KR101076903B1 - 시스템내 그래픽 사용자 인터페이스에 높은 보증 실행환경 제공 - Google Patents

시스템내 그래픽 사용자 인터페이스에 높은 보증 실행환경 제공 Download PDF

Info

Publication number
KR101076903B1
KR101076903B1 KR1020040070274A KR20040070274A KR101076903B1 KR 101076903 B1 KR101076903 B1 KR 101076903B1 KR 1020040070274 A KR1020040070274 A KR 1020040070274A KR 20040070274 A KR20040070274 A KR 20040070274A KR 101076903 B1 KR101076903 B1 KR 101076903B1
Authority
KR
South Korea
Prior art keywords
user interface
graphical user
execution environment
interface element
display
Prior art date
Application number
KR1020040070274A
Other languages
English (en)
Other versions
KR20050039530A (ko
Inventor
윌맨브라이언엠.
츄크리스튼엠.
아브라함이단
로버츠폴씨.
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20050039530A publication Critical patent/KR20050039530A/ko
Application granted granted Critical
Publication of KR101076903B1 publication Critical patent/KR101076903B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • User Interface Of Digital Computer (AREA)
  • Digital Computer Display Output (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Stored Programmes (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

제1 호스트 오퍼레이팅 시스템이 제2 높은 보증 오퍼레이팅 시스템과 함께 이용되는 시스템에서 표시되고 있는 그래픽 사용자 인터페이스 엘리먼트들을 위한 보안을 제공하는 기술들이 개시되며, 제1 시스템은 제2 시스템을 위한 기반 구조의 적어도 일부를 제공한다. 높은 보증 오퍼레이팅 시스템과 관련된 그래픽 사용자 인터페이스 엘리먼트들이 감추어지는 것과 부분적으로 투명해지는 것을 방지한다. 부가적으로, 높은 보증 오퍼레이팅 시스템과 관련된 그래픽 사용자 인터페이스 엘리먼트들에 의한 명령에 따라 표시될 수 있는 시크릿 정보의 일부분이 저장된다. 높은 보증 오퍼레이팅 시스템과 관련된 모든 그래픽 사용자 인터페이스 엘리먼트들 중 표시되는 엘리먼트들을 조정하는 것은, 위장 엘리먼트들이 아닌, 높은 보증 오퍼레이팅 시스템과 관련된 적법한 엘리먼트들을 식별하는데 또한 도움이 된다. 윈도잉 시스템이 사용되는 경우, 공중 타이틀 정보가 호스트 오퍼레이팅 시스템 윈도잉 시스템에 제공되어, 높은 보증 오퍼레이팅 시스템에서 작동하는 프로세스에 의해 소유된 윈도를 식별한다. 동일한 윈도와 관련된 사설 타이틀 정보는 높은 보증 오퍼레이팅 시스템에서만 이용된다.
보안, 호스트, 보증, 오퍼레이팅 시스템, 그래픽 사용자 인터페이스,

