特許 5674622 非セキュアドメインの中に表示される対象画像のためのセキュリティ対策

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】5674622

(24)【登録日】2015年1月9日

(45)【発行日】2015年2月25日

(54)【発明の名称】非セキュアドメインの中に表示される対象画像のためのセキュリティ対策

(51)【国際特許分類】

   G06F 21/64 20130101AFI20150205BHJP

   G06F 12/14 20060101ALI20150205BHJP

【ＦＩ】

   G06F21/64

   G06F12/14 510A

【請求項の数】23

【外国語出願】

【全頁数】15

(21)【出願番号】特願2011-230624(P2011-230624)

(22)【出願日】2011年10月20日

(65)【公開番号】特開2012-89138(P2012-89138A)

(43)【公開日】2012年5月10日

【審査請求日】2013年11月20日

(31)【優先権主張番号】1017785.5

(32)【優先日】2010年10月21日

(33)【優先権主張国】GB

(73)【特許権者】

【識別番号】504394342

【氏名又は名称】アーム・リミテッド

(74)【代理人】

【識別番号】100108453

【弁理士】

【氏名又は名称】村山 靖彦

(74)【代理人】

【識別番号】100064908

【弁理士】

【氏名又は名称】志賀 正武

(74)【代理人】

【識別番号】100089037

【弁理士】

【氏名又は名称】渡邊 隆

(74)【代理人】

【識別番号】100110364

【弁理士】

【氏名又は名称】実広 信哉

(72)【発明者】

【氏名】ドナルド・フェルトン

【審査官】 岸野 徹

(56)【参考文献】

【文献】 特開２００５−１８２７７４（ＪＰ，Ａ）

【文献】 特開２００７−２２６２７７（ＪＰ，Ａ）

【文献】 特開２００９−１６３７４１（ＪＰ，Ａ）

【文献】 特表２００３−５０１９１５（ＪＰ，Ａ）

【文献】 特表２０１２−５２４９２７（ＪＰ，Ａ）

【文献】 特表２００９−５２３２６９（ＪＰ，Ａ）

【文献】 特開平１１−０９６０７６（ＪＰ，Ａ）

【文献】 特開２００８−０３３９４９（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ １２／１４

Ｇ０６Ｆ ２１／６４

(57)【特許請求の範囲】

【請求項1】

データを処理するための装置であって、
セキュアドメインおよび非セキュアドメインのうちの選択可能な１つの中で動作するように構成される、処理回路と、
メモリであって、前記処理回路に連結され、かつ前記メモリのセキュア領域内にセキュアデータを格納するように、および前記メモリの非セキュア領域内に非セキュアデータを格納するように構成され、前記セキュアデータは、前記セキュアドメインの中で動作する時には前記処理回路がアクセスすることができ、前記非セキュアドメインの中で動作する時には前記処理回路がアクセスすることができず、前記非セキュアデータは、前記セキュアドメインの中で動作する時には前記処理回路がアクセスすることでき、前記非セキュアドメインの中で動作する時には前記処理回路がアクセスすることができる、メモリと、
前記処理回路に連結され、かつユーザ入力データを受け取るように構成される、ユーザ入力デバイスと、
前記処理回路に連結され、かつ前記非セキュア領域内に格納されたフレームバッファから読み込まれた画像データのフレームに依存して、表示画像を表示するように構成される、ディスプレイと、
を備え、
前記処理回路は、前記セキュアドメインの中で動作して、前記画像データのフレームの少なくとも一部分を含む対象画像を、前記フレームバッファの検証済表示領域内に格納するように、および前記対象画像に依存する検証データを、前記セキュア領域内に格納するように構成され、
前記処理回路は、前記セキュアドメインの中で動作して、前記ユーザ入力デバイスからユーザ入力を受け取り、前記ユーザ入力の受領時に、前記検証済表示領域内に格納された表示データを読み込み、そして前記表示データに依存する照合データを前記検証データと比較して、前記表示データが前記対象画像に一致することを確認するように構成されることを特徴とする装置。

【請求項2】

前記ユーザ入力デバイスは、ユーザがユーザ入力を生成する時に、前記処理回路が前記非セキュアドメインの中で動作している場合は、前記処理回路が前記セキュアドメインの中で動作するよう切り替えられるように構成されることを特徴とする請求項１に記載の装置。

【請求項3】

前記処理回路は、前記処理回路が前記セキュアドメインの中で動作している時に、何らかのユーザ入力を受け取ったかどうかを判定するように、前記ユーザ入力デバイスにポーリングすることを特徴とする請求項１に記載の装置。

【請求項4】

前記検証データは、前記対象画像に対して動作するハッシュアルゴリズムによって生成される、検証ハッシュ値であり、
前記照合データは、前記表示データに対して動作する前記ハッシュアルゴリズムによって生成される、照合ハッシュ値であることを特徴とする請求項１に記載の装置。

【請求項5】

前記検証データは、前記対象画像であり、前記照合データは、前記表示データであることを特徴とする請求項１に記載の装置。

【請求項6】

前記ディスプレイおよび前記メモリに連結され、かつ前記メモリから前記画像データのフレームを読み込み、そして前記画像データのフレームに依存して、前記ディスプレイを制御して前記表示画像を表示するように構成される、ディスプレイコントローラを備え、
前記ディスプレイコントローラは、前記フレームバッファの前記メモリ内の少なくとも１つの格納場所を指定する表示構成データによって構成されることを特徴とする請求項１に記載の装置。

