CN117808474A - 可信用户界面的显示方法、设备、可读存储介质及芯片 - Google Patents

Abstract

本申请涉及信息安全技术领域，提供了一种可信用户界面的显示方法、设备、可读存储介质及芯片。该方法能够解决基于用户无法分辨可信用户界面，从而导致存在用户在不可信用户界面上进行支付的情况，进而引发严重的信息和财产安全的问题。该方法应用于终端设备，该终端设备包括富执行环境REE、可信执行环境TEE和第一元件，其中，该REE中运行有第一应用，该第一元件连接TEE，该方法包括：接收对第一应用的第一操作，第一操作用于请求显示第一应用的可信用户界面；响应于第一操作，通过TEE检测第二操作；其中，第二操作为对第一元件的操作，第二操作用于显示可信用户界面；在通过TEE检测到第二操作之后，显示可信用户界面。

Description

可信用户界面的显示方法、设备、可读存储介质及芯片

技术领域

本申请涉及信息安全技术领域，尤其涉及一种可信用户界面的显示方法、设备、可读存储介质及芯片。

背景技术

随着智能终端的推广和普及，移动支付已成为人们日常消费的主要支付方式之一。移动支付在为用户带来便利的同时，其安全性也一直是备受关注的问题。

目前，为了保证移动支付的安全性，在移动支付中引入了可信用户界面（trusteduser interface，TUI），使得用户可以在TUI上完成支付。但目前出现了与TUI类似的不可信用户界面，而从显示界面上来看，用户无法分辨哪个是可信用户界面，哪个是不可信用户界面，从而导致存在用户在不可信用户界面上进行支付的情况，进而引发严重的信息和财产安全问题。

发明内容

本申请提供一种可信用户界面的显示方法、设备、可读存储介质及芯片，解决了现有技术中由于用户无法分辨可信用户界面，从而导致存在用户在不可信用户界面上进行支付的情况，进而引发严重的信息和财产安全的问题。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种可信用户界面的显示方法，应用于终端设备，该终端设备包括富执行环境REE、可信执行环境TEE和第一元件，其中，该REE中运行有第一应用，该第一元件连接TEE，该方法包括：接收对第一应用的第一操作，第一操作用于请求显示第一应用的可信用户界面；响应于第一操作，通过TEE检测第二操作；其中，第二操作为对第一元件的操作，第二操作用于显示可信用户界面；在通过TEE检测到第二操作之后，显示可信用户界面。

本实施例提供的方法，在终端设备中设置与可信执行环境连接的第一元件，通过检测第一元件对应的第二操作来显示可信用户界面，即检测到第二操作后显示可信用户界面，以使用户对于当前显示的可信用户界面存在强感知，从而避免用户在不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

另外，本实施例提供的方法中，终端设备是通过TEE来检测第二操作的，因此，该第一元件仅能够在TEE中被感知，REE侧的恶意应用无法监听并感知该第一元件对应的第二操作，也就是说，恶意应用无法模拟上述检测及显示可信用户界面的过程，从而避免TUI被非法UI替换而用户无法分辨的问题。

在一种可能的实现方式中，该方法还包括：若通过TEE未检测到第二操作，则不显示可信用户界面。

本实施例中，终端设备通过TEE未检测到第二操作，表明第一元件未被按照用于显示可信用户界面的第二操作进行操作，此时，则不显示可信用户界面，从而避免用户在其他不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

在一种可能的实现方式中，第一元件包括物理按键，第二操作包括该物理按键被按下，在该物理按键被按下时，向TEE发送中断消息。

其中，该物理按键为终端设备侧用于控制显示可信用户界面所新增的物理按键，即该新增的物理按键为终端设备中除电源键、音量键等原有按键之外的其他按键。用户以第二操作的方式操作该新增的物理按键时，仅用于显示可信用户界面，而不做其他用途。

可选的，该新增的按键可以为一个按键，也可以为多个按键。当该新增的按键为一个按键时，第二操作包括该专用按键被按下；若该新增的按键为多个按键时，第二操作包括多个按键按照预设顺序被按下。

在一种可能的实现方式中，响应于第一操作，通过TEE检测第二操作，包括：响应于第一操作，控制第一应用向TEE发送通知消息，该通知消息用于通知TEE显示可信用户界面；根据通知消息，通过TEE监听中断消息；若通过TEE监听到中断消息，则确定检测到第二操作。

在一些实施例中，第一元件为终端设备侧用于控制显示可信用户界面的新增的物理按键，第一元件连接TEE为新增的物理按键与TEE中的可信操作系统直接连接。当用户按照第二操作操作新增的物理按键时，新增的物理按键可直接向可信操作系统发送中断消息。该种情况下，TEE中的可信操作系统在接收到用于通知TEE显示可信用户界面的通知消息时，能够通过监听中断消息的方式来确定是否检测到第二操作。若可信操作系统监听到中断消息，则确定检测到第二操作，若可信操作系统未监听到中断消息，则确定未检测到第二操作。

通过本实施例提供的方法，新增的物理按键与TEE中的可信操作系统直接连接，并仅由该新增的物理按键启动TUI，整个处理流程简单直接。当用户按下该新增的物理按键后，才会调起TUI，使得用户能够感知强烈TUI。

在一种可能的实现方式中，第一元件包括至少一个物理按键，第二操作包括多次按下至少一个物理按键中的同一物理按键，比如，多次按下电源键；或者按照第一顺序依次按下至少一个物理按键中的不同物理按键，比如依次按下音量加、音量减以及电源键。

其中，该至少一个物理按键为终端设备侧原有的一个或者多个物理按键，比如电源键、音量键等。同样的，用户以第二操作的方式操作该至少一个物理按键时，仅用于显示可信用户界面，而不做其他用途。

在一种可能的实现方式中，终端设备还包括传感集线器，相应地，第一元件连接TEE，包括：第一元件通过传感集线器连接TEE，第一元件被操作时向传感集线器发送操作信息，以使传感集线器根据操作信息生成操作记录。

其中，第一元件可以是终端设备侧用于控制显示可信用户界面的新增的物理按键，也可以是终端设备侧原有的一个或者多个物理按键。

在一种可能的实现方式中，响应于第一操作，通过TEE检测第二操作，包括：响应于第一操作，控制第一应用向TEE发送通知消息，通知消息用于通知TEE显示可信用户界面；根据通知消息，控制TEE向传感集线器发送查询消息，查询消息用于指示传感集线器查询第一元件的操作记录，操作记录是传感集线器根据接收到的操作信息生成的；在传感集线器查询到操作记录，并且确定操作记录是由第二操作产生时，控制传感集线器向TEE返回确认信息；若识别到TEE接收到确认信息，则确定检测到第二操作。

通过本实施例提供的方法，终端设备侧的第一元件通过传感集线器接入TEE中，该第一元件产生的操作信息直接发送至传感集线器，以供TEE在确定显示可信用户界面时，从传感集线器中查询第一元件所产生的操作记录，从而在查询到该操作记录，并且确定操作记录是由第二操作产生时，确定为检测到第二操作，然后控制显示可信用户界面。

另外，当第一元件为终端设备原有的至少一个物理按键时，通过本实施例提供的方法能够复用既有的物理按键，无需新增物理按键，且用户以第二操作操作至少一个物理按键时启动TUI，从而使得用户对于TUI界面感知强烈，有利于树立安全形象。

在一种可能的实现方式中，在第一元件包括至少一个物理按键时，至少一个物理按键还通过传感集线器连接REE。

本实施例中，基于至少一个物理按键为终端设备侧原有的一个或者多个物理按键，为了不影响原有的一个或者多个物理按键的处理逻辑，该至少一个物理按键在通过传感集线器接入TEE的同时，还通过传感集线器连接REE。

在一种可能的实现方式中，该方法还包括：通过传感集线器检测第三操作；其中，第三操作为对至少一个物理按键的操作，且第三操作与第二操作不同；在通过传感集线器检测到第三操作后，控制REE处理第三操作对应的操作信息。

其中，第三操作为除第二操作之外的其他操作，即非第二操作。传感集线器对接收到的操作信息所产生的操作记录进行判断，若判断出该操作记录未达成第二操作，则将该操作记录所对应的操作确定为第三操作，并将当前的操作信息传递给REE，以使REE按照至少一个物理按键的既有逻辑处理该操作信息。

本实施例中，终端设备通过复用既有物理按键的方式来控制启动TUI，且复用既有物理按键的方式也不会影响物理按键本身既有的处理逻辑，也就是说，用于启动TUI的处理机制与当前物理按键本身的处理机制不会产生冲突，彼此之间相互兼容，从而提升用户体验，利于TUI的规模应用。

在一种可能的实现方式中，在接收对第一应用的第一操作之后，响应于第一操作，通过TEE检测第二操作之前，方法还包括：显示第一提示信息，第一提示信息用于指示用户在第一预设时间内执行第二操作。

本实施例中，通过显示提示信息的方式以提示用户在规定时间内按照第二操作操作第一元件，从而提高终端设备的处理效率以及用户对于可信用户界面的感知程度。

在一种可能的实现方式中，在通过TEE检测到第二操作之后，显示可信用户界面，包括：在第二预设时间内通过TEE检测到第二操作之后，显示可信用户界面。

本实现方式中，终端设备是在一定时间内检测第二操作的，避免由于检测时间过长，影响终端设备的处理效率。

可选的，该方法还包括：在第二预设时间内通过TEE未检测到第二操作，提示用户操作超时。

第二方面，提供一种可信用户界面的显示方法，应用于终端设备，该终端设备包括富执行环境REE、可信执行环境TEE和第二元件，其中，REE中运行有第一应用，第二元件连接TEE，该方法包括：接收对第一应用的第一操作，第一操作用于请求显示第一应用的可信用户界面；响应于第一操作，通过TEE控制显示可信用户界面，并通过TEE控制第二元件按照第一模式运行，第二元件按照第一模式运行时，用于唯一指示可信用户界面。

