專利名稱:向系統(tǒng)中的圖形用戶接口提供高確保度執(zhí)行環(huán)境的制作方法
技術(shù)領(lǐng)域:
0001本發(fā)明主要涉及計算機(jī)安全領(lǐng)域��。更具體的說�,本發(fā)明涉及在具有圖形用戶界面的單個計算器件上多種執(zhí)行環(huán)境(如操作系統(tǒng))的使用,該圖形用戶界面允許圖形用戶界面元素由每個多種執(zhí)行環(huán)境中的處理器擁有���。
背景技術(shù):
0002在現(xiàn)代計算中�����,許多能在計算機(jī)上執(zhí)行的任務(wù)需要某種級別的安全性����。為提供安全級別�,給出幾個選項。一個是在完全獨立于任何可能不安全元件的計算機(jī)上執(zhí)行所有的安全應(yīng)用�,或者使用虛擬機(jī)監(jiān)督系統(tǒng)(VMM)以允許在單個計算機(jī)系統(tǒng)上運行的兩個執(zhí)行環(huán)境(如操作系統(tǒng))之間的完全隔離。然而�,這個可能是不切實際的?��?紤]到成本或方便性�����,安全執(zhí)行環(huán)境可能需要與具有不確定安全性的應(yīng)用共享資源�,而且那些應(yīng)用和那些資源可能易于受到攻擊程序的攻擊�����。另外��,在使用VMM的地方��,由于VMM需要機(jī)器以及所有其器件(從而需要VMM關(guān)于每個可能的器件而提供其自身設(shè)備驅(qū)動程序)的完全虛擬化��,所以VMM并非良好適合于其中幾乎無限制的多種器件可被附加到機(jī)器的開放體系結(jié)構(gòu)機(jī)器���。
0003提供在兩個執(zhí)行環(huán)境中共享資源能力的一種方法是提供這樣的計算機(jī)系統(tǒng)�,其中存在一個“主”操作系統(tǒng),其控制機(jī)器上絕大多數(shù)的處理器和器件����,而且那里也存在第二操作系統(tǒng)。這個第二操作系統(tǒng)是在執(zhí)行特定限制任務(wù)的主操作系統(tǒng)旁邊的小的�、限制用途(limited-purpose)的操作系統(tǒng)。使操作系統(tǒng)“小”或“限制用途”的一種方法是允許小的操作系統(tǒng)從“主”操作系統(tǒng)借入(borrow)特定的基礎(chǔ)設(shè)施(如調(diào)度設(shè)施���、存儲器管理器���、設(shè)備驅(qū)動程序等等)。由于VMM有效的將操作系統(tǒng)互相隔離�,所以使用VMM的這個基礎(chǔ)設(shè)施共享是不實際的。
0004特定的其它技術(shù)允許操作系統(tǒng)并行存在于不使用VMM的相同機(jī)器上���。一個這樣的技術(shù)是使一個操作擔(dān)當(dāng)其它操作系統(tǒng)的“主機(jī)”�����。(“主機(jī)”正招待(hosting)的操作系統(tǒng)有時被稱作“客人”)���。既然這樣����,主操作系統(tǒng)(the host operation system)向客人提供諸如存儲器和處理器時間這樣的資源����。另一個這樣的技術(shù)是使用“外核”(“exokernel”)����。外核管理特定的器件(如處理器和存儲器),并且也管理操作系統(tǒng)之間特定類型的交互作用����,盡管外核——不像VMM——不虛擬化整個機(jī)器。即使當(dāng)使用外核時����,可能的情況是一個操作系統(tǒng)(如“主”操作系統(tǒng))向其它的提供許多基礎(chǔ)設(shè)施,在這個情況中���,主操作系統(tǒng)可仍舊被稱作“主機(jī)”���,且較小的操作系統(tǒng)被稱作“客人”。主機(jī)模型和外核模型均允許支持基礎(chǔ)設(shè)施共享的操作系統(tǒng)之間的有用交互類型�。
0005這樣��,這些技術(shù)可被用來向計算機(jī)系統(tǒng)提供至少兩種執(zhí)行環(huán)境�����。其中一個可為“高確保度”操作系統(tǒng)���,這里被稱作“連結(jié)”(“nexus”)。高確保度操作系統(tǒng)是提供關(guān)于其性態(tài)的特定級別確保度的操作系統(tǒng)��。例如���,連結(jié)可能用于使用不應(yīng)當(dāng)被泄漏的機(jī)密級信息(如用密碼寫的鍵碼(cryptographickeys)等等)來工作�,這是通過提供保證不向該連結(jié)的外部范圍泄漏信息的隱蔽存儲器(a curtained memory)�����,并且通過僅允許特定被鑒定的應(yīng)用在該連結(jié)下執(zhí)行以存取隱蔽存儲器而實現(xiàn)的���。
0006在具有兩種操作環(huán)境的計算機(jī)系統(tǒng)中��,其中一個是連結(jié)��,可能需要連結(jié)為客人操作系統(tǒng)�����,而且不附屬關(guān)于性態(tài)的相同級別確保度的第二操作系統(tǒng)為主機(jī)操作系統(tǒng)���。這就允許連結(jié)盡可能得小����。小的連結(jié)允許由該連結(jié)提供確保度中的較高級別的置信度�����。因此�,操作系統(tǒng)功能由主機(jī)操作系統(tǒng)來運行����。
0007可由主機(jī)操作系統(tǒng)運行的一個這樣的操作系統(tǒng)是開窗口系統(tǒng)。當(dāng)使用開窗口系統(tǒng)時�����,用戶的顯示將聚集窗口�����,顯示來自應(yīng)用信息的屏幕上的區(qū)域。應(yīng)用可能具有一個或多個窗口����。
0008當(dāng)開窗口系統(tǒng)由主機(jī)操作系統(tǒng)來運行,而不是由連結(jié)來運行時���,其易受到攻擊��。一個這樣可能的攻擊已知為哄騙�。哄騙是這樣的攻擊�,其中導(dǎo)致用戶相信某些硬件、系統(tǒng)軟件���、應(yīng)用或代理軟件��,或者給出的窗口是可信賴的實體���,盡管其不是。攻擊程序正哄騙可信賴的實體����。這可被用來竊取用戶證書,或者用來俘獲由認(rèn)為該用戶正使用高度確保實體的用戶輸入的敏感特性(a sensitive nature)的其它數(shù)據(jù)����。
0009例如���,在其中連結(jié)運行具有登錄屏幕的銀行業(yè)程序的系統(tǒng)中,攻擊程序可寫在主機(jī)操作系統(tǒng)上運行的程序�����,且顯示看上去確切像銀行業(yè)程序登錄屏幕的窗口�����。當(dāng)用戶被這個哄騙窗口欺騙時����,用戶會將信息輸入到哄騙窗口�。這個信息由攻擊程序俘獲且然后可由不具備該用戶知識的攻擊程序使用。
0010開窗口系統(tǒng)也易于受到已知為斯諾克臺球(a snooker)的攻擊�。在斯諾克臺球攻擊中,攻擊程序改變用戶顯示����,以使其在系統(tǒng)不安全的時候告訴用戶該系統(tǒng)是安全的。例如����,計算機(jī)系統(tǒng)可包括用戶對系統(tǒng)加鎖的能力����,或者允許計算機(jī)休眠或退隱(hibernate)的能力�。既然這樣,斯諾克臺球攻擊會模仿當(dāng)系統(tǒng)被加鎖���、休眠或隱退時顯示的屏幕��。當(dāng)用戶將他們的注意力移開時����,考慮到該系統(tǒng)是不活動和安全的��,攻擊程序未經(jīng)授權(quán)而使用系統(tǒng)���。
