WO2017092553A1

WO2017092553A1 - 用户界面切换方法和终端

Info

Publication number: WO2017092553A1
Application number: PCT/CN2016/105159
Authority: WO
Inventors: 姚冬冬
Original assignee: 华为技术有限公司
Priority date: 2015-11-30
Filing date: 2016-11-09
Publication date: 2017-06-08
Also published as: US11003745B2; CN110059500A; US20210224360A1; EP3376425B1; EP3376425A1; BR112018010716A8; US11874903B2; CN105528554A; EP3663954A1; BR112018010716A2; EP3376425A4; US20180276352A1; CN105528554B

Abstract

一种用户界面切换方法和终端，终端根据用户在CA界面上的第一操作，触发CA的TUI显示请求后，根据TUI显示请求，将CA的显示环境从REE切换到TEE，然后显示CA在TEE中的TA界面，此时，用户可以在TA界面上进行敏感信息的输入操作，而运行在REE中的恶意程序无法访问硬件设备来获取用户在TEE中的输入操作，从而通过上述方法进行用户输入操作时避免了用户的敏感信息被盗取的可能性，有效的提高了用户输入操作的安全性。

Description

用户界面切换方法和终端

本申请要求于2015年11月30日提交中国专利局、申请号为201510859719.5、发明名称为“用户界面切换方法和终端”的CN专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术，尤其涉及一种用户界面切换方法和终端。

背景技术

随着手机智能终端的普及，越来越多的用户直接通过手机在网上购物，但是随之而来的安全问题也会变得突出。由于现在主流的android等操作系统，对安装应用程序并不能做到严格的管控，一旦用户在无意间给手机安装了恶意程序，将有可能威胁到手机支付宝等软件的安全。

对于手机支付宝等支付软件，它们内部会有很多密码校验以及数据加密的机制来保证数据传输的安全，但是用户密码输入、用户账号输入等关键步骤却不可避免的暴露在操作系统的软件环境中，一旦这些输入操作被恶意程序截获，用户的密码、账号等敏感信息就有可能被盗取。

现有的防止恶意程序截获用户输入操作的方案是设置随机键盘，具体是通过在用户进行输入操作时随机打乱键盘上的按键顺序(即每次用户进行输入操作的键盘都是随机排序的)，来防止恶意程序盗取用户密码、账号等敏感信息。

但是，这种设置随机键盘的方案，只是增加了盗取用户密码、账号等敏感信息的难度，其仍然存在恶意程序读取随机键盘和用户输入操作的可能性，其安全性有待提高。

发明内容

针对现有技术的上述缺陷，本发明提供一种用户界面切换方法和终端，用以提高用户输入的安全性。

一方面，本发明实施例提供一种用户界面切换方法，该方法用于终端，终端上运行有客户应用CA，并部署了复杂执行环境和可信执行环境，该方法包括：终端根据用户在CA的CA界面上的第一操作，触发CA的可信用户界面TUI显示请求，然后根据TUI显示请求，将CA的显示环境从复杂执行环境切换到可信执行环境，显示CA在可信执行环境中的可信应用TA界面，以便用户在TA界面上进行敏感信息的输入操作。此时，运行在REE中的恶意程序无法访问硬件设备来获取用户在TEE中的输入操作，从而通过上述方法进行用户输入操作时避免了用户的敏感信息被盗取的可能性，有效的提高了用户输入操作的安全性。

结合第一方面，在第一方面的第一种可能的实施方式中，终端包括与显示相关的硬件设备，与显示相关的硬件设备用于显示CA界面和TA界面，上述根据TUI显示请求，将CA的显示环境从复杂执行环境切换到可信执行环境，包括：

根据CA的TUI显示请求，通过硬件设备在复杂执行环境中的驱动程序控制硬件设备退出当前的非安全模式，非安全模式为硬件设备在复杂执行环境中对应的运行模式；

根据第一切换信息，通过硬件设备在可信执行环境中的驱动程序控制硬件设备进入安全模式，第一切换信息用于指示硬件设备已退出非安全模式，安全模式为硬件在可信执行环境中对应的运行模式。

结合第一方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，上述显示CA在可信执行环境中的可信应用TA界面，包括：

在可信执行环境中运行与CA对应的TA；

通过调用处于安全模式的硬件设备，在可信执行环境中显示TA界面。

结合第一方面，在第一方面的第三种可能的实施方式中，上述方法还包括：根据非安全事件响应消息从当前的TA界面切换到复杂执行环境中的待处理事件的响应界面，非安全事件响应消息是由复杂执行环境中的待处理事件触发的；

根据响应反馈消息重新显示TA界面，响应反馈消息表示终端的用户通过响应界面完成非安全事件的处理。该方法可以在TUI显示的过程中及时处理非安全事件，灵活性高。

结合第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，终端包括与显示相关的硬件设备，与显示相关的硬件设备用于显示CA界面和TA界面，上述根据非安全事件响应消息从当前的TA界面切换到复杂执行环境中的待处理事件的响应界面，具体包括：

根据非安全事件响应消息触发TUI显示暂停请求；

根据TUI显示暂停请求，通过硬件设备在可信执行环境中的驱动程序控制硬件设备退出当前的安全模式，安全模式为硬件设备在可信执行环境中对应的运行模式；

根据第二切换信息，通过硬件设备在复杂执行环境中的驱动程序控制硬件设备进入非安全模式，第二切换信息用于指示硬件设备已退出安全模式，非安全模式为硬件在复杂执行环境中对应的运行模式；

通过调用切换到非安全模式的硬件设备，显示复杂执行环境中的待处理事件的响应界面。

结合第一方面、第一方面的第一至第四种任一种可能的实施方式，在第一方面的第五种可能的实施方式中，上述方法还包括：

根据TUI显示退出请求，从当前的TA界面切换到CA界面，TUI显示退出请求是由用户在TA界面上的第二操作触发的。该方法实现了从安全显示到非安全显示的切换，方便了用户进行后续的非安全界面操作。

结合第一方面的第五种可能的实施方式，在第一方面的第六种可能的实施方式中，终端包括与显示相关的硬件设备，上述根据TUI显示退出请求，从当前的TA界面切换到CA界面，具体包括：

根据TUI显示退出请求，通过硬件设备在可信执行环境中的驱动程序控制硬件设备退出当前的安全模式，安全模式为硬件设备在可信执行环境中对应的运行模式；

根据第三切换信息，通过硬件设备在复杂执行环境中的驱动程序控制硬件设备进入非安全模式，第三切换信息用于指示硬件设备已退出安全模式，非安全模式为硬件在复杂执行环境中对应的运行模式；