本实施例提供的方法，在终端设备中设置与可信执行环境连接的第二元件，终端设备通过TEE控制显示可信用户界面的同时，控制第二元件按照第一模式运行，以使得用户对于可信用户界面存在强感知，从而避免用户在不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

另外，本实施例提供的方法中，终端设备是通过TEE来控制第二元件按照第一模式运行的，因此，该第二元件仅能够被TEE所控制，REE侧的恶意应用无法控制该第二元件，从而避免TUI被非法UI替换时用户无法分辨的问题。

在一种可能的实现方式中，第二元件为指示装置，通过TEE控制第二元件按照第一模式运行，包括：通过TEE向第二元件发送第一指示消息，第一指示消息用于指示第二元件启动运行；根据第一指示消息启动第二元件。

其中，该指示装置为终端设备侧用于指示显示可信用户界面所新增的指示装置，该指示装置启动时，仅用于指示当前的显示界面为可信用户界面，而不做其他用途。

可选的，该新增的指示装置可以为一个指示装置，比如指示灯；也可以是多个指示装置，比如两个指示灯，或者一个指示灯和一个喇叭。当该新增的指示装置为一个指示装置时，第一模式包括该指示装置启动，比如，指示灯亮起；当该新增的指示装置为多个指示装置时，第一模式包括多个指示装置均启动，比如多个指示灯同时亮起。

在一种可能的实现方式中，响应于第一操作，通过TEE控制显示可信用户界面，并通过TEE控制第二元件按照第一模式运行，包括：响应于第一操作，控制第一应用向TEE发送通知消息，通知消息用于通知TEE显示可信用户界面；根据通知消息，通过TEE控制显示可信用户界面，并通过TEE向第二元件发送第一指示消息，第一指示消息用于指示第二元件按照第一模式运行；控制第二元件在接收到第一指示消息后，按照第一模式运行。

在一些实施例中，第二元件为终端设备侧用于指示显示可信用户界面所新增的指示装置，第二元件连接TEE为新增的指示装置与TEE中的可信操作系统直接连接。基于此，终端设备通过TEE控制第二元件按照第一模式运行时，直接向第二元件发送第一指示消息，以使得第二元件在接收到第一指示消息后，按照第一模式运行。

通过本实施例提供的方法，新增的指示装置与TEE中的可信操作系统直接连接，且伴随TUI的显示而启动，方案简单直接。另外，基于该新增的指示装置直接接入可信操作系统，因此，REE侧恶意应用无法控制该新增的指示装置，从而避免TUI被非法UI替换而用户无法分辨的问题。

在一种可能的实现方式中，第二元件为至少一个指示装置，第一模式包括至少一个指示装置中的同一指示装置按照预设模式运行，或者至少一个指示装置中的不同指示装置按照第二顺序依次运行。

其中，该至少一个指示装置为终端设备侧原有的一个或者多个指示装置，比如指示灯、喇叭等。同样的，该至少一个指示装置按照第一模式运行时，仅用于指示当前的显示界面为可信用户界面，而不做其他用途。

在一种可能的实现方式中，终端设备还包括传感集线器，相应地，第二元件连接TEE，包括：第二元件通过传感集线器连接TEE。

本实施例中，第二元件可以是终端设备侧用于指示显示可信用户界面所新增的指示装置，也可以是终端设备侧原有的一个或者多个指示装置。

在一种可能的实现方式中，响应于第一操作，通过TEE控制显示可信用户界面，并通过TEE控制第二元件按照第一模式运行，包括：响应于第一操作，控制第一应用向TEE发送通知消息，通知消息用于通知TEE显示可信用户界面；根据通知消息，通过TEE控制显示可信用户界面，并通过TEE向传感集线器发送第一控制信息，第一控制信息用于指示传感集线器控制第二元件按照第一模式运行；控制传感集线器在接收到第一控制信息后，向第二元件发送第一指示消息，第一指示消息用于指示第二元件按照第一模式运行；控制第二元件在接收到第一指示消息后，按照第一模式运行。

通过本实施例提供的方法，终端设备侧的第二元件通过传感集线器接入TEE中，终端设备显示可信用户界面时，通过传感集线器来控制第二元件按照第一模式运行，该种方式更加通用，且更易扩展。

在一种可能的实现方式中，在第二元件为至少一个指示装置时，至少一个指示装置还通过传感集线器连接REE。

本实施例中，基于至少一个指示装置为终端设备侧原有的一个或者多个指示装置，为了不影响原有的一个或者多个指示装置的控制逻辑，该至少一个指示装置在通过传感集线器接入TEE的同时，还通过传感集线器连接REE，以通过传感集线器接收REE的控制信息。

在一种可能的实现方式中，该方法还包括：通过传感集线器接收REE发送的第二控制信息，第二控制信息用于指示至少一个指示装置按照第二模式运行，第二模式与第一模式不同；控制传感集线器在接收到第二控制信息时，向第二元件发送第二指示消息，第二指示消息用于指示第二元件按照第二模式运行；控制第二元件在接收到第二指示消息后，按照第二模式运行。

其中，第二模式为除第一模式之外的其他模式，即第二元件按照非第一模式运行的其他模式。

本实施例中，以终端设备本身原有的至少一个指示装置按照第一模式的运行状态来指示TUI，充分利用指示装置的固有属性，比如频率等，“特定闪烁频率指示安全界面”，使得用户感知强烈，利于树立安全形象。同时，至少一个指示装置按照第二模式运行时可指示其他业务，从而实现一灯多用。

在一种可能的实现方式中，在第二元件为至少一个指示装置时，该方法还包括：通过传感集线器接收REE发送的第三控制信息，第三控制信息用于指示传感集线器控制至少一个指示装置按照第一模式运行；控制传感集线器向REE返回错误信息，并拒绝控制至少一个指示装置按照第一模式运行。

通过该种方式能够防止REE中的恶意应用意图控制至少一个指示装置按照第一模式运行的问题。

在一种可能的实现方式中，响应于第一操作，通过TEE显示可信用户界面，并通过TEE控制第二元件按照第一模式运行，还包括：通过TEE显示第二提示信息，第二提示信息用于指示用户判断第二元件是否按照第一模式运行。

通过该种方式以提醒用户对于当前显示的界面进行判断，以在判断当前的显示界面为可信用户界面时，再进行下一步操作，比如，输入密码或者个人安全信息等，从而避免用户在不可信用户界面上完成支付或者输入重要信息，进一步保证了信息输入的安全性。

在一种可能的实现方式中，该方法还包括：在可信用户界面退出显示时，通过TEE控制第二元件停止按照第一模式运行。

本实施例中，可信用户界面退出显示时，表明需要可信用户界面的显示流程已经结束，此时，终端设备通过TEE控制第二元件停止按照第一模式运行，从而避免用户在其他不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

需要说明的是，本申请实施例中，终端设备侧的第一元件与第二元件可以不同，比如第一元件为物理按键，第二元件为指示灯；也可以相同，比如，第一元件或第二元件为具有指示功能的物理按键。

第三方面，提供一种终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面或第二方面示出的可信用户界面的显示方法。

需要说明的是，本实施例提供的终端设备可以既包括第一元件，又包括第二元件。终端设备在执行本申请实施例第一方面或第二方面提供的可信用户界面的显示方法时，可以是终端设备仅执行第一方面示出的方法；也可以是终端设备仅执行第二方面示出的方法；还可以是终端设备既执行第一方面示出的方法，又执行第二方面示出的方法，比如，终端设备在通过TEE检测到第二操作之后，显示可信用户界面，并通过TEE控制第二元件按照第一模式运行，其具体的执行过程参见前述实施例中所示，本部分不做赘述。

第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面或第二方面示出的可信用户界面的显示方法。

第五方面，提供一种芯片，所述芯片包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时实现如第一方面或第二方面示出的可信用户界面的显示方法。

可以理解的是，上述第三方面至第五方面的有益效果可以参见上述第一方面中的相关描述，在此不再赘述。

附图说明

图1A为本申请一实施例提供的攻击方式的场景示意图；

图1B为本申请另一实施例提供的攻击方式的场景示意图；

图2A为本申请一实施例提供的物理按键的连接方式示意图；

图2B为本申请一实施例提供的指示灯的连接方式示意图；

图3为本申请实施例提供的终端设备的硬件结构示意图；

图4为本申请实施例提供的终端设备的软件架构示意图；

图5本申请示例1提供的可信用户界面的显示方法的示意性流程图；

图6A为本申请一实施例提供的第一元件接入可信执行环境的结构示意图；

图6B为本申请另一实施例提供的第一元件接入可信执行环境的结构示意图；

图6C本申请再一实施例提供的第一元件接入可信执行环境的结构示意图；

图7为本申请一实施例提供的可信用户界面的显示方法的示意性交互流程图；

图8为本申请一实施例提供的转账过程的场景示意图；

图9为本申请一实施例提供的可信用户界面的示意图；

图10为本申请另一实施例提供的可信用户界面的显示方法的示意性交互流程图；

图11A为本申请一实施例提供的至少一个物理按键的既有逻辑处理过程的示意性交互流程图；

图11B为本申请再一实施例提供的可信用户界面的显示方法的示意性交互流程图；

图12本申请示例2提供的可信用户界面的显示方法的示意性流程图；

图13A为本申请一实施例提供的第二元件接入可信执行环境的结构示意图；

图13B为本申请另一实施例提供的第二元件接入可信执行环境的结构示意图；

图13C本申请再一实施例提供的第二元件接入可信执行环境的结构示意图；

图14为本申请一实施例提供的可信用户界面的显示方法的示意性交互流程图；

图15为本申请另一实施例提供的转账过程的场景示意图；

图16为本申请另一实施例提供的可信用户界面的示意图；

图17为本申请另一实施例提供的可信用户界面的显示方法的示意性交互流程图；

图18为本申请再一实施例提供的可信用户界面的显示方法的示意性交互流程图；

图19为本申请实施例提供的芯片的结构示意图。

具体实施方式

下面结合附图对本申请实施例提供的技术方案进行说明。

应理解，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

在本实施例中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中，除非另有说明，“多个”的含义是两个或两个以上。

