个示例,主题图像定义数据可以是指定主题图像的BMP或PNG数据或者定义将要构成的主题图像的更多抽象数据(例如HTML数据)。当处理电路在所述安全域中操作时,所述处理电路可以变换从所述远程处理装置接收到的所述主题图像定义数据,以生成与所述显示器相匹配形式的所述主题图像。因此, 处理电路可以采用一般性主题图像定义数据,以使得该数据以特定于所关注的设备的形式 (例如,与屏幕画面大小、显示分辨率、色彩能力等相匹配)被呈现。如果检查数据与验证数据的比较结果(当发现匹配时)作为匹配确认指示经由数据网络被返回给远程处理装置,则可以提高安全性和审核交易的能力。因此,在远程处理装置内,可以保存如下记录当用户输入被接收到时匹配被确认,并且因此向用户示出了所希望的主题图像而非某个被不当改本文档来自技高网...
【技术保护点】
【技术特征摘要】
...
【专利技术属性】
技术研发人员:唐纳德·费尔顿,
申请(专利权)人:ARM有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。