【請求項7】

前記処理回路は、前記ユーザ入力の前記受領時に、前記表示構成データを読み込み、そして前記対象画像が前記検証済表示領域内に格納されて以降、前記格納場所が許容できない様態に変化していないことを確認するように構成されることを特徴とする請求項６に記載の装置。

【請求項8】

前記表示構成データはまた、前記表示画像のサイズパラメータも指定し、前記処理回路は、前記ユーザ入力の前記受領時に、前記表示構成データを読み込み、そして前記対象画像が前記検証済表示領域内に格納されて以降、前記サイズパラメータが許容できない様態に変化していないことを確認するように構成されることを特徴とする請求項７に記載の装置。

【請求項9】

前記メモリは、複数のフレームバッファを格納し、前記複数の表示構成データはまた、前記複数のフレームバッファ内に格納されたデータから前記表示画像をどのように構成するのかを制御する前記表示画像の構成パラメータも指定し、前記処理回路は、前記ユーザ入力の前記受領時に、前記表示構成データを読み込み、そして前記対象画像が前記検証済表示領域内に格納されて以降、前記構成パラメータが許容できない様態に変化していないことを確認するように構成されることを特徴とする請求項７に記載の装置。

【請求項10】

前記装置は、データネットワークを介して、リモート処理装置に接続され、前記対象画像は、前記リモート処理装置から受信した対象画像定義データに依存することを特徴とする請求項１に記載の装置。

【請求項11】

前記セキュアドメインの中で動作する時に、前記処理回路は、前記リモート処理装置から受信した前記対象画像定義データを、前記ディスプレイに一致する形態で前記対象画像を生成するように変換することを特徴とする請求項１０に記載の装置。

【請求項12】

前記照合データを前記検証データと比較した際に、前記表示データが前記対象画像と一致していることを示した場合、前記処理回路は、一致確認通知を、前記データネットワークを介して、前記リモート処理装置に返すことを特徴とする請求項１０に記載の装置。

【請求項13】

前記対象画像は、前記装置内に格納された対象画像定義データに依存し、かつ前記セキュアドメインの中で動作する前記処理回路によって修正されていないものとして検証されることを特徴とする請求項１に記載の装置。

【請求項14】

前記ユーザ入力デバイスは、ユーザによって入力されるキーストロークを取り込むように構成される、キー操作式ユーザ入力デバイスであり、前記処理回路は、前記ユーザによって入力された各キーストロークの取り込み時に、前記検証済表示領域内に格納された前記表示データを読み込み、前記表示データに依存する前記照合データを生成し、そして前記照合データを前記検証データと比較して、前記表示データが前記対象画像に一致することを確認するように構成されることを特徴とする請求項１に記載の装置。

【請求項15】

前記キー操作式ユーザ入力デバイスは、キーストロークの取り込み時に、割り込み信号を生成するように構成され、前記割り込み信号は、前記セキュアドメイン内で動作する前記処理回路による割り込み処理ルーチンの実行を起動させ、前記割り込み処理ルーチンは、少なくとも、前記表示データに依存する前記照合データを生成し、そして前記照合データを前記検証データと比較して、前記表示データが前記対象画像に一致することを確認するように前記処理回路を起動させる、請求項１４に記載の装置。

【請求項16】

前記照合データと前記検証データとの前記比較が、前記表示データが前記対象画像と一致していないことを示した場合、前記処理回路は、セキュリティ違反応答を起動させ、
前記照合データと前記検証データとの前記比較が、前記表示データが前記対象画像と一致していることを示した場合、前記処理回路は、セキュア処理動作の継続を許可することを特徴とする請求項１に記載の装置。

【請求項17】

それぞれが画像データのフレームを格納する、複数のフレームバッファを備え、
前記画像データのフレームのうちの少なくとも１つは、前記対象画像を含み、
前記表示画像は、前記複数の画像データのフレームに依存することを特徴とする請求項１に記載の装置。

【請求項18】

前記対象画像は、認証されるべき取引の１つまたは複数の取引パラメータを示し、前記ユーザ入力は、前記取引を認証するための認証入力であることを特徴とする請求項１に記載の装置。