0011通常�����,不管合法連結(jié)方(a legitimate nexus-side)程序或機(jī)能系統(tǒng)可在監(jiān)控器上產(chǎn)生何種模式的像素����,主機(jī)方的攻擊程序都可模仿。然而�,為維持連結(jié)的高確保度特性,用戶必須能夠?qū)⒑戏ㄟB結(jié)方用戶界面圖形元素與偽造的區(qū)分開來���。
0012依照前述觀點����,系統(tǒng)有必要克服現(xiàn)有技術(shù)的缺陷��。
發(fā)明內(nèi)容
0013在一個實施例中����,使用幾種技術(shù)的組合而確保在關(guān)于包括被確保執(zhí)行環(huán)境(連結(jié))和第二執(zhí)行環(huán)境(主機(jī))系統(tǒng)的顯示器上顯示的數(shù)據(jù)。諸如視窗這樣的與在連結(jié)上運行的進(jìn)程相關(guān)聯(lián)的圖形用戶界面元素被顯示���,而不與其它的圖形用戶界面元素重疊。
0014另外���,連結(jié)用戶機(jī)密級被保持���,其在圖形用戶接口元素中顯示。這個顯示可連續(xù)出現(xiàn)����,或者根據(jù)要求而出現(xiàn)在其它選擇中����。另外��,可在正被顯示的色彩或圖形信息中協(xié)調(diào)窗口裝飾����,這是為了將用戶認(rèn)為是(in a user’smind)確保的窗口鏈接到一起,并且這樣更清晰的突出顯示了冒充者窗口(imposter windows)��。能以特定的時間間隔根據(jù)請求來改變這些裝飾�,或者當(dāng)系統(tǒng)事件觸發(fā)該變化時。
0015在關(guān)于相應(yīng)連結(jié)窗口而保持陰影窗口的地方�����,私用標(biāo)題信息可被用于連結(jié)窗口而公共標(biāo)題被用在陰影窗口中�����。這就允許設(shè)置標(biāo)題以選擇何信息將被給出到可能是不安全的陰影窗口的連結(jié)進(jìn)程�。
0016本發(fā)明的其它特征說明如下。
0017當(dāng)結(jié)合附圖閱讀時,我們可更好理解前述概要��,以及下面較佳實施例的詳細(xì)說明��。為闡明本發(fā)明��,在附圖中示出本發(fā)明的范例構(gòu)造��;然而����,本發(fā)明不局限于說明的特定方法和工具。在附圖中0018圖1是其中可實現(xiàn)本發(fā)明方面的范例計算環(huán)境的框圖��;0019圖2是保持相互之間的某種交互作用和相互之間的某種隔離的兩種范例執(zhí)行環(huán)境的框圖�;0020圖3(a)是顯示器的框圖;0021圖3(b)是根據(jù)本發(fā)明一個實施例的顯示器的框圖�;0022圖4是用于保持在顯示器上顯示的數(shù)據(jù)安全性的方法的流程圖;0023圖5是用于保持在顯示器上顯示的數(shù)據(jù)安全性的方法的流程圖�;0024圖6是根據(jù)本發(fā)明一個實施例的顯示的流程圖;以及0025圖7是用于保持在顯示器上顯示的數(shù)據(jù)安全性的方法的流程圖����;0026圖8是用于保持在顯示器上顯示的數(shù)據(jù)安全性的方法的流程圖�。
具體實施例方式
概述0027當(dāng)諸如操作系統(tǒng)這樣的兩種執(zhí)行環(huán)境在單個機(jī)器上并行運行時,在其中一種環(huán)境是被保持到特定安全標(biāo)準(zhǔn)的高確保度執(zhí)行環(huán)境的情況下,對用戶而言�,可能重要的是辨別正被顯示的哪個圖形用戶界面元素與在高確保度操作系統(tǒng)上運行的進(jìn)程相關(guān)聯(lián)。如上所述����,通過主機(jī)方(非高確保度)執(zhí)行環(huán)境而顯示圖形UI元素的攻擊程序可試圖使用戶相信是UI元素的圖形用戶界面元素從高確保進(jìn)程中產(chǎn)生。為阻止這樣的攻擊�,本發(fā)明提供這樣的技術(shù),其允許用戶辨別哪個圖形用戶界面元素源自高確保度執(zhí)行環(huán)境��。
范例計算安排0028圖1示出其中可實現(xiàn)本發(fā)明方面的范例計算環(huán)境����。計算系統(tǒng)環(huán)境100僅是合適計算環(huán)境中的一個例子,且不意指暗示關(guān)于用戶范疇或本發(fā)明功能性的任何限制���。計算環(huán)境100也不應(yīng)被解釋為具有涉及在范例操作環(huán)境100中闡明的任何一個構(gòu)件或構(gòu)件組合的任何依存關(guān)系或需求�����。
0029本發(fā)明適用于許多其它的通用或?qū)S糜嬎阆到y(tǒng)環(huán)境或配置�?��?蛇m用于本發(fā)明的熟知計算系統(tǒng)���、環(huán)境����,和/或配置的例子包括����,但不局限于個人計算機(jī)、服務(wù)器計算機(jī)�、手持式或膝上型器件、多處理器系統(tǒng)�、基于微處理器的系統(tǒng)、機(jī)頂盒�、可編程消費者電子器件、網(wǎng)絡(luò)PC�、小型機(jī)、大型機(jī)���、嵌入式系統(tǒng)��、包括任何上述系統(tǒng)或器件的分布計算環(huán)境��,以及類似的裝置�。
0030可用諸如正由計算機(jī)執(zhí)行的程序模塊這樣的計算機(jī)可執(zhí)行指令的通用上下文來說明本發(fā)明���。通常��,程序模塊包括例程��、對象�、構(gòu)件��、數(shù)據(jù)結(jié)構(gòu)等等���,其執(zhí)行特定的任務(wù)或?qū)崿F(xiàn)特定的抽象數(shù)據(jù)類型�����。本發(fā)明也可適用于分布計算環(huán)境中��,那里通過由通信網(wǎng)絡(luò)或其它數(shù)據(jù)傳輸媒體鏈接的遠(yuǎn)程處理器件來執(zhí)行任務(wù)����。在分布計算環(huán)境中��,程序模塊和其它的數(shù)據(jù)既可位于包括存儲器存儲器件的本地計算機(jī)存儲媒體中�����,又可位于包括存儲器存儲器件的遠(yuǎn)程計算機(jī)存儲媒體中。
0031參考圖1�����,用于實現(xiàn)本發(fā)明的范例系統(tǒng)包括以計算機(jī)110為通用計算器件的模式���。計算機(jī)110的構(gòu)件可包括���,但不局限于,處理單元120�����、系統(tǒng)存儲器130����,以及將包括系統(tǒng)存儲器在內(nèi)的不同系統(tǒng)構(gòu)件連結(jié)到處理單元120的系統(tǒng)總線121。處理單元120可代表諸如那些支持于多線程處理器這樣的多個邏輯處理單元�。系統(tǒng)總線121可為任何幾種類型的總線結(jié)構(gòu),這包括存儲器總線或存儲器控制器����、外圍總線,以及使用任何多種總線體系結(jié)構(gòu)的本地總線�。作為例子����,但并非限制�����,這樣的體系結(jié)構(gòu)包括工業(yè)標(biāo)準(zhǔn)體系結(jié)構(gòu)(ISA)總線���、微通道結(jié)構(gòu)(MCA)總線、增強(qiáng)型ISA(EISA)總線����、視頻電子標(biāo)準(zhǔn)協(xié)會(VESA)本地總線,以及外圍構(gòu)件互連(PCI)總線(也已知為小背板總線)�����。系統(tǒng)總線121也可被實現(xiàn)為在通信器件中的點對點連接���、切換構(gòu)造(switchingfabric)���,或類似的形式。