通过调用切换到非安全模式的硬件设备，在复杂执行环境中显示CA界面。

第二方面，本发明实施例提供一种终端，终端上运行有客户应用 CA，并部署了复杂执行环境和可信执行环境，该终端包括：

触发模块，用于根据用户在CA的CA界面上的第一操作，触发CA的可信用户界面TUI显示请求，CA界面为CA在复杂执行环境中的用户界面；

切换模块，用于根据TUI显示请求，将CA的显示环境从复杂执行环境切换到可信执行环境；

显示模块，用于显示CA在可信执行环境中的可信应用TA界面，TA界面被终端的用户用于输入个人信息。

结合第二方面，在第二方面的其他可能的实施方式中，终端中各模块的工作原理与上述第一方面各实施方式类似，具体可以参见上述第一方面的第一至第六种可能的实施方式。

第三方面，本发明实施例提供一种终端，终端上运行有客户应用CA，终端部署了复杂执行环境和可信执行环境，终端包括：处理器、存储器和用于显示所述终端的界面的硬件设备，存储器存储程序或指令，处理器通过调用存储器存储的程序或指令，用于：

根据用户在CA的CA界面上的第一操作，触发CA的可信用户界面TUI显示请求，CA界面为CA在复杂执行环境中的用户界面；

根据TUI显示请求，将CA的显示环境从复杂执行环境切换到可信执行环境；

控制所述硬件设备显示CA在可信执行环境中的可信应用TA界面，TA界面被终端的用户用于输入个人信息。

结合第三方面，在第三方面的其他可能的实施方式中，终端中处理器的工作原理与上述第一方面各实施方式类似，具体可以参见上述第一方面的第一至第六种可能的实施方式。

本发明实施例提供的用户界面切换方法和终端，终端根据用户在CA界面上的第一操作，触发CA的TUI显示请求后，根据TUI显示请求，将CA的显示环境从REE切换到TEE，然后显示CA在TEE中的TA界面，此时，用户可以在TA界面上进行敏感信息的输入操作，而运行在REE中的恶意程序无法访问硬件设备来获取用户在TEE中的输入操作，从而通过上述方法进行用户输入操作时避免了用户的敏感信息被盗取的可能性，有效的提高了用户输入操作的安全性。

附图说明

图1为REE和TEE的框架结构示意图；

图2为本发明提供的用户界面切换方法实施例一的流程示意图；

图3为本发明提供的终端的用户界面切换示意图；

图4为本发明提供的用户界面切换方法实施例二的流程示意图；

图5为本发明提供的用户界面切换方法实施例三的流程示意图；

图6为本发明提供的用户界面切换方法实施例四的流程示意图；

图7为本发明提供的用户界面切换方法实施例五的流程示意图；

图8为本发明提供的用户界面切换方法实施例六的流程示意图；

图9为本发明提供的终端实施例一的结构示意图；

图10为本发明提供的终端实施例二的结构示意图；

图11为本发明提供的终端实施例三的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例所述的终端可以是手机、个人数字助理(Personal Digital Assistant，PDA)、平板电脑等其他智能设备。终端上可以部署非安全运行环境和安全运行环境，其中，非安全运行环境为终端上的复杂执行环境(Rich Executable Environment，REE)，运行Android、iOS、Windows Phone等操作系统；安全运行环境为可信执行环境(Trust Executable Environment，TEE)，运行一个安全操作系统。其中，TEE访问的软硬件资源与REE是隔离的，终端上的软硬件资源可以分别标识为两种执行环境状态，标识为安全执行状态的软硬件资源只能由TEE执行环境所访问，标识为非安全执行状态的软硬件资源则可以被两种执行环境所访问。TEE构造了一个与REE隔离的安全运行环境，可以为授权的可信软件提供安全的执行环境。

本发明实施例提供的终端的界面切换方法和终端，旨在解决现有技术中采用随机键盘防止恶意程序截获用户输入操作安全性低的技术问题。

图1为REE和TEE的框架结构示意图，如图1所示，在REE中安装有各种客户应用CA，并部署有REE控制模块和驱动模块；在TEE中安装有各种可信应用TA，并部署有TEE控制模块和驱动模块；REE和TEE中的驱动模块都可以访问对应的硬件设备。其中，CA具体可以是支付宝、银行客户端等其他涉及账号、密码等敏感信息输入的应用软件；TA是与CA对应的安全应用，用于进行CA应用中涉及的敏感信息的输入操作。CA可以通过REE控制模块和TEE控制模块访问TA，实现相应的安全操作。具体的，REE控制模块可以根据CA的访问请求调用REE侧的驱动模块驱动硬件设备退出非安全工作模式；在硬件设备退出非安全工作模式后，TEE控制模块可以根据REE控制模块发送的消息调用TEE侧的驱动模块驱动硬件设备切换工作模式，实现与REE的硬件隔离，然后可以调用对应的TA，实现CA对TA的访问。上述REE控制模块、TEE控制模块和两个运行环境中的驱动模块具体功能均可通过终端中的处理器实现。

下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

图2为本发明提供的用户界面切换方法实施例一的流程示意图，该方法的执行主体可以为终端，该终端上运行有客户应用CA，并部署了REE和TEE。如图2所示，本实施例提供的方法包括：

步骤S11、根据用户在CA的CA界面上的第一操作，触发CA的TUI显示请求。

具体的，CA界面为CA在REE中的用户界面，当用户在CA界面上进行第一操作(如点击敏感信息输入位置)，以进行下一步的敏感信息输入界面(如虚拟键盘)时，会触发CA生成可信用户界面TUI显示请求。其中，第一操作可以是用户在触摸屏上的点击操作，也可以是用户在机械键盘上点击操作。

步骤S12、根据TUI显示请求，将CA的显示环境从REE切换到TEE。

具体的，TEE为安全的运行环境，终端根据TUI显示请求，将CA的显示环境从REE切换到TEE，此时REE中的各种应用软件(包括一些非恶意软件和恶意软件)则无法访问硬件设备来获取TEE中的操作，从而能够实现安全操作功能，如TUI显示。具体的，显示环境可以就是CA的后台运行环境，也可以指显示该CA的软件环境，也就是说，该CA可以只切换显示该CA的软件环境，而后台的运行环境不发生变化。将CA的显示环境从REE切换到TEE，可以是只将终端上用于显示CA界面的软件环境从REE切换到TEE，也可以是将终端上CA所在的系统运行环境从REE切换到TEE。