【請求項19】

前記認証入力は、個人識別番号およびパスワードのうちの１つであることを特徴とする請求項１８に記載の装置。

【請求項20】

前記装置は、モバイルデータ処理装置、およびテレビ信号を受信するように構成されたセットトップボックスのうちの１つであることを特徴とする請求項１に記載の装置。

【請求項21】

前記対象画像は、前記検証済表示領域を満たすことを特徴とする請求項１に記載の装置。

【請求項22】

データを処理するための装置であって、
セキュアドメインおよび非セキュアドメインのうちの選択可能な１つ中で処理を実施するための処理手段と、
データを格納するためのメモリ手段であって、前記メモリ手段は、前記処理手段に連結され、かつ前記メモリのセキュア領域内にセキュアデータを格納するように、および前記メモリ手段の非セキュア領域内に非セキュアデータを格納するように構成され、前記セキュアデータは、前記セキュアドメインの中で動作する時には前記処理手段がアクセスすることができ、前記非セキュアドメインの中で動作する時には前記処理手段がアクセスすることができず、前記非セキュアデータは、前記セキュアドメインの中で動作する時には前記処理手段がアクセスすることでき、前記非セキュアドメインの中で動作する時には前記処理手段がアクセスすることができる、メモリ手段と、
ユーザ入力データを受け取るためのユーザ入力手段であって、前記ユーザ入力手段は、前記処理手段に連結される、ユーザ入力手段と、
表示画像を表示するための表示手段であって、前記表示手段は、前記処理手段に連結され、かつ前記非セキュア領域内に格納されたフレームバッファから読み込まれた画像データのフレームに依存して、前記表示画像を表示するように構成される、表示手段と、
を備え、
前記処理手段は、前記セキュアドメインの中で動作して、前記画像データのフレームの少なくとも一部分を含む対象画像を前記フレームバッファの検証済表示領域内に格納するように、および前記対象画像に依存する検証データを前記セキュア領域内に格納するように構成され、
前記処理手段は、前記セキュアドメインの中で動作して、前記ユーザ入力手段からユーザ入力を受信し、前記ユーザ入力の受領に、前記検証済表示領域内に格納された表示データを読み込み、そして前記表示データに依存する照合データを前記検証データと比較して、前記表示データが前記対象画像に一致することを確認するように構成されることを特徴とする装置。

【請求項23】

データを処理する方法であって、
セキュアドメインおよび非セキュアドメインのうちのの選択可能な１つの中で処理回路を動作させるステップと、
メモリのセキュア領域内にセキュアデータを格納し、前記メモリの非セキュア領域内に非セキュアデータを格納するステップであって、前記セキュアデータは、前記セキュアドメインの中で動作する時には前記処理回路がアクセスすることができ、前記非セキュアドメインの中で動作する時には前記処理回路がアクセスすることができず、前記非セキュアデータは、前記セキュアドメインの中で動作する時には前記処理回路がアクセスすることでき、前記非セキュアドメインの中で動作する時には前記処理回路がアクセスすることができる、ステップと、
ユーザ入力デバイスから、ユーザ入力データを受け取るステップと、
前記非セキュア領域内に格納されたフレームバッファから読み込まれた画像データのフレームに依存して、表示画像を表示するステップと、
を含み、前記処理回路が前記セキュアドメインの中で動作している時には、前記画像データのフレームの少なくとも一部分を含む対象画像を、前記フレームバッファの検証済表示領域内に格納し、かつ前記対象画像に依存する検証データを、前記セキュア領域内に格納し、
前記処理回路が前記セキュアドメインの中で動作している時には、前記ユーザ入力デバイスからユーザ入力を受け取り、前記ユーザ入力の受領時に、前記検証済表示領域内に格納された表示データを読み込み、そして前記表示データに依存する照合データを前記検証データと比較して、前記表示データが前記対象画像に一致することを確認することを特徴とする方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明はデータ処理システムの分野に関する。より詳細には、本発明は、セキュアドメインおよび非セキュアドメインのどちらにも対応する、データ処理システム内での対象画像の表示をセキュア化することに関する。

【背景技術】

【0002】

セキュアドメインおよび非セキュアドメインのどちらも提供する、ＡＲＭ Ｌｉｍｉｔｅｄ ｏｆ Ｃａｍｂｒｉｄｇｅ（Ｅｎｇｌａｎｄ）によって設計されたＴｒｕｓｔＺｏｎｅ技術を含むプロセッサ等の、データ処理システムを提供することは公知である。プロセッサは、セキュア領域の中で動作している時には、メモリのセキュア領域内およびメモリの非セキュア領域内のどちらに格納されたデータにもアクセスすることができる一方で、プロセッサは、非セキュア領域の中で動作している時には、非セキュア領域内に格納されたデータにはアクセスすることができるが、セキュア領域内に格納されたデータにはアクセスすることができない。このようなシステム内では、画像を表示するために、ユーザ入力を提供するようユーザに促すことが知られている。一例として、システムは、その詳細が対象画像の中に表される取引を認証するために、個人識別番号（ＰＩＮ）またはパスワードの入力をユーザに促す、対象画像を表示してもよく、例えば、セキュア画像は、取引の費用および取引に関する資金の受領者を表してもよく、取引の認証および資金移動を許可するために、ユーザのＰＩＮを入力するようユーザに促す。

【0003】

このようなシステム内の潜在的なセキュリティの脆弱性は、対象画像の表示が損なわれ、それによって、例えば取引の額、受領者の詳細といった、異なる詳細を明示する画像がユーザに提示され、また、より高い額または異なる受領者等の他のパラメータで次に行う取引を認証するように、ユーザのＰＩＮを入力するようユーザに促す場合があることである。このセキュリティの脆弱性に対処する際の問題点は、ＵＳ−Ｂ−７，５０９，５０２（Ｓｅｃｕｒｅ ＬＣＤ Ｃｏｎｔｒｏｌｌｅｒ ａｎｄ Ｆｒａｍｅ Ｓｔｏｒｅ）による、セキュア表示のための特殊用途ハードウェアが公知であるが、多数の広範囲に利用可能なデータ処理システムは、セキュアドメインまたは別の信頼できる様態で実行するソフトウェアに対する表示を駆動するための１つまたは複数のフレームバッファへのアクセスを制限する機構を持たないことである。単一または複数のセキュアフレームバッファを提供するための機構が不十分であれば、ユーザ入力によって認証される取引の詳細とは異なる詳細を表す、操作された画像がユーザに示される可能性を開くことになる。