0032計算機(jī)110通常包括多種計算機(jī)可讀媒體��。計算機(jī)可讀媒體可為可由計算機(jī)110存取的任何可用媒體,并且既包括易失性媒體�,又包括非易失性媒體,既包括可移除媒體��,又包括不可移除媒體��。作為例子�,但并非限制,計算機(jī)可讀媒體可包含計算機(jī)存儲媒體和通信媒體�����。計算機(jī)存儲媒體既包括易失性媒體�,又包括非易失性媒體,既包括可移除媒體���,又包括不可移除媒體���,其以任何方法或技術(shù)來實現(xiàn),用于存儲諸如計算可讀指令��、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其它數(shù)據(jù)這樣的信息。計算機(jī)存儲媒體包括���,但不局限于��,RAM��、ROM���、EEPROM����、閃速存儲器或其它的存儲器技術(shù)、CDROM�、數(shù)字多用途盤(DVD)或其它光盤存儲器、盒式磁帶��、磁帶���、磁盤存儲器或其它磁存儲器件����,或者可用于保存需要信息且可由計算機(jī)110存取的任何其它媒體。通信媒體通常具體體現(xiàn)為計算機(jī)可讀指令���、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或在諸如載波或其它運輸機(jī)制這樣的已調(diào)制數(shù)據(jù)信號中的其它數(shù)據(jù)����,且其包括任何信息遞送媒體�����。術(shù)語“已調(diào)制數(shù)據(jù)信號”意指這樣的信號����,其使一個或多個其特性以這樣的方式設(shè)置或改變,以對信號中的信息進(jìn)行編碼���。作為例子��,但并非限制���,通信媒體包括諸如有線網(wǎng)絡(luò)或直線連接(direct-wire connection)這樣的有線媒體,以及諸如聲音、RF�、紅外線和其它無線媒體這樣的無線媒體。任何上述的組合也應(yīng)該被包括在計算機(jī)可讀媒體的范圍內(nèi)���。
0033系統(tǒng)存儲器130包括以諸如只讀存儲器(ROM)131和隨機(jī)存取存儲器(RAM)132這樣的易失性和非易失性存儲器為形式的計算機(jī)存儲媒體���。基本輸入/輸出系統(tǒng)133(BIOS)包含諸如在啟動階段幫助在計算機(jī)110內(nèi)的元件之間傳輸信息的基本例程����,該基本輸入/輸出系統(tǒng)133(BIOS)通常被保存在ROM 131中。RAM 132通常包含數(shù)據(jù)和/或可由處理單元120立即存取或當(dāng)前正由處理單元120操作的程序模塊�。作為例子,但并非限制�����,圖1闡明操作系統(tǒng)134����、應(yīng)用程序135����、其它程序模塊136,以及程序數(shù)據(jù)137。
0034計算機(jī)110也可包括其它可移除/不可移除���、易失性/非易失性計算機(jī)存儲媒體�����。僅作為例子�,圖1闡明硬盤驅(qū)動器140����,其讀自或?qū)懙阶x自或?qū)懙娇梢瞥⒎且资源疟P152���,以及讀自或?qū)懙街T如CD ROM或其它光媒體這樣的可移除�、非易失性光盤156這樣的不可移除�、非易失性磁媒體、磁盤驅(qū)動器151�。可用于范例操作環(huán)境中的其它可移除/不可移除���、易失性/非易失性計算機(jī)存儲媒體包括��,但不局限于�,盒式磁帶、閃速存儲器卡����、數(shù)字多用途盤、數(shù)字視頻帶��、固態(tài)RAM���、固態(tài)ROM�,以及類似的媒體��。硬盤驅(qū)動器141通常通過諸如接口140這樣的不可移除存儲器接口與系統(tǒng)總線121相連�,而且磁盤驅(qū)動器151和光盤驅(qū)動器155通常通過諸如接口150這樣的可移除存儲器接口與系統(tǒng)總線121相連。
0035上面說明和在圖1中闡明的驅(qū)動器和其它們相關(guān)聯(lián)的計算機(jī)存儲媒體提供計算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)����、程序模塊和關(guān)于計算機(jī)110其它數(shù)據(jù)的存儲���。在圖1中���,例如����,硬盤驅(qū)動器141被闡明為保存操作系統(tǒng)144�����、應(yīng)用程序145�����、其它程序模塊146����,以及程序數(shù)據(jù)147。注意�����,這些構(gòu)件或者可與操作系統(tǒng)134�����、應(yīng)用程序135����、其它程序模塊136以及程序數(shù)據(jù)137相同��,或者可不同于操作系統(tǒng)134����、應(yīng)用程序135���、其它程序模塊136以及程序數(shù)據(jù)137����。操作系統(tǒng)144�����、應(yīng)用程序145�����、其它程序模塊146����,以及程序數(shù)據(jù)147在這里被給出不同的標(biāo)號以闡明最小它們是不同的副本�。用戶可通過諸如鍵盤162和點擊設(shè)備161(未示出)這樣的輸入器件將命令和信息輸入到計算機(jī)20中�����,其中該點擊設(shè)備161通常被稱作鼠標(biāo)����、跟蹤球或觸摸墊��。其它的輸入器件(未示出)可包括傳聲器���、操縱桿�、游戲墊���、圓盤式衛(wèi)星電視天線��、掃描儀�����,或類似的裝置�����。這些和其它的輸入器件通常通過與系統(tǒng)總線連結(jié)的用戶輸入接口160與處理單元120相連�����,但是其可通過諸如并行端口�����、游戲端口或通用串行總線(USB)這樣其它的接口而連接�����。監(jiān)控器191或其它類型的顯示器件也通過諸如視頻接口190這樣的接口與系統(tǒng)總線121相連��。除監(jiān)控器之外����,計算機(jī)也可包括諸如揚聲器197和打印機(jī)196這樣的其它外圍輸出器件,其可通過輸出外圍接口190而連接���。
0036計算機(jī)110可工作于使用到諸如遠(yuǎn)程計算機(jī)180這樣的一個或多個遠(yuǎn)程計算機(jī)邏輯連接的網(wǎng)絡(luò)化環(huán)境中����。遠(yuǎn)程計算機(jī)180可為個人計算機(jī)�、服務(wù)器、路由器、網(wǎng)絡(luò)PC���、對等器件(a peer device)或其它普通網(wǎng)絡(luò)節(jié)點,而且其通常包括許多或所有上面相對于計算機(jī)110說明的元件��,盡管僅在圖1中闡明了存儲器存儲器件181�����。圖1中描述的邏輯連接包括本地網(wǎng)(LAN)171和廣域網(wǎng)(WAN)173�����,但也包括其它的網(wǎng)絡(luò)��。這樣的網(wǎng)絡(luò)化環(huán)境常見于辦公室�、全企業(yè)計算機(jī)網(wǎng)絡(luò)、局內(nèi)網(wǎng)和國際互聯(lián)網(wǎng)中�����。