步骤S13、显示CA在TEE中的TA界面。

具体的，TA界面被终端的用户用于输入个人信息，TA部署在TEE中，在REE中部署CA时，可以在TEE中部署与CA对应的TA，以实现安全操作功能。

终端根据TUI显示请求将CA的显示环境从REE切换到TEE后，为后续操作提供了一个安全的执行环境；然后终端可以调用TA，在TEE中显示TA界面，以供用户在TA界面中进行敏感信息的输入操作。此时，用户的敏感信息输入操作处于安全的TEE中，REE中的非安全应用(如包含恶意程序的恶意软件)无法获取用户在TA界面中的输入操作，从而避免了用户的敏感信息被恶意程序盗取的可能性，提高了用户输入操作的安全性。具体的，终端中的处理模块，例如REE控制模块，可以在获取CA发送的TUI显示请求的同时，获取与用户进行第一操作的CA对应的TA的标识，如TA的ID号；终端可以根据该TA标识调用对应的TA。

为了更加清楚的说明本实施例的技术方案，下面特举一具体的界面切换示意图来进行示例性说明：

图3为本发明提供的终端的用户界面切换示意图，如图3所示，用户通过某支付应用(即CA)进行手机号转账操作。当用户在REE中的CA界面上点击“下一步”(即第一操作)以进行密码输入操作时，终端根据该第一操作将显示环境从REE切换到TEE，并在TEE中显示包含虚拟键盘的应用界面(即TA界面)，用户确认转账信息后在TA界面上进行密码输入操作。此时，用户的密码输入操作处于安全的运行环境(即TEE) 中，非安全运行环境(即REE)中的应用无法盗取用户在TEE中输入的密码，保障了用户密码输入操作的安全性。

本实施例提供的用户界面切换方法，终端根据用户在CA界面上的第一操作，触发CA的TUI显示请求后，根据TUI显示请求，将CA的显示环境从REE切换到TEE，然后显示CA在TEE中的TA界面，此时，用户可以在TA界面上进行敏感信息的输入操作，而运行在REE中的恶意程序无法访问硬件设备来获取用户在TEE中的输入操作，从而通过上述方法进行用户输入操作时避免了用户的敏感信息被盗取的可能性，有效的提高了用户输入操作的安全性。

图4为本发明提供的用户界面切换方法实施例二的流程示意图，本实施例是上述图2所示实施例中步骤S12和步骤S13的一种具体的实现方式。本实施例中，终端包括与显示相关的硬件设备，该硬件设备用于显示CA界面和TA界面，在上述图2所示实施例的基础上，如图4所示，步骤S12根据TUI显示请求，将CA的显示环境从REE切换到TEE，具体包括：

步骤S121、根据CA的TUI显示请求，通过硬件设备在REE中的驱动程序控制硬件设备退出当前的非安全模式。

具体的，与显示相关的硬件设备可以包括显示内存、显示设备、触摸屏或机械键盘，还可以包括指纹设备、近场通信(Near Field Communication，NFC)设备、安全单元(Security Element，简称SE)等。通过相关的安全扩展技术(如ARM芯片提供的安全区域Trust Zone技术)，可以将这些设备的访问模式配置为安全模式和非安全模式两种工作模式，其中，安全模式为硬件在TEE中对应的运行模式，非安全模式为硬件设备在REE中对应的运行模式。

终端在REE中部署有与显示相关的硬件设备的驱动程序(即上述图1中REE侧的驱动模块)，终端中的REE控制模块可以通过REE中的驱动程序驱动与显示相关的硬件设备退出非安全模式配置。具体的，终端中的REE控制模块可以向REE中的驱动程序发送一个信令消息，指示驱动程序驱动硬件设备退出非安全模式配置；硬件设备退出非安全模式配置后，驱动程序可以向REE控制模块反馈退出完成的信令。

步骤S122、根据第一切换信息，通过硬件设备在TEE中的驱动程序控制硬件设备进入安全模式。

具体的，硬件设备退出非安全模式配置后，终端中的REE控制模块可以向TEE控制模块发送一个第一切换信息，用于指示硬件设备已退出非安全模式。终端在TEE中也部署有与显示相关的硬件设备的驱动程序(即上述图1中TEE侧的驱动模块)，TEE控制模块收到该第一切换信息后，可以通过TEE中的驱动程序驱动与显示相关的硬件设备进入安全模式配置。与步骤S121类似，TEE控制模块可以向TEE中的驱动程序发送一个信令消息，指示驱动程序驱动硬件设备进入安全模式配置；硬件设备进入安全模式配置后，驱动程序可以向TEE控制模块反馈进入完成的信令。此时，CA的显示环境也完成了从REE切换到TEE。

对于上述驱动程序，以与显示相关的硬件设备包括显示内存、显示设备、触摸屏为例，REE和TEE中均部署有显示驱动、通用输入输出(General Purpose Input Output，GPIO)驱动和触摸屏驱动，其中显示驱动用来驱动显示内存和显示设备的工作模式转换，GPIO驱动和触摸屏驱动用于驱动触摸屏的工作模式转换。当然，若终端还包括其他与显示相关的硬件设备，则可在REE和TEE中增加相应的驱动程序。

进一步的，本实施例中，步骤S13显示CA在TEE中的TA界面，具体可以包括：

步骤S131、在TEE中运行与CA对应的TA。

具体的，与显示相关的硬件设备进入安全模式配置后，终端中的TEE控制模块可以调用TA或者指示其他与显示相关的功能模块调用TA，以在TEE中运行该应用。

步骤S132、通过调用处于安全模式的硬件设备，在TEE中显示TA界面。

具体的，终端在调用TA的同时可以调用处于安全模式的硬件设备，使硬件设备在TEE中显示TA界面，以供用户在TA界面中进行敏感信息的输入操作。

图5为本发明提供的用户界面切换方法实施例三的流程示意图，本实施例是上述实施例中终端在TEE中进行TUI显示过程中处理非安全事件的具体过程。在上述所有实施例的基础上，如图5所示，本实施例中，在步骤S13显示CA在TEE中的TA界面之后，本实施例的方法还包括：

步骤S21、根据非安全事件响应消息从当前的TA界面切换到REE中的待处理事件的响应界面。

终端在进行TUI显示期间，可能会出现来电、闹钟等待处理事件，这些事件为非安全事件，此时，终端可以暂停TUI显示来处理非安全事件。具体的，终端监听到待处理事件后会产生待处理事件触发的非安全事件响应消息，此时，终端需要将当前的TA界面切换到REE中的待处理事件的响应界面，以使用户在REE中通过非安全事件对应的应用(如电话、闹钟应用)来处理非安全事件。可选的，终端可以通过内部的非安全事件监听设备监听非安全事件，然后产生非安全事件响应消息。