【発明の概要】

【課題を解決するための手段】

【0004】

一態様から概観すると、本発明は、データを処理するための装置であって、
セキュアドメインおよび非セキュアドメインのうちの選択可能な１つの中で動作するように構成される、処理回路と、
メモリであって、該処理回路に連結され、かつ該メモリのセキュア領域内にセキュアデータを格納するように、および該メモリの非セキュア領域内に非セキュアデータを格納するように構成され、該セキュアデータは、該セキュアドメインの中で動作する時には該処理回路がアクセスすることができ、該非セキュアドメインの中で動作する時には該処理回路がアクセスすることができず、該非セキュアデータは、該セキュアドメインの中で動作する時には該処理回路がアクセスすることでき、該非セキュアドメインの中で動作する時には該処理回路がアクセスすることができる、メモリと、
該処理回路に連結され、かつユーザ入力データを受け取るように構成される、ユーザ入力デバイスと、
該処理回路に連結され、かつ該非セキュア領域内に格納されたフレームバッファから読み込まれた画像データのフレームに依存して、表示画像を表示するように構成される、ディスプレイと、
を備え、該処理回路は、該セキュアドメインの中で動作して、該画像データのフレームの少なくとも一部分を含む対象画像を、該フレームバッファの検証済表示領域内に格納するように、および該対象画像に依存する検証データを、該セキュア領域内に格納するように構成され、
該処理回路は、該セキュアドメインの中で動作して、該ユーザ入力デバイスからユーザ入力を受け取り、該ユーザ入力の受領時に、該検証済表示領域内に格納された表示データを読み込み、そして該表示データに依存する照合データを該検証データと比較して、該表示データが該対象画像に一致することを確認するように構成される、装置を提供する。

【0005】

本技術は、機構を提供し、この機構によって、対象画像が、非セキュアドメイン内に格納されたフレームバッファに書き込まれ、セキュアドメインは、検証データを格納し、この検証データは、ユーザ入力の受領時に、これを確認することによって、対象画像が書き込まれた場所（検証済表示領域）にあるフレームバッファから読み込まれた表示データが、その検証済表示領域に最初に書き込まれた対象画像に一致することを検証するために使用される。したがって、対象画像が検証済表示領域に書き込まれた後に、その検証済表示領域内の表示データが変更されると、ユーザ入力を受け取った時に、照合データが検証データに一致しなくなる。この技術は、表示データが依然として対象画像と一致していること、故に、ユーザが適切な画像に応答していること、および検査済表示領域内の表示データが不適切に変更されていなかったことを、セキュアドメイン内でユーザ入力を受け取る毎に判定することを可能にする。

【0006】

いくつかの実施形態では、ユーザ入力デバイスは、ユーザがユーザ入力を生成する時に、処理回路が非キュアドメインの中で動作している場合は、非セキュアドメインがユーザ入力イベントに応答する機会を伴わずに、処理回路がセキュアドメインの中で動作するよう切り替えられるように構成されてもよい。この配設は、ユーザ入力を待機している間に、システムが非セキュアドメインおよびセキュアドメインのどちらの中でも動作することを可能にするが、必要に応じて、検証済表示領域内の表示データの検証がセキュアドメイン内から実行され得るために、デバイスがセキュアドメインに切り替えられることを確実にする。

【0007】

このユーザ入力の受領時における切り替えは、ユーザ入力データを受け取ることにより、セキュアドメイン内で実行する割り込み処理コードの実行を起動する割り込み信号を生成するように処理回路を構成することによって実施され得る。

【0008】

他の実施形態では、処理回路がセキュアドメインの中で動作している時に、この処理回路は、何らかのユーザ入力を受け取ったかどうかを判定するように、ユーザ入力デバイスにポーリングすることが可能である。したがって、このデバイスは、セキュアドメインの中にあるまで、いかなるユーザ入力も処理せず、セキュアドメインの中となった時点で、検証済表示領域内の表示データも検証することができる。

【0009】

検証データは、対象画像に作用するハッシュアルゴリズムによって生成される、検証ハッシュ値であってもよく、照合データは、表示データに作用するハッシュアルゴリズム（または関連するハッシュアルゴリズム）によって生成される照合ハッシュ値である。これは、セキュアドメイン内のデータの格納要件を緩和するという利点を有する。

【0010】

他の実施形態では、検証データは、対象画像自体であってもよく、表示データが対象画像に一致することを検証するために、対象画像のコピーをセキュアドメイン内に格納し、表示データと直接的に比較する。

【0011】

多くのシステムでは、ディスプレイコントローラが、ディスプレイおよびメモリに連結され、ディスプレイコントローラは、メモリから画像データのフレームを読み込むように、およびディスプレイを制御して画像データのフレームに依存して表示画像を表示するように構成される。ディスプレイコントローラは、典型的に、フレームバッファのメモリ内の格納場所を指定するデータ、およびそのデータをどのように表示するのかを含む、表示構成データで構成される。

【0012】

このようなシステムの文脈の範囲内で、セキュリティは、ユーザ入力の受領時に、表示構成データを読み込み、そして対象画像が検証済表示領域内に格納されて以降、表示構成データが許容できない様態に変化していないことを確認するように構成される、処理回路を提供することによって改善され得る。これは、元々の対象画像が表示を駆動するために使用されていないが、セキュアドメイン内のソフトウェアに依存して、その対象画像がまだ存在するメモリ内の場所からその対象画像を読み込みながら、フレームバッファに対するポインタを変化させることにより、ユーザに表示される画像を修正しようとする攻撃に対する抵抗性を提供する。許可される変化とは、ビデオオーバーレイが対象画像上に移動しないという条件で、ビデオオーバーレイの位置の変化であり得る。