0037當(dāng)在LAN網(wǎng)絡(luò)化環(huán)境中使用計算機(jī)110時����,計算機(jī)110通過網(wǎng)絡(luò)接口或適配器170與LAN 171相連。當(dāng)在WAN網(wǎng)絡(luò)化環(huán)境中使用計算機(jī)110時,計算機(jī)110通常包括調(diào)制解調(diào)器172或用于確立諸如國際互聯(lián)網(wǎng)這樣的WAN 173上通信的其它裝置����。調(diào)制解調(diào)器172可為內(nèi)置或外置,其可通過用戶輸入接口160或者其它適當(dāng)?shù)臋C(jī)制與系統(tǒng)總線121相連����。在網(wǎng)絡(luò)化環(huán)境中,相對于計算機(jī)110描述的程序模塊�,或者其部分,可被保存在遠(yuǎn)程存儲器存儲器件中���。作為例子�,但并非限制����,圖1闡明駐留在存儲器器件181中的遠(yuǎn)程應(yīng)用程序185。應(yīng)當(dāng)認(rèn)識到的是所示網(wǎng)絡(luò)連接是范例性的����,且可使用確立計算機(jī)之間通信鏈接的其它裝置。
單個機(jī)器上的多種計算環(huán)境0038如前所述���,已知本領(lǐng)域中兩種操作系統(tǒng)可在單個計算器件上并行執(zhí)行��。本發(fā)明可用于處理的一個問題是如何在兩種操作系統(tǒng)中提供某種級別的隔離���,而仍舊提供在兩種操作系統(tǒng)之間的某種級別的交互作用���。
0039圖2示出其中操作系統(tǒng)134(1)和134(2)在單個計算機(jī)110上執(zhí)行的系統(tǒng)。某種類型的邏輯隔離202存在于操作系統(tǒng)134(1)和134(2)之間����,這樣以使特定量的交互204被允許在操作系統(tǒng)134(1)和134(2)之間�,而仍舊允許至少其中一個操作系統(tǒng)受到保護(hù),防止源自其它操作系統(tǒng)的事件��。在圖2的例子中���,操作系統(tǒng)134(1)是主機(jī)操作系統(tǒng)�����,且操作系統(tǒng)134(2)是諸如上述“連結(jié)”這樣的客人操作系統(tǒng)�����。如前所述���,當(dāng)操作系統(tǒng)134(2)是連結(jié)時��,需要構(gòu)造隔離202�����,這樣以使操作系統(tǒng)134(2)可與操作系統(tǒng)134相互作用�����,這是為了借入操作系統(tǒng)134(1)的基礎(chǔ)設(shè)施���,而仍舊允許操作系統(tǒng)134(2)保護(hù)自己,防止在操作系統(tǒng)134(1)處出現(xiàn)并可能促使操作系統(tǒng)134(2)以同其動作規(guī)約(behavioral specifications)相反的方式來行動的動作(或者惡意的或者無罪的)��。(然而�����,應(yīng)當(dāng)理解本發(fā)明不局限于操作系統(tǒng)134(2)是連結(jié)的情況���。)0040操作系統(tǒng)134(1)和134(2)之間的隔離202作為選擇�����,可通過借助安全監(jiān)控器而被加強(qiáng)���。安全監(jiān)控器對操作系統(tǒng)134(1)和134(2)而言均為外部的構(gòu)件�����,其提供可用于保護(hù)操作系統(tǒng)134(2)不受操作系統(tǒng)134(1)影響的某種安全服務(wù)����。例如�����,安全監(jiān)控器可控制到特定硬件的存取���,可管理存儲器的使用(以賦予操作系統(tǒng)134(2)存儲器某部分的專用),或者能以安全方式促進(jìn)從操作系統(tǒng)134(1)到操作系統(tǒng)134(2)的數(shù)據(jù)通信�����。應(yīng)當(dāng)注意的是安全監(jiān)控器的使用代表一個這樣的模型����,操作系統(tǒng)134(2)如何可被保護(hù)不受操作系統(tǒng)134(1)的影響�,盡管不需要使用安全監(jiān)控器��。如另一個例子�����,操作系統(tǒng)134(2)可包括有必要保護(hù)其自身不受操作系統(tǒng)134(1)影響的所有功能性����。
0041應(yīng)當(dāng)注意圖2示出作為“主機(jī)”的操作系統(tǒng)134(1)和作為“客人”的操作系統(tǒng)134(2)。通常�����,這個特性涉及這樣的事實�,即在這些例子中,操作系統(tǒng)134(1)提供特定的操作系統(tǒng)基礎(chǔ)設(shè)施�����,其既由操作系統(tǒng)134(1)使用�����,又由操作系統(tǒng)134(2)使用��。(如器件驅(qū)動器、調(diào)度等等)�����,且就操作系統(tǒng)134(2)更適宜缺乏這個基礎(chǔ)設(shè)施而使用操作系統(tǒng)134(1)的基礎(chǔ)設(shè)施這方面而言�����,操作系統(tǒng)134(2)是“客人”���。然而�����,應(yīng)當(dāng)注意到是使操作系統(tǒng)是“主機(jī)”或“客人”的參數(shù)是靈活的。而且�,應(yīng)當(dāng)注意到的是“主機(jī)”或“客人”操作系統(tǒng)的傳統(tǒng)概念假定主機(jī)需要保護(hù)自身不受客人動作的影響。然而����,在圖2的例子中,客人操作系統(tǒng)134(2)被假定是高確保度操作系統(tǒng)�,其需要保護(hù)自身不受主機(jī)操作系統(tǒng)134(1)的影響。在隨后的例子中�,我們通常應(yīng)當(dāng)談及作為“主機(jī)”的操作系統(tǒng)134(1)和作為“客人”或“連結(jié)”的操作系統(tǒng)134(2)�����,這是為了將它們區(qū)分開來��。應(yīng)當(dāng)認(rèn)識到的是�����,這里說明的技術(shù)可應(yīng)用到在相同機(jī)器(或甚至在互聯(lián)機(jī)器的相同集合上)運行的任何兩個或更多操作系統(tǒng)的交互作用中���。
向圖形用戶界面提供單個機(jī)器上的多種計算環(huán)境0042當(dāng)用戶與包含高確保度操作系統(tǒng)的計算機(jī)系統(tǒng)上的程序互相作用時,用戶借助于諸如鼠標(biāo)161或鍵盤162(來自圖1)這樣的用戶輸入器件來這樣做�����。如上所述����,允許在主操作系統(tǒng)134(1)上運行的開窗口系統(tǒng)控制輸入事件流的目的地可允許使用泄密主操作系統(tǒng)(a compromised operatingsystem)或應(yīng)用的攻擊。窗口或其它圖形用戶界面元素可通過主機(jī)方進(jìn)程而被顯示給用戶����,其可試圖模仿合法連結(jié)方進(jìn)程,其在連結(jié)操作系統(tǒng)134(2)上運行。因此��,根據(jù)本發(fā)明的一個實施例�,實現(xiàn)用于保護(hù)合法主機(jī)方窗口和其它圖形用戶界面元素的完整性和可證實性的幾種技術(shù)。在本發(fā)明的不同實施例中���,任何一個或所有這些技術(shù)是一起實現(xiàn)的����。