步骤S22、根据响应反馈消息重新显示TA界面。

具体的，当用户处理完非安全事件后，非安全事件监听设备可以向终端中的REE控制模块发送一个响应反馈消息，该响应反馈消息表示终端的用户通过响应界面完成非安全事件的处理。终端接收到该消息后，再将终端的显示环境从REE切换到TEE，调用TEE中的TA重新显示TA界面(即进行TUI显示)。在进行TA界面显示时，终端可以通过预先存储的当前进行TUI显示的TA标识来再次调用TA。

本实施例提供的用户界面切换方法，终端根据非安全事件响应消息从当前的TA界面切换到REE中的待处理事件的响应界面；然后在REE中非安全事件处理完成后，再根据响应反馈消息重新显示TA界面，从而可以在TUI显示的过程中及时处理非安全事件，灵活性高。

图6为本发明提供的用户界面切换方法实施例四的流程示意图，本实施例是上述图5所示实施例中步骤S21的一种具体的实施方式。在上述图5所示实施例的基础上，如图6所示，本实施例中，步骤S21根据非安全事件响应消息从当前的TA界面切换到REE中的待处理事件的响应界面，具体包括：

步骤S211、根据非安全事件响应消息触发TUI显示暂停请求。

具体的，终端内部的非安全事件监听设备监听到非安全事件后，可以向REE控制模块发送非安全事件响应消息；REE控制模块根据接收到的非安全事件响应消息触发TUI显示暂停请求，然后发送给TEE控制模块，以指示TEE控制模块暂停当前的TUI界面显示。

步骤S212、根据TUI显示暂停请求，通过硬件设备在TEE中的驱动程序控制硬件设备退出当前的安全模式。

具体的，终端中的TEE控制模块接收到TUI显示暂停请求后，则调用TEE中的驱动程序驱动与显示相关的硬件设备退出安全模式配置。与上述实施例类似，TEE控制模块可以通过向TEE中的驱动程序发送信令消息，来指示驱动程序驱动硬件设备退出安全模式配置。

步骤S213、根据第二切换信息，通过硬件设备在REE中的驱动程序控制硬件设备进入非安全模式。

具体的，硬件设备退出安全模式配置后，终端中的TEE控制模块可以向REE控制模块发送第二切换信息，用于指示硬件设备已退出安全模式。REE控制模块收到该第二切换信息后，可以通过REE中的驱动程序驱动与显示相关的硬件设备进入非安全模式配置，为终端进行非安全事件的处理提供硬件基础。与上述实施例类似，REE控制模块可以向REE中的驱动程序发送一个信令消息，指示驱动程序驱动硬件设备进入非安全模式配置。此时，终端的显示环境从REE切换到TEE。

步骤S214、通过调用切换到非安全模式的硬件设备，显示REE中的待处理事件的响应界面。

具体的，硬件设备进入非安全模式配置后，终端的显示环境从TEE切换到REE，此时，终端可以通过REE控制模块调用处于非安全模式的硬件设备，显示REE中的待处理事件的响应界面，以供用户进行非安全事件的处理操作。

当用户处理完非安全事件后，终端需要将显示环境切换回TEE，以继续进行TUI显示。参见上述实施例，终端可以通过非安全事件监听设备获知非安全事件处理完成的消息，然后向终端中的REE控制模块发送一个响应反馈消息，终端接收到该消息后，再将终端的显示环境从REE 切换到TEE，调用TEE中的TA以继续显示TA界面，具体的处理过程与上述图4所示实施例中终端将CA的显示环境从REE切换到TEE的过程类似，此处不再赘述。

图7为本发明提供的用户界面切换方法实施例五的流程示意图，本实施例是终端在TUI显示完成后的具体处理过程。在上述实施例的基础上，如图7所示，本实施例中，在步骤S13显示CA在TEE中的TA界面之后，本实施例的方法还包括：

步骤S14、根据TUI显示退出请求，从当前的TA界面切换到CA界面。

终端在TUI显示界面处理完安全事件后，TUI显示结束，此时，终端可将显示环境切换回REE，以进行下一步的CA操作。具体的，当用户在TA界面上将敏感信息输入完成后，进行第二操作(如点击输入完成按键)以触发下一步操作时，TA可以根据该第二操作产生TUI显示退出请求，该请求用于指示终端退出TUI显示。

终端可以根据TUI显示退出请求退出当前的TA界面，将CA的显示环境从REE切换到TEE后调用CA，在REE中显示CA界面。具体的，终端调用CA可以通过以下两种方式实现：第一种，终端中的REE控制模块可以在获取TUI显示请求的同时，获取用户进行第一操作的CA的标识，如该CA的ID号，并存储该CA标识；当终端退出TUI显示后，可以根据该CA标识调用CA。第二种，终端中的TEE控制模块可以在获取TA发送的TUI显示退出请求的同时，获取与用户进行第二操作的TA对应的CA的标识，终端可以根据该CA标识调用CA。

以上述图3所示的用户界面切换示意图为例，用户在TA界面输入密码后，点击了“确定”(即第二操作)，则TUI界面显示结束，终端根据该第二操作将运行环境从TEE切换到REE，并在REE中显示包含下一步操作的CA界面(未示出)，用户就可以在CA界面上继续进行下一步的操作。

需要说明的是，步骤S14也可以在步骤S22之后执行。

本实施例提供的用户界面切换方法，终端根据TUI显示退出请求，从当前的TA界面切换到CA界面，实现了从安全显示到非安全显示的切换，方便了用户进行后续的非安全界面操作。

图8为本发明提供的用户界面切换方法实施例六的流程示意图，本实施例是上述图7所示实施例中步骤S14的一种具体的实施方式。在上述图7所示实施例的基础上，如图8所示，本实施例中，步骤S14根据TUI显示退出请求，从当前的TA界面切换到CA界面，具体包括：

步骤S141、根据TUI显示退出请求，通过硬件设备在TEE中的驱动程序控制硬件设备退出当前的安全模式。

具体的，终端中的TEE控制模块接收到TUI显示退出请求后，则可以调用TEE中的驱动程序驱动与显示相关的硬件设备退出安全模式配置。与上述实施例类似，TEE控制模块可以通过向TEE中的驱动程序发送信令消息，来指示驱动程序驱动硬件设备退出安全模式配置。