【0013】

ユーザに提示される表示の不要な操作を阻止するために保護すべき、ディスプレイコントローラの構成パラメータの他の例は、表示画像のサイズパラメータ、および構成パラメータ（例えば、層化、ウィンドウポインタ、透明度値等）である。

【0014】

いくつかの実施形態では、装置は、データネットワークを介して、リモート処理装置に接続されてもよく、このリモート処理装置は、対象画像を表示するための装置に対象画像定義データを提供し、対象画像は、対象画像定義データに依存して導出される。一例として、対象画像定義データは、対象画像を指定するＢＭＰもしくはＰＮＧデータ、または構成する対象画像を定義するＨＴＭＬデータ等のより抽象的なデータであってもよい。

【0015】

セキュアドメインの中で動作する時に、処理回路は、リモート処理装置から受信した対象画像定義データを、ディスプレイに一致する形態で対象画像を生成するように変換する。したがって、処理回路は、例えば画面サイズ、表示解像度、色能力等に一致する、関係するデバイスに固有の形態で対象画像が描画されるように、一般的な対象画像定義データを適合させてもよい。

【0016】

セキュリティおよび取引を監査する能力は、一致が見つかった時の検証データと照合データとの比較の結果を、一致確認通知として、データネットワークを介して、リモート処理装置に返すことで改善され得る。したがって、リモート処理装置内には、ユーザ入力を受領した時に一致が確認され、故に、ユーザには、意図する対象画像が示され、いかなる不適切に変更された画像も示されない、という記録が保持され得る。

【0017】

また、対象画像は、装置自体に格納され、かつセキュアドメインの中で動作する処理回路によって修正されていないものとして検証された、対象画像定義データに依存して形成してもよい。対象画像は、例えば、ＹＥＳ応答またはＮＯ応答を導き出す画像等の対話画像であってもよく、対象画像の適切な表示の確認は、ユーザが、実際にはＮＯという応答に一致する画像が表示されている時に、ＹＥＳを示す応答を返しているものと誤認しないことを確実にすることが望ましい。

【0018】

ユーザ入力デバイスは、マウス、指紋検出器、顔の認識を実施するカメラ、ユーザの画像を取り込むカメラ等の、数多くの異なる形態を取ることができるが、いくつかの実施形態では、ユーザ入力デバイスは、ユーザによって入力されるキーストロークを取り込むように構成される、キー操作式ユーザ入力デバイスであることを理解されるであろう。この文脈では、処理回路は、各キーストロークの取り込み時に、検証済表示領域内に格納された表示データを読み込み、表示データに依存する照合データを生成し、そしてこの照合データを検証データと比較して、表示データが対象画像に一致することを確認するように構成されてもよい。

【0019】

キー操作式ユーザ入力デバイスは、キーストロークの取り込みに応じて割り込み信号を生成して、セキュアドメイン内で実行される割り込み処理ルーチンの実行を起動させるように構成されてもよい。この割り込み処理ルーチンは、それ自体が処理回路を起動させて、前述の表示データの照合を実施してもよい。

【0020】

照合データを検証データと比較した結果は、不一致が生じた場合には、セキュリティ違反応答を起動させてもよく、一方で、照合データおよび検証データが適切に一致した時には、セキュア処理動作を続行してもよい。

【0021】

いくつかの実施形態では、単一の表示に関連する複数のフレームバッファを採用するシステム、それぞれが専用のフレームバッファを有する複数の表示を採用するシステム、または各表示が複数のフレームバッファを有する複数の表示を採用するシステム等の、複数のフレームバッファが提供されてもよいことを理解されるであろう。本技術は、これらのシステムの全てに適用することができ、１つまたは複数のフレームバッファ、および１つまたは複数のディスプレイを使用して表示される対象画像のセキュリティを高めるために使用されてもよい。

【0022】

適切な表示が保護されている対象画像は、様々な異なる形態を取ることができるが、いくつかの実施形態では、対象画像は、認証されるべき取引の１つまたは複数の取引パラメータを示し、ユーザ入力は、関係する取引を認証するための認証入力であってもよい。認証入力は、例えば、個人識別番号またはパスワードであってもよい。

【0023】

データ処理システムの分野内での一般的な適用性があるが、本技術は、モバイルデータ処理装置またはテレビ信号を受信するように構成されるセットトップボックスを備える、データ処理システムの範囲内で特定の有用性を有する。

【0024】

対象画像は、検証済表示領域の一部を占有することがあり得るが、その領域内には、ユーザを誤認または混乱させ得る画像データを、主題に細工をして表示する可能性がある、いかなるギャップ／ボイドもないように、対象画像が検証済表示領域を完全に満たすことが好ましい。