淡化和穿越顯示(Obscuration and Show-Through)0043在主機(jī)方和連結(jié)方進(jìn)程均可在顯示器上顯示諸如窗口和其它用戶界面元素這樣的圖形的地方�,可通過淡化所有或部分具有主機(jī)方進(jìn)程圖形的合法連結(jié)方進(jìn)程圖形而完成攻擊。圖3(a)是顯示器的框圖��。在圖3(a)中���,在顯示器300上����,連結(jié)圖形310是由連結(jié)進(jìn)程擁有的圖形�,其在連結(jié)操作系統(tǒng)134(2)上運行�����。主機(jī)圖形320是由主機(jī)進(jìn)程擁有的圖形�,其在主操作系統(tǒng)134(1)上運行�。如在圖3(a)中所示��,在主圖形320被允許在連結(jié)圖形310的頂上顯示的地方����,連結(jié)圖形可通過主機(jī)圖形320而被淡化。既然這樣����,可通過淡化具有主圖形320的某些或全部連結(jié)圖形310而開始攻擊。另外���,若連結(jié)圖形310與主圖形320重疊但是部分透明�����,則主圖形320可被用來以混亂的方式改變連結(jié)圖形310的外觀����。
0044在一個實施例中�,通過阻止所有的連結(jié)圖形310不被淡化且禁止連結(jié)圖形310中的任何穿越顯示而防止這樣的攻擊。這樣���,對圖3(a)中所示的情形而言�����,連結(jié)圖形310不會被允許淡化�。圖3(b)是關(guān)于連結(jié)圖形310淡化禁止的闡述。在圖3(b)中���,兩個連結(jié)圖形310中的每個被完全顯示出����,且不允許與連結(jié)圖形310的主圖形320有任何重疊�����。另外��,在一個實施例中����,在連結(jié)圖形310中不允許有任何透明度(或者是完全透明度或者是部分透明度)。
0045在一個實施例中�����,為阻止來自連結(jié)方進(jìn)程的對另一個的類似攻擊����,連結(jié)圖形310可不重疊。在開窗口系統(tǒng)中����,一個實施例允許對這個的一個例外——鼠標(biāo)光標(biāo),當(dāng)其正通過連結(jié)圖形310顯示時�����,可由連結(jié)方進(jìn)程畫出����,其可被允許與連結(jié)方圖形310重疊。
0046在另一個實施例中��,若一個連結(jié)方進(jìn)程擁有兩個或更多用戶界面圖形元素���,例如兩個窗口或者一個窗口和一個對話框���,則不暗示安全事務(wù)允許這些重疊。這樣���,一個普通擁有的用戶界面圖形元素被允許與由連結(jié)方進(jìn)程擁有的另一個普通擁有的用戶界面圖形元素重疊��。在另一個實施例中���,普通擁有的最高級的圖形UI元素不視圖重疊��,然而��,最高級的UI元素可與該最高級UI元素的子UI元素重疊����。例如�����,在這個實施例中�����,為最高級窗口子UI元素的對話框可與該窗口重疊�����。
0047在一個實施例中�����,為證實哪個用戶界面圖形元素是連結(jié)方用戶界面圖形元素,擔(dān)保用戶交互作用(a hypothecated user interaction)被提供��,其將所有的非連結(jié)方用戶界面圖形元素從屏幕移除��。擔(dān)保用戶交互作用是這樣的用戶交互作用��,其在計算機(jī)系統(tǒng)的上下文中��,將總是導(dǎo)至特定的結(jié)果��。這樣�,當(dāng)安全顯示擔(dān)保用戶交互作用時���,例如�����,出現(xiàn)鍵擊組合時����,整個顯示就被清除了�����,除連結(jié)方用戶界面圖形元素之外。
0048圖4是這個方法的流程圖�����。在步驟400中�����,連結(jié)圖形用戶界面元素圖像與在安全執(zhí)行環(huán)境(連結(jié)代理)上運行的進(jìn)程相關(guān)聯(lián)���,其被保存�����。在步驟410處����,連結(jié)圖形用戶界面元素圖像被完全顯示���,沒有被任何用戶接口元素淡化�����。在其它的實施例中�,除那些與該進(jìn)程相關(guān)聯(lián)的以外,沒有圖形用戶界面元素(主機(jī)或用戶)可淡化連結(jié)圖形用戶界面元素�����。
機(jī)密級共享0049在一個實施例中����,為阻止上述哄騙攻擊�,顯示隱瞞主機(jī)方的機(jī)密級。主機(jī)方上沒有進(jìn)程可存取該機(jī)密級����,因此若窗口或其它圖形用戶界面元素可顯示該機(jī)密級,則其是主機(jī)方圖形界面元素�����。
0050在一個實施例中�,機(jī)密級通過用戶而與連結(jié)進(jìn)行通信。這個連結(jié)方機(jī)密級可在信任初始化時間處(at trust-initialization time)與連結(jié)進(jìn)行通信�,例如當(dāng)口令由用戶設(shè)置的時候。圖形用戶界面元素或者可一直顯示連結(jié)用戶機(jī)密級����,或者可當(dāng)被挑戰(zhàn)(when challenged)的時候顯示連結(jié)用戶機(jī)密級��。
0051連結(jié)方上的信任窗口管理器(A trusted window manager)通過連結(jié)方上的進(jìn)程來控制圖形用戶界面元素的顯示���。這個信任窗口管理器也對諸如邊框和窗口標(biāo)題這樣的窗口裝飾負(fù)責(zé)。在一個實施例中����,連結(jié)方用戶機(jī)密級通常不與連結(jié)中的進(jìn)程共享。然而���,通過信任窗口管理器而在窗口裝飾中顯示它��。在另一個實施例中����,當(dāng)用戶從窗口請求連結(jié)用戶機(jī)密級時����,連結(jié)方用戶機(jī)密級被顯示?���?赏ㄟ^擔(dān)保用戶交互作用而在窗口上清晰(in focus)做出這個請求���。例如,鍵擊的特定組合可為擔(dān)保用戶交互作用�,其促使窗口清晰顯示連結(jié)用戶機(jī)密級。作為選擇�����,窗口可包括下拉菜單或活動區(qū)域����,當(dāng)通過鼠標(biāo)或通過鍵擊而選擇它時���,其促使有效連結(jié)圖形310顯示連結(jié)用戶機(jī)密級�����。
0052連結(jié)用戶機(jī)密級可為圖像或短語��。圖像可為有用的連結(jié)用戶機(jī)密級����,這是因為它們可由用戶容易的鑒別且難于說明。若由用戶選擇用作連結(jié)用戶機(jī)密級的圖像例如是在用戶房子前用戶的狗的照片����,則該照片可由查看該用戶屏幕上圖像的攻擊程序來說明,即使其具有攻擊程序可能有困難重新制作該圖像或找到其副本的信息也是成立的�。
0053圖5是這個方法的流程圖。在步驟500中��,與該連結(jié)相關(guān)聯(lián)的連結(jié)用戶機(jī)密級被保存�����。在步驟510中��,連結(jié)用戶機(jī)密級元素圖像被顯示為部分連結(jié)圖形用戶接口元素����。
連續(xù)機(jī)密級排列0054如所述,在一個實施例中�����,信任窗口管理器是這樣的媒介���,通過它�����,所有的連結(jié)方進(jìn)程顯示它們的用戶界面圖形元素�,并且信任窗口管理器僅對諸如用戶界面圖形元素上的邊框這樣的窗口裝飾負(fù)責(zé)。在一個實施例中��,窗口裝飾包括連續(xù)更新的短期機(jī)密級��。這個連續(xù)更新的機(jī)密級不可由非連結(jié)窗口存取����,且這樣其可被用來鑒別非主機(jī)窗口。