移动支付是指用户借助终端设备（比如，手机）对所消费的商品或服务进行账务支付的一种服务方式。移动支付在为用户带来便利的同时，其安全性也一直是备受关注的问题。移动支付类应用通常运行在开放式的富执行环境（rich execution environment，REE）中，其中，富执行环境REE是指一种开放式的、资源丰富的应用运行环境，其安全性较低，容易受到恶意软件的攻击，比如敏感数据被窃取、数字版权被滥用、移动支付被盗用等。REE中的应用程序也称为客户应用（client application，CA），CA运行于通用处理器上的诸如Android®、IOS®等终端操作系统。这种开放式的环境为信息泄露和恶意软件传播以及中间人攻击提供了通道。

在一些实现方式中，攻击方能够通过控制用户界面（user interface，UI）来实施中间人攻击。例如，在终端设备基于用户操作进行支付或者转账的应用场景中，终端设备需要向用户展示支付详情或者转账详情的用户界面，并需要用户进一步输入密码以完成支付流程。该种情况下，攻击方可以通过控制用户界面的方式，修改支付的具体内容，从而实施攻击。示例性的，参见图1A中所示，终端设备向用户展示的转账详情页面中，用户的支付意愿是向A转账100元。攻击方进行攻击后，将该转账交易通过后台修改为向B转账10000元，并通过控制修改用户界面，用户所能够看到的仍然是向用户A转账100元。由于该过程中，用户界面并未产生变化，用户无法识别该界面为安全界面还是非法界面，于是点击确认并完成支付流程。攻击方通过该种方式，将原本的转账交易向A转账100元修改为向B转账10000元，用户在无法识别安全界面的情况下，转账意愿被修改，从而产生财产安全问题，造成用户的财产损失。

在另一些实现方式中，攻击方能够通过获取用户输入的方式实施中间人攻击。示例性的，在终端设备需要获取用户重要信息（如密码、机要个人信息等）的输入界面中，攻击方可以通过控制用户界面，直接获取用户输入，或录屏截屏、识别点击位置，间接猜测用户输入，从而获取用户重要信息，造成用户信息泄露。

为了提高移动支付对安全性的要求，开放移动终端组织（open mobile terminalplatform，OMTP）提出了可信执行环境（trusted execution environment，TEE）的概念。其中，可信执行环境TEE是指一种安全性较高的应用运行环境，相比于REE，具有更高的安全级别，并为REE提供安全服务，如指纹的录入比对、支付校验认证等操作。TEE是运行于REE之外的独立运行环境，并且与REE隔离，具有其自身的独立执行空间。TEE中的应用程序都是专门定制的可信应用程序（trusted application，TA），TA可以通过TEE的内部接口访问TEE的硬件和软件资源。而REE中的CA无法直接访问TEE的硬件和软件资源，只有在通过TEE身份认证的情况下，REE中的CA才可以通过TEE提供的应用编程接口（application programminginterface，API）调用TEE的资源或服务，如安全存储，安全显示/输入等。这样一来，在移动支付场景下，如果涉及敏感信息的输入和显示，REE侧的CA可以调用TEE中的安全显示/输入TA，以显示符合GP规范的可信用户界面（trusted user interface，TUI），使用户通过TUI保护用户的敏感信息，比如个人识别码（personal identification number，PIN）的输入以及交易信息的确认。当TUI弹出时，终端设备的整个屏幕显示区域交由TEE接管，用户界面被配置为只能由TEE访问的安全状态，并完全阻止REE对显示区域的访问。示例性的，TUI能够使得显示的信息不会被任何REE侧的软件或者其它TA所攻击，如截屏、修改等；也提供可信输入能力，使得用户的输入不会被任何REE侧的软件或者其它TA所提取、修改或控制，从而防止了REE中的CA对用户敏感信息的恶意程序监听和窃取。

由上可知，TEE中的TUI技术可以防止用户界面被控制，从而能够防止攻击方修改界面信息，实施中间人攻击；也可以防止攻击方直接获取界面数据，获取用户重要信息，例如上述实施例中示出的攻击方式。也就是说，在移动支付场景中，只要TUI正常弹出，用户界面就被设置为只能由 TEE 访问的安全状态，用户可以认为当前显示的用户界面为安全界面。然而，在调用TEE之前，业务逻辑是运行在REE中的。此时，如果攻击方控制了业务应用或系统，就可以阻止对TEE的调用，TUI也就无法弹出。例如，参见图1B中所示，攻击方通过控制客户应用（也可称为业务应用）或系统，在业务流程触发合法UI，即TUI之前，阻止了合法UI的弹出，而代之以弹出非法界面。该种情况下，攻击方采用非法界面替换本应该弹出的TUI，对于用户而言，无法分辨当前显示的界面为安全界面还是非法界面，于是在非法界面上输入重要信息，从而使得攻击方基于此种方式获取用户的重要信息，造成用户信息泄露的问题。

基于此，终端设备可以通过界面标识或者安全硬件参与的方式辅助用户识别安全界面。

在一些实现方式中，终端设备显示的TUI为具有独特风格的显示界面。例如，终端设备在TUI上增加用户自行输入或系统生成的个性化标识，当客户应用显示TUI时，该TUI上包括该个性化标识，以使得用户能够强感知TUI。

在另一些实现方式中，终端设备通过硬件参与标识TUI。比如，参见图2A中所示，将物理按键与REE侧的富操作系统连接，并在物理按键被按下时，终端设备触发富操作系统广播消息，客户应用在监听到该广播消息后，显示TUI，使得用户能够强感知TUI。再比如，参见图2B中所示，将物理输出元件（例如，指示灯）与REE侧的富操作系统连接，并在终端设备显示TUI时，客户应用调用系统接口以触发物理输出元件，如点亮指示灯或控制指示灯按照专用频率闪烁，以提醒用户知晓当前界面为安全界面。

然而，上述实施方式同样存在被恶意应用攻击的问题。比如，具有独特风格的TUI可以被恶意应用从REE侧探知，并被攻击方仿制出一模一样的非法界面；通过物理按键辅助识别的方式中，当按键发生时，REE侧的富操作系统所发出的按键广播消息，安全的客户应用和恶意应用都可监听到；触发物理输出元件的方式中，恶意应用同样可控制指示灯，不调用TUI合法界面，而代之以高仿非法界面之后，点亮指示灯，该过程用户无法分辨。

为了解决上述问题，本申请实施例提供一种可信用户界面的显示方法，应用于终端设备，通过在终端设备中设置与可信执行环境连接的第一元件或者第二元件来启动或者指示可信用户界面，以使用户对于可信用户界面存在强感知，从而避免用户在不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

在本申请中，终端设备可以是手机（mobile phone）、平板电脑（Pad）、带无线收发功能的电脑、可穿戴设备（如智能手表）、智慧屏、车载设备、增强现实（augmented reality，AR）/虚拟现实（virtual reality，VR）设备、超级移动个人计算机（ultra-mobile personalcomputer，UMPC）、上网本、个人数字助理（personal digital assistant，PDA）等终端设备。本申请实施例对终端设备的具体类型不进行限制。

图3是本申请实施例提供的终端设备的硬件结构示意图。终端设备包括处理器310，外部存储器接口320，内部存储器321，通用串行总线（universal serial bus，USB）接口330，充电管理模块340，电源管理模块341，电池342，天线1，天线2，移动通信模块350，无线通信模块360，音频模块370，扬声器370A，受话器370B，麦克风370C，耳机接口370D，传感器模块380，按键390，马达391，指示器392，摄像头393，显示屏394，以及用户标识模块（subscriber identification module，SIM）卡接口395等。

可以理解的是，本申请实施例示意的结构并不构成对终端设备的具体限定。在本申请另一些实施例中，终端设备可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器310可以包括一个或多个处理单元，例如：处理器310可以包括应用处理器（application processor，AP），调制解调处理器，图形处理器（graphics processingunit，GPU），图像信号处理器（image signal processor，ISP），控制器，存储器，视频编解码器，数字信号处理器（digital signal processor，DSP），基带处理器，和/或神经网络处理器（neural-network processing unit，NPU）等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。其中，控制器可以是终端设备的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器310中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器310中的存储器为高速缓冲存储器。该存储器可以保存处理器310刚用过或循环使用的指令或数据。如果处理器310需要再次使用该指令或数据，可从存储器中直接调用。避免了重复存取，减少了处理器310的等待时间，因而提高了系统的效率。

充电管理模块340用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施例中，充电管理模块340可以通过USB接口330接收有线充电器的充电输入。在一些无线充电的实施例中，充电管理模块340可以通过终端设备的无线充电线圈接收无线充电输入。充电管理模块340为电池342充电的同时，还可以通过电源管理模块341为终端设备供电。

电源管理模块341用于连接电池342，充电管理模块340与处理器310。电源管理模块341接收电池342和/或充电管理模块340的输入，为处理器310，内部存储器321，外部存储器，显示屏394，摄像头393，和无线通信模块360等供电。电源管理模块341还可以用于监测电池容量，电池循环次数，电池健康状态（漏电，阻抗）等参数。

终端设备的无线通信功能可以通过天线1，天线2，移动通信模块350，无线通信模块360，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。终端设备中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块350可以提供应用在终端设备上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块350可以包括至少一个滤波器，开关，功率放大器，低噪声放大器（low noise amplifier，LNA）等。移动通信模块350可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块350还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。

在一些实施例中，移动通信模块350的至少部分功能模块可以被设置于处理器310中。在一些实施例中，移动通信模块350的至少部分功能模块可以与处理器310的至少部分模块被设置在同一个器件中。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频播放设备（不限于扬声器370A，受话器370B等）输出声音信号，或通过显示屏394显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器310，与移动通信模块350或其他功能模块设置在同一个器件中。