【0025】

別の態様から概観すると、本発明は、データを処理するための装置であって、
セキュアドメインおよび非セキュアドメインのうちの選択可能な１つ中で処理を実施するための、処理手段と、
データを格納するためのメモリ手段であって、該メモリ手段は、該処理回路に連結され、かつ該メモリのセキュア領域内にセキュアデータを格納するように、および該メモリ手段の非セキュア領域内に非セキュアデータを格納するように構成され、該セキュアデータは、該セキュアドメインの中で動作する時には該処理手段がアクセスすることができ、該非セキュアドメインの中で動作する時には該処理手段がアクセスすることができず、該非セキュアデータは、該セキュアドメインの中で動作する時には該処理手段がアクセスすることでき、該非セキュアドメインの中で動作する時には該処理手段がアクセスすることができる、メモリ手段と、
ユーザ入力データを受信するためのユーザ入力手段であって、該ユーザ入力手段は、該処理手段に連結される、ユーザ入力手段と、
表示画像を表示するための表示手段であって、該表示手段は、該処理手段に連結され、かつ該非セキュア領域内に格納されたフレームバッファから読み込まれた画像データのフレームに依存して、該表示画像を表示するように構成される、表示手段と、
を備え、該処理手段は、該セキュアドメインの中で動作して、該画像データのフレームの少なくとも一部分を含む対象画像を該フレームバッファの検証済表示領域内に格納するように、および該対象画像に依存する検証データを該セキュア領域内に格納するように構成され、
該処理手段は、該セキュアドメインの中で動作して、該ユーザ入力手段からユーザ入力を受け取り、該ユーザ入力の受領時に、該検証済表示領域内に格納された表示データを読み込み、そして該表示データに依存する照合データを該検証データと比較して、該表示データが該対象画像に一致することを確認するように構成される、装置を提供する。

【0026】

さらなる態様から概観すると、本発明は、データを処理するための方法であって、
セキュアドメインおよび非セキュアドメインのうちのの選択可能な１つの中で処理回路を動作させるステップと、
メモリのセキュア領域内にセキュアデータを格納し、該メモリの非セキュア領域内に非セキュアデータを格納するステップであって、該セキュアデータは、該セキュアドメインの中で動作する時には該処理回路がアクセスすることができ、該非セキュアドメインの中で動作する時には該処理回路がアクセスすることができず、該非セキュアデータは、該セキュアドメインの中で動作する時には該処理回路がアクセスでき、該非セキュアドメインの中で動作する時には該処理回路がアクセスすることができる、ステップと、
ユーザ入力データを受け取るステップと、
該非セキュア領域内に格納されたフレームバッファから読み込まれた画像データのフレームに依存して、表示画像を表示するステップと、
を含み、該処理回路が該セキュアドメインの中で動作している時には、該画像データのフレームの少なくとも一部分を含む対象画像を、該フレームバッファの検証済表示領域内に格納し、かつ該対象画像に依存する検証データを、該セキュア領域内に格納し、
該処理回路が該セキュアドメインの中で動作している時には、該ユーザ入力デバイスからユーザ入力を受信し、該ユーザ入力の受信に応じて該検証済表示領域内に格納された表示データを読み込み、そして該表示データに依存する照合データを該検証データと比較して、該表示データが該対象画像に一致することを確認する、方法を提供する。

【0027】

本発明の上記および他の目的、特徴および利点は、添付の図面に関連して読まれるべき、例示的な実施形態の以下の詳細な説明から、明らかであろう。

【図面の簡単な説明】

【0028】

【図1】対象画像を表示するためのディスプレイを有し、かつ遠隔処理サーバに連結されるモバイルデータ処理デバイスを概略的に示す図である。

【図2】多重処理環境内での取引処理スレッドと関連する処理を概略的に示す流れ図である。

【図3】キーストロークの形態でのユーザ入力の受領に関する制御および処理の流れを概略的に示す流れ図である。

【発明を実施するための形態】

【0029】

図１は、無線ネットワーク等のデータネットワーク４を介して、銀行サーバ等のリモート処理サーバ６に連結される、携帯電話等のモバイルデータ処理装置２を概略的に示す。

【0030】

モバイルデータ処理デバイス２は、プロセッサコア８と、メモリ１０と、ディスプレイコントローラ１２と、ユーザ入力デバイス１４と、ネットワークインターフェース１６とを含み、それら全てはシステムバス１８を介して接続される。ディスプレイコントローラ１２は、検証済表示領域内に表示され、かつ許可されるべき銀行取引の詳細を明示する対象画像２２を含む表示を示すように、例えばＬＣＤディスプレイ上で表示画像２０を駆動する。対象画像２２は、例えば、ユーザのＰＩＮまたはパスワードの入力をユーザに促してもよく、および取引の値および／または取引の受領者等の、関連する取引の詳細をユーザに表示してもよい。表示画像２０はまた、動画データ２４のウィンドウ、バッテリ状態インジケータ２６、およびネットワーク接続インジケータ２８等の、非セキュア要素を含んでもよく、それら全ては非セキュアソフトウェアによって制御される。

【0031】

ディスプレイコントローラ１２は、ディスプレイコントローラによって使用される１つまたは複数のフレームバッファ３６の場所（メモリ１０内の開始メモリアドレス）を指定するデータ等の表示構成データ、表示画像２０のサイズパラメータ、複数のフレームバッファ３６内に格納されたデータからどのように表示画像２０を構成するのかを指定する構成パラメータ（例えば、ウィンドウイングパラメータ、層化パラメータ、透明度パラメータ、解像度パラメータ等）を格納する、構成レジスタ３０を含む。

