保护输入免受恶意软件侵害.pdf

资源描述

《保护输入免受恶意软件侵害.pdf》由会员分享，可在线阅读，更多相关《保护输入免受恶意软件侵害.pdf（10页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 103999092 A (43)申请公布日 2014.08.20 C N 1 0 3 9 9 9 0 9 2 A (21)申请号 201180075266.7 (22)申请日 2011.11.30 G06F 21/83(2013.01) (71)申请人英特尔公司地址美国加利福尼亚 (72)发明人 SL格罗布曼 IT舍伊纳斯 (74)专利代理机构永新专利商标代理有限公司 72002 代理人张晰王英 (54) 发明名称保护输入免受恶意软件侵害 (57) 摘要一系列触摸面板按键输入项可以通过混洗触摸输入项坐标而被保护。在一个实施例中，可以通过施加混洗算法保护输入。

2、项，该混洗算法用其他不正确的坐标替代真正的坐标。然后，正确的数据可以在安全环境中重新组合。 (85)PCT国际申请进入国家阶段日 2014.05.30 (86)PCT国际申请的申请数据 PCT/US2011/062498 2011.11.30 (87)PCT国际申请的公布数据 WO2013/081589 EN 2013.06.06 (51)Int.Cl. 权利要求书2页说明书5页附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书5页附图2页 (10)申请公布号 CN 103999092 A CN 103999092 A 1/2页 2 1.一种。

3、方法，包括：采用小域加密引擎保护一系列输入项。 2.如权利要求1所述的方法，包括混洗二维输入坐标。 3.如权利要求2所述的方法，包括采用Thorp混洗或Knuth混洗之一来进行混洗。 4.如权利要求2所述的方法，包括对一系列触摸面板输入项进行混洗。 5.如权利要求4所述的方法，包括对指示触摸面板被触摸的位置的坐标进行混洗。 6.如权利要求1所述的方法，包括在安全环境中进行混洗。 7.如权利要求4所述的方法，包括检测输入项是否是在安全触摸面板区域产生的。 8.如权利要求7所述的方法，包括只对在安全触摸面板区域产生的输入项进行混洗。 9.如权利要求1所述的方法，包括共享对称密钥来恢复所述输入项。。

4、 10.如权利要求9所述的方法，包括采用映射表来恢复所述输入项的坐标。 11.至少一种存储指令的非瞬态计算机可读介质，所述指令由计算机执行以用于：利用小域加密引擎保护一系列输入项。 12.如权利要求11所述的介质，进一步存储用于对二维输入坐标进行混洗的指令。 13.如权利要求12所述的介质，进一步存储用于采用Thorp或Knuth混洗之一来进行混洗的指令。 14.如权利要求12所述的介质，进一步存储对一系列触摸面板输入项进行混洗的指令。 15.如权利要求14所述的介质，进一步存储用于对指示触摸面板被触摸的位置的坐标进行混洗的指令。 16.如权利要求11所述的介质，进一步存储用于在安全环。

5、境中进行混洗的指令。 17.如权利要求16所述的介质，进一步存储用于检测输入项是否是在安全屏幕区域中产生的指令。 18.如权利要求17所述的介质，进一步存储用于只对在安全屏幕区域中产生的输入项进行混洗的指令。 19.如权利要求11所述的介质，进一步存储用于对极坐标、三维坐标或手势坐标中的一个进行混洗的指令。 20.如权利要求11所述的介质，进一步存储用于共享对称密钥来恢复所述输入项的指令。 21.如权利要求20所述的介质，进一步存储用于采用映射表来恢复所述输入项的坐标的指令。 22.一种装置，包括：安全引擎，用于对二维输入进行混洗；以及用于检测输入是否是采用安全输入模式产生的设备。

6、。 23.如权利要求22所述的装置，其中，所述设备用于检测何时对安全显示区域进行输入。 24.如权利要求22所述的装置，其中，所述安全引擎不对没有采用安全输入模式的输入进行混洗。 25.如权利要求22所述的装置，采用是小域加密安全引擎的安全引擎进行混洗。权利要求书CN 103999092 A 2/2页 3 26.如权利要求22所述的装置，所述引擎采用Thorp混洗或Knuth混洗之一来进行混洗。 27.如权利要求22所述的装置，所述引擎对指示触摸屏被触摸的位置的坐标进行混洗。 28.如权利要求22所述的装置，当所述安全引擎被操作用于对输入进行混洗时显示水印。 29.如权利要。

7、求22所述的装置，包括安全和非安全数据输入模式。 30.如权利要求22所述的装置，包括主机软件，所述安全引擎在所述输入对于所述主机软件是可访问的之前对所述输入进行混洗。权利要求书CN 103999092 A 1/5页 4 保护输入免受恶意软件侵害背景技术 0001 本申请通常涉及计算机，且尤其是涉及保护计算机输入数据免受恶意软件侵害。 0002 恶意软件是一种未经用户允许而位于计算机上的软件。恶意软件可以被不良一方用来获取安全信息。然后该安全信息可以用于泄密银行帐号以及其他限制性或受控的访问文件以及网页。例如，当用户输入代码访问银行帐号时，恶意软件可以诱捕在触摸屏上的按键输。