步骤S142、根据第三切换信息，通过硬件设备在REE中的驱动程序控制硬件设备进入非安全模式。

具体的，在一种实现方式中，硬件设备退出安全模式配置后，终端中的TEE控制模块可以向REE控制模块发送第三切换信息，用于指示硬件设备已退出安全模式。REE控制模块收到该第三切换信息后，可以通过REE中的驱动程序驱动与显示相关的硬件设备进入非安全模式配置，为终端从TEE切换到REE提供硬件基础。与上述实施例类似，REE控制模块可以向REE中的驱动程序发送一个信令消息，指示驱动程序驱动硬件设备进入非安全模式配置。

步骤S143、通过调用切换到非安全模式的硬件设备，在REE中显示CA界面。

具体的，硬件设备进入非安全模式配置后，CA的显示环境从TEE切换到REE，此时，终端可以通过REE控制模块调用处于非安全模式的硬件设备，在REE中显示CA界面，以供用户在CA界面上进行下一步的操作。

图9为本发明提供的终端实施例一的结构示意图，终端上运行有客户应用CA，并部署了复杂执行环境和可信执行环境，如图9所示，本实施例中的终端100包括：触发模块110、切换模块120和显示模块130，其中：

触发模块110，用于根据用户在CA的CA界面上的第一操作，触发CA的可信用户界面TUI显示请求，CA界面为CA在REE中的用户界面；

切换模块120，用于根据TUI显示请求，将CA的显示环境从复杂执行环境切换到可信执行环境；

显示模块130，用于显示CA在可信执行环境中的可信应用TA界面，TA界面被终端的用户用于输入个人信息。

本实施例中的触发模块110的功能具体可以由终端中的输入输出设备和处理器实现，切换模块120的功能具体可以由终端中的处理器实现，显示模块130的功能具体可以由终端中的处理器和显示设备实现。

本实施例提供的终端，可以执行上述方法实施例，其实现原理和技术效果类似，此处不再赘述。

在本发明的一实施例中，对上述图9所示实施例中切换模块120进行进一步的功能细化。本实施例中，终端包括与显示相关的硬件设备，与显示相关的硬件设备用于显示CA界面和TA界面。

在本发明的一种实施方式中，切换模块120，具体包括：非安全控制单元和安全控制单元，其中：

非安全控制单元，用于根据CA的TUI显示请求，通过硬件设备在REE中的驱动程序控制硬件设备退出当前的非安全模式，非安全模式为硬件设备在REE中对应的运行模式；

安全控制单元，用于根据非安全控制单元发送的第一切换信息，通过硬件设备在TEE中的驱动程序控制硬件设备进入安全模式，第一切换信息用于指示硬件设备已退出非安全模式，安全模式为硬件在TEE中对应的运行模式。

在本发明的另一种实施方式中，切换模块120，具体包括：REE控制模块和TEE控制模块，其中：

REE控制模块，用于根据CA的TUI显示请求，通过硬件设备在REE中的驱动程序控制硬件设备退出当前的非安全模式，非安全模式为硬件设备在REE中对应的运行模式；

TEE控制模块，用于根据非安全控制单元发送的第一切换信息，通过硬件设备在TEE中的驱动程序控制硬件设备进入安全模式，第一切换信息用于指示硬件设备已退出非安全模式，安全模式为硬件在TEE中对应的运行模式。

本实施例中，非安全控制单元和REE控制模块的功能具体可以与上述图1中的REE控制模块的功能类似，安全控制单元和TEE控制模块的功能具体可以与上述图1中的TEE控制模块的功能类似。此外，本实施例中，驱动程序的功能也可以作为切换模块120的一部分集成在切换模块120中，具体可根据需要设置，本实施例不做特别限制。另外，本实施例中，非安全控制单元和REE控制模块的功能类似，安全控制单元和TEE控制模块的功能类似，为了便于说明，下面直接用非安全控制单元和安全控制单元来说明本发明的技术方案。

作为本发明一种可选的实施方式，显示模块130，具体用于：在TEE中运行与CA对应的TA；调用处于安全模式的硬件设备，在TEE中显示TA界面。

在上述实施例的基础上，在本发明的一实施例中，切换模块120，还用于根据非安全事件响应消息通过显示模块130将终端从当前的TA界面切换到REE中的待处理事件的响应界面，然后根据响应反馈消息指示显示模块130重新显示TA界面，其中，非安全事件响应消息是由REE中的待处理事件触发的，响应反馈消息表示终端的用户通过响应界面完成非安全事件的处理。

作为本实施例的一种具体的实施方式，非安全控制单元，用于根据非安全事件响应消息，向安全控制单元发送TUI显示暂停请求；

安全控制单元，用于根据TUI显示暂停请求，通过硬件设备在TEE中的驱动程序控制硬件设备退出当前的安全模式，安全模式为硬件设备在TEE中对应的运行模式；

非安全控制单元，还用于根据安全控制单元发送的第二切换信息，通过硬件设备在REE中的驱动程序控制硬件设备进入非安全模式，然后指示显示模块130调用切换到非安全模式的硬件设备，显示REE中的待处理事件的响应界面。其中，第二切换信息用于指示硬件设备已退出安全模式，非安全模式为硬件在REE中对应的运行模式。

在上述实施例的基础上，在本发明的另一实施例中，切换模块120还用于根据TUI显示退出请求，指示显示模块130从当前的TA界面切换到CA界面，TUI显示退出请求是触发模块110根据用户在TA界面上的第二操作触发的。

作为本实施例的一种具体的实施方式，安全控制单元，用于根据TUI显示退出请求，通过硬件设备在TEE中的驱动程序控制硬件设备退出当前的安全模式，安全模式为硬件设备在TEE中对应的运行模式；

非安全控制单元，用于根据安全控制单元发送的第三切换信息，通过硬件设备在REE中的驱动程序控制硬件设备进入非安全模式，然后指示显示模块130调用切换到非安全模式的硬件设备，在REE中显示CA界面。其中，第三切换信息用于指示硬件设备已退出安全模式，非安全模式为硬件在REE中对应的运行模式。