【0032】

メモリ１０は、プロセッサコア８およびディスプレイコントローラ１２によってアクセスされるデータを格納する。メモリ１０は、非セキュア領域３２と、セキュア領域３４とを含む。１つまたは複数のフレームバッファ３６および非セキュア処理操作を実施するためのアプリケーションプログラムは、非セキュア領域３２内に格納される。セキュア領域３４は、検証データと、ハッシュアルゴリズムと、キーストローク割り込みハンドラと、ディスプレイドライバソフトウェアとを格納する。プロセッサコア８は、処理回路として機能して、プログラム命令のストリームを実行する。プロセッサコア８は、セキュアドメインおよび非セキュアドメインのうちの選択可能な１つの中で動作する。これらは、プロセッサコア８のハードウェアドメインの状態であり、各ドメインは、ユーザモード、システムモード、特権モード、ハイパーバイザモード等の、複数の動作モードを含んでもよい。セキュアドメインおよび非セキュアドメインを提供するシステムの例は、ＡＲＭ Ｌｉｍｉｔｅｄ ｏｆ Ｃａｍｂｒｉｄｇｅ（Ｅｎｇｌａｎｄ）によって製造されている、ＴｒｕｓｔＺｏｎｅを使用可能にするプロセッサである。ソフトウェアは、非セキュアドメインの中で動作する時に、画面と直接的に、または非セキュアドライバコードを通してやりとりする。プロセッサコア８は、セキュアドメインの中で動作する時に、セキュア領域３４内および非セキュア領域内３２のどちらに格納されたデータも読み込みおよび書き込みを行なうことができる。プロセッサコア８は、非セキュアドメインの中で動作する時に、非セキュア領域３２内に格納されたデータの読み込みおよび書き込みを行うことができるが、セキュア領域３４内に格納されたデータの読み込みおよび書き込みは行えない。ディスプレイコントローラ１２は、非セキュア領域３２内に格納されたデータにアクセスできるが、セキュア領域３４内に格納されたデータにはアクセスできない。したがって、フレームバッファ３６は、非セキュア領域３２内に格納される。

【0033】

ユーザ入力デバイス１４は、キーストロークを入力するためのキーパッドである。ユーザ入力デバイス１４を介してキーストロークが入力される際に、割り込み信号が生成され、この割り込み信号は、非セキュア動作環境がキーストロークに応答する機会を有することなく、キーストローク入力と関連する割り込み処理コードを実行するように、プロセッサコア８を起動させる。この割り込み処理コードは、セキュア領域３４内に格納されたキーストロークハンドラである。キーストロークハンドラは、セキュア領域３４内に格納されているので、不当な変更から保護されており、信頼することができる。

【0034】

以下に説明するように、セキュアドメインからのキーストロークを検証する時には、ディスプレイコントローラ１２から表示構成パラメータを読み込むことが適切であり、故に、セキュアディスプレイドライバコードは、そのセキュリティが保証され得るように、セキュア領域３４内に格納される。

【0035】

セキュア領域３４はまた、対象画像２２がフレームバッファ３６に書き込まれた時にセキュア領域内に格納する検証データを生成するための、ハッシュアルゴリズムも格納する。ハッシュアルゴリズムは、キーストロークを受け取った時に、表示データから照合データを生成して、これをセキュア領域内に予め格納された検証データと比較することによって、対象画像を表示したセキュア領域内の表示データが、依然として対象画像に一致することを照合するために再び使用することができる。セキュア領域３４はまた、対象画像２２が表示される検証済表示領域の、示画像２０内の位置および構成パラメータを示すデータも格納する。

【0036】

銀行サーバ等のリモート処理サーバ６は、制御されている取引を認証するＰＩＮ番号またはパスワード等の認証コードを入力するようユーザに促すために、データネットワーク４を介して、モバイルデバイス２が対象画像２２を示すよう要求する。リモート処理サーバ６は、認証される取引を表す形態で対象画像２２を生成するように、セキュアドメイン内で実行するコードによって使用されるモバイルデバイス２に、データネットワーク４を介して、対象画像定義データ３８を提供してもよい。対象画像定義データは、取引の値、取引の当事者、必要とする認証タイプ等のパラメータを指定する、例えばＰＮＧデータまたはＨＴＭＬデータであってもよい。

【0037】

図１は、携帯電話等のモバイルデバイスの形態の例示的な実施形態を示す。テレビ信号を受信するためのセットトップボックス等の、他の実施形態も可能である。

【0038】

図２は、本技術に従う取引スレッドと関連する処理を概略的に示す流れ図である。処理環境内では、複数の処理スレッドが同時に動作し得ることを理解されるであろう。プロセッサコア８は、これらの異なる処理スレッドをサービスする際に、セキュアドメインと非セキュアドメインとの間で交互に切り換わることができる。本技術は、これらの可能性を包含し、説明される対象画像を照合する処理が、別のスレッドが実行される間、照合処理が再開される前に、一時的に中断される場合がある。このような切り替えは、非セキュア動作が入力イベントに応答することを可能にするデータを提供しない。

【0039】

ステップ４０で、処理スレッドは、認証処理を必要とする取引を受け取るまで待機する。ステップ４２で、モバイルデバイス２は、データネットワーク４を介して、リモート処理サーバ６から対象画像定義データ３８を受信する。ステップ４４で、対象画像定義データ３８を、表示画像２０の特性に一致させた対象画像２２に変換する。一例として、対象画像定義データは、ＰＮＧデータであってもよく、対象画像は、表示画像２０内での表示に好適な形態を有するようにサイズ決定および構成されるＪＰＥＧデータであってもよい。変換はまた、例えばいかなる空／ボイド領域等もないことを確実にするようにスケーリング、パディングすることによって、対象画像が検証済表示領域を完全に満たすことを確実にするように機能し得る。