0055例如��,在每個連結(jié)用戶界面圖形元素的邊框是特定的色彩����,且該色彩每15秒改變一次的地方�����,當(dāng)給出的窗口邊框不匹配該窗口不是連結(jié)方用戶界面圖形元素的其它連結(jié)用戶界面圖形元素時���,對用戶而言����,這將是顯而易見的。其它可能的連續(xù)更新機(jī)密級可包括小圖形�����、圖標(biāo)組合���、字形����,或者在窗口裝飾中顯示的字符�,或者十六進(jìn)制或數(shù)字串??墒褂每赏捎脩粝喈?dāng)容易的注意到的差異進(jìn)行可視化比較的任何條信息。
0056在一個實施例中��,每逢連結(jié)圖形310被顯示時�,連結(jié)系統(tǒng)用戶界面區(qū)域就被保持在顯示器300上。這個用戶界面區(qū)域列出有關(guān)正被顯示的連結(jié)圖形310的信息���。例如�����,用戶界面區(qū)域可列出正被顯示的連結(jié)圖形310的數(shù)量�,或者正被顯示的連結(jié)圖形310的名稱(如窗口標(biāo)題)。連結(jié)圖形310的裝飾中的這個共享機(jī)密級也被顯示在連結(jié)系統(tǒng)用戶界面區(qū)域中��。圖6是根據(jù)本發(fā)明一個實施例的顯示器的框圖�。在圖6中,在顯示器300上的每個連結(jié)圖形310的窗口裝飾610中顯示由3個字形(“_◆□”)組成的系列(a series)����。連結(jié)系統(tǒng)界面區(qū)域600也被顯示,其包括相同集合的3個字形�。這就允許用戶容易確認(rèn)窗口正通過連結(jié)方進(jìn)程而正被顯示。
0057雖然機(jī)密級的改變可能是基于時間的���,諸如如上所述����,有色彩的邊框每15秒而進(jìn)行變化�,但是在其它實施例中,當(dāng)用戶通過擔(dān)保用戶交互作用而請求它時�����,或者當(dāng)諸如焦點從一個窗口變化到另一個窗口的變化這樣的系統(tǒng)事件出現(xiàn)時��,機(jī)密級以不同次序排列���。
0058圖7是這個方法的流程圖���。在步驟700中,最少兩個連結(jié)圖形數(shù)據(jù)元素被接受�����。在開窗口系統(tǒng)中����,這些,連同窗口裝飾���,將組成窗口圖像��。在步驟710中�����,兩個連結(jié)圖形用戶界面元素(如窗口)被顯示——除對每個窗口普通的裝飾之外����,每個包含其中一個圖形數(shù)據(jù)元素。
窗口標(biāo)題——公用和私用0059如所述����,信任窗口管理器可被用作這樣的媒介,通過它�,所有的連接方進(jìn)程顯示它們的用戶界面圖形元素。然而����,主機(jī)方窗口管理器可被用來管理主機(jī)方進(jìn)程的用戶界面元素的顯示。在一個實施例中����,對每個連結(jié)方用戶界面圖形元素(諸如連結(jié)圖形310)而言,相應(yīng)的陰影圖形用戶界面元素由主機(jī)方窗口管理器來保持�����。這就允許主機(jī)方窗口管理器認(rèn)識到顯示器300的特定區(qū)域正由連結(jié)圖形310使用����。如上所述,當(dāng)禁止淡化和穿越顯示時�,這個可為關(guān)于主機(jī)方窗口管理器的有用信息,因此�,應(yīng)當(dāng)是可視的窗口沒有被放置在這些區(qū)域中����。然而����,僅僅是關(guān)于連結(jié)圖形310的有限信息應(yīng)當(dāng)可用于主機(jī)方中����。
0060因此,在一個實施例中��,信任窗口管理器允許連結(jié)代理(在連結(jié)上運行的進(jìn)程)關(guān)于每個窗口或其它用戶界面圖形元素而設(shè)置兩個標(biāo)題��。一個標(biāo)題����,即私用標(biāo)題,被傳遞到信任窗口管理器并被用于窗口管理功能和用于在連結(jié)圖形310中的顯示����。這個私用標(biāo)題不被具有任何主機(jī)方進(jìn)程或具有任何連結(jié)方進(jìn)程的信任窗口管理器所共享,除其擁有該窗口(或其它元素)的連結(jié)代理之外�。
0061除私用標(biāo)題之外,連結(jié)代理也可指定公用標(biāo)題�。這個公用標(biāo)題也可與主機(jī)方共享�����,其包括主機(jī)方窗口管理器����。公用標(biāo)題可由作為關(guān)于陰影窗口標(biāo)題的主機(jī)方窗口管理器來使用����。這樣,主機(jī)方窗口管理器可通過使用公用標(biāo)題而參考該窗口���,其被選擇�,以可被用戶理解�����,而不包括可能違背秘密性的信息����。這樣,在主機(jī)方窗口管理器允許用戶從一列窗口選擇集中的窗口的地方�,與陰影窗口相關(guān)聯(lián)的公用標(biāo)題被列出為要選擇的選項。當(dāng)選擇陰影窗口時,相關(guān)聯(lián)的信任窗口將被激活����,且與相關(guān)聯(lián)信任窗口相關(guān)聯(lián)的連結(jié)代理將變成用戶輸入的焦點。
0062圖8是這個方法的流程圖�。在步驟800中�,公用標(biāo)題信息和私用標(biāo)題信息被關(guān)于與連結(jié)代理相關(guān)聯(lián)的連結(jié)圖形用戶界面元素而保存。在步驟810中���,私用標(biāo)題信息被用于信任窗口管理器的窗口管理功能����。在步驟820中����,公用標(biāo)題信息被提供到主機(jī),用于在主機(jī)方上使用��。
結(jié)論0063注意到這里僅僅是為了解釋的目的而提供了上述示例�,且上述示例決不應(yīng)該解釋為對本發(fā)明的限制。雖然已經(jīng)參考不同的實施例而說明了本發(fā)明�,但是應(yīng)當(dāng)理解的是這里已經(jīng)使用的詞語是描述和闡明性的詞語,而不是限制性詞語����。進(jìn)一步而言��,盡管這里已經(jīng)參考特定的裝置�����、材料和實施例說明了本發(fā)明����,但是并不意味著本發(fā)明被限制在這里說明特定例子的范圍內(nèi)����;本發(fā)明可擴(kuò)充到所有在功能上等效的結(jié)構(gòu)、方法和使用上的范圍�����,諸如在附加權(quán)利要求書范疇內(nèi)���。本領(lǐng)域熟練的技術(shù)人員將得到本說明書教授的益處�,可實現(xiàn)許多對說明書的修改�,且這些修改是在不違背本發(fā)明各方面中范疇和主旨的前提下做出的。
權(quán)利要求
1.一種方法���,用于維持關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)而在顯示器上顯示的數(shù)據(jù)所述安全性���,其包含保存與在所述安全執(zhí)行環(huán)境上運行的第一進(jìn)程相關(guān)聯(lián)的至少一個連結(jié)圖形用戶界面元素的圖像�����;以及在顯示器上完全顯示在所述顯示器上的所述連結(jié)圖形用戶界面元素���,這樣以使沒有任何部分所述連結(jié)圖形用戶界面元素被與在所述顯示器上的所述第二執(zhí)行環(huán)境相關(guān)聯(lián)的圖形用戶界面元素淡化�����。