Description

시스템내 그래픽 사용자 인터페이스에 높은 보증 실행 환경 제공{PROVIDING A GRAPHICAL USER INTERFACE IN A SYSTEM WITH A HIGH-ASSURANCE EXECUTION ENVIRONMENT}
도 1은 본 발명의 특징들이 구현될 수도 있는 예시적인 컴퓨팅 환경의 블록도이다.
도 2는 서로간의 상호작용 및 분리를 유지하는 두 개의 예시적인 실행 환경의 블록도이다.
도 3(a)는 표시부의 블록도이다.
도 3(b)는 본 발명의 실시예에 따른 표시부의 블록도이다.
도 4는 표시부에 표시된 데이터의 보안을 유지하기 위한 방법의 순서도이다.
도 5는 표시부에 표시된 데이터의 보안을 유지하기 위한 방법의 순서도이다.
도 6은 본 발명의 실시예에 따른 표시부의 블록도이다.
도 7은 표시부에 표시된 데이터의 보안을 유지하기 위한 방법의 순서도이다.
도 8은 표시부에 표시된 데이터의 보안을 유지하기 위한 방법의 순서도이다.
<도면의 주요 부분에 대한 부호의 설명>
300 : 표시부
310 : 넥서스 그래픽
320 : 호스트 그래픽
600 : 넥서스 시스템 사용자 인터페이스 영역
610 : 윈도 데코레이션
본 발명은 컴퓨터 보안 분야에 관한 것이다. 보다 구체적으로 설명하면, 본 발명은 다수의 실행 환경(예를 들어, 오퍼레이팅 시스템들)을 그래픽 사용자 인터페이스를 구비한 단일 컴퓨팅 디바이스에서 이용하는 것에 관한 것으로서, 그래픽 사용자 인터페이스 엘리먼트들은 다수의 실행 환경 각각에서의 프로세스들에 의해 소유된다.
현대의 컴퓨팅에 있어서, 컴퓨터상에서 수행될 수 있는 많은 작업들은 어느 정도 레벨의 보안을 요구한다. 어느 정도 레벨의 보안을 제공하기 위하여, 몇몇 옵션(option)들이 존재한다. 그 중 하나는, 불안전한 엘리먼트들로부터 완전하게 분리된 컴퓨터에서 모든 안전한 애플리케이션들을 수행하거나, 또는 가상 머신 모니터(VMM : virtual machine monitor)를 이용하여, 단일 컴퓨터 시스템에서 작동하는 두 개의 실행 환경들(예를 들어, 오퍼레이팅 시스템들)을 완전하게 분리하는 것이다. 그러나, 이는 비실용적일 수도 있다. 안전한 실행 환경은, 보안이 보증되지 않은 애플리케이션들을 이용하는 리소스(resource)들을 비용 또는 편리함의 이유로 공유할 필요가 존재할 수도 있으며, 그러한 애플리케이션들과 리소스들은 공 격자로부터 공격받기 쉬울 수도 있다. 부가적으로, VMM이 이용되는 경우, VMM은 머신과 그 머신의 모든 디바이스들의 충분한 가상화를 요구하기 때문에(그로 인하여, VMM이 모든 디바이스를 위해 그 자신이 소유하고 있는 디바이스 드라이버를 제공하는 것을 요구함), VMM은, 거의 제한이 없을 정도로 다양한 디바이스들이 부가될 수 있는 아키텍처(architecture) 머신을 오픈(open)하는데 적합하지 않다.
리소스들을 두 개의 실행 환경들간에 공유하는 능력을 제공하는 방법은, 머신에서의 대부분의 프로세스들과 디바이스들을 제어하는 하나의 "메인" 오퍼레이팅 시스템 및 두 번째 오퍼레이팅 시스템이 또한 존재하는 컴퓨터 시스템을 제공하는 것이다. 어떤 제한된 작업들을 수행하는 두 번째 오퍼레이팅 시스템은, 메인 오퍼레이팅 시스템 쪽에 있는 작고, 제한된 목적의 오퍼레이팅 시스템이다. 오퍼레이팅 시스템을 "작고" 또는 "제한된 목적"으로 만드는 방법은, 작은 오퍼레이팅 시스템이 "메인" 오퍼레이팅 시스템으로부터 어느 정도의 기반 구조(예를 들어, 스케줄링 설비, 메모리 매니저, 디바이스 드라이버, 등)를 도입하도록 하는 것이다. VMM은 하나의 오퍼레이팅 시스템을 다른 오퍼레이팅 시스템으로부터 효과적으로 분리하기 때문에, VMM을 이용하여 기반 구조를 공유하는 것은 실용적이지 않다.
다른 기술들은, 오퍼레이팅 시스템들이 VMM을 이용하지 않으면서 동일한 머신에 나란히 존재하도록 한다. 그러한 기술들 중 하나는, 하나의 오퍼레이팅 시스템을 다른 오퍼레이팅 시스템을 위한 "호스트"로서 작동하게 하는 것이다("호스트"가 호스팅(hosting)하고 있는 오퍼레이팅 시스템은 "게스트"로 불린다). 이러한 경우, 호스트 오퍼레이팅 시스템은 게스트에게 메모리와 프로세서 타임과 같은 리 소스들을 제공한다. 또다른 기술은, "엑소커널(exokernel)"을 이용하는 것이다. 엑소커널은 디바이스들(예를 들어, 프로세서와 메모리)을 관리하고, 오퍼레이팅 시스템들간의 상호작용을 또한 관리하지만, VMM과는 다르게 전체 머신을 가상화하지 않는다. 엑소커널이 이용되는 시점은, 하나의 오퍼레이팅 시스템(예를 들어, "메인" 오퍼레이팅 시스템)이 다른 오퍼레이팅 시스템을 위한 많은 기반 구조를 제공하는 경우일 수도 있으며, 그러한 경우, 메인 오퍼레이팅 시스템은 "호스트"로서, 그리고 더 작은 오퍼레이팅 시스템은 "게스트"로서 간주될 수 있다. 호스팅 모델과 엑소커널 모델은, 유용한 타입의 상호작용을 기반 구조의 공유를 지원하는 오퍼레이팅 시스템들간에 허용한다.
그래서, 이러한 기술들은 컴퓨터 시스템에 적어도 두 개의 실행 환경을 제공하기 위해 이용될 수 있다. 그 중 하나는, 본 명세서에서 "넥서스(nexus)"로 인용된 "높은 보증" 오퍼레이팅 시스템일 수도 있다. 높은 보증 오퍼레이팅 시스템은 그의 행동에 대하여 어느 정도 레벨의 보증을 제공한다. 예를 들어, 넥서스가 채용되어, 정보를 넥서스의 외부 세계로 누설하지 않음을 보장하는 숨겨진 메모리를 제공함으로써, 그리고 승인된 애플리케이션들만을 넥서스하에서 실행하고, 숨겨진 메모리를 접속하도록 허용함으로써, 누설되지 않아야 하는 시크릿(secret) 정보(예를 들어, 암호키)를 이용하여 작업할 수도 있다.
실행 환경들 중 하나가 넥서스인 두 개의 실행 환경을 구비한 컴퓨터 시스템에서, 넥서스는 게스트 오퍼레이팅 시스템이고, 행동에 대하여 동일한 레벨의 보증을 제시하지 않는 두 번째 오퍼레이팅 시스템이 호스트 오퍼레이팅 시스템인 것이 바람직할 수도 있다. 이는 넥서스를 가능한 더 작게한다. 작은 넥서스는 더 높은 레벨의 신뢰를 그 넥서스에 의해 제공된 보증에 허용한다. 그러므로, 오퍼레이팅 시스템 기능들은 호스트 오퍼레이팅 시스템에 의해 작동된다.
호스트 오퍼레이팅 시스템에 의해 작동될 수도 있는 오퍼레이팅 시스템 중 하나는 윈도잉(windowing) 시스템이다. 윈도잉 시스템을 이용할 때, 사용자의 표시는, 애플리케이션으로부터 정보를 표시하는 스크린상의 영역들인 윈도들을 이용하여 표시될 것이다.
윈도잉 시스템이 넥서스에 의해서라기 보다는 호스트 오퍼레이팅 시스템에 의해서 작동될 때, 공격받기 쉽다. 그러한 공격 중 하나는 스푸프(spoof)로서 알려져 있다. 스푸프는, 몇몇 하드웨어, 시스템 소프트웨어, 애플리케이션 또는 에이전트(agent) 소프트웨어, 또는 주어진 윈도가 신뢰할 수 있는 엔티티(entity)가 아님에도, 신뢰할 수 있는 엔티티라고 사용자에게 믿게하는 공격이다. 공격자는 신뢰할 수 있는 엔티티를 스푸핑한다. 이는 사용자 사용 증명을 훔치거나, 또는 높은 보증의 엔티티를 이용하고 있다고 생각하는 사용자에 의해 기입된 민감한 성질의 다른 데이터를 포착하기 위해 이용될 수 있다.
예를 들어, 넥서스가 로그-인 스크린을 구비한 뱅킹(banking) 프로그램을 작동하는 시스템에서, 공격자는, 호스트 오퍼레이팅 시스템에서 작동하고, 뱅킹 프로그램의 로그-인 스크린과 거의 정확한 것처럼 보이는 윈도를 표시하는 프로그램을 기록할 수도 있다. 사용자가 이러한 스푸프 윈도에 속으면, 사용자는 정보를 스푸프 윈도에 기입할 것이다. 이러한 정보는, 공격자에 의해 포착되고, 그 사용자에 대한 지식이 없더라도 공격자에 의해 이용될 수도 있다.
윈도잉 시스템은 스누커(snooker)로서 알려진 공격을 받기 쉽다. 스누커 공격에서, 공격자는 사용자 표시를 변경하여, 시스템이 안전하지 않더라도, 사용자에게 시스템이 안전한 것처럼 보이게 한다. 예를 들어, 컴퓨터 시스템은, 사용자가 시스템을 잠그거나 또는 컴퓨터가 동작하지 않도록 하는 능력을 포함할 수도 있다. 이러한 경우, 스누커 공격은 시스템이 잠겨져있거나 동작하지 않을 때 표시된 스크린을 모방한다. 시스템이 비활성 상태이고 안전하다고 생각하여 사용자가 주의하지 않을 때, 인증되지 않은 공격자가 그 시스템을 이용한다.