无线通信模块360可以提供应用在终端设备上的包括无线局域网（wirelesslocal area networks，WLAN）（如无线保真（wireless fidelity，Wi-Fi）网络），蓝牙（bluetooth，BT），全球导航卫星系统（global navigation satellite system，GNSS），调频（frequency modulation，FM），近距离无线通信技术（near field communication，NFC），红外技术（infrared，IR）等无线通信的解决方案。无线通信模块360可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块360经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器310。无线通信模块360还可以从处理器310接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

摄像头393用于捕获静态图像或视频。在一些实施例中，终端设备可以包括1个或N个摄像头393，N为大于1的正整数。

显示屏394用于显示图像，视频等，例如本申请实施例中的各类设备管理界面。显示屏394包括显示面板。显示面板可以采用液晶显示屏（liquid crystal display，LCD），有机发光二极管（organic light-emitting diode，OLED），有源矩阵有机发光二极体或主动矩阵有机发光二极体（active-matrix organic light emitting diode的，AMOLED），柔性发光二极管（flex light-emitting diode，FLED），Miniled，MicroLed，Micro-oLed，量子点发光二极管（quantum dot light emitting diodes，QLED）等。在一些实施例中，终端设备可以包括1个或N个显示屏394，N为大于1的正整数。

外部存储器接口320可以用于连接外部存储卡，例如Micro SD卡，实现扩展终端设备的存储能力。外部存储卡通过外部存储器接口320与处理器310通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

内部存储器321可以用于存储计算机可执行程序代码，可执行程序代码包括指令。处理器310通过运行存储在内部存储器321的指令，从而执行终端设备的各种功能应用以及数据处理。内部存储器321可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序（比如声音播放功能，图像播放功能等）。存储数据区可存储终端设备使用过程中所创建的数据（比如音频数据，电话本等）。

此外，内部存储器321可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器（universal flash storage，UFS）等。

终端设备可以通过音频模块370，扬声器370A，受话器370B，麦克风370C，耳机接口370D，以及应用处理器等实现音频功能。

音频模块370用于将数字音频信号转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块370还可以用于对音频信号编码和解码。在一些实施例中，音频模块370可以设置于处理器310中，或将音频模块370的部分功能模块设置于处理器310中。

扬声器370A，也称“喇叭”，用于将音频电信号转换为声音信号。终端设备可以通过扬声器370A收听音乐，或收听免提通话，例如扬声器可以播放本申请实施例提供的比对分析结果。

受话器370B，也称“听筒”，用于将音频电信号转换成声音信号。当终端设备接听电话或语音信息时，可以通过将受话器370B靠近人耳接听语音。

麦克风370C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。当拨打电话或发送语音信息时，用户可以通过人嘴靠近麦克风370C发声，将声音信号输入到麦克风370C。终端设备可以设置至少一个麦克风370C。在另一些实施例中，终端设备可以设置两个麦克风370C，除了采集声音信号，还可以实现降噪功能。在另一些实施例中，终端设备还可以设置三个，四个或更多麦克风370C，实现采集声音信号，降噪，还可以识别声音来源，实现定向录音功能等。

在一些实施例中，终端设备可以通过麦克风370C接收其他电子设备发送的超声波信号，并通过处理器310识别超声波信号的频率和接收强度。

耳机接口370D用于连接有线耳机。耳机接口370D可以是USB接口330，也可以是3.5mm的开放移动电子设备平台（open mobile terminal platform，OMTP）标准接口，美国蜂窝电信工业协会（cellular telecommunications industry association of the USA，CTIA）标准接口。

传感器模块380，可以包括压力传感器380A，陀螺仪传感器380B，气压传感器380C，磁传感器380D，加速度传感器380E，距离传感器380F，接近光传感器380G，指纹传感器380H，温度传感器380J，触摸传感器380K，环境光传感器380L，骨传导传感器380M等。

按键390包括开机键，音量键等。按键390可以是机械按键。也可以是触摸式按键。终端设备可以接收按键输入，产生与终端设备的用户设置以及功能控制有关的键信号输入。

马达391可以产生振动提示。马达391可以用于来电振动提示，也可以用于触摸振动反馈。例如，作用于不同应用（例如拍照，音频播放等）的触摸操作，可以对应不同的振动反馈效果。作用于显示屏394不同区域的触摸操作，马达391也可对应不同的振动反馈效果。

指示器392可以是指示灯，可以用于指示终端设备的充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

SIM卡接口395用于连接SIM卡。SIM卡可以通过插入SIM卡接口395，或从SIM卡接口395拔出，实现和终端设备的接触和分离。终端设备可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口395可以支持Nano SIM卡，Micro SIM卡，SIM卡等。同一个SIM卡接口395可以同时插入多张卡。多张卡的类型可以相同，也可以不同。

图4示出了本申请实施例提供的终端设备的软件架构示意图。参见图4所示，终端设备包括硬件平台400，以及运行在硬件平台400上的互相隔离两个运行环境，即富执行环境REE410和可信执行环境TEE420，两个运行环境分别有独立的硬件资源和操作系统。通过硬件隔离技术，比如Trust Zone机制，可以实现REE 410和TEE 420的硬件资源的隔离，同时通过虚拟化技术实现REE 410和TEE 420的操作系统之间，以及应用之间的隔离。这样，TEE420所能访问的软硬件资源与REE410是分离的，并且，TEE 420对应用程序可访问的数据和功能做了非常严格的限制，使其安全级别满足特定的安全需求，因此TEE 420通常被认为是安全的执行环境。REE 410是TEE420之外的运行环境，相比于TEE420，REE410的安全性更低，是一个易于被攻击的环境，而运行于REE 410中的应用程序，即客户端应用程序CA411，也被认为是不可信的。

终端设备的硬件平台400包括公共外设和可信外设，可信外设包括只能被TEE420控制和访问的安全元件（secure element，SE），比如安全存储器、安全时钟、可信键盘等。公共外设是可被REE410中的富操作系统（rich operating system，Rich OS）412控制和访问的设备。

运行在TEE420中的应用程序为可信应用TA421，TA421可以为REE 410中的客户应用CA411或者TEE 420内的其它TA提供安全相关的功能或服务。在TEE 420中运行的可信操作系统（trusted operating system，Trusted OS）422向TA 421提供TEE内部接口423，TA421通过TEE内部接口423来获取安全资源和服务的访问权限，这些安全资源和服务包括但不限于：密钥注入和管理、加密、安全存储、安全时钟、可信用户界面和可信键盘等。

富操作系统412提供了比可信操作系统422更丰富的特性，富操作系统412非常开放，能接受各种类型的应用程序，但其安全性也低于可信操作系统422。富操作系统412可以为Android®、IOS®等终端操作系统。运行在REE410中的CA411可以利用TEE420提供的外部接口424来请求TEE420中的TA 421所提供的安全服务。例如，在移动支付、网上银行转账等场景下，如果涉及用户敏感信息的输入和显示，REE410中的客户应用CA411可以通过TEE420提供的外部接口424来调用TEE420侧的TUI和可信键盘服务，以防止REE410侧的恶意应用对用户敏感信息的恶意程序监听和窃取。

基于图3所示的终端设备的硬件结构以及图4所示的终端设备的软件架构，本申请实施例提供一种可信用户界面的显示方法，通过与可信执行环境所连接的元件来确定可信用户界面的显示。以下通过（一）第一元件启动可信用户界面，以及（二）第二元件指示可信用户界面两个部分对本申请提供的可信用户界面的显示方法进行示例性的解释说明。

需要说明的是，本实施例中，第一元件与第二元件可以不同，比如第一元件为物理按键，第二元件为指示灯；也可以相同，比如，第一元件和第二元件为具有指示功能的物理按键。

示例1，第一元件启动可信用户界面

本实施例中，第一元件启动可信用户界面的方式，是指在终端设备确定需要显示可信用户界面时，通过第一元件的对应操作来启动可信用户界面，以使用户感知当前显示的界面为安全界面。

图5为本申请一实施例提供的可信用户界面的显示方法的流程图，该方法应用于终端设备，该终端设备包括富执行环境REE、可行执行环境TEE和第一元件，其中，REE中运行有第一应用，第一元件连接TEE。如图5所示，该方法包括以下步骤S501~S503。

S501，终端设备接收对第一应用的第一操作，第一操作用于请求显示第一应用的可信用户界面。

其中，第一应用为运行在REE中的应用程序，比如，银行APP或者支付应用等。通常情况下，第一应用中无安全性要求的部分功能（比如，用户注册、信息查询，业务详情展示等）可以在REE中执行；当需要实现有安全性要求的功能（比如，输入支付密码、个人身份信息等）时，可以在TEE中启动实现对应功能的可信应用TA，该可信应用TA中包括可信用户界面TUI。

第一操作为对第一应用显示界面的操作，用于控制显示第一应用的可信用户界面。第一应用中的客户应用CA在检测到该第一操作后，利用TEE提供的外部接口来请求TEE中的可信应用TA所提供的安全服务，即请求显示可信应用TA中的可信用户界面TUI。

S502，终端设备响应于第一操作，通过TEE检测第二操作；其中，第二操作为对第一元件的操作，第二操作用于显示可信用户界面。

其中，第一元件可以是终端设备中新增的物理按键，也可以是终端设备本身固有的至少一个物理按键。

在一些实施例中，第一元件是终端设备中新增的物理按键。示例性的，该新增的物理按键可以是TUI启动专用键；也可以是传感器件，比如指纹传感器。也就是说，本实施例中，该新增的物理按键不具有其他的功能用途，仅用于启动可信用户界面。该种情况下，第二操作可以是该新增的物理按键被按下。

在本实施例的一种实现方式中，参见图6A所示，该第一元件连接TEE包括：该新增的物理按键仅与TEE中的可信操作系统直接连接。该新增的物理按键被按下时，仅向可信操作系统发送中断消息。此时，终端设备通过TEE检测第二操作可以是：终端设备通过可信操作系统监听该中断消息，若通过可信操作系统监听到该中断消息，则确定为检测到第二操作。