【0040】

ステップ４６で、ハッシュアルゴリズムは、検証ハッシュ値の形態で、変換した対象画像２２のための検証データを生成し、この検証ハッシュ値をセキュア領域３４内に格納する。同時に、ディスプレイコントローラ１２から読み込まれた表示構成データ３０は、セキュア領域３４内に格納される。ステップ４８で、変換された対象画像２２を、非セキュア領域３２の中に格納されたフレームバッファ３６内の検証済表示領域（図１の対象画像２２の略図に対応する）に書き込む。ステップ５０で、処理スレッドは、取引を認証するための、必要とされるユーザ入力を完全に受け取るまで待機する。例えば、４桁のＰＩＮ番号が求められる場合、処理スレッドは、４桁を受け取るまで待機し、またはパスワードが求められる場合、処理スレッドは、リターン入力を受け取るまで待機する。ステップ５２で、ユーザ入力が完全に受け取られると、認証動作を実施する。認証に成功した場合は、ステップ５４で認証応答を起動させ、認証に失敗した場合は、ステップ５６で非認証応答（認証失敗の信号送信を含む）を起動させる。

【0041】

図２に示される処理ステップの全ては、セキュア領域３４内および非セキュア領域３２内のどちらのデータにもアクセスできるセキュアドメインの中で動作する、プロセッサコア８によって実施されることを理解されるであろう。

【0042】

図２に示される処理ステップの全ては、セキュア領域３４内および非セキュア領域３２内のどちらのデータにもアクセスできるセキュアドメインの中で動作する、プロセッサコア８によって実施されることを理解されるであろう。

【0043】

図３は、キーストロークユーザ入力の受領時に実施される、ハードウェアおよびソフトウェア処理および制御の流れを概略的に示す。ステップ５８で、キーストローク入力を受け取るまで処理を待機する。キーストローク入力を受け取ると、ステップ６０で、非セキュアドメインからセキュアドメインに切り換える。システムがすでにセキュアドメインにある場合は、このステップを省略してもよい。ステップ６２で、セキュア領域３４内に格納されたキーストローク割り込みハンドラの実行を起動させる。ステップ６４で、ディスプレイコントローラ１２から表示構成データを読み込む。ステップ６６で、対象画像２２をフレームバッファ３６に書き込んだ時点で、ステップ６４で読み込んだ表示構成データを、セキュア領域３４内に予め格納された表示構成データと比較して、許容できない様態に変化したかどうかを判定する。一致しなかった場合、ステップ６８で、警告メッセージ生成、取引の中止、モバイルデバイス２のロック等の、セキュリティ違反応答を実施する。

【0044】

ステップ６６で、格納された表示構成データおよび読み込まれた表示構成データが一致していると判定された場合、処理はステップ７０に進み、対象画像２２が元々書き込まれた検証済表示領域のフレームバッファ３６内から表示データを読み込む。この表示データは、ステップ７２で、照合ハッシュ値を生成するために、ハッシュアルゴリズムに供する。ハッシュアルゴリズムは、プロセッサコア８によって実行されるプログラムコードによって実施され、このプログラムコードは、セキュア領域３４内に格納されている。ステップ７４で、照合ハッシュ値を、図２のステップ４６で格納された検証ハッシュ値と比較する。ここでも、照合ハッシュ値と検証ハッシュ値との間に一致がなかった場合は、ステップ６８で、セキュリティ違反応答を起動させる。ステップ７４で照合ハッシュ値と検証ハッシュ値との間に一致があった場合は、ステップ７６で、関連するキーストロークを受け入れて、このキーストロークを任意の先行するキーストロークと連結するように機能する。次いで、ステップ７８で、キーストローク割り込みハンドラから処理を返し、ステップ８０で、システムが元々非セキュアドメインの中で動作していた場合は、セキュアドメインから非セキュアドメインに戻す任意の切り替えを実施する。

【0045】

他の実施形態では、変換された対象画像のコピーが、セキュア領域３４の中に格納され、このコピーを直接的に表示データと比較して、表示データが変更されなかったことを保証することも可能である。これは、ハッシュアルゴリズムの使用を必要としない。

【0046】

本発明の例示的な実施形態について、添付の図面を参照しながら本明細書に詳細に説明してきたが、本発明は、これらの厳密な実施形態には制限されず、添付の特許請求の範囲に記載されているように、本発明の範囲および精神から逸脱せずに、当業者によって、本発明に種々の変更および修正を行うことができるということを理解されたい。

【符号の説明】

【0047】

２ モバイルデータ処理装置
４ データネットワーク
６ リモート処理サーバ
８ プロセッサコア
１０ メモリ
１２ ディスプレイコントローラ
１４ ユーザ入力デバイス
１６ ネットワークインターフェース
１８ システムバス
２０ 表示画像
２２ 対象画像
２４ 動画データ
２６ バッテリ状態インジケータ
２８ ネットワーク接続インジケータ
３０ 構成レジスタ
３２ 非セキュア領域
３４ セキュア領域
３６ フレームバッファ
３８ 対象画像定義データ

【図1】

【図2】

【図3】