일반적으로, 적법한 넥서스 측 프로그램 또는 기능 시스템이 모니터상에 픽셀들의 패턴을 제공할 수 있더라도, 호스트 측의 공격 프로그램은 모방할 수 있다. 그러나, 넥서스의 높은 보증 성질을 유지하기 위하여, 사용자는 적합한 넥서스 측 사용자 인터페이스 그래픽 엘리먼트를 위조된 것들로부터 구분할 수 있어야 한다.
상술한 관점에서, 종래 기술의 단점들을 극복하는 시스템에 대한 필요성이 존재한다.
하나의 실시예에서, 안전 실행 환경(넥서스)과 두 번째 실행 환경(호스트)을 구비하는 시스템용 표시부상에 표시된 데이터는, 조합된 몇몇 기술들을 이용하여 안전하게 된다. 윈도들과 같은 그래픽 사용자 인터페이스 엘리먼트들은 넥서스에서 작동하는 프로세스와 관련되고, 다른 그래픽 사용자 인터페이스 엘리먼트들로부터 중첩되지 않으면서 표시된다.
부가적으로, 그래픽 사용자 인터페이스 엘리먼트에 표시되는 넥서스 사용자 시크릿이 유지된다. 이러한 표시는 계속적으로, 또는 요청이 있는 경우에는 선택적으로 발생할 수 있다. 부가적으로, 윈도 데코레이션들은, 사용자의 마인드(mind)를 안전한 윈도와 연계하고, 위장 윈도들을 좀더 명확하게 강조하기 위하여, 표시되고 있는 컬러 또는 그래픽 정보가 조정될 수도 있다. 이러한 데코레이션들은, 요청이 있는 경우 일정한 간격들에서 변경될 수 있거나, 또는 시스템 이벤트가 그러한 변경을 트리거(trigger)할 때 변경될 수 있다.
섀도 윈도가 대응 넥서스 윈도들을 위해 유지되는 경우, 사설 타이틀 정보는 넥서스 윈도를 위해 이용될 수도 있는 반면, 공중 타이틀은 섀도 윈도에서 이용된다. 이는, 타이틀들을 설정하여 어떤 정보가 불안전한 섀도 윈도로 부여될 것인지를 선택하는 프로세스를 넥서스에게 허용한다.
본 발명의 다른 특징들은 이하에서 설명될 것이다.
개요
환경들 중 하나가 어떤 표준의 보안을 유지하는 높은 보증 실행 환경인 두 개의 실행 환경, 예를 들어 오퍼레이팅 시스템들이 단일 머신에서 나란히 작동할 때, 사용자는, 표시되고 있는 그래픽 사용자 인터페이스 엘리먼트들이 높은 보증 오퍼레이팅 시스템에서 작동하는 프로세스들과 관련되는 것인지를 식별하는 것이 중요할 수도 있다. 전술한 바와 같이, 호스트 측(높지 않은 보증) 실행 환경을 통해 그래픽 UI 엘리먼트를 표시하는 공격자는, 그래픽 사용자 인터페이스 엘리먼트 가 높은 보증 프로세서로부터 발생하는 UI 엘리먼트임을 사용자에게 확신시키려고 시도할 수도 있다. 그러한 공격들을 방지하기 위하여, 본 발명은, 사용자가 그래픽 사용자 인터페이스 엘리먼트들이 높은 보증 실행 환경에서 유래된 것인지를 식별하도록 하는 기술들을 제공한다.
예시적인 컴퓨팅 환경
도 1은 본 발명이 구현될 수 있는 적절한 컴퓨팅 시스템 환경(100)의 예를 나타낸다. 컴퓨팅 시스템 환경(100)은 단지 적절한 컴퓨팅 환경의 일 예이며 본 발명의 사용 또는 기능의 범위에 제한을 가하도록 의도된 것은 아니다. 컴퓨팅 환경(100)은 예시적인 오퍼레이팅 환경(100)에 도시된 컴포넌트들 중의 임의의 하나 또는 조합에 관하여 임의의 종속성(dependency) 또는 요구사항(requirement)을 갖는 것으로 해석되어서는 안된다.
본 발명은 많은 다른 범용 또는 특수목적 컴퓨팅 시스템 환경들 또는 구성들과 함께 동작될 수 있다. 본 발명과 함께 사용하기에 적합할 수 있는 잘 알려진 컴퓨팅 시스템, 환경, 및/또는 구성의 예로는, 퍼스널 컴퓨터, 서버 컴퓨터, 핸드헬드(hand-held) 또는 랩탑 디바이스, 멀티프로세서 시스템, 마이크로프로세서-기반 시스템, 셋 톱 박스(set top box), 프로그램가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 상기의 시스템 또는 디바이스 중의 임의의 것을 포함하는 분산형 컴퓨팅 환경 등이 포함될 수 있지만, 이에 한정되지 않는다.
본 발명은 컴퓨터에 의해 실행되는, 프로그램 모듈과 같은 컴퓨터 실행가능 명령과 일반적으로 관련하여 기술될 수 있다. 일반적으로, 프로그램 모듈은 특정 태스크를 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 객체, 컴포넌트, 데이터 구조 등을 포함한다. 본 발명은 또한 통신 네트워크 또는 다른 데이터 전송 매체를 통해 링크된 원격 프로세싱 디바이스에 의해 태스크를 수행하는 분산형 컴퓨팅 환경에서 실행될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈 및 그외 데이터는 메모리 저장 디바이스를 포함하는 로컬 및 원격 컴퓨터 저장 매체 내에 위치할 수 있다.
도 1을 참조하면, 본 발명을 구현하기 위한 예시적인 시스템은 컴퓨터(110)의 형태의 범용 컴퓨팅 디바이스를 포함한다. 컴퓨터(110)의 컴포넌트들로는, 프로세싱 유닛(120), 시스템 메모리(130), 및 시스템 메모리를 포함하는 다양한 시스템 컴포넌트를 프로세싱 유닛(120)에 연결시키는 시스템 버스(121)가 포함될 수 있지만, 이에 한정되는 것은 아니다. 프로세싱 유닛(120)은 멀티-쓰레디드 프로세서상에 지원된 다중 논리 프로세싱 유닛들을 나타낼 수도 있다. 시스템 버스(121)는 다양한 버스 아키텍처 중의 임의의 것을 사용하는 로컬 버스, 주변 버스, 및 메모리 버스 또는 메모리 컨트롤러를 포함하는 몇 가지 유형의 버스 구조 중의 임의의 것일 수 있다. 예로서, 이러한 아키텍처는 산업 표준 아키텍처(ISA) 버스, 마이크로 채널 아키텍처(MCA) 버스, 인핸스드 ISA(Enhanced ISA; EISA) 버스, 비디오 일렉트로닉스 표준 어소시에이션(VESA) 로컬 버스, 및 (메자닌(Mezzanine) 버스로도 알려진) 주변 컴포넌트 상호접속(PCI) 버스를 포함하지만, 이에 한정되는 것은 아니다. 시스템 버스(121)는 통신 디바이스들간의 포인트-투-포인트 커넥션, 스위칭 파이버 채널 등으로서 또한 구현될 수도 있다.
컴퓨터(110)는 통상적으로 다양한 컴퓨터 판독가능 매체를 포함한다. 컴퓨터 판독가능 매체는 컴퓨터(110)에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수 있으며, 휘발성 및 비휘발성 매체, 분리형(removable) 및 비분리형(non-removable) 매체를 둘다 포함한다. 예로서, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함할 수 있지만, 이에 한정되는 것은 아니다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 둘다 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래쉬 메모리 또는 기타 메모리 기술, CD-ROM, DVD(digital versatile disk) 또는 기타 광학 디스크 저장디바이스, 자기 카세트, 자기 테이프, 자기 디스크 저장디바이스 또는 기타 자기 저장디바이스, 또는 컴퓨터(110)에 의해 액세스될 수 있고 원하는 정보를 저장하는 데 사용될 수 있는 임의의 기타 매체를 포함할 수 있지만, 이에 한정되지 않는다. 통신 매체는 통상적으로 반송파 또는 기타 전송 메카니즘 등의 변조된 데이터 신호에 컴퓨터 판독가능 명령, 데이터 구조, 프로그램 모듈, 또는 다른 데이터를 구현하며, 임의의 정보 전달 매체를 포함한다. "변조된 데이터 신호"라는 용어는 신호 내에 정보를 인코딩하도록 설정되거나 변환된 특성을 하나 또는 그 이상을 갖는 신호를 의미한다. 예로서, 통신 매체는 유선 네트워크 또는 직접 유선 접속 등의 유선 매체와, 음향, RF, 적외선 및 기타 무선 매체 등의 무선 매체를 포함하지만, 이에 한정되지 않는다. 상술한 것들 중 임의의 조합이 컴퓨터 판독가능 매체의 범위 내에 또한 포함되어야 한다.
시스템 메모리(130)는 ROM(131) 및 RAM(132) 등의 휘발성 및/또는 비휘발성 메모리 형태의 컴퓨터 저장 매체를 포함한다. 시동중과 같은 때에 컴퓨터(110) 내의 구성요소들간에 정보를 전송하는 것을 돕는 기본 루틴을 포함하는 기본 입출력 시스템(133; BIOS)은 일반적으로 ROM(131)에 저장된다. RAM(132)은 일반적으로 프로세싱 유닛(120)에 즉시 액세스될 수 있고 및/또는 프로세싱 유닛(120)에 의해 현재 작동되는 프로그램 모듈 및/또는 데이터를 포함한다. 예로서, (한정하고자 하는 것은 아님) 도 1은 오퍼레이팅 시스템(134), 애플리케이션 프로그램(135), 기타 프로그램 모듈(136), 및 프로그램 데이터(137)를 도시한다.