本发明实施例提供的终端，可以执行上述方法实施例，其实现原理和技术效果类似，此处不再赘述。

在上述确定读写路径的装置的多个实施例中，应当理解的是，在一种实现方式下，后端触发模块110、切换模块120和显示模块130可以是可以由处理器执行存储器中的程序或指令来实现的(换言之，即由处理器以及与所述处理器耦合的存储器中的特殊指令相互配合来实现)；在另一种实现方式下，后端触发模块110、切换模块120和显示模块130也可以分别通过专有电路来实现，具体实现方式参见现有技术，这里不再赘述；在再一种实现方式下，后端触发模块110、切换模块120和显示模块130也可以通过现场可编程门阵列(FPGA，Field－Programmable Gate Array)来实现，具体实现方式参见现有技术，这里不再赘述，本发明包括但不限于前述实现方式，应当理解的是，只要按照本发明的思想实现的方案，都落入本发明实施例所保护的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

图10为本发明提供的终端实施例二的结构示意图，终端上运行有客户应用CA，并部署了复杂执行环境和可信执行环境，如图10所示，本实施例中的终端200包括：至少一个处理器210，存储器220，至少一个网络接口230或者其他用户接口240，至少一个通信总线250，用于显示终端的界面的硬件设备260。

通信总线250用于实现这些组件之间的连接通信。该终端设备200可选的包含用户接口240，包括显示器(例如，触摸屏、LCD、CRT、全息成像(Holographic)或者投影(Projector)等)，键盘或者点击设备(例如，鼠标、轨迹球(trackball)、触感板或者触摸屏等)。

存储器220可以包括只读存储器和随机存取存储器，并向处理器210提供指令和数据。

在一些实施方式中，存储器220存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集：

操作系统221，包含各种系统程序，例如图1所示的REE驱动模块、TEE驱动模块和两侧的驱动模块等，用于实现各种基础业务以及处理基于硬件的任务；

应用程序模块222，包含各种应用程序，例如图1所示的CA和TA 等，用于实现各种应用业务。

用于显示终端的界面的硬件设备260可以包括显示内存、显示设备、触摸屏等。

在本发明实施例中，通过调用存储器220存储的程序或指令，处理器210用于：

控制硬件设备260显示CA在可信执行环境中的可信应用TA界面，TA界面被终端的用户用于输入个人信息。

进一步的，作为本发明的一种具体的实施方式，在根据TUI显示请求，将CA的显示环境从复杂执行环境切换到可信执行环境的方面，处理器210具体用于：

在显示CA在可信执行环境中的可信应用TA界面的方面，处理器210具体用于：

在可信执行环境中运行与CA对应的TA；

调用处于安全模式的硬件设备，在可信执行环境中显示TA界面。

在本发明的一实施例中，处理器210还用于：根据非安全事件响应消息通过硬件设备260将终端从当前的TA界面切换到复杂执行环境中的待处理事件的响应界面，然后根据响应反馈消息控制硬件设备260重新显示TA界面；其中，非安全事件响应消息是由复杂执行环境中的待处理事件触发的；响应反馈消息表示终端的用户通过响应界面完成非安全事件的处理。

进一步的，作为本发明的一种具体的实施方式，处理器210具体用于：

根据非安全事件响应消息触发TUI显示暂停请求；

根据第二切换信息，通过硬件设备在复杂执行环境中的驱动程序控制硬件设备进入非安全模式，然后调用切换到非安全模式的硬件设备，显示复杂执行环境中的待处理事件的响应界面；其中，第二切换信息用于指示硬件设备已退出安全模式，非安全模式为硬件在复杂执行环境中对应的运行模式。

在本发明的另一实施例中，处理器210还用于：

根据TUI显示退出请求，通过硬件设备260将终端从当前的TA界面切换到CA界面，TUI显示退出请求是触发模块根据用户在TA界面上的第二操作触发的。

进一步的，作为本发明的一种具体的实施方式，在根据TUI显示退出请求，从当前的TA界面切换到CA界面的方面，处理器210具体用于：

根据第三切换信息，通过硬件设备在复杂执行环境中的驱动程序控制硬件设备进入非安全模式，然后调用切换到非安全模式的硬件设备，在复杂执行环境中显示CA界面；其中，第三切换信息用于指示硬件设备已退出安全模式，非安全模式为硬件在复杂执行环境中对应的运行模式。

图11为本发明提供的终端实施例三的结构示意图，终端上运行有客户应用CA，并部署了复杂执行环境和可信执行环境，如图11所示，本实施例中的终端300包括：射频(Radio Frequency，RF)电路310、存储器320、输入单元330、显示单元340、传感器350、音频电路360、无线保真(wireless fidelity，WiFi)模块370、处理器380、以及电源390等部件。本领域技术人员可以理解，图11中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图11对终端300的某些构成部件进行具体的介绍。

在本实施例中，处理器380可以实现上述图9中所示的终端所包含的各功能模块的功能，具体的，处理器380用于：

控制与显示相关的硬件设备显示CA在可信执行环境中的可信应用TA界面，TA界面被终端的用户用于输入个人信息。

作为一种具体的实施方式，在根据TUI显示请求，将CA的显示环境从复杂执行环境切换到可信执行环境的方面，处理器380具体用于：

根据CA的TUI显示请求，通过与显示相关的硬件设备在复杂执行环境中的驱动程序控制硬件设备退出当前的非安全模式，非安全模式为硬件设备在复杂执行环境中对应的运行模式；

在显示CA在可信执行环境中的可信应用TA界面的方面，处理器380具体用于：

在可信执行环境中运行与CA对应的TA；

其中，与显示相关的硬件设备包括上述输入单元330、显示单元340以及存储器320中与显示相关的内存等其他与显示相关的设备。

在本发明的一实施例中，处理器380还用于：根据非安全事件响应消息通过硬件设备将终端从当前的TA界面切换到复杂执行环境中的待处理事件的响应界面，然后根据响应反馈消息控制硬件设备重新显示TA界面；其中，非安全事件响应消息是由复杂执行环境中的待处理事件触发的；响应反馈消息表示终端的用户通过响应界面完成非安全事件的处理。

进一步的，作为本发明的一种具体的实施方式，处理器380具体用于：

根据非安全事件响应消息触发TUI显示暂停请求；

在本发明的另一实施例中，处理器380还用于：

根据TUI显示退出请求，通过硬件设备将终端从当前的TA界面切换到CA界面，TUI显示退出请求是触发模块根据用户在TA界面上的第二操作触发的。

进一步的，作为本发明的一种具体的实施方式，在根据TUI显示退出请求，从当前的TA界面切换到CA界面的方面，处理器380具体用于：

可以理解的，存储器320可以为该终端300的内存或者该终端300的内存和外存。存储器320包括NVRAM非易失存储器、DRAM动态随机存储器、SRAM静态随机存储器、Flash闪存以及硬盘、光盘、USB盘、软盘或磁带机。