在本实施例的另一种实现方式中，参见图6B所示，该第一元件连接TEE包括：该新增的物理按键仅通过传感集线器（Sensor Hub，也可称为智能传感集线器）中的操作记录判断模块与TEE中的可信操作系统连接。其中，传感集线器为配置在终端设备中用于连接并处理来自各种传感器设备的数据，其既不在REE中运行，也不在TEE中运行，其执行环境为一种相对安全的运行环境，并与REE和TEE相隔离。该新增的物理按键被按下时，仅向传感集线器中的操作记录判断模块发送操作信息（或者称为按键信息），以使传感集线器中的操作记录判断模块根据接收到的操作信息生成操作记录。此时，终端设备通过TEE检测第二操作可以是：终端设备控制TEE中的可信操作系统向传感集线器中的操作记录判断模块发送查询消息，在传感集线器中的操作记录判断模块查询到操作记录，并且确定操作记录是由第二操作产生时，控制传感集线器中的操作记录判断模块向可信操作系统返回确认信息；若终端设备识别到可信操作系统接收到确认信息，则确定为检测到第二操作。

在另一些实施例中，第一元件是终端设备本身固有的至少一个物理按键，比如电源键、音量键等。该种情况下，第二操作包括多次按下至少一个物理按键中的同一物理按键，比如，多次按下电源键；或者按照第一顺序依次按下至少一个物理按键中的不同物理按键，比如依次按下音量加、音量减以及电源键。

在本实施例的一种实现方式中，参见图6C所示，该第一元件连接TEE包括：该至少一个物理按键通过传感集线器中的操作记录判断模块与TEE中的可信操作系统连接。该至少一个物理按键被操作后，向传感集线器中的操作记录判断模块发送操作信息，以使传感集线器中的操作记录判断模块根据该操作信息生成操作记录并判断该操作记录是否为第二操作所产生的，或者说根据该操作信息判断是否有第二操作的操作记录。可以认为的是，本实施例中，传感集线器中的操作记录判断模块根据接收到的第二操作对应的操作信息所产生的操作记录为按键组合的操作记录。

本实施例中，终端设备通过TEE检测第二操作的过程可以参见图6B所示的实施例中的检测过程，本实施例不做赘述。

S503，终端设备在通过TEE检测到第二操作之后，显示可信用户界面。

终端设备在通过TEE检测到第二操作之后，表明第一元件已被按照用于唯一控制显示可信用户界面的第二操作进行操作，此时，终端设备控制显示可信用户界面。通过该种方式，使得用户能够对可信用户界面存在强烈感知。

可选的，终端设备在通过TEE未检测到第二操作，表明第一元件未被按照用于唯一控制显示可信用户界面的第二操作进行操作，此时，则控制不显示可信用户界面，从而避免用户在其他不可信用户界面上完成支付或者输入重要信息，保证了信息输入的安全性。

本实施例中，第一元件可以通过可信操作系统与TEE直接连接，也可以通过传感集线器中的按键记录判断模块与TEE连接。无论是哪种连接方式，该第一元件仅能够在TEE中被感知，REE侧的恶意应用无法监听并感知该第一元件的第二操作以及生成的操作记录。

以下结合第一元件连接TEE的不同方式对本示例提供的可信用户界面的显示方法进行详细的解释说明。

图7为本申请一实施例提供的可信用户界面的显示方法的示意性流程图，涉及新增的物理按键通过图6A所示的连接方式与TEE连接时，通过新增的物理按键启动可信用户界面的过程。参见图7所示，该方法包括以下步骤S701~S705。

S701，第一应用向可信应用发送第一通知，该第一通知用于指示可信应用启动运行。

应理解，通常情况下，TEE中可信操作系统会在预设时间内未调用的情况下进入休眠状态，从而无法感知到第一元件发送的操作信息，具体的，该操作信息可以是中断消息。因此，第一应用在确定调用TEE中的可信应用之前，需要首先向TEE中的可信应用发送第一通知，以使可信操作系统在接收到该第一通知后启动运行。

在一些实施例中，第一应用在确定需要实现有安全性要求的功能时，比如，启动转账流程，或者启动获取用户个人敏感信息流程时，向可信应用发送第一通知。

可选的，可信应用在接收到第一通知后，向第一应用返回确认消息，该确认消息用于指示可信应用已启动运行。

S702，第一应用响应于第一操作向可信应用发送通知消息，并显示第一提示信息，该通知消息用于指示可信应用向可信操作系统发送请求显示可信用户界面的请求消息，该第一提示信息用于指示用户按下新增的物理按键。

在一些实施例中，该第一提示信息用于指示用户在第一预设时间内按下新增的物理按键。示例性的，以第一应用为银行APP为例，在银行APP的转账流程中，参见图8中（a）图所示，银行APP响应于用户在转账界面中点击操作控件下一步的第一操作后，确定需要调用如图8中（b）图所示的可信用户界面时，在终端设备的显示界面上显示第一提示信息，该第一提示信息用于指示用户在第一预设时间内按下新增的物理按键。参见图9中所示，该第一提示信息可以是“请在X秒内按下TUI启动专用键，以启动用于输入密码的可信用户界面”。

在终端设备中显示第一提示信息后，用户可以在第一提示信息中所指示的第一预设时间内操作新增的物理按键。

S703，可信应用在接收到通知消息后向可信操作系统发送请求消息，该请求消息用于请求可信操作系统显示可信用户界面。

S704，可信操作系统在接收到请求消息后，检测第二操作。

在一些实施例中，新增的物理按键在检测到用户操作时，发生中断，并向可信操作系统发送中断消息，可信操作系统在接收到该中断消息后，根据该中断消息生成操作记录。该种情况下，可信操作系统在接收到请求消息后，查询该操作记录，并在查询到该操作记录时，确定为检测到第二操作。

在另一些实施例中，新增的物理按键在检测到用户操作时，发生中断，并向可信操作系统发送中断消息。可信操作系统在接收到请求消息后，监听该中断消息；若监听到该中断消息，则确定为检测到第二操作。

在具体实施时，还可以在本步骤中设定超时检测机制，即可信操作系统从接收到请求消息时起，如果第二预设时间（比如，3秒或者5秒）内查询到操作记录或者监听到中断消息，则确定为检测到第二操作并清除操作记录或者消息记录，然后执行步骤S705，否则终止业务流程并提示用户相应的原因。例如，如果在第二预设时间内未检测到第二操作，则提示用户操作超时。其中，第二预设时间可以是各个第一应用在设置TEE中对应可信应用时根据需要进行设定的，比如银行APP1将该第二预设时间设定为3秒，银行APP2将该第二预设时间设定为5秒；也可以是在可信操作系统本身预设的时间段，无论针对哪个第一应用，其第二预设时间均为同一时间段，比如均为3秒等。在实际应用中，可以根据具体需要进行设定，本实施例对此不进行限制。

S705，可信操作系统在检测到第二操作之后，控制显示可信用户界面。

可信操作系统在检测到第二操作之后，表明新增的物理按键已被按下，此时，可信操作系统控制显示可信用户界面。

在一些实施例中，可信用户界面用于获取用户的支付密码，用户通过可信用户界面中展示的输入框输入密码后，可信操作系统将该密码发送至可信应用，可信应用对该密码进行加密处理，并将加密处理后的密码返回至第一应用，以使第一应用根据接收到密码密文完成对应的业务流程，比如支付或者转账等。

本实施例中，终端设备新增的物理按键与TEE中的可信操作系统直接连接，并仅由该新增的物理按键启动TUI，整个处理流程简单直接。当用户按下该新增的物理按键后，才会调起TUI，使得用户能够感知强烈TUI。基于该新增物理按键仅在可信操作环境中被感知，因此，REE侧的恶意应用无法获知该新增的物理按键被按下的操作事件，从而避免TUI被非法UI替换而用户无法分辨，利于TUI的规模应用，并树立安全形象。

图10为本申请另一实施例提供的可信用户界面的显示方法的示意性流程图，涉及新增的物理按键通过图6B所示的连接方式与TEE连接时，通过新增的物理按键启动可信用户界面的过程。参见图10所示，该方法包括以下步骤S1001~S1006。

S1001，第一应用响应于第一操作向可信应用发送通知消息，并显示第一提示信息，该通知消息用于指示可信应用向可信操作系统发送请求显示可信用户界面的请求消息，该第一提示信息用于指示用户按下新增的物理按键。

S1002，可信应用在接收到通知消息后向可信操作系统发送请求消息，该请求消息用于请求可信操作系统显示可信用户界面。

S1003，可信操作系统在接收到请求消息后，向操作记录判断模块发送查询消息，该查询消息用于指示操作记录判断模块查询新增的物理按键的操作记录。

在一些实施例中，可信操作系统设定定时器逻辑，并在定时器到期之前每隔一段时间向操作记录判断模块发送查询消息，通过循环查询的方式来查询新增的物理按键的操作记录。

在本实施例中，基于终端设备中新增的物理按键是与Sensor Hub中的操作记录判断模块直接通信的，因此，当用户按下新增的该物理按键时，该新增的物理按键响应于该用户操作仅向操作记录判断模块发送操作信息，比如，按键消息，操作记录判断模块在接收到该按键消息后，根据该按键消息生成操作记录并存储。基于此，操作记录判断模块在接收到可信操作系统发送的查询消息后，通过查询操作记录来检测第二操作。

S1004，操作记录判断模块在查询到操作记录，并且确定操作记录是由第二操作产生时，向可信操作系统返回确认信息。

本实施例中，若操作记录判断模块查询到操作记录，并且确定该操作记录是由第二操作产生（由于本实施例中，新增的物理按键仅连接操作记录判断模块，因此，该操作记录只能是由第二操作产生的），则确定为检测到第二操作并清除操作记录，然后向可信操作系统返回确认信息，该确认信息用于指示已检测到第二操作。若未查询到操作记录，则不返回确认信息。

