本發明涉及運行可信用戶界面的方法和裝置，尤其涉及一種運行可信用戶界面的方法，該可信用戶界面構建在可信執行環境側并且包括顯示部和輸入部，其中在可信執行環境側設有用于運行所述可信用戶界面的硬件驅動，所述可信執行環境所屬的系統還具有非安全執行環境，所述系統具有內核，其中，通過可信執行環境側的可信用戶界面關于安全相關的事件與用戶進行交互和與非安全執行環境進行信息交互。

技術領域

本發明涉及一種運行可信用戶界面的方法，以及對應的運行可信用戶界面的裝置。

背景技術

當前的可信執行環境主要是基于移動終端(如智能手機)中處理器的安全區域構建的可信執行環境。可信執行環境是一個獨立的執行區域，它提供了很多安全屬性，如隔離性，可信應用的完整性等，同時可信執行環境也確保了加載到可信執行環境中代碼和數據的安全性。

在移動終端上，特別是智能手機上，用戶界面(User Interface)負責的是人機交互，按照一定的操作邏輯完成用戶的指令。隨著智能手機的普及，手機上的移動支付已經成為用戶重要的支付手段。移動支付常用的支付方式有兩種，一種是密碼支付，另一種是指紋支付。指紋支付必須在可信執行環境側執行，已經是業界規范做法；而密碼支付方式目前仍然是在非安全執行環境，或稱富執行環境(Rich Execution Environment)側執行。

而在非安全執行環境側進行的支付操作存在安全隱患。例如，在非安全執行環境執行的支付操作，可以通過人工截屏，讀非安全執行環境的顯示內存等方式，輕易取得個人支付信息，安全風險很高。

發明內容

為了解決上文提及的設在在非安全執行環境側的用戶界面的不安全問題，根據本發明的一個方面提出了一種運行可信用戶界面的方法，該可信用戶界面構建于可信執行環境，并且包括顯示部和輸入部，其中，在所述可信執行環境還設有用于運行所述可信用戶界面的硬件驅動；所述可信用戶界面能夠與設置在非安全執行環境的內核進行交互，從而使得用戶能夠通過所述非安全執行環境關于安全相關的事件與所述可信用戶界面進行交互。將輸入和顯示在可信執行環境側運行，降低了信息被竊取的風險。

根據本發明的一個實施形式，安全相關的事件包括對金融應用的操作，金融應用包括支付應用、轉賬應用、私密金融信息查看應用中的一種或多種。

根據本發明的一個實施形式，可信執行環境和非安全執行環境所屬的計算機系統還具有ARM可信固件。

根據本發明的一個實施形式，方法包括如下步驟：

-響應于用戶點擊安全相關的應用，內核通知可信執行環境側調用可信用戶界面，

-可信用戶界面的顯示部和輸入部分別初始化各自的驅動，并且通知ARM可信固件注冊異常事件中斷，

-返回內核為I2C總線上電并且保存非安全執行環境側的顯示和輸入的狀態，

-可信用戶界面的顯示部顯示圖形界面，可信用戶界面的輸入部啟動從而能夠將觸摸和異常事件上報給顯示部，

-當可信用戶界面的調用結束或者因異常事件中斷而退出可信用戶界面的運行時，可信用戶界面的顯示部將該顯示部的顯示驅動注銷，并且清除所顯示的和/或所存儲的隱私數據，

-在因異常事件中斷而退出可信用戶界面的運行的條件下，ARM可信固件將中斷移除，

-切換回內核，將所保存的非安全執行環境側的顯示和輸入的狀態恢復，為I2C總線掉電。

根據本發明的一個實施形式，ARM可信固件還進行安全屬性的劃分，該安全屬性的劃分包括對于待由顯示部顯示和待由輸入部接收的數據的安全等級的劃分。

根據本發明的一個實施形式，異常事件中斷是由所定義的異常事件引起的、使得退出可信用戶界面運行的中斷。

根據本發明的一個實施形式，方法包括如下步驟：