该输入单元330可用于接收输入的数字或字符信息，如用户输入的汉字串或者字母串，以及产生与终端300的用户设置以及功能控制有关的信号输入。具体地，本发明实施例中，该输入单元330可以包括触控面板331。触控面板331，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板331上或在触控面板331的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板331可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给该处理器380，并能接收处理器380发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板331。除了触控面板331，输入单元330还可以包括其他输入设备332，其他输入设备332可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

该终端300还可以包括显示单元340，该显示单元340可用于显示由用户输入的信息或提供给用户的信息以及终端300的各种菜单界面。具体的，该显示单元340该显示单元340可包括显示面板341，可选的，可以采用液晶显示器(Liquid Crystal Display，LCD)或有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板641。

本发明实施例中，该触控面板331覆盖该显示面板641，形成触摸显示屏，当该触摸显示屏检测到在其上或附近的触摸操作后，传送给处理器380以确定触摸事件的类型，随后处理器380根据触摸事件的类型在触摸显示屏上提供相应的视觉输出。

本发明实施例中，该触摸显示屏包括应用程序界面显示区及常用控件显示区。该应用程序界面显示区及该常用控件显示区的排列方式并不限定，可以为上下排列、左右排列等可以区分两个显示区的排列方式。该应用程序界面显示区可以用于显示应用程序的界面。每一个界面可以包含至少一个应用程序的图标和/或桌面控件等界面元素。该应用程序界面显示区也可以为不包含任何内容的空界面。该常用控件显示区用于显示使用率较高的控件，例如，设置按钮、界面编号、滚动条、电话本图标等应用程序图标等。

该处理器380是终端300的控制中心，利用各种接口和线路连接整个终端的各个部分，通过运行或执行存储在该存储器320内的软件程序和/或模块以及数据，执行终端300的各种功能和处理数据，从而对终端300进行整体监控。可选的，该处理器380可包括一个或多个处理单元。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

一种用户界面切换方法，所述方法用于终端，所述终端上运行有客户应用CA，其特征在于，所述终端部署了复杂执行环境和可信执行环境，所述方法包括：

根据用户在所述CA的CA界面上的第一操作，触发所述CA的可信用户界面TUI显示请求，所述CA界面为所述CA在所述复杂执行环境中的用户界面；

根据所述TUI显示请求，将所述CA的显示环境从所述复杂执行环境切换到所述可信执行环境；

显示所述CA在所述可信执行环境中的可信应用TA界面，所述TA界面被所述终端的用户用于输入个人信息。
根据权利要求1所述的方法，其特征在于，所述终端包括与显示相关的硬件设备，所述与显示相关的硬件设备用于显示所述CA界面和所述TA界面，所述根据所述TUI显示请求，将所述CA的显示环境从所述复杂执行环境切换到所述可信执行环境，包括：

根据所述CA的TUI显示请求，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备退出当前的非安全模式，所述非安全模式为所述硬件设备在所述复杂执行环境中对应的运行模式；

根据第一切换信息，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备进入安全模式，所述第一切换信息用于指示所述硬件设备已退出所述非安全模式，所述安全模式为所述硬件在所述可信执行环境中对应的运行模式。
根据权利要求2所述的方法，其特征在于，所述显示所述CA在所述可信执行环境中的可信应用TA界面，包括：

在所述可信执行环境中运行与所述CA对应的TA；

通过调用处于安全模式的所述硬件设备，在所述可信执行环境中显示所述TA界面。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据非安全事件响应消息从所述TA界面切换到所述复杂执行环境中的待处理事件的响应界面，所述非安全事件响应消息是由所述复杂执行环境中的待处理事件触发的；

根据响应反馈消息重新显示所述TA界面，所述响应反馈消息表示所述终端的用户通过所述响应界面完成所述非安全事件的处理。
根据权利要求4所述的方法，其特征在于，所述终端包括与显示相关的硬件设备，所述与显示相关的硬件设备用于显示所述CA界面和所述TA界面，所述根据非安全事件响应消息从所述TA界面切换到所述复杂执行环境中的待处理事件的响应界面，具体包括：

根据所述非安全事件响应消息触发TUI显示暂停请求；

根据所述TUI显示暂停请求，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备退出当前的安全模式，所述安全模式为所述硬件设备在所述可信执行环境中对应的运行模式；

根据第二切换信息，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备进入非安全模式，所述第二切换信息用于指示所述硬件设备已退出所述安全模式，所述非安全模式为所述硬件在所述复杂执行环境中对应的运行模式；

通过调用切换到非安全模式的所述硬件设备，显示所述复杂执行环境中的待处理事件的响应界面。
根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：

根据TUI显示退出请求，从当前的TA界面切换到所述CA界面，所述TUI显示退出请求是由所述用户在所述TA界面上的第二操作触发的。
根据权利要求6所述的方法，其特征在于，所述终端包括与显示相关的硬件设备，所述与显示相关的硬件设备用于显示所述CA界面和所述TA界面，所述根据TUI显示退出请求，从当前的TA界面切换到所述CA界面，具体包括：

根据所述TUI显示退出请求，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备退出当前的安全模式，所述安全模式为所述硬件设备在所述可信执行环境中对应的运行模式；

根据第三切换信息，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备进入非安全模式，所述第三切换信息用于指示所述硬件设备已退出所述安全模式，所述非安全模式为所述硬件在所述复杂执行环境中对应的运行模式；

通过调用切换到非安全模式的所述硬件设备，在所述复杂执行环境中显示所述CA界面。
一种终端，所述终端上运行有客户应用CA，其特征在于，所述终端部署了复杂执行环境和可信执行环境，所述终端包括：

触发模块，用于根据用户在所述CA的CA界面上的第一操作，触发所述CA的可信用户界面TUI显示请求，所述CA界面为所述CA在所述复杂执行环境中的用户界面；

切换模块，用于根据所述TUI显示请求，将所述CA的显示环境从所述复杂执行环境切换到所述可信执行环境；

显示模块，用于显示所述CA在所述可信执行环境中的可信应用TA界面，所述TA界面被所述终端的用户用于输入个人信息。
根据权利要求8所述的终端，其特征在于，所述终端还包括与显示相关的硬件设备，在所述根据所述TUI显示请求，将所述CA的显示环境从所述复杂执行环境切换到所述可信执行环境的方面，所述切换模块，具体用于：

根据所述CA的TUI显示请求，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备退出当前的非安全模式，所述非安全模式为所述硬件设备在所述复杂执行环境中对应的运行模式；