컴퓨터(110)는 또한 다른 분리형/비분리형, 휘발성/비휘발성 컴퓨터 저장 매체를 포함할 수 있다. 단지 예로서, 도 1에는 비분리형 비휘발성 자기 매체로부터 판독하거나 그 자기 매체에 기록하는 하드 디스크 드라이브(140), 분리형 비휘발성 자기 디스크(152)로부터 판독하거나 그 자기 디스크에 기록하는 자기 디스크 드라이브(151), 및 CD-ROM 또는 기타 광학 매체 등의 분리형 비휘발성 광학 디스크(156)로부터 판독하거나 그 광학 디스크에 기록하는 광학 디스크 드라이브(155)가 도시되어 있다. 예시적인 오퍼레이팅 환경에서 사용될 수 있는 다른 분리형/비분리형, 휘발성/비휘발성 컴퓨터 저장 매체는 자기 테이프 카세트, 플래쉬 메모리 카드, DVD(Digital versatile disk), 디지털 비디오 테이프, 고체 RAM, 고체 ROM 등을 포함하지만 이에 한정되지 않는다. 하드 디스크 드라이브(141)는 일반적으로 인터페이스(140)와 같은 비분리형 메모리 인터페이스를 통해 시스템 버스(121)에 접속되고, 자기 디스크 드라이브(151) 및 광학 디스크 드라이브(155)는 일반적으로 인터페이스(150)와 같은 분리형 메모리 인터페이스에 의해 시스템 버스(121)에 접속된다.
앞서 기술되고 도 1에 도시된 드라이브 및 그 관련 컴퓨터 저장 매체는 컴퓨터(110)를 위한 컴퓨터 판독가능 명령, 데이터 구조, 프로그램 모듈 및 기타 데이터의 저장을 제공한다. 도 1에서, 예를 들어, 하드 디스크 드라이브(141)는 오퍼레이팅 시스템(144), 애플리케이션 프로그램(145), 기타 프로그램 모듈(146), 및 프로그램 데이터(147)를 저장하는 것으로 도시된다. 이들 컴포넌트는 오퍼레이팅 시스템(134), 애플리케이션 프로그램(135), 기타 프로그램 모듈(136), 및 프로그램 데이터(137)와 동일할 수도 있고 다를 수도 있다. 오퍼레이팅 시스템(144), 애플리케이션 프로그램(145), 다른 프로그램 모듈(146), 및 프로그램 데이터(147)는 최소한 다른 복사본(different copies)임을 나타내기 위하여 다른 번호를 부여하였다. 사용자는 일반적으로 마우스, 트랙볼, 또는 터치 패드라 불리우는 포인팅 디바이스(161) 및 키보드(162)와 같은 입력 디바이스를 통해 컴퓨터(110)에 명령 및 정보를 입력할 수 있다. (도시되지 않은) 기타 입력 디바이스는 마이크로폰, 조이스틱, 게임 패드, 위성 안테나, 스캐너 등을 포함할 수 있다. 이들 입력 디바이스 및 그외의 입력 디바이스는 시스템 버스에 연결된 사용자 입력 인터페이스(160)를 통해 종종 프로세싱 유닛(120)에 접속되지만, 병렬 포트, 게임 포트 또는 유니버설 시리얼 포트(USB) 와 같은 기타 인터페이스 및 버스 구조에 의해 접속될 수 있다. 모니터(191) 또는 다른 유형의 디스플레이 디바이스는 또한 비디오 인터페이스 (190) 등의 인터페이스를 통해 시스템 버스(121)에 접속된다. 모니터외에도, 컴퓨터는 또한 출력 주변 인터페이스(195)를 통해 접속될 수 있는 스피커(197) 및 프린터(196) 등의 기타 주변 출력 디바이스를 포함할 수 있다.
컴퓨터(110)는 원격 컴퓨터(180)와 같은 하나 이상의 원격 컴퓨터로의 논리적 접속을 이용한 네트워크 환경에서 동작할 수 있다. 원격 컴퓨터(180)는 퍼스널 컴퓨터, 서버, 라우터, 네트워크 PC, 피어(peer) 디바이스, 또는 기타 공통 네트워크 노드일 수 있으며, 비록 도 1 에는 메모리 저장 디바이스(181)만이 도시되어 있지만, 컴퓨터(110)에 관하여 상술한 구성요소 중 다수 또는 모든 구성요소를 일반적으로 포함할 수 있다. 도시된 논리적 접속은 근거리 통신망(LAN; 171) 및 원거리 통신망(WAN; 173)을 포함하지만, 그 외의 네트워크를 포함할 수도 있다. 이러한 네트워크 환경은 사무실, 기업 광역 컴퓨터 네트워크(enterprise-wide computer network), 인트라넷, 및 인터넷에서 일반적인 것이다.
LAN 네트워크 환경에서 사용되는 경우, 컴퓨터(110)는 네트워크 인터페이스 또는 어댑터(170)를 통해 LAN(171)에 접속된다. WAN 네트워크 환경에서 사용되는 경우, 컴퓨터(110)는 일반적으로 인터넷 등의 WAN(173)을 통해 통신을 구축하기 위한 모뎀(172) 또는 기타 수단을 포함한다. 내장형 또는 외장형일 수 있는 모뎀(172)은 사용자 입력 인터페이스(160) 또는 기타 적절한 메카니즘을 통해 시스템 버스(121)에 접속될 수 있다. 네트워크 환경에서, 컴퓨터(110)에 관하여 도시된 프로그램 모듈 또는 그 일부분은 원격 메모리 저장 디바이스에 저장될 수 있다. 예로서(한정하고자 하는 것은 아님), 도 1은 메모리 디바이스(181)에 상주하는 원 격 애플리케이션 프로그램(185)을 도시한다. 도시된 네트워크 접속은 예시적인 것이며, 컴퓨터들간의 통신 링크를 구축하는 그 외의 수단이 사용될 수 있다.
단일 머신내 다수의 컴퓨팅 환경
전술한 바와 같이, 두 개의 오퍼레이팅 시스템이 단일 컴퓨팅 디바이스에서 나란히 실행될 수 있음은 본 기술 분야에 알려져 있다. 본 발명은, 어떤 레벨의 분리를 두 개의 오퍼레이팅 시스템간에 제공하면서, 어떤 레벨의 상호작용을 두 개의 오퍼레이팅 시스템간에 제공하는 것이다.
도 2는 두 개의 오퍼레이팅 시스템(134(1),134(2))이 단일 컴퓨터(110)에서 실행되는 시스템을 나타낸다. 소정의 타입의 논리적 분리(202)가 오퍼레이팅 시스템들(134(1),134(2))간에 존재하여, 어느 정도의 상호작용(204)이 오퍼레이팅 시스템들(134(1),134(2))간에 허용되는 반면, 오퍼레이팅 시스템들 중 적어도 하나는, 다른 오퍼레이팅 시스템에서 발생되는 이벤트(event)들에 대하여 보호된다. 도 2의 예에서, 오퍼레이팅 시스템(134(1))은 호스트 오퍼레이팅 시스템이고, 오퍼레이팅 시스템(134(2))은 게스트 오퍼레이팅 시스템, 예를 들어 상술한 "넥서스"이다. 이전에 주목한 바와 같이, 오퍼레이팅 시스템(134(2))이 넥서스일 때, 분리(202)를 구성하는 것이 바람직하며, 오퍼레이팅 시스템(134(2))은 오퍼레이팅 시스템(134(1))의 기반 구조를 도입하기 위하여 오퍼레이팅 시스템(134(1))과 상호작용할 수 있으면서, 오퍼레이팅 시스템(134(1))에서 발생하여 오퍼레이팅 시스템(134(2))을 그의 행동 명세에 반대인 방식으로 행동하도록 할 수도 있는 액션(action)들로부터 그 자신을 보호한다(그러나, 본 발명은 오퍼레이팅 시스템(134(2))이 넥서스 인 경우로 제한되지는 않음을 이해하게될 것이다).
오퍼레이팅 시스템들(134(1),134(2))간의 분리(202)는 보안 모니터의 도움으로 임의적으로 시행될 수도 있다. 보안 모니터는, 오퍼레이팅 시스템들(134(1),134(2)) 외부의 컴포넌트이며, 오퍼레이팅 시스템(134(1))으로부터 오퍼레이팅 시스템(134(2))을 보호하기 위해 이용될 수도 있는 몇몇 보안 서비스들을 제공한다. 예를 들어, 보안 모니터는, 어떤 하드웨어의 액세스를 제어할 수도 있고, 메모리의 이용을 관리할 수도 있으며(오퍼레이팅 시스템(134(2))에 메모리의 일부분들의 독점적인 이용을 부여함), 또는 오퍼레이팅 시스템(134(1))으로부터 오퍼레이팅 시스템(134(2))으로 데이터의 통신을 안전한 방식으로 촉진시킬 수도 있다. 보안 모니터를 이용하는 것은, 오퍼레이팅 시스템(134(2))이 오퍼레이팅 시스템(134(1))으로부터 보호될 수 있는 방법에 대한 하나의 모델을 의미하지만, 보안 모니터의 이용이 요구되지는 않음을 주목해야 한다. 또다른 예로서, 오퍼레이팅 시스템(134(2))은 오퍼레이팅 시스템(134(1))으로부터 그 자신을 보호하는데 필요한 모든 기능성을 포함할 수 있다.