可选的，在具体实施时，也可以在本步骤中设定超时检测机制，即操作记录判断模块从接收到查询消息时起，如果第三预设时间（比如，3秒或者5秒）内查询到操作记录，则确定为检测到第二操作并清除操作记录，然后向可信操作系统返回确认信息，否则终止业务流程并提示用户相应的原因，比如提示用户操作超时等。

S1005，可信操作系统接收到确认信息，则确定为检测到第二操作。

若可信操作系统未接收到确认信息，则确定为未检测到第二操作。

S1006，可信操作系统在检测到第二操作之后，控制显示可信用户界面。

本实施例中，可信操作系统在接收到操作记录判断模块返回的确认信息之后，表明检测到第二操作，此时，可信操作系统控制弹出可信用户界面，比如请用户输入密码的TUI，或者获取PIN码的TUI。用户通过可信用户界面中展示的输入框输入对应信息后，可信操作系统将该信息发送至可信应用，可信应用将其返回至第一应用，以使第一应用根据接收到信息完成对应的业务流程，比如支付或者转账等。

本实施例中，终端设备新增的物理按键通过Sensor Hub中的操作记录判断模块接入可信执行环境中，该新增的物理按键产生的操作信息直接发送至操作记录判断模块，以供可信操作系统在确定显示可信用户界面时，从操作记录判断模块中查询新增的物理按键所产生的操作记录，从而在查询到该操作记录时，确定为检测到第二操作，然后控制显示可信用户界面。

本实施例中，通过图7和图10中所示的一键启动可信用户界面的方式，只有在用户按下新增的物理按键后才会触发并调用TUI，从而避免TUI被非法UI替换而用户无法分辨，能够使得用户对安全界面存在强烈感知，利于树立安全形象。同时，新增的物理按键产生的操作信息发送至Sensor Hub中的操作记录判断模块，以供可信操作系统查询的方式，更加更通用，且方案更易扩展，有利于TUI的规模应用。

以上为通过终端设备侧新增的物理按键启动可信用户界面的过程，下面介绍通过终端设备中本身固有的至少一个物理按键启动可信用户界面的过程。

需要说明的是，本实施例中，基于第一元件为终端设备本身固有的至少一个物理按键，因此，该至少一个物理按键也通过传感集线器中的操作记录判断模块与REE中的富操作系统连接。终端设备能够通过操作记录判断模块检测第三操作，其中，该第三操作同样是对该至少一个物理按键的操作，但该第三操作与第二操作不同，终端设备在通过传感集线器中的操作记录判断模块检测到第三操作后，控制富操作系统按照至少一个物理按键的既有逻辑处理第三操作的操作信息。

示例性的，在一些应用场景中，参见图11A所示，当至少一个物理按键被按下时，至少一个物理按键接收用户的按键操作，并将该按键操作的操作信息发送至操作记录判断模块；操作记录判断模块根据该操作信息所产生的操作记录判断本次操作是否达成第二操作，即当前的操作方式是否导致启动TUI的专用按键组合发生。若是，表明本次操作达成第二操作，则存储用于指示达成第二操作的标识信息，等待后续可信操作系统发送的查询消息；若否，表明没有达成第二操作，该操作记录是由第三操作产生的，则将当前的操作信息传递给富操作系统，以使富操作系统按照至少一个物理按键的既有逻辑处理该操作信息。例如，若用户按下音量加键，则富操作系统根据该音量加键的操作信息发出按键广播，控制调节音量的系统应用在监听到该按键广播后，调大音量；若用户按下电源键，则富操作系统根据该电源键的操作信息进行息屏显示。

图11B为本申请再一实施例提供的可信用户界面的显示方法的示意性流程图，涉及至少一个物理按键通过图6C所示的连接方式与TEE连接时，通过至少一个物理按键启动可信用户界面的过程。参见图11B所示，该方法包括以下步骤S1101~S1106。

S1101，第一应用响应于第一操作向可信应用发送通知消息，并显示第一提示信息，该通知消息用于指示可信应用向可信操作系统发送请求显示可信用户界面的请求消息，该第一提示信息用于指示用户按照第一操作模式操作至少一个物理按键。

示例性的，该第一提示信息可以是“请在X秒内依次按下音量加、音量减以及电源键，以启动用于输入密码的可信用户界面”。

S1102，可信应用在接收到通知消息后向可信操作系统发送请求消息，该请求消息用于请求可信操作系统显示可信用户界面。

S1103，可信操作系统在接收到请求消息后，向操作记录判断模块发送查询消息，该查询消息用于指示操作记录判断模块查询至少一个物理按键的操作记录。

S1104，操作记录判断模块在查询到操作记录，并且确定操作记录是由第二操作产生时，向可信操作系统返回确认信息。

本实施例中，基于终端设备侧的至少一个物理按键为终端设备本身固有的外设元件，因此，当用户按下该至少一个物理按键后，操作记录判断模块在接收到该至少一个物理按键发送的至少一个按键消息后，需要对该按键消息进行判断以确定该至少一个物理按键是否是由第二操作产生。如前述实施例中所述，第一元件为终端设备本身固有的至少一个物理按键时，第一操作模式包括多次按下至少一个物理按键中的同一物理按键，或者按照第一顺序依次按下至少一个物理按键中的不同物理按键。也就是说，操作记录判断模块需要判断至少一个物理按键是否产生按键组合的操作记录。

在一些实施例中，操作记录判断模块可以根据该至少一个按键消息的接收时间来确定是否产生按键组合的操作记录，比如在2秒内接收到两个电源键发送的按键消息，则确定为产生按键组合的操作记录；或者在2秒内分别接收到音量加、音量减和电源键发送的按键消息，则确定为产生按键组合的操作记录。

操作记录判断模块对接收到的操作信息所产生的操作记录进行判断以确定是否达成第二操作，并在达成第二操作时，存储用于指示达成第二操作的标识信息。

操作记录判断模块接收到可信操作系统发送的查询消息后，通过查询并识别存在用于指示达成第二操作的标识信息来检测第二操作。若查询到该标识信息，则确定为检测到第二操作并清除操作记录，然后向可信操作系统返回确认信息，该确认信息用于指示已检测到第二操作。若未查询到表示信息，则不返回确认信息或者返回错误报告并提示用户相应的原因，比如提示用户操作超时等。

S1105，可信操作系统接收到确认信息，则确定为检测到第二操作。

若可信操作系统未接收到确认信息，则确定为未检测到第二操作。

S1106，可信操作系统在检测到第二操作之后，控制显示可信用户界面。

本实施例通过终端设备本身固有的至少一个物理按键所产生的按键组合的操作记录来控制启动TUI，复用既有物理按键，无需新增物理按键，用户感知强烈，利于树立安全形象。且用于启动TUI的专用按键组合仅在可信执行环境中被可信应用所感知，REE侧的恶意应用无法获知该按键组合的事件发生。用户通过按下专用按键组合后触发并调起TUI，从而避免TUI被非法UI替换而用户无法分辨。同时，该至少一个物理按键所产生的按键消息直接传给Sensor Hub，且该TUI启动专用按键组合仅供可信操作系统查询，该种方式更通用，更易扩展，利于TUI的规模应用。另外，本实施例中，复用既有物理按键的方式也不会影响物理按键本身既有的处理逻辑，也就是说，用于启动TUI的处理机制与当前物理按键本身的处理机制不会产生冲突，彼此之间相互兼容。

示例2，第二元件指示可信用户界面

本实施例中，第二元件指示可信用户界面的方式，是指在终端设备显示可信用户界面时，通过指示装置的同步通知以使用户感知当前显示的界面为安全界面。

图12为本申请一实施例提供的可信用户界面的显示方法，该方法应用于终端设备，该终端设备包括富执行环境REE、可执行环境TEE和第二元件，其中，REE中运行有第一应用，第二元件连接TEE。参见图12所示，该方法包括以下步骤S1201~S1202。

S1201，终端设备接收对第一应用的第一操作，第一操作用于请求显示第一应用的可信用户界面。

本实施例中，步骤S1201中的具体内容参见前述步骤S501中的内容，本实施例不做赘述。

S1202，终端设备响应于第一操作，通过TEE控制显示可信用户界面，并通过TEE控制第二元件按照第一模式运行，第二元件按照第一模式运行时，用于唯一指示可信用户界面。

其中，第二元件可以是终端设备中新增的指示装置，也可以是终端设备本身固有的至少一个指示装置。

需要说明的是，本实施例中，终端设备在未显示可信用户界面的情况下，不控制第二元件按照第一模式运行。

在一些实施例中，第二元件是终端设备中新增的指示装置，比如，TUI专用指示灯或者TUI专用音频播放器等。也就是说，新增的指示装置仅用于指示可信用户界面，不作为其他指示用途。在该种情况下，第一模式包括新增的指示装置启动运行，比如TUI专用指示灯亮起。

在本实施例的一种实现方式中，参见图13A所示，该第二元件连接TEE包括：新增的指示装置仅与TEE中的可信操作系统直接连接。当终端设备通过TEE控制显示可信用户界面的同时，控制该新增的指示装置同步启动运行。

在本实施例的另一种实现方式中，参见图13B所示，该第二元件连接TEE包括：新增的指示装置仅通过传感集线器中的指示装置判断模块与TEE中的可信操作系统连接。当终端设备通过TEE控制显示可信用户界面的同时，通过传感集线器中的指示装置判断模块控制该新增的指示装置同步启动运行。

在另一些实施例中，第二元件是终端设备本身固有的至少一个指示装置，比如闪光灯、喇叭等。该种情况下，第一模式包括至少一个指示装置中的同一指示装置按照预设模式运行，比如，控制闪光灯按照预设频率闪烁，控制喇叭播放预设频率的音频；或者至少一个指示装置中的不同指示装置按照第二顺序依次运行，比如，控制闪光灯在闪烁一次后，控制喇叭播放一次音频等。