根据所述第一切换信息，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备进入安全模式，所述第一切换信息用于指示所述硬件设备已退出所述非安全模式，所述安全模式为所述硬件在所述可信执行环境中对应的运行模式。
根据权利要求9所述的终端，其特征在于，在所述显示所述CA在所述可信执行环境中的可信应用TA界面的方面，所述显示模块，具体用于：

在所述可信执行环境中运行与所述CA对应的TA；

调用处于安全模式的所述硬件设备，在所述可信执行环境中显示所述TA界面。
根据权利要求8所述的终端，其特征在于，所述切换模块，还用于根据非安全事件响应消息通过所述显示模块将所述终端从当前的TA界面切换到所述复杂执行环境中的待处理事件的响应界面，然后根据响应反馈消息指示所述显示模块重新显示所述TA界面；其中，所述非安全事件响应消息是由所述复杂执行环境中的待处理事件触发的；所述响应反馈消息表示所述终端的用户通过所述响应界面完成所述非安全事件的处理。
根据权利要求11所述的终端，其特征在于，所述终端包括与显示相关的硬件设备，所述与显示相关的硬件设备用于显示所述CA界面和所述TA界面，所述切换模块，具体用于：

根据所述非安全事件响应消息触发TUI显示暂停请求；

根据所述TUI显示暂停请求，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备退出当前的安全模式，所述安全模式为所述硬件设备在所述可信执行环境中对应的运行模式；

根据所述第二切换信息，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备进入非安全模式，然后指示所述显示模块调用切换到非安全模式的所述硬件设备，显示所述复杂执行环境中的待处理事件的响应界面；其中，所述第二切换信息用于指示所述硬件设备已退出所述安全模式，所述非安全模式为所述硬件在所述复杂执行环境中对应的运行模式。
根据权利要求8-12任一项所述的终端，其特征在于，所述切换模块，还用于：

根据TUI显示退出请求，通过所述显示模块将所述终端从当前的TA界面切换到所述CA界面，所述TUI显示退出请求是所述触发模块根据所述用户在所述TA界面上的第二操作触发的。
根据权利要求13所述的终端，其特征在于，所述终端包括与显示相关的硬件设备，在所述根据TUI显示退出请求，从当前的TA界面切换到所述CA界面的方面，所述切换模块，具体用于：

根据所述TUI显示退出请求，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备退出当前的安全模式，所述安全模式为所述硬件设备在所述可信执行环境中对应的运行模式；

根据所述第三切换信息，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备进入非安全模式，然后指示所述显示模块调用切换到非安全模式的所述硬件设备，在所述复杂执行环境中显示所述CA界面；其中，所述第三切换信息用于指示所述硬件设备已退出所述安全模式，所述非安全模式为所述硬件在所述复杂执行环境中对应的运行模式。
一种终端，所述终端上运行有客户应用CA，其特征在于，所述终端部署了复杂执行环境和可信执行环境，所述终端包括：处理器、存储器和用于显示所述终端的界面的硬件设备，所述存储器存储程序或指令，所述处理器通过调用所述存储器存储的程序或指令，用于：

根据用户在所述CA的CA界面上的第一操作，触发所述CA的可信用户界面TUI显示请求，所述CA界面为所述CA在所述复杂执行环境中的用户界面；

根据所述TUI显示请求，将所述CA的显示环境从所述复杂执行环境切换到所述可信执行环境；

控制所述硬件设备显示所述CA在所述可信执行环境中的可信应用TA界面，所述TA界面被所述终端的用户用于输入个人信息。
根据权利要求15所述的终端，其特征在于，在所述根据所述TUI显示请求，将所述CA的显示环境从所述复杂执行环境切换到所述可信执行环境的方面，所述处理器，具体用于：

根据所述CA的TUI显示请求，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备退出当前的非安全模式，所述非安全模式为所述硬件设备在所述复杂执行环境中对应的运行模式；

根据所述第一切换信息，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备进入安全模式，所述第一切换信息用于指示所述硬件设备已退出所述非安全模式，所述安全模式为所述硬件在所述可信执行环境中对应的运行模式。
根据权利要求16所述的终端，其特征在于，在所述显示所述CA在所述可信执行环境中的可信应用TA界面的方面，所述处理器，具体用于：

在所述可信执行环境中运行与所述CA对应的TA；

调用处于安全模式的所述硬件设备，在所述可信执行环境中显示所述TA界面。
根据权利要求15所述的终端，其特征在于，所述处理器，还用于根据非安全事件响应消息通过所述硬件设备将所述终端从当前的TA界面切换到所述复杂执行环境中的待处理事件的响应界面，然后根据响应反馈消息控制所述硬件设备重新显示所述TA界面；其中，所述非安全事件响应消息是由所述复杂执行环境中的待处理事件触发的；所述响应反馈消息表示所述终端的用户通过所述响应界面完成所述非安全事件的处理。
根据权利要求18所述的终端，其特征在于，所述处理器，具体用于：

根据所述非安全事件响应消息触发TUI显示暂停请求；

根据所述TUI显示暂停请求，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备退出当前的安全模式，所述安全模式为所述硬件设备在所述可信执行环境中对应的运行模式；

根据所述第二切换信息，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备进入非安全模式，然后调用切换到非安全模式的所述硬件设备，显示所述复杂执行环境中的待处理事件的响应界面；其中，所述第二切换信息用于指示所述硬件设备已退出所述安全模式，所述非安全模式为所述硬件在所述复杂执行环境中对应的运行模式。
根据权利要求15-19任一项所述的终端，其特征在于，所述处理器，还用于：

根据TUI显示退出请求，通过所述硬件设备将所述终端从当前的TA界面切换到所述CA界面，所述TUI显示退出请求是所述触发模块根据所述用户在所述TA界面上的第二操作触发的。
根据权利要求20所述的终端，其特征在于，所述终端包括与显示相关的硬件设备，在所述根据TUI显示退出请求，从当前的TA界面切换到所述CA界面的方面，所述处理器，具体用于：

根据所述TUI显示退出请求，通过所述硬件设备在所述可信执行环境中的驱动程序控制所述硬件设备退出当前的安全模式，所述安全模式为所述硬件设备在所述可信执行环境中对应的运行模式；

根据所述第三切换信息，通过所述硬件设备在所述复杂执行环境中的驱动程序控制所述硬件设备进入非安全模式，然后调用切换到非安全模式的所述硬件设备，在所述复杂执行环境中显示所述CA界面；其中，所述第三切换信息用于指示所述硬件设备已退出所述安全模式，所述非安全模式为所述硬件在所述复杂执行环境中对应的运行模式。