도 2는 "호스트"로서의 오퍼레이팅 시스템(134(1))과, "게스트"로서의 오퍼레이팅 시스템(134(2))을 나타냄을 주목해야 한다. 일반적으로, 이러한 특징은, 이 예에서 오퍼레이팅 시스템(134(1))이 오퍼레이팅 시스템들(134(1),134(2))에 의해 이용되는 오퍼레이팅 시스템 기반 구조(예를 들어, 디바이스 드라이버들, 스케줄링, 등)를 제공하며, 오퍼레이팅 시스템(134(2))은 이러한 기반 구조가 부족하지만, 오히려 오퍼레이팅 시스템(134(1))의 기반 구조를 이용하는 "게스트"인 사실을 나타낸다. 그러나, 오퍼레이팅 시스템을 "호스트" 또는 "게스트"로 만드는 파라미터들은 유동적임을 주목해야 한다. 더욱이, "호스트" 및 "게스트" 오퍼레이팅 시스템들의 전통적인 개념은, 호스트는 게스트의 액션들로부터 그 자신을 보호할 필요가 있음을 추정하는 점에 주목해야 한다. 그러나, 도 2의 예에서, 게스트 오퍼레이팅 시스템(134(2))은, 호스트 오퍼레이팅 시스템(134(1))으로부터 그 자신을 보호할 필요가 있는 높은 보증 오퍼레이팅 시스템인 것으로 추정된다. 다음의 예에서, 일반적으로 오퍼레이팅 시스템(134(1))을 "호스트"로서, 오퍼레이팅 시스템(134(2))을 "게스트" 또는 "넥서스"로서 간주하여 그들을 구분할 것이다. 본 명세서에서 설명된 기술들은 동일한 머신(또는 동일한 세트의 접속된 머신들)에서 작동하는 두 개 이상의 오퍼레이팅 시스템의 상호작용에 적용될 수 있음을 인식해야 한다.
그래픽 사용자 인터페이스를 단일 머신상의 다수의 컴퓨팅 환경에 제공
사용자가 높은 보증 오퍼레이팅 시스템을 포함하는 컴퓨터 시스템상의 프로그램들과 상호작용할 때, 사용자는 사용자 입력 디바이스, 예를 들어 마우스(16) 또는 키보드(162)(도 1 참조)를 이용한다. 전술한 바와 같이, 호스트 오퍼레이팅 시스템(134(1))에서 작동하는 윈도잉 시스템이, 입력된 이벤트들의 스트림의 수신지를 제어하도록 하는 것은, 위험에 노출된 호스트 오퍼레이팅 시스템 또는 애플리케이션을 이용하는 공격을 허용할 수도 있다. 윈도 또는 다른 그래픽 사용자 인터페이스 엘리먼트는, 넥서스 오퍼레이팅 시스템(134(2))에서 작동하는 적법한 넥서스 측 프로세스를 모방하려고 시도할 수도 있는 호스트 측 프로세스에 의해 사용자 에게 표시될 수도 있다. 그러므로, 본 발명의 실시예에 따르면, 적법한 호스트 측 윈도들 및 다른 그래픽 사용자 인터페이스 엘리먼트들의 일관성과 식별가능성을 보호하기 위한 기술들이 구현된다. 본 발명의 다양한 실시예들에서, 이러한 기술들 중 하나 또는 전부가 함께 구현된다.
감춤 및 투명화
호스트 측 및 넥서스 측 프로세스들이 그래픽들, 예를 들어 윈도들 및 다른 사용자 인터페이스 엘리먼트들을 표시부상에 표시할 수 있는 경우, 공격은, 적법한 넥서스 측 프로세스 그래픽의 전부 또는 일부를 호스트 측 프로세스 그래픽을 이용하여 감춤으로써 이루어질 수 있다. 도 3(a)는 표시부의 블록도이다. 도 3(a)에서, 표시부(300)상의 넥서스 그래픽들(310)은 넥서스 오퍼레이팅 시스템(134(2))에서 작동하는 넥서스 프로세스들에 소유된 그래픽들이다. 호스트 그래픽들(320)은 호스트 오퍼레이팅 시스템(134(1))에서 작동하는 호스트 프로세스들에 소유된 그래픽들이다. 도 3(a)에 도시한 바와 같이, 호스트 그래픽들(320)이 넥서스 그래픽들(310) 위에 표시되는 경우, 넥서스 그래픽들은 호스트 그래픽들(320)에 의해 감추어질 수도 있다. 이러한 경우, 공격은, 넥서스 그래픽(310)의 일부분 또는 전부를 호스트 그래픽(320)을 이용하여 감춤으로써 시작될 수도 있다. 부가적으로, 넥서스 그래픽(310)이 호스트 그래픽(320)을 감추지만, 부분적으로 투명한 경우, 호스트 그래픽(320)은, 넥서스 그래픽(310)의 출현을 혼동시키는 방식으로 변경하기 위해 이용될 수도 있다.
하나의 실시예에서, 그러한 공격들은, 모든 넥서스 그래픽들(310)이 감추어 지지 않게함으로써, 그리고 넥서스 그래픽들(310)에서의 임의의 투명화를 금지시킴으로써 예방된다. 그래서, 도 3(a)에 도시한 상황에 대해서는 넥서스 그래픽들(310)이 감추어지지 않을 것이다. 도 3(b)는 넥서스 그래픽(310)의 감출을 금지하는 도면이다. 도 3(b)에서, 두 개의 넥서스 그래픽(310) 각각은 완전하게 보여지며, 넥서스 그래픽(310)의 호스트 그래픽(320)에 의한 중첩은 허용되지 않는다. 더욱이, 하나의 실시예에서, 투명성(완전한 투명성 또는 부분적인 투명성)은 넥서스 그래픽(310)에 허용되지 않는다.
하나의 실시예에서, 다른 프로세스에 대한 하나의 넥서스 측 프로세스로부터의 유사한 공격들을 방지하기 위하여, 넥서스 그래픽들(310)은 중첩되지 않을 수도 있다. 윈도잉 시스템에서, 하나의 실시예는, 넥서스 측 프로세스에 의해 끌릴 수도 있는 마우스 커서가 넥서스 그래픽(310) 전반에 걸쳐 표시되고 있을 때 넥서스 측 그래픽(310)을 중첩하도록 허용될 수도 있는 예외가 존재한다.
또다른 실시예에서, 넥서스 측 프로세스가 두 개 이상의 사용자 인터페이스 그래픽 엘리먼트, 예를 들어 두 개의 윈도, 또는 윈도와 다이얼로그 박스를 소유하면, 보안 이슈(issue)는, 그 엘리먼트들을 중첩하도록 하는 상황에 관련되지 않는다. 그래서, 하나의 공통 소유 사용자 인터페이스 그래픽 엘리먼트는, 넥서스 프로세스에 의해 소유된 또다른 공통 소유 사용자 인터페이스 그래픽 엘리먼트를 중첩하도록 허용된다. 또다른 실시예에서, 공통 소유되는 상위 레벨의 그래픽 UI 엘리먼트들은 중첩하도록 허용되지 않지만, 상위 레벨의 UI 엘리먼트는, 그 상위 레벨 UI 엘리먼트의 자식(child) UI 엘리먼트에 의해 중첩될 수도 있다. 예를 들어, 이러한 실시예에서, 상위 레벨 윈도의 자식 UI 엘리먼트인 다이얼로그 박스는 그 윈도를 중첩할 수 있다.
하나의 실시예에서, 어떤 사용자 인터페이스 그래픽 엘리먼트들이 넥서스 측 사용자 인터페이스 그래픽 엘리먼트들인지를 검증하기 위하여, 가설 사용자 상호작용이 제공되어, 스크린으로부터 모든 비(非)넥서스 측 사용자 인터페이스 그래픽 엘리먼트들을 제거한다. 가설 사용자 상호작용은, 컴퓨터 시스템 환경에서 항상 특정한 결과가 되는 사용자 상호작용이다. 그래서, 보안 표시 가설 사용자 상호작용, 예를 들어 키스트로크(keystroke) 조합이 발생할 때, 전체 표시부는 넥서스 측 사용자 인터페이스 그래픽 엘리먼트들을 제외하고 클리어(clear)된다.
도 4는 이러한 방법의 순서도이다. 단계 400에서, 안전한 실행 환경(넥서스 에이전트)에서 작동하는 프로세스와 관련된 넥서스 그래픽 사용자 인터페이스 엘리먼트 영상이 저장된다. 단계 410에서, 임의의 호스트 사용자 인터페이스 엘리먼트들에 의해 감추어지지 않은 넥서스 그래픽 사용자 인터페이스 엘리먼트 영상이 완전하게 표시된다. 다른 실시예들에서, 그 프로세스와 관련된 엘리먼트들과는 다른 그래픽 사용자 인터페이스 엘리먼트들(호스트 또는 사용자)은 넥서스 그래픽 사용자 인터페이스 엘리먼트를 감출 수 없다.
시크릿 공유
하나의 실시예에서, 전술한 스푸핑 공격을 방지하기 위하여, 호스트 측으로부터 숨겨진 시크릿이 표시된다. 호스트 측의 프로세스는 시크릿을 액세스할 수 없으므로, 윈도 또는 다른 그래픽 사용자 인터페이스 엘리먼트가 시크릿을 표시할 수 있다면, 그것은 호스트 측 그래픽 사용자 인터페이스 엘리먼트이다.
하나의 실시예에서, 시크릿은 사용자에 의해 넥서스와 통신한다. 이러한 넥서스 사용자 시크릿은 신뢰 초기화 시간, 예를 들어 사용자에 의해 패스워드가 설정될 때 넥서스와 통신할 수도 있다. 그래픽 사용자 인터페이스 엘리먼트는 넥서스 사용자 시크릿을 항상 또는 시도할 때마다 표시할 수도 있다.
넥서스 측의 신뢰 윈도 매니저는 넥서스 측의 프로세스들에 의해 그래픽 사용자 인터페이스 엘리먼트들의 표시를 제어한다. 신뢰 윈도 매니저는 윈도 데코레이션(decoration), 예를 들어 윈도들의 보더(border)와 타이틀(title)을 또한 책임진다. 하나의 실시예에서, 넥서스 사용자 시크릿은 일반적으로 넥서스내 프로세스들과 공유되지 않는다. 그러나, 신뢰 윈도 매니저에 의해 윈도 데코레이션내에 표시된다. 대안적인 실시예에서, 넥서스 사용자 시크릿은, 사용자가 윈도로부터 넥서스 사용자 시크릿을 요청할 때 표시된다. 이러한 요청은, 가설 사용자 상호작용을 통해 윈도상에서 또렷하게 이루어질 수도 있다. 예를 들어, 키스트로크들의 특정 조합은, 윈도가 넥서스 사용자 시크릿을 또렷하게 표시하도록 하는 가설 사용자 상호작용일 수도 있다. 대안적으로, 윈도는, 마우스 또는 키스트로크들에 의해 선택될 때 유효 넥서스 그래픽(310)이 넥서스 사용자 시크릿을 표시하도록 하는 드롭(drop) 다운 메뉴 또는 활성 영역을 포함할 수도 있다.