在本实施例的一种实现方式中，参见图13C所示，该第一元件连接TEE包括：至少一个指示装置通过传感集线器中的指示装置判断模块与TEE中的可信操作系统连接。当终端设备通过TEE控制显示可信用户界面的同时，通过传感集线器中的指示装置判断模块控制该至少一个指示装置按照第一模式运行。其中，该第一模式与至少一个指示装置本身既有的运行模式不同，为一种区别于其他运行模式之外的运行过程，该第一模式运行的情况下仅用于指示可信用户界面。

本实施例中，第二元件可以通过可信操作系统与TEE直接连接，也可以通过传感集线器中的指示装置判断模块与TEE连接。无论是哪种连接方式，该第二元件仅能够被TEE中的可信操作系统控制，REE侧的恶意应用无法控制该第二元件。

以下结合第二元件连接TEE的不同方式对本示例提供的可信用户界面的显示方法进行详细的解释说明。

图14为本申请一实施例提供的可信用户界面的显示方法的示意性流程图，涉及新增的指示装置通过图13A所示的连接方式与TEE连接时，通过新增的指示装置指示可信用户界面的过程。参见图14所示，该方法包括以下步骤S1401~S1405。

S1401，第一应用响应于第一操作，向可信应用发送通知消息，该通知消息用于指示可信应用向可信操作系统发送请求显示可信用户界面的请求消息。

S1402，可信应用在接收到通知消息后向可信操作系统发送请求消息，该请求消息用于请求可信操作系统显示可信用户界面。

S1403，可信操作系统在接收到请求消息后，控制显示可信用户界面，并向新增的指示装置发送第一指示消息，该第一指示消息用于指示新增的指示装置启动运行。

示例性的，以第一应用为银行APP为例，在银行APP的转账流程中，参见图15中（a）图所示，银行APP响应于用户在转账界面中点击操作控件下一步的第一操作后，显示如图15中（b）图所示的可信用户界面，并在显示该可信用户界面的同时，通过向新增的指示装置发送第一指示消息以指示其启动运行，比如，向TUI专用指示灯发送第一指示消息以指示TUI专用指示灯亮起，或者向TUI专用音频播放器发送第一指示消息以指示TUI专用音频播放器播放声音。

可选的，可信操作系统在显示可信用户界面时，在该可信用户界面上显示第二提示信息，该第二提示信息用于指示用户判断新增的指示装置是否按照第一模式运行，即启动运行。参见图16所示，该第二提示信息可以是“请注意，如果安全指示灯亮起，表明此为安全界面”。

本实施例中，可信用户界面可以是请用户输入密码的TUI，或者获取PIN码的TUI。用户通过可信用户界面中展示的输入框输入对应信息后，可信操作系统将该信息发送至可信应用，可信应用将其返回至第一应用，以使第一应用根据接收到信息完成对应的业务流程。

S1404，新增的指示装置在接收到第一指示消息后，启动运行。

新增的指示装置在接收到第一指示消息后，启动运行，比如，TUI专用指示灯在接收到第一指示消息后，亮起；或者，TUI专用音频播放器在接收到第一指示消息后，播放声音。

S1405，可信操作系统响应于第四操作，退出显示可信用户界面，并控制新增的指示装置关闭。

其中，第四操作可以是用户点击关闭可信用户界面的操作控件，或者用户在可信用户界面上完成输入操作后，点击完成的操作控件。

在一些实施例中，当用户关闭可信用户界面时，可信操作系统通过向新增的指示装置发送控制消息以控制其关闭，即停止按照第一模式运行。

在另一些实施例中，可信操作系统在识别到用户完成在可信用户界面的输入操作后，退出显示可信用户界面，并通过向新增的指示装置发送控制消息以控制其关闭，即停止按照第一模式运行。

本实施例中，由终端设备侧新增的指示装置指示TUI，新增的指示装置伴随TUI的显示而启动，从而避免TUI被非法UI替换而用户无法分辨，利于TUI的规模应用。通过“一灯指示安全界面”的方式，用户能够感知强烈，利于树立安全形象。另外，基于该新增的指示装置直接接入可信操作系统，因此，REE侧恶意应用无法控制该新增的指示装置，方案简单直接。

图17为本申请另一实施例提供的可信用户界面的显示方法的示意性流程图，涉及新增的指示装置通过图13B所示的连接方式与TEE连接时，通过新增的指示装置指示可信用户界面的过程。参见图17所示，该方法包括以下步骤S1701~S1707。

S1701，第一应用响应于第一操作，向可信应用发送通知消息，该通知消息用于指示可信应用向可信操作系统发送请求显示可信用户界面的请求消息。

S1702，可信应用在接收到通知消息后向可信操作系统发送请求消息，该请求消息用于请求可信操作系统显示可信用户界面。

S1703，可信操作系统在接收到请求消息后，控制显示可信用户界面，并向指示装置判断模块发送第一控制信息，该第一控制信息用于指示指示装置判断模块控制新增的指示装置启动运行。

可选的，可信操作系统在显示可信用户界面时，在该可信用户界面上显示第二提示信息，该第二提示信息用于指示用户判断新增的指示装置是否启动运行。

S1704，指示装置判断模块在接收到第一控制信息后，向新增的指示装置发送第一指示消息，该第一指示消息用于指示新增的指示装置启动运行。

S1705，新增的指示装置在接收到第一指示消息后，启动运行。

S1706，可信操作系统响应于第四操作，退出显示可信用户界面，并向指示装置判断模块发送指示信息，该指示信息用于指示指示装置判断模块控制新增的指示装置关闭。

S1707，指示装置判断模块接收到指示信息后，控制新增的指示装置关闭。

本实施例中，通过新增的指示装置指示TUI，该新增的指示装置通过Sensor Hub中的指示装置判断模块接入可信执行环境中，指示装置判断模块仅与可信操作系统以及新增的指示装置连接，因此，仅能够接收到可信操作系统的控制信息，从而控制指示装置的关闭或者启动。也就是说，新增的指示装置仅能够由可信操作系统通过Sensor Hub来控制，REE侧的恶意应用无法与之通信，进而无法控制该新增的指示装置，该方案更通用，更易扩展。

图18为本申请再一实施例提供的可信用户界面的显示方法的示意性流程图，涉及至少一个指示装置通过图13C所示的连接方式与TEE连接时，通过至少一个指示装置指示可信用户界面的过程。参见图18所示，该方法包括以下步骤S1801~S1807。

S1801第一应用响应于第一操作，向可信应用发送通知消息，该通知消息用于指示可信应用向可信操作系统发送请求显示可信用户界面的请求消息。

S1802，可信应用在接收到通知消息后向可信操作系统发送请求消息，该请求消息用于请求可信操作系统显示可信用户界面。

S1803，可信操作系统在接收到请求消息后，控制显示可信用户界面，并向指示装置判断模块发送第一控制信息，该第一控制信息用于指示指示装置判断模块控制至少一个指示装置按照第一模式运行。

S1804，指示装置判断模块在接收到第一控制信息后，向至少一个指示装置发送第一指示消息，所述第一指示消息用于指示至少一个指示装置按照第一模式运行。

S1805，至少一个指示装置在接收到第一指示消息后，按照第一运行模式运行。

示例性的，指示装置判断模块向指示灯发送第一指示消息，以指示指示灯按照预设频率闪烁，比如，每秒闪烁3~5次，或者每隔一秒闪烁一次，总共闪烁三次；或者指示装置判断模块向喇叭发送第一指示消息，以指示喇叭播放预设频率的音频，或者指示装置判断模块向指示灯和喇叭发送第一指示消息，以指示指示灯在闪烁一次后，控制喇叭播放一次音频等。

需要说明的是，本实施例中，基于第二元件是终端设备本身固有的至少一个指示装置，该至少一个指示装置通过指示装置判断模块与富操作系统连接，所以指示装置判断模块也能够接收到富操作系统发送的第二控制信息，并根据该第二控制信息控制至少一个指示装置执行对应的操作。基于此，指示装置判断模块根据接收到的控制信息控制至少一个指示装置时，首先对该控制信息的来源进行判断，若该控制信息来自于可信操作系统，则该控制信息为第一控制信息，根据该第一控制信息控制至少一个指示装置按照第一模式运行；若控制信息来自于富操作系统，则该控制信息为第二控制信息，根据该第二控制信息控制至少一个指示装置按照第二模式运行，比如，控制指示灯闪烁或者控制喇叭播放声音。其中，第二模式为第一模式之外的其他运行模式，即第二元件按照非第一模式运行的其他模式，与第一模式不同。也可以理解为，该第二模式为至少一个指示装置既有的运行模式。

在一些应用场景中，存在富操作系统向指示装置判断模块发送用于指示至少一个指示装置按照第一模式运行的第三控制信息。当指示装置判断模块接收到富操作系统发送的该第三控制信息后，判定该第三控制信息来自于富操作系统，而非来自于可信操作系统，此时，拒接执行对应操作，并向富操作系统返回错误报告。通过该种方式能够防止富执行环境中的恶意应用意图控制至少一个指示装置按照第一模式运行的问题。

可选的，可信操作系统在显示可信用户界面时，在该可信用户界面上显示第二提示信息，该第二提示信息用于指示用户判断至少一个指示装置是否按照第一模式运行。

S1806，可信操作系统响应于第四操作，退出显示可信用户界面，并向指示装置判断模块发送指示信息，该指示信息用于指示指示装置判断模块控制至少一个指示装置停止按照第一模式运行。

S1807，指示装置判断模块接收到指示信息后，控制至少一个指示装置停止按照第一模式运行。

本实施例中，以终端设备本身固有的至少一个指示装置按照第一模式的运行状态来指示TUI，充分利用指示装置的固有属性，比如频率等，“特定闪烁频率指示安全界面”，使得用户感知强烈，利于树立安全形象。至少一个指示装置按照专用闪烁频率时伴随TUI出现，从而避免TUI被非法UI替换而用户无法分辨，利于TUI的规模应用。而且至少一个指示装置的其他频率可指示其他业务，实现一灯多用。可信操作系统通过Sensor Hub控制该至少一个指示装置，方案更通用，更易扩展，REE侧恶意应用无法启用该专用闪烁频率。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本申请实施例还提供一种终端设备，该终端设备包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时被配置为执行上述各个实施例中示出的可信用户界面的显示方法。