2.如權(quán)利要求1所述的方法��,其特征在于顯示所述連結(jié)圖形用戶界面元素的所述步驟包含確保所述連結(jié)圖形用戶界面元素不包含透明區(qū)域�����。
3.如權(quán)利要求1所述的方法�����,其特征在于在顯示器上顯示所述連結(jié)圖形用戶界面元素的所述步驟包含顯示所述連結(jié)圖形用戶界面元素���,這樣以使沒有任何部分的所述連結(jié)圖形用戶界面元素被與在所述安全執(zhí)行環(huán)境上運行的第二進(jìn)程相關(guān)聯(lián)的圖形用戶界面元素淡化�����。
4.如權(quán)利要求1所述的方法�,進(jìn)一步包含一接收到用戶安全顯示指示,就僅在所述顯示器上顯示所述圖形用戶界面元素���。
5.一種方法���,用于維持關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)而在顯示器上顯示的數(shù)據(jù)所述安全性,其包含保存與所述安全執(zhí)行環(huán)境相關(guān)聯(lián)的連結(jié)用戶機(jī)密級��;以及在所述顯示器上顯示包含所述連結(jié)用戶機(jī)密級的連結(jié)圖形用戶界面元素���,那里連結(jié)圖形用戶界面元素與在所述安全執(zhí)行環(huán)境上運行的進(jìn)程相關(guān)聯(lián)����。
6.如權(quán)利要求5所述的方法�,其特征在于,顯示包含顯示器上所述連結(jié)用戶機(jī)密級的連結(jié)圖形用戶界面元素的所述步驟包含接收用戶連結(jié)用戶機(jī)密級顯示指示���;以及顯示所述連結(jié)用戶機(jī)密級�。
7.一種方法,用于維持關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)而在顯示器上顯示的數(shù)據(jù)所述安全性����,包含接收至少兩個連結(jié)圖形數(shù)據(jù)元素,每個與在所述安全執(zhí)行環(huán)境上運行的進(jìn)程相關(guān)聯(lián)���,用于在所述顯示器上顯示����;以及顯示至少兩個連結(jié)圖形用戶界面元素�,每個所述連結(jié)圖形用戶界面元素包含其中一個所述連結(jié)圖形數(shù)據(jù)元素和普通圖形用戶界面裝飾。
8.如權(quán)利要求7所述的方法�,其特征在于所述普通圖形用戶界面裝飾包含有色彩的邊框。
9.如權(quán)利要求7所述的方法��,其特征在于所述普通圖形用戶界面裝飾包含一個或多個隨機(jī)選擇的圖像��。
10.如權(quán)利要求7所述的方法���,進(jìn)一步包含當(dāng)設(shè)置時間周期消逝時,改變所述普通圖形用戶界面裝飾����。
11.如權(quán)利要求7所述的方法���,進(jìn)一步包含當(dāng)用戶裝飾變化指示被接收到時,改變所述普通圖形用戶界面裝飾����。
12.一種方法,用于維持關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)而在顯示器上顯示的數(shù)據(jù)所述安全性�,包含保存關(guān)于與在所述安全執(zhí)行環(huán)境上運行的進(jìn)程相關(guān)聯(lián)的連結(jié)圖形用戶界面元素的公用標(biāo)題信息和私用標(biāo)題信息;當(dāng)顯示所述連結(jié)圖形用戶界面元素時�,在所述安全執(zhí)行環(huán)境上使用關(guān)于窗口管理功能的所述私用標(biāo)題信息�����;以及提供所述公用標(biāo)題信息��,用于在所述第二執(zhí)行環(huán)境中使用�����。
13.如權(quán)利要求12所述的方法�����,其特征在于所述第二執(zhí)行環(huán)境包括這樣的主窗口管理器�����,用于管理所述顯示器上的圖形用戶界面元素,那里所述主窗口管理器創(chuàng)建關(guān)于所述連結(jié)圖形用戶界面元素的陰影圖形用戶界面元素�����,而且那里所述公用標(biāo)題由所述主窗口管理器使用�����。
14.如權(quán)利要求12所述的方法����,進(jìn)一步包含在顯示器上完全顯示在所述顯示器上的每個所述連結(jié)圖形用戶界面元素,這樣以使沒有任何部分所述連結(jié)圖形用戶界面元素被與在所述顯示器上的所述第二執(zhí)行環(huán)境相關(guān)聯(lián)的圖形用戶界面元素淡化�����,那里每個所述連結(jié)圖形用戶界面元素包含普通圖形用戶界面裝飾����;保存與所述安全執(zhí)行環(huán)境相關(guān)聯(lián)的連結(jié)用戶機(jī)密級�����;以及在所述顯示器上顯示包含所述連結(jié)用戶機(jī)密級的連結(jié)用戶機(jī)密級圖形用戶界面元素。
15.一種計算機(jī)可讀媒體�����,其包含計算機(jī)可執(zhí)行指令����,以維持在關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)的顯示器上顯示數(shù)據(jù)的所述安全性,執(zhí)行動作的所述計算機(jī)可執(zhí)行指令包含保存與在所述安全執(zhí)行環(huán)境上運行的第一進(jìn)程相關(guān)聯(lián)的至少一個連結(jié)圖形用戶界面元素的圖像����;以及在顯示器上完全顯示在所述顯示器上的所述連結(jié)圖形用戶界面元素,這樣以使沒有任何部分所述連結(jié)圖形用戶界面元素被與所述顯示器上的所述第二執(zhí)行環(huán)境相關(guān)聯(lián)的圖形用戶界面元素淡化�。
16.如權(quán)利要求15所述的計算機(jī)可讀媒體,其特征在于顯示所述連結(jié)圖形用戶界面元素的所述動作包含確保所述連結(jié)圖形用戶界面元素不包含任何透明區(qū)域��。
17.如權(quán)利要求15所述的計算機(jī)可讀媒體�����,其特征在于在顯示器上顯示所述連結(jié)圖形用戶界面元素的所述動作包含顯示所述連結(jié)圖形用戶界面元素�����,這樣以使沒有任何部分的所述連結(jié)圖形用戶界面元素被與在所述安全執(zhí)行環(huán)境上運行的第二進(jìn)程相關(guān)聯(lián)的圖形用戶界面元素淡化���。
18.如權(quán)利要求15所述的計算機(jī)可讀媒體��,其特征在于所述計算機(jī)可執(zhí)行指令適合執(zhí)行動作���,其進(jìn)一步包含一接收到用戶安全顯示指示�,就在所述顯示器上僅顯示所述圖形用戶界面元素�����。
19.一種計算機(jī)可讀媒體���,其包含計算機(jī)可執(zhí)行指令���,以維持在關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)的顯示器上顯示數(shù)據(jù)的所述安全性,執(zhí)行動作的所述計算機(jī)可執(zhí)行指令包含保存與所述安全執(zhí)行環(huán)境相關(guān)聯(lián)的連結(jié)用戶機(jī)密級����;以及在所述顯示器上顯示包含所述連結(jié)用戶機(jī)密級的連結(jié)圖形用戶界面元素,那里連結(jié)圖形用戶界面元素與在所述安全執(zhí)行環(huán)境上運行的進(jìn)程相關(guān)聯(lián)�。