넥서스 사용자 시크릿은 영상 또는 구문(phrase)일 수도 있다. 영상은 유용한 넥서스 사용자 시크릿일 수 있는데, 사용자에 의해 쉽게 식별되고, 묘사하기 힘들기 때문이다. 넥서스 사용자 시크릿으로서 이용하기 위해 사용자에 의해 선택된 영상이, 예를 들어 사용자의 집 앞에 있는 사용자의 개의 사진이면, 그 사진은, 사용자 스크린상의 영상을 관찰하는 공격자에 의해 묘사될 수도 있지만, 그 정보를 이용하여 공격자가 영상을 재생성하거나, 영상의 복사본을 발견하기는 어렵다.
도 5는 이러한 방법의 순서도이다. 단계 500에서, 넥서스와 관련된 넥서스 사용자 시크릿이 저장된다. 단계 510에서, 넥서스 사용자 시크릿 엘리먼트 영상은 넥서스 그래픽 사용자 인터페이스 엘리먼트의 부분으로서 표시된다.
계속적인 시크릿 변경
상술한 바와 같이, 하나의 실시예에서 신뢰 윈도 매니저는, 모든 넥서스 측 프로세스들이 그들의 사용자 인터페이스 그래픽 엘리먼트들을 표시하는 매개물이며, 사용자 인터페이스 그래픽 엘리먼트들상의 윈도 데코레이션, 예를 들어 보더들만을 책임진다. 하나의 실시예에서, 윈도 데코레이션은 계속 업데이트된 짧은 용어 시크릿을 포함한다. 이와 같이 계속 업데이트된 시크릿은 비(非)넥서스 윈도들에 액세스 불가능하므로, 비(非)호스트 윈도를 식별하기 위해 이용될 수 있다.
예를 들어, 각각의 넥서스 사용자 인터페이스 그래픽 엘리먼트의 보더가 특정한 컬러(color)이고, 그 컬러가 15초마다 변하는 경우, 주어진 윈도 보더가 다른 넥서스 사용자 인터페이스 그래픽 엘리먼트들과 매치하지 않을 때, 그 윈도는 넥서스 측 사용자 인터페이스 그래픽 엘리먼트들이 아니다는 점이 사용자에게 명백해질 것이다. 다른 계속 업데이트된 시크릿들은, 작은 그래픽들, 윈도 데코레이션에 표시된 아이콘들, 그림 문자들, 또는 문자들의 조합, 16진 또는 뉴메릭(numeric) 스트링(string)들을 포함할 수도 있다. 사용자에 의해 상당히 쉽게 주목된 상위점 (discrepancy)들과 시각적으로 비교될 수 있는 정보의 임의의 부분이 이용될 수도 있다.
하나의 실시예에서, 넥서스 시스템 사용자 인터페이스 영역은 넥서스 그래픽(310)이 표시될 때마다 표시부상에 유지된다. 이러한 사용자 인터페이스 영역은, 표시되고 있는 넥서스 그래픽들(310)에 관한 정보를 열거한다. 예를 들어, 사용자 인터페이스 영역은, 표시되고 있는 넥서스 그래픽들(310)의 개수, 또는 표시되고 있는 넥서스 그래픽들(310)의 이름(예를 들어, 윈도 타이틀)을 열거할 수도 있다. 넥서스 그래픽들(310)의 데코레이션에 공유된 시크릿은 넥서스 시스템 사용자 인터페이스 영역에서 또한 표시된다. 도 6은 본 발명의 하나의 실시예에 따른 표시부의 블록도이다. 도 6에서, 세 개의 그림 문자
Figure 112004039993731-pat00001
로 구성되는 시리즈(series)는, 표시부(300)상의 각 넥서스 그래픽(310)의 윈도 데코레이션(610)에 표시된다. 동일한 세트의 세 개 그림 문자들을 포함하는 넥서스 시스템 인터페이스 영역(600)이 또한 표시된다. 이는, 윈도가 넥서스 측 프로세스에 의해 표시되고 있다는 사용자 확인을 인정한다.
시크릿의 변경은, 다른 실시예들에서 전술한 것처럼, 15초마다 변하는 컬러 보더와 같이 시간에 기초할 수도 있는 반면, 시크릿은, 가설 사용자 상호작용을 통해 사용자가 시크릿을 요청하는 시점, 또는 시스템 이벤트, 예를 들어 하나의 윈도로부터 다른 윈도로의 포커스(focus)의 변경이 발생하는 시점에 변경된다.
도 7은 이러한 방법의 순서도이다. 단계 700에서, 적어도 두 개의 넥서스 그래픽 데이터 엘리먼트가 허용된다. 윈도잉 시스템에서, 이들은 윈도 데코레이션 들과 함께 윈도 영상을 구성할 것이다. 단계 710에서, 두 개의 넥서스 그래픽 사용자 인터페이스 엘리먼트(예를 들어, 윈도들)가 표시되는데, 그 각각은, 각각의 윈도에 공통인 데코레이션 외에, 그래픽 데이터 엘리먼트들 중 하나를 포함한다.
윈도 타이틀들-공중 및 사설
전술한 바와 같이, 신뢰 윈도 매니저는, 모든 넥서스 측 프로세스들이 그들의 사용자 인터페이스 그래픽 엘리먼트들을 표시하는 매개물로서 이용될 수 있다. 그러나, 호스트 측 윈도 매니저는 호스트 측 프로세스들의 사용자 인터페이스 그래픽 엘리먼트들의 표시를 관리하기 위해 이용될 수 있다. 하나의 실시예에서, 각각의 넥서스 측 사용자 인터페이스 그래픽 엘리먼트(예를 들어, 넥서스 그래픽(310))를 위해, 대응 섀도(shadow) 그래픽 사용자 인터페이스 엘리먼트들은 호스트 측 윈도 매니저에 의해 유지된다. 이로 인하여, 호스트 측 윈도 매니저는 표시부(300)의 어떤 영역들이 넥서스 그래픽들(310)에 의해 이용되고 있는지를 인식한다. 전술한 바와 같이 감춤 및 투명화가 금지될 때, 이는, 호스트 측 윈도 매니저를 위한 유용한 정보일 수도 있으므로, 눈에 보이는 윈도들은 이러한 영역들에 배치되지 않는다. 그러나, 넥서스 그래픽들(310)에 대한 제한된 정보만이 호스트 측에 보여진다.
그러므로, 하나의 실시예에서, 신뢰 윈도 매니저는, 넥서스 에이전트(넥서스에서 작동하는 프로세스)가 각각의 윈도 또는 다른 사용자 인터페이스 그래픽 엘리먼트를 위해 두 개의 타이틀을 설정하도록 한다. 하나의 타이들인 사설 타이틀은 신뢰 윈도 매니저를 통과하고, 윈도 관리 기능들과 넥서스 그래픽(310)에서의 표시 를 위해 이용된다. 이러한 사설 타이틀은 신뢰 윈도 매너저에 의해 임의의 호스트 측 프로세스들, 또는 윈도(또는 다른 엘리먼트)를 소유하는 넥서스 에이전트와는 다른 임의의 넥서스 측 프로세스들과 공유되지 않는다.
사설 타이틀 외에, 넥서스 에이전트는 공중 타이틀을 또한 명기할 수 있다. 이러한 공중 타이틀은, 호스트 측 윈도 매니저를 포함하는 호스트 측과 공유될 수도 있다. 공중 타이틀은 호스트 측 윈도 매니저에 의해 섀도 윈도를 위한 타이틀로서 이용될 수도 있다. 이러한 방식으로, 호스트 측 윈도 매니저는 공중 타이틀을 이용하여 윈도를 참조할 수 있으며, 공중 타이틀은, 비밀성을 침해할 수도 있는 정보는 포함하지 않으면서 사용자가 이해할 수 있도록 선택된다. 그래서, 호스트 측 윈도 매니저로 인하여, 사용자가 윈도를 선택하여 윈도들의 리스트(list)로부터 집중하는 경우, 섀도 윈도와 관련된 공중 타이틀은 선택할 옵션으로서 열거된다. 섀도 윈도가 선택될 때, 관련 신뢰 윈도가 활성화될 것이며, 관련 신뢰 윈도와 관련된 넥서스 에이전트가 사용자 입력의 포커스가 될 것이다.
도 8은 이러한 방법의 순서도이다. 단계 800에서, 공중 타이틀 정보와 사설 타이틀 정보는 넥서스 에이전트와 관련된 넥서스 그래픽 사용자 인터페이스 엘리먼트를 위해 저장된다. 단계 810에서, 사설 타이틀 정보는 신뢰 윈도 매니저의 윈도 관리 기능들을 위해 이용된다. 단계 820에서, 공중 타이틀 정보는 호스트 측에서의 이용을 위해 호스트에 제공된다.
결론
전술한 예들은 본 발명을 설명하기 위한 목적으로만 제공되었으며, 본 발명 을 제한하는 것으로 해석되어서는 안된다. 본 발명은 다양한 실시예들을 참조하여 설명되는 반면, 본 명세서에서 이용된 단어들은 제한된 단어들이기 보다는, 서술과 설명을 위한 단어들이다. 더욱이, 본 발명은 본 명세서에서 특정한 수단, 매체 및 실시예들을 참조하여 설명하였지만, 본 명세서에 개시된 특정물들에 한정되도록 의도하지 않으며; 오히려, 본 발명은 첨부된 클레임들의 범위내에 존재하는 모든 기능적인 동등 구조들, 방법들 및 활용들로 확장된다. 본 기술 분야의 숙련된 당업자들은, 다양한 수정물들을 달성할 수도 있으며, 본 발명의 범위와 사상을 벗어나지 않으면서 다양한 변형물들을 만들 수도 있다.
안전 실행 환경(넥서스)과 두 번째 실행 환경(호스트)을 구비하는 시스템용 표시부상에 표시된 데이터가 안전하게 된다. 그래픽 사용자 인터페이스 엘리먼트에 표시되는 넥서스 사용자 시크릿은 계속적으로, 또는 요청이 있는 경우에는 선택적으로 발생할 수 있다. 위장 윈도들을 좀더 명확하게 강조하기 위하여, 윈도 데코레이션들에 표시되고 있는 컬러 또는 그래픽 정보가 조정될 수도 있다. 이러한 데코레이션들은, 요청이 있는 경우 일정한 간격들에서 변경될 수 있거나, 또는 시스템 이벤트가 그러한 변경을 트리거할 때 변경될 수 있다.