本申请实施例还提供一种芯片，参见图19所示，该芯片包括处理器和存储器，该存储器中存储有计算机程序，该计算机程序被处理器执行时实现上述各实施例中的可信用户界面的显示方法。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现上述各实施例中提供的可信用户界面的显示方法。

本申请实施例还提供一种计算机程序产品，该程序产品包括计算机程序，当该计算机程序被终端设备运行时，使得终端设备实现上述各实施例中提供的可信用户界面的显示方法。

应理解，本申请实施例中提及的处理器可以是中央处理单元（centralprocessing unit，CPU），还可以是其他通用处理器、数字信号处理器（digital signalprocessor，DSP）、专用集成电路（application specific integrated circuit，ASIC）、现成可编程门阵列（field programmable gate array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器（read-only memory，ROM）、可编程只读存储器（programmable ROM，PROM）、可擦除可编程只读存储器（erasable PROM，EPROM）、电可擦除可编程只读存储器（electrically EPROM，EEPROM）或闪存。易失性存储器可以是随机存取存储器（random access memory，RAM），其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器（static RAM，SRAM）、动态随机存取存储器（dynamic RAM，DRAM）、同步动态随机存取存储器（synchronous DRAM，SDRAM）、双倍数据速率同步动态随机存取存储器（double datarate SDRAM，DDR SDRAM）、增强型同步动态随机存取存储器（enhanced SDRAM，ESDRAM）、同步连接动态随机存取存储器（synchlink DRAM，SLDRAM）和直接内存总线随机存取存储器（direct rambus RAM，DR RAM）。

在本申请所提供的实施例中，各个框架或模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个框架或模块可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

以上所述实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。

Claims (24)

1.一种可信用户界面的显示方法，其特征在于，应用于终端设备，所述终端设备包括富执行环境REE、可信执行环境TEE和第一元件，其中，所述REE中运行有第一应用，所述第一元件连接所述TEE，所述方法包括：

接收对所述第一应用的第一操作，所述第一操作用于请求显示所述第一应用的可信用户界面；

响应于所述第一操作，通过所述TEE检测第二操作；其中，所述第二操作为对所述第一元件的操作，所述第二操作用于显示所述可信用户界面；

在通过所述TEE检测到所述第二操作之后，显示所述可信用户界面。

2.根据权利要求1所述的方法，其特征在于，所述第一元件包括物理按键，所述第二操作包括所述物理按键被按下，在所述物理按键被按下时，向所述TEE发送中断消息。

3.根据权利要求2所述的方法，其特征在于，所述响应于所述第一操作，通过所述TEE检测第二操作，包括：

响应于所述第一操作，控制所述第一应用向所述TEE发送通知消息，所述通知消息用于通知所述TEE显示所述可信用户界面；

根据所述通知消息，通过所述TEE监听所述中断消息；

若通过所述TEE监听到所述中断消息，则确定检测到所述第二操作。

4.根据权利要求1所述的方法，其特征在于，所述第一元件包括至少一个物理按键，所述第二操作包括多次按下所述至少一个物理按键中的同一物理按键，或者按照第一顺序依次按下所述至少一个物理按键中的不同物理按键。

5.根据权利要求2或4所述的方法，其特征在于，所述终端设备还包括传感集线器，相应地，所述第一元件连接所述TEE，包括：

所述第一元件通过所述传感集线器连接所述TEE，所述第一元件被操作时向所述传感集线器发送操作信息，以使所述传感集线器根据所述操作信息生成操作记录。

6.根据权利要求5所述的方法，其特征在于，所述响应于所述第一操作，通过所述TEE检测第二操作，包括：

响应于所述第一操作，控制所述第一应用向所述TEE发送通知消息，所述通知消息用于通知所述TEE显示所述可信用户界面；

根据所述通知消息，控制所述TEE向所述传感集线器发送查询消息，所述查询消息用于指示所述传感集线器查询所述第一元件的操作记录，所述操作记录是所述传感集线器根据接收到的所述操作信息生成的；

在所述传感集线器查询到所述操作记录，并且确定所述操作记录是由所述第二操作产生时，控制所述传感集线器向所述TEE返回确认信息；

若识别到所述TEE接收到所述确认信息，则确定检测到所述第二操作。

7.根据权利要求6所述的方法，其特征在于，在所述第一元件包括至少一个物理按键时，所述至少一个物理按键还通过所述传感集线器连接所述REE。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

通过所述传感集线器检测第三操作；其中，所述第三操作为对所述至少一个物理按键的操作，且所述第三操作与所述第二操作不同；

在通过所述传感集线器检测到所述第三操作后，控制所述REE处理所述第三操作对应的操作信息。

9.根据权利要求1~4、6~8任一项所述的方法，其特征在于，在所述接收对所述第一应用的第一操作之后，所述响应于所述第一操作，通过所述TEE检测第二操作之前，所述方法还包括：

显示第一提示信息，所述第一提示信息用于指示用户在第一预设时间内执行所述第二操作。

10.根据权利要求1~4、6~8任一项所述的方法，其特征在于，所述在通过所述TEE检测到所述第二操作之后，显示所述可信用户界面，包括：

在第二预设时间内通过所述TEE检测到所述第二操作之后，显示所述可信用户界面。

11.一种可信用户界面的显示方法，其特征在于，应用于终端设备，所述终端设备包括富执行环境REE、可信执行环境TEE和第二元件，其中，所述REE中运行有第一应用，所述第二元件连接所述TEE，所述方法包括：

接收对所述第一应用的第一操作，所述第一操作用于请求显示所述第一应用的可信用户界面；

响应于所述第一操作，通过所述TEE控制显示所述可信用户界面，并通过所述TEE控制所述第二元件按照第一模式运行，所述第二元件按照所述第一模式运行时，用于唯一指示所述可信用户界面。

12.根据权利要求11所述的方法，其特征在于，所述第二元件为指示装置，所述通过所述TEE控制所述第二元件按照第一模式运行，包括：

通过所述TEE向所述第二元件发送第一指示消息，所述第一指示消息用于指示所述第二元件启动运行；

根据所述第一指示消息启动所述第二元件。

13.根据权利要求11或12所述的方法，其特征在于，所述响应于所述第一操作，通过所述TEE控制显示所述可信用户界面，并通过所述TEE控制所述第二元件按照第一模式运行，包括：

响应于所述第一操作，控制所述第一应用向所述TEE发送通知消息，所述通知消息用于通知所述TEE显示所述可信用户界面；

根据所述通知消息，通过所述TEE控制显示所述可信用户界面，并通过所述TEE向所述第二元件发送第一指示消息，所述第一指示消息用于指示所述第二元件按照所述第一模式运行；

控制所述第二元件在接收到所述第一指示消息后，按照所述第一模式运行。

14.根据权利要求11所述的方法，其特征在于，所述第二元件为至少一个指示装置，所述第一模式包括所述至少一个指示装置中的同一指示装置按照预设模式运行，或者所述至少一个指示装置中的不同指示装置按照第二顺序依次运行。

15.根据权利要求12或14所述的方法，其特征在于，所述终端设备还包括传感集线器，相应地，所述第二元件连接所述TEE，包括：

所述第二元件通过所述传感集线器连接所述TEE。

16.根据权利要求15所述的方法，其特征在于，所述响应于所述第一操作，通过所述TEE控制显示所述可信用户界面，并通过所述TEE控制所述第二元件按照第一模式运行，包括：

响应于所述第一操作，控制所述第一应用向所述TEE发送通知消息，所述通知消息用于通知所述TEE显示所述可信用户界面；

根据所述通知消息，通过所述TEE控制显示所述可信用户界面，并通过所述TEE向所述传感集线器发送第一控制信息，所述第一控制信息用于指示所述传感集线器控制所述第二元件按照所述第一模式运行；

控制所述传感集线器在接收到所述第一控制信息后，向所述第二元件发送第一指示消息，所述第一指示消息用于指示所述第二元件按照所述第一模式运行；

控制所述第二元件在接收到所述第一指示消息后，按照所述第一模式运行。

17.根据权利要求16所述的方法，其特征在于，在所述第二元件为至少一个指示装置时，所述至少一个指示装置还通过所述传感集线器连接所述REE。

18.根据权利要求17所述的方法，其特征在于，所述方法还包括：

通过所述传感集线器接收所述REE发送的第二控制信息，所述第二控制信息用于指示所述至少一个指示装置按照第二模式运行，所述第二模式与所述第一模式不同；

控制所述传感集线器在接收到所述第二控制信息时，向所述第二元件发送第二指示消息，所述第二指示消息用于指示所述第二元件按照所述第二模式运行；

控制所述第二元件在接收到所述第二指示消息后，按照所述第二模式运行。

19.根据权利要求16~18任一项所述的方法，其特征在于，在所述第二元件为至少一个指示装置时，所述方法还包括：

通过所述传感集线器接收所述REE发送的第三控制信息，所述第三控制信息用于指示所述传感集线器控制所述至少一个指示装置按照所述第一模式运行；

控制所述传感集线器向所述REE返回错误信息，并拒绝控制所述至少一个指示装置按照所述第一模式运行。

20.根据权利要求11、12、14、16~18任一项所述的方法，其特征在于，所述响应于所述第一操作，通过所述TEE显示所述可信用户界面，并通过所述TEE控制所述第二元件按照第一模式运行，还包括：

通过所述TEE显示第二提示信息，所述第二提示信息用于指示用户判断所述第二元件是否按照所述第一模式运行。

21.根据权利要求11、12、14、16~18任一项所述的方法，其特征在于，所述方法还包括：

在所述可信用户界面退出显示时，通过所述TEE控制所述第二元件停止按照所述第一模式运行。

22.一种终端设备，其特征在于，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求1~21任一项所述的方法。

23.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1~21任一项所述的方法。

24.一种芯片，其特征在于，所述芯片包括处理器和存储器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1~21任一项所述的方法。