20.如權(quán)利要求19所述的計算機(jī)可讀媒體,其特征在于顯示包含顯示器上的所述連結(jié)用戶機(jī)密級的連結(jié)圖形用戶界面元素的所述動作包含接收用戶連結(jié)用戶機(jī)密級顯示指示�����;以及顯示所述連結(jié)用戶機(jī)密級����。
21.一種計算機(jī)可讀媒體,其包含計算機(jī)可執(zhí)行指令�����,維持在關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)的顯示器上顯示數(shù)據(jù)的所述安全性���,執(zhí)行動作的所述計算機(jī)可執(zhí)行指令包含接收至少兩個連結(jié)圖形數(shù)據(jù)元素��,每個與在所述安全執(zhí)行環(huán)境上運行的進(jìn)程相關(guān)聯(lián)�����,用于在所述顯示器上顯示�����;以及顯示至少兩個連結(jié)圖形用戶界面元素��,每個所述連結(jié)圖形用戶界面元素包含其中一個所述連結(jié)圖形數(shù)據(jù)元素和普通圖形用戶界面裝飾����。
22.如權(quán)利要求21所述的計算機(jī)可讀媒體,其特征在于所述普通圖形用戶界面裝飾包含有色彩的邊框���。
23.如權(quán)利要求21所述的計算機(jī)可讀媒體����,其特征在于所述普通圖形用戶界面裝飾包含一個或多個隨機(jī)選擇的圖像�。
24.如權(quán)利要求21所述的計算機(jī)可讀媒體,其特征在于所述計算機(jī)可執(zhí)行指令適合執(zhí)行動作�,其進(jìn)一步包含當(dāng)設(shè)置時間周期消逝時,改變所述普通圖形用戶界面裝飾�����。
25.如權(quán)利要求21所述的計算機(jī)可讀媒體����,其特征在于所述計算機(jī)可執(zhí)行指令適合執(zhí)行動作,其進(jìn)一步包含當(dāng)用戶裝飾變化指示被接收到時��,改變所述普通圖形用戶界面裝飾��。
26.計算機(jī)可讀媒體����,其包含計算機(jī)可執(zhí)行指令���,其維持在關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)的顯示器上顯示數(shù)據(jù)的所述安全性��,執(zhí)行動作的所述計算機(jī)可執(zhí)行指令包含關(guān)于與在所述安全執(zhí)行環(huán)境上運行的進(jìn)程相關(guān)聯(lián)的連結(jié)圖形用戶界面元素而保存公用標(biāo)題信息和私用標(biāo)題信息�;當(dāng)顯示所述連結(jié)圖形用戶界面元素時,在所述安全執(zhí)行環(huán)境上使用關(guān)于窗口管理功能的所述私用標(biāo)題信息�����;以及提供所述公用標(biāo)題信息�����,用于在所述第二執(zhí)行環(huán)境中使用�。
27.如權(quán)利要求26所述的計算機(jī)可讀媒體,其特征在于所述第二執(zhí)行環(huán)境包括這樣的主窗口管理器���,其在所述顯示器上用于管理圖形用戶界面元素���,那里所述主窗口管理器創(chuàng)建關(guān)于所述連結(jié)圖形用戶界面元素的陰影圖形用戶界面元素,且那里所述公用標(biāo)題由所述主窗口管理器使用����。
28.如權(quán)利要求26所述的計算機(jī)可讀媒體����,其特征在于所述計算機(jī)可執(zhí)行指令適合執(zhí)行動作�,進(jìn)一步包含在顯示器上完全顯示所述顯示器上的每個所述連結(jié)圖形用戶界面元素,這樣以使沒有任何部分的所述連結(jié)圖形用戶界面元素被與所述顯示器上的所述第二執(zhí)行環(huán)境相關(guān)聯(lián)的圖形用戶界面元素淡化��,那里每個所述連結(jié)圖形用戶界面元素包含普通圖形用戶界面裝飾��;保存與所述安全執(zhí)行環(huán)境相關(guān)聯(lián)的連結(jié)用戶機(jī)密級��;以及在所述顯示器上顯示包含所述連結(jié)用戶機(jī)密級的連結(jié)用戶機(jī)密級圖形用戶界面元素��。
29.一種用于維持在關(guān)于包含安全執(zhí)行環(huán)境和第二執(zhí)行環(huán)境的系統(tǒng)的顯示器上顯示數(shù)據(jù)的所述安全性的系統(tǒng)���,其包含安全執(zhí)行環(huán)境存儲�,其用于保存私用標(biāo)題信息��,其關(guān)于與在所述安全執(zhí)行環(huán)境上運行的進(jìn)程相關(guān)聯(lián)的連結(jié)圖形用戶界面元素以及與所述安全執(zhí)行環(huán)境相關(guān)聯(lián)的連結(jié)用戶機(jī)密級�;第二執(zhí)行環(huán)境存儲,其用于保存公用標(biāo)題信息����,該公用標(biāo)題信息是關(guān)于所述連結(jié)圖形用戶界面元素的�;信任窗口管理器��,其用于在顯示器上完全顯示每個所述顯示器上的每個所述連結(jié)圖形用戶界面元素�,這樣以使沒有任何部分的所述連結(jié)圖形用戶界面元素被與所述顯示器上的所述第二執(zhí)行環(huán)境相關(guān)聯(lián)的圖形用戶界面元素淡化,那里每個所述連結(jié)圖形用戶界面元素包含普通圖形用戶界面裝飾和所述私用標(biāo)題信息�。
30.如權(quán)利要求29所述的系統(tǒng),其特征在于所述信任窗口管理器顯示包含所述顯示器上的所述連結(jié)用戶機(jī)密級的連結(jié)用戶機(jī)密級圖形用戶界面元素�。
全文摘要
說明提供關(guān)于這樣圖形用戶界面元素安全性的技術(shù)�����,該圖形用戶界面元素正被顯示在其中連同第二�、高確保度操作系統(tǒng)一道而使用第一、主操作系統(tǒng)的系統(tǒng)中���,那里第一系統(tǒng)至少提供關(guān)于第二系統(tǒng)的某些基礎(chǔ)設(shè)施�����。與高確保度操作系統(tǒng)相關(guān)聯(lián)的圖形用戶界面元素被阻止被淡化�����,且有任何部分透明度����。另外,一條機(jī)密級信息被保存�����,其可在收到與高確保度操作系統(tǒng)相關(guān)聯(lián)的圖形用戶界面元素的命令時被顯示����。對與高確保度操作系統(tǒng)相關(guān)聯(lián)的所有圖形用戶界面元素顯示的特定元素進(jìn)行協(xié)調(diào)也幫助鑒別與高確保度操作系統(tǒng)相關(guān)聯(lián)的合法元素,如與不是的冒充者元素相反�。在使用開窗口系統(tǒng)的地方,公用標(biāo)題信息被供給到主操作系統(tǒng)開窗口系統(tǒng)�����,以鑒別由在高確保度操作系統(tǒng)上運行的進(jìn)程擁有的窗口���。僅在高確保度操作系統(tǒng)中使用與相同窗口相關(guān)聯(lián)的私用標(biāo)題信息�����。
文檔編號G06F9/455GK1609809SQ20041008770
公開日2005年4月27日 申請日期2004年10月25日 優(yōu)先權(quán)日2003年10月23日
發(fā)明者B·M·維爾曼, C·M·楚, I·阿弗拉漢, P·C·羅伯茨 申請人:微軟公司