Claims (30)

  1. 안전 실행 환경(secured execution environment)과 제2 실행 환경을 구비하는 시스템용 표시부 상에 표시된 데이터의 보안(security)을 유지하기 위한 방법으로서,
    상기 시스템 상에서, 상기 안전 실행 환경과 상기 제2 실행 환경을 동시에 동작시키는 단계;
    상기 안전 실행 환경에서 작동하는 제1 프로세스와 관련된 적어도 하나의 제1 그래픽 사용자 인터페이스 엘리먼트의 영상(image)을 저장하는 단계; 및
    상기 안전 실행 환경과 관련된 제1 시크릿(secret)을 포함하는 상기 표시부 상의 상기 제1 그래픽 사용자 인터페이스 엘리먼트를, 상기 제1 그래픽 사용자 인터페이스 엘리먼트의 어느 부분도 상기 제2 실행 환경과 관련된 제2 그래픽 사용자 인터페이스 엘리먼트에 의해 상기 표시부 상에서 감추어지지 않도록, 표시부 상에 완전하게 표시하는 단계
    를 포함하고, 상기 제1 시크릿은 사용자에 의해 상기 안전 실행 환경으로 전달되고 상기 제2 실행 환경 상의 제2 프로세스에 의해 액세스가능하지 않은, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  2. 제1항에 있어서,
    상기 제1 그래픽 사용자 인터페이스 엘리먼트를 표시하는 단계는, 상기 제1 그래픽 사용자 인터페이스 엘리먼트가 투명한 영역들을 포함하지 않음을 보증하는 단계를 포함하는, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  3. 제1항에 있어서,
    상기 제1 그래픽 사용자 인터페이스 엘리먼트를 표시부 상에 표시하는 단계는, 상기 제1 그래픽 사용자 인터페이스 엘리먼트의 어느 부분도 상기 안전 실행 환경에서 작동하는 제3 프로세스와 관련된 제2 그래픽 사용자 인터페이스 엘리먼트에 의해 감추어지지 않도록 상기 제1 그래픽 사용자 인터페이스 엘리먼트를 표시하는 단계를 포함하는, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  4. 제1항에 있어서,
    사용자 안전 표시 지시(indication)를 수신하여 상기 제1 그래픽 사용자 인터페이스 엘리먼트만을 상기 표시부 상에 표시하는 단계를 더 포함하는, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  5. 제1항에 있어서,
    사용자로부터 시크릿-표시(secret-display) 지시를 수용하는 단계; 및
    상기 시크릿-표시 지시의 수용에 응답하여 상기 제1 시크릿을 표시하는 단계
    를 더 포함하는 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  6. 제1항에 있어서,
    상기 표시부 상의 표시를 위하여 상기 안전 실행 환경에서 작동하는 프로세스와 각각 관련된 적어도 두 개의 그래픽 데이터 엘리먼트들을 수용하는 단계; 및
    적어도 두 개의 그래픽 사용자 인터페이스 엘리먼트들을 표시하는 단계
    를 포함하고,
    상기 그래픽 사용자 인터페이스 엘리먼트들 각각은 상기 그래픽 데이터 엘리먼트들 중 하나와 공통 그래픽 사용자 인터페이스 데코레이션을 포함하는, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  7. 제6항에 있어서,
    상기 공통 그래픽 사용자 인터페이스 데코레이션은 컬러 보더를 포함하는, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  8. 제6항에 있어서,
    상기 공통 그래픽 사용자 인터페이스 데코레이션은 하나 이상의 랜덤하게 선택된 영상을 포함하는, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  9. 제6항에 있어서,
    상기 공통 그래픽 사용자 인터페이스 데코레이션을 설정 시간 주기가 경과될 때 변경하는 단계
    를 더 포함하는 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  10. 제6항에 있어서,
    상기 공통 그래픽 사용자 인터페이스 데코레이션을 사용자 데코레이션 변경 지시가 수신될 때 변경하는 단계
    를 더 포함하는 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  11. 제1항에 있어서,
    상기 제1 그래픽 사용자 인터페이스 엘리먼트는 윈도를 포함하고, 상기 제1 그래픽 사용자 인터페이스 엘리먼트는 공중 타이틀(public title) 정보와 사설 타이틀(private title) 정보와 연관되며, 상기 사설 타이틀 정보는 상기 안전 실행 환경에서 상기 윈도를 식별하는데 이용되고, 상기 사설 타이틀 정보는 상기 제2 실행 환경에 알려지지 않으며,
    상기 제2 실행 환경에 의해 상기 윈도를 식별하는데 사용하기 위한 상기 공중 타이틀 정보를 제공하는 단계
    를 더 포함하는 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  12. 제11항에 있어서,
    상기 제2 실행 환경은 그래픽 사용자 인터페이스 엘리먼트들을 상기 표시부 상에서 관리하기 위한 호스트 윈도 매니저를 포함하고, 상기 호스트 윈도 매니저는 상기 제1 그래픽 사용자 인터페이스 엘리먼트를 위한 섀도(shadow) 그래픽 사용자 인터페이스 엘리먼트를 생성하며, 상기 공중 타이틀은 상기 호스트 윈도 매니저에 의해 이용되는, 표시부 상에 표시된 데이터의 보안을 유지하기 위한 방법.
  13. 안전 실행 환경과 제2 실행 환경을 구비하는 시스템용 표시부 상에 표시된 데이터의 보안을 유지하기 위한 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체로서,
    상기 컴퓨터 실행가능한 명령어들은,
    상기 안전 실행 환경에서 작동하는 제1 프로세스와 관련된 적어도 하나의 제1 그래픽 사용자 인터페이스 엘리먼트의 영상을 저장하는 액션; 및
    상기 안전 실행 환경과 관련된 제1 시크릿을 포함하는 상기 표시부 상의 상기 제1 그래픽 사용자 인터페이스 엘리먼트를, 상기 제1 그래픽 사용자 인터페이스 엘리먼트의 어느 부분도 상기 제2 실행 환경과 관련된 제2 그래픽 사용자 인터페이스 엘리먼트에 의해 상기 표시부 상에서 감추어지지 않도록, 표시부 상에 완전하게 표시하는 액션
    을 수행하고,
    상기 제1 시크릿은 사용자에 의해 상기 안전 실행 환경으로 전달되고 상기 제2 실행 환경 상의 제2 프로세스에 의해 액세스가능하지 않은, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  14. 제13항에 있어서,
    상기 제1 그래픽 사용자 인터페이스 엘리먼트를 표시하는 액션은, 상기 제1 그래픽 사용자 인터페이스 엘리먼트가 투명한 영역들을 포함하지 않음을 보증하는 액션을 포함하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  15. 제13항에 있어서,
    상기 제1 그래픽 사용자 인터페이스 엘리먼트를 표시부 상에 표시하는 액션은, 상기 제1 그래픽 사용자 인터페이스 엘리먼트의 어느 부분도 상기 안전 실행 환경에서 작동하는 제3 프로세스와 관련된 제2 그래픽 사용자 인터페이스 엘리먼트에 의해 감추어지지 않도록 상기 제1 그래픽 사용자 인터페이스 엘리먼트를 표시하는 액션을 포함하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  16. 제13항에 있어서,
    상기 컴퓨터 실행가능한 명령어들은,
    사용자 안전 표시 지시를 수신하여 상기 제1 그래픽 사용자 인터페이스 엘리먼트만을 상기 표시부 상에 표시하는 액션
    을 더 포함하여 수행하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  17. 제13항에 있어서,
    상기 컴퓨터 실행가능한 명령어들은,
    사용자로부터 시크릿-표시 지시를 수용하는 액션; 및
    상기 시크릿-표시 지시의 수용에 응답하여 상기 제1 시크릿을 표시하는 액션
    을 더 포함하여 수행하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  18. 제13항에 있어서,
    상기 컴퓨터 실행가능한 명령어들은,
    상기 표시부 상의 표시를 위하여 상기 안전 실행 환경에서 작동하는 프로세스와 각각 관련된 적어도 두 개의 그래픽 데이터 엘리먼트들을 수용하는 액션; 및
    적어도 두 개의 그래픽 사용자 인터페이스 엘리먼트들을 표시하는 액션
    을 더 포함하여 수행하고,
    상기 그래픽 사용자 인터페이스 엘리먼트들 각각은 상기 그래픽 데이터 엘리먼트들 중 하나와 공통 그래픽 사용자 인터페이스 데코레이션을 포함하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  19. 제18항에 있어서,
    상기 공통 그래픽 사용자 인터페이스 데코레이션은 컬러 보더를 포함하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  20. 제18항에 있어서,
    상기 공통 그래픽 사용자 인터페이스 데코레이션은 하나 이상의 랜덤하게 선택된 영상을 포함하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  21. 제18항에 있어서,
    상기 컴퓨터 실행가능한 명령어들은,
    상기 공통 그래픽 사용자 인터페이스 데코레이션을 설정 시간 주기가 경과될 때 변경하는 액션
    을 더 포함하여 수행하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  22. 제18항에 있어서,
    상기 컴퓨터 실행가능한 명령어들은,
    상기 공통 그래픽 사용자 인터페이스 데코레이션을 사용자 데코레이션 변경 지시가 수신될 때 변경하는 액션
    을 더 포함하여 수행하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  23. 제13항에 있어서,
    상기 제1 그래픽 사용자 인터페이스 엘리먼트는 윈도를 포함하고, 상기 제1 그래픽 사용자 인터페이스 엘리먼트는 공중 타이틀 정보와 사설 타이틀 정보와 연관되며, 상기 사설 타이틀 정보는 상기 안전 실행 환경에서 상기 윈도를 식별하는데 이용되고, 상기 사설 타이틀 정보는 상기 제2 실행 환경에 알려지지 않으며,
    상기 컴퓨터 실행가능 명령어들에 의해 수행가능한 액션은
    상기 제2 실행 환경에 의해 상기 윈도를 식별하는데 사용하기 위한 상기 공중 타이틀 정보를 제공하는 액션
    을 더 포함하는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  24. 제23항에 있어서,
    상기 제2 실행 환경은 그래픽 사용자 인터페이스 엘리먼트들을 상기 표시부 상에서 관리하기 위한 호스트 윈도 매니저를 포함하고, 상기 호스트 윈도 매니저는 상기 제1 그래픽 사용자 인터페이스 엘리먼트를 위한 섀도 그래픽 사용자 인터페이스 엘리먼트를 생성하며, 상기 공중 타이틀은 상기 호스트 윈도 매니저에 의해 이용되는, 컴퓨터 실행가능한 명령어들을 포함하는 컴퓨터 판독가능한 기록 매체.
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
KR1020040070274A 2003-10-23 2004-09-03 시스템내 그래픽 사용자 인터페이스에 높은 보증 실행환경 제공 KR101076903B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/691,759 2003-10-23
US10/691,759 US8122361B2 (en) 2003-10-23 2003-10-23 Providing a graphical user interface in a system with a high-assurance execution environment

Publications (2)

Publication Number Publication Date
KR20050039530A KR20050039530A (ko) 2005-04-29
KR101076903B1 true KR101076903B1 (ko) 2011-10-25

Family

ID=34394551

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040070274A KR101076903B1 (ko) 2003-10-23 2004-09-03 시스템내 그래픽 사용자 인터페이스에 높은 보증 실행환경 제공

Country Status (16)

Country Link
US (1) US8122361B2 (ko)
EP (1) EP1526424B1 (ko)
JP (1) JP4698195B2 (ko)
KR (1) KR101076903B1 (ko)
CN (1) CN1609809B (ko)
AT (1) ATE417324T1 (ko)
AU (1) AU2004214609B2 (ko)
BR (1) BRPI0404349A (ko)
CA (1) CA2482281A1 (ko)
DE (1) DE602004018248D1 (ko)
HK (1) HK1076518A1 (ko)
MX (1) MXPA04009837A (ko)
MY (1) MY142672A (ko)
RU (1) RU2376631C2 (ko)
TW (1) TW200516541A (ko)
ZA (1) ZA200407587B (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8122361B2 (en) 2003-10-23 2012-02-21 Microsoft Corporation Providing a graphical user interface in a system with a high-assurance execution environment
US7145573B2 (en) * 2003-12-19 2006-12-05 Texas Instruments Incorporated Method and system to combine a digital graphics object and a digital picture
US7721094B2 (en) * 2005-05-06 2010-05-18 Microsoft Corporation Systems and methods for determining if applications executing on a computer system are trusted
US8769433B2 (en) * 2005-05-13 2014-07-01 Entrust, Inc. Method and apparatus for protecting communication of information through a graphical user interface
US8422678B2 (en) * 2005-11-16 2013-04-16 Intel Corporation Method, apparatus and system for protecting security keys on a wireless platform
US20070110244A1 (en) * 2005-11-16 2007-05-17 Kapil Sood Method, apparatus and system for enabling a secure wireless platform
US8117441B2 (en) * 2006-06-20 2012-02-14 Microsoft Corporation Integrating security protection tools with computer device integrity and privacy policy
US8417868B2 (en) * 2006-06-30 2013-04-09 Intel Corporation Method, apparatus and system for offloading encryption on partitioned platforms
US9747426B2 (en) * 2006-08-31 2017-08-29 Invention Science Fund I, Llc Handling masquerading elements
US7913292B2 (en) * 2006-10-18 2011-03-22 Microsoft Corporation Identification and visualization of trusted user interface objects
US8561204B1 (en) * 2007-02-12 2013-10-15 Gregory William Dalcher System, method, and computer program product for utilizing code stored in a protected area of memory for securing an associated system
JP4998019B2 (ja) * 2007-03-06 2012-08-15 富士通株式会社 状態表示制御装置
US20080244262A1 (en) * 2007-03-30 2008-10-02 Intel Corporation Enhanced supplicant framework for wireless communications
FR2914457B1 (fr) 2007-03-30 2009-09-04 Ingenico Sa Procede et dispositif de visualisation securitaire
JP5004779B2 (ja) * 2007-12-11 2012-08-22 インターナショナル・ビジネス・マシーンズ・コーポレーション マルチウインドウ・システム、マルチウインドウ・システムのセキュリティ保護方法、及びマルチウインドウ・システムのセキュリティ保護プログラム
EP2113855A1 (de) 2008-04-28 2009-11-04 Forschungszentrum Karlsruhe GmbH Verfahren zur Verwaltung und Handhabung mehrerer Betriebssysteme in einem Computer oder Computernetzwerk
JP4886063B2 (ja) 2009-12-04 2012-02-29 株式会社エヌ・ティ・ティ・ドコモ 状態報知装置、状態報知方法及びプログラム
US8839138B1 (en) * 2009-12-21 2014-09-16 Symantec Corporation Systems and methods for transitioning between user interface environments
KR101651202B1 (ko) * 2009-12-21 2016-08-26 삼성전자주식회사 가상화 장치 및 가상화 장치의 동작 방법
WO2012090072A1 (en) * 2010-12-30 2012-07-05 France Telecom System and method for cross virtual machine execution of applications
DE102011018431A1 (de) * 2011-04-21 2012-10-25 Giesecke & Devrient Gmbh Verfahren zur Anzeige von Informationen auf einer Anzeigeeinrichtung eines Endgeräts
US9298910B2 (en) 2011-06-08 2016-03-29 Mcafee, Inc. System and method for virtual partition monitoring
DE102011115135A1 (de) 2011-10-07 2013-04-11 Giesecke & Devrient Gmbh Mikroprozessorsystem mit gesicherter Laufzeitumgebung
WO2013081406A1 (en) * 2011-12-02 2013-06-06 Samsung Electronics Co., Ltd. Method and apparatus for securing touch input
CN104252597B (zh) * 2013-06-25 2017-05-31 中国银联股份有限公司 一种指示移动设备操作环境的方法和能够指示操作环境的移动设备
WO2015156640A1 (en) 2014-04-11 2015-10-15 Samsung Electronics Co., Ltd. Method and device for controlling security screen in electronic device
KR102348217B1 (ko) * 2014-04-11 2022-01-10 삼성전자 주식회사 전자장치에서 보안화면을 제어하는 방법 및 장치
FR3026207B1 (fr) * 2014-09-22 2018-08-17 Prove & Run Terminal a affichage securise
CN104809379A (zh) * 2015-05-13 2015-07-29 上海瓶钵信息科技有限公司 基于屏幕分层管理的系统执行状态验证方法
US10108321B2 (en) * 2015-08-31 2018-10-23 Microsoft Technology Licensing, Llc Interface for defining user directed partial graph execution
EP3355188B1 (en) 2017-01-31 2021-08-25 OpenSynergy GmbH Instrument display on a car dashboard by checking frames of a gui by a realtime os
CN107390981B (zh) * 2017-07-21 2020-04-21 广州视源电子科技股份有限公司 一种全局菜单的控制方法、装置、设备和存储介质
RU185049U1 (ru) * 2018-06-09 2018-11-19 Общество с ограниченной ответственностью "ДЕПО Электроникс" Двухконтурный моноблочный комплекс

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
JPH06138969A (ja) 1992-10-27 1994-05-20 Hitachi Ltd 機密保護方式
US5590266A (en) 1994-10-11 1996-12-31 International Business Machines Corporation Integrity mechanism for data transfer in a windowing system
JPH08234953A (ja) 1995-02-28 1996-09-13 Canon Inc マルチウィンドウ表示制御装置
US5675755A (en) 1995-06-07 1997-10-07 Sony Corporation Window system preventing overlap of multiple always-visible windows
CA2197953C (en) * 1997-02-19 2005-05-10 Steve Janssen User interface and method for maximizing the information presented on a screen
KR100521252B1 (ko) 1997-06-16 2006-01-12 삼성전자주식회사 화면출력상태 제어기능을 갖는 컴퓨터 시스템 및 그 제어방법
JPH11272382A (ja) 1998-03-19 1999-10-08 Canon Inc コンピュータシステム
US6189103B1 (en) * 1998-07-21 2001-02-13 Novell, Inc. Authority delegation with secure operating system queues
US6314501B1 (en) * 1998-07-23 2001-11-06 Unisys Corporation Computer system and method for operating multiple operating systems in different partitions of the computer system and for allowing the different partitions to communicate with one another through shared memory
US6389542B1 (en) * 1999-10-27 2002-05-14 Terence T. Flyntz Multi-level secure computer with token-based access control
US20010032319A1 (en) * 2000-01-10 2001-10-18 Authentec, Inc. Biometric security system for computers and related method
US7023459B2 (en) * 2001-03-01 2006-04-04 International Business Machines Corporation Virtual logical partition terminal
US7114177B2 (en) * 2001-03-28 2006-09-26 Geotrust, Inc. Web site identity assurance
JP4291964B2 (ja) * 2001-04-19 2009-07-08 株式会社日立製作所 仮想計算機システム
US7127683B2 (en) * 2001-08-21 2006-10-24 The Boeing Company Method to detect application spoofing in mixed use avionics display
US20050044505A1 (en) * 2003-08-19 2005-02-24 Laney Clifton W. Creating an opaque graphical user interface window when a display unit is in an off state
US8122361B2 (en) 2003-10-23 2012-02-21 Microsoft Corporation Providing a graphical user interface in a system with a high-assurance execution environment
US8769433B2 (en) * 2005-05-13 2014-07-01 Entrust, Inc. Method and apparatus for protecting communication of information through a graphical user interface

Also Published As

Publication number Publication date
MXPA04009837A (es) 2005-04-28
RU2376631C2 (ru) 2009-12-20
KR20050039530A (ko) 2005-04-29
BRPI0404349A (pt) 2005-06-21
CN1609809A (zh) 2005-04-27
ATE417324T1 (de) 2008-12-15
JP2005129050A (ja) 2005-05-19
HK1076518A1 (en) 2006-01-20
RU2004131030A (ru) 2006-04-10
TW200516541A (en) 2005-05-16
EP1526424B1 (en) 2008-12-10
CN1609809B (zh) 2011-05-11
JP4698195B2 (ja) 2011-06-08
CA2482281A1 (en) 2005-04-23
ZA200407587B (en) 2006-05-31
AU2004214609B2 (en) 2010-01-14
DE602004018248D1 (de) 2009-01-22
US8122361B2 (en) 2012-02-21
MY142672A (en) 2010-12-15
AU2004214609A1 (en) 2005-05-12
US20050091486A1 (en) 2005-04-28
EP1526424A3 (en) 2005-07-27
EP1526424A2 (en) 2005-04-27

Similar Documents

Publication Publication Date Title
KR101076903B1 (ko) 시스템내 그래픽 사용자 인터페이스에 높은 보증 실행환경 제공
US7565535B2 (en) Systems and methods for demonstrating authenticity of a virtual machine using a security image
US7661126B2 (en) Systems and methods for authenticating a user interface to a computer user
US7721094B2 (en) Systems and methods for determining if applications executing on a computer system are trusted
US8756696B1 (en) System and method for providing a virtualized secure data containment service with a networked environment
JP4838505B2 (ja) 高い保証の実行環境を備えたシステムにおける信頼できるエージェントへの安全な入出力の提供
CA2482078C (en) Providing secure input to a system with a high-assurance execution environment
US8122496B2 (en) Secure display method and device
Fernandes et al. Tivos: Trusted visual i/o paths for android
Huang et al. A11y and Privacy don't have to be mutually exclusive: Constraining Accessibility Service Misuse on Android
Bove SoK: The Evolution of Trusted UI on Mobile
Fischer et al. A pattern for secure graphical user interface systems
Weber et al. Requirements and Design Guidelines for a Trusted Hypervisor Interface
Liu Enhanced Password Security on Mobile Devices.
Wang JailX protecting users from X applications

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140929

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150918

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160921

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170919

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180918

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190917

Year of fee payment: 9