8、入项，然后使用那些按键输入项来从用户的银行帐号转钱到由发起恶意软件一方控制的银行帐号。附图说明 0003 图1是本发明的一个实施例的示意图； 0004 图2是依据本发明的一个实施例的混洗算法(shuffle algorithm)的流程图；以及 0005 图3是依据本发明的一个实施例的解混洗算法的流程图。具体实施方式 0006 依据一些实施例，使用小域加密引擎，通过诸如触摸屏接口的接口，可以安全输入受保护的二维或更多维的输入数据。其他接口包括手势识别接口，鼠标光标输入接口或其他应用，包括那些可以将输入转换为坐标的应用。小域加密引擎是用于模糊二维或更多维输入数据输入项的计算机软件或硬。

9、件。小域具有域尺寸、数据元素的数量、或小于十亿的输入域或范围(远远小于传统的加密算法，例如高级加密标准)。 0007 在一些实施例中，用于保护触摸屏输入的技术没有削弱用户体验。换句话说，用户不知道发生了什么不同，且用户不必以任何不同的方式输入数据。 0008 在一些实施例中，基于主机的操作系统可以利用标准驱动器堆栈来与触摸输入事件通信。此外，在一些实施例中，保留了基础的操作系统框架路由触摸事件而不需要了解它们是安全的这种能力。在一些情况下，应用开发者可以使用标准图形用户界面开发工具来容易地了解这个技术，并允许自动调整安全区域的大小，因此安全输入能力可以被集成到各种操作系统中，例如，。

10、Android，Meego以及iOS。 0009 在一些实施例中，当触摸输入在屏幕的安全区域中被接收到时，可以使用各种可获取的混洗算法之一来混洗触摸输入的坐标。混洗算法改变了数据输入的顺序，例如触摸屏接触的坐标。然后，将被混洗的触摸输入提供给主机软件。如果主机软件需要使用触摸输入，那么主机软件可以使用安全引擎来解混洗该触摸输入。 0010 参见图1，在一个实施例中，触摸面板10可以具有触摸输入空间，其坐标从左下角 (0，0)到右上角(1920，1080)。也可以使用另一种用于提供触摸面板坐标的机制。用户触摸访问触摸面板的坐标可以作为原始坐标被发送。在一个实施例中，该原始坐标可以被提供。

11、给安全引擎12，其包括微控制器和固件。在一个实施例中，通过内部集成电路(I2C)总线将坐标从触摸面板发送到安全引擎。说明书CN 103999092 A 2/5页 5 0011 安全引擎确定触摸输入是否在触摸面板上当前显示的安全区域内输入。这可以由主机软件14建议。如果正在访问安全区域，则触摸面板访问的坐标由安全引擎利用混洗算法进行混洗，例如给出两个例子是Knuth混洗或Thorp混洗。 0012 在一个实施例中，安全引擎12可以包括安全硬件控制器，其是分立部件或专用于创建隔离的环境的处理器的一部分。作为另外一个例子，安全引擎可以是基于软件的安全控制器，其创建软件隔离的安全环境，。

12、例如通过使用虚拟化来创建嵌入式操作系统。在一个实施例中，安全引擎可以是触摸屏的一部分。 0013 在一个实施例中，硬件触摸屏10不直接暴露给主机软件14，然而，相反，重新映射到当坐标被认为落在屏幕的安全区域中时将操作数据流的安全环境。在直角坐标实施例中，当坐标落入屏幕的安全区域中时，加密混洗可以应用到X，Y坐标之一或两者。加密混洗或小域密码可以使得能够对小数据集合进行有力的加密映射，但是具有精确的加密内容到解密内容以及反之亦然的一对一映射的属性。 0014 在一个实施例中，加密混洗可以使用高级加密标准(AES)作为键控功能以确定混洗的顺序。在一个实施例中，混洗重新映射屏幕的保护区域。

13、上的触摸事件的坐标到坐标的新集合，该新集合将仍然在相同的保护区域内。重新映射的坐标不能转换回真实的坐标，除非例如知道密钥。通过将重新映射的坐标的区域维持在屏幕的安全输入/输出部分，重新映射的坐标通过软件堆栈被传输，并简单地显现为发生在屏幕的其他部分的触摸事件。因此，恶意软件很难诱捕安全坐标来推断出安全数据输入项。 0015 在一些实施例中，每个坐标映射到新的加密坐标。因此，在一些实施例中，非常接近的触摸事件被映射到完全不相关的坐标。事实上，在一些实施例中，虚拟键盘的相同键的多次按压可产生混洗集合中根本不同的坐标。在其他的实施例中，当输入坐标偏离触摸屏上的虚拟键图像时，输入坐标可以。

14、被调节以将它们转换到虚拟键的中央。 0016 需要解码真实输入的安全服务(例如金融机构)可以进行如下处理，例如，使用如图1所示的系统中的安全引擎12。对称秘钥可以与安全控制器共享，例如，作为安全引擎 12的一部分的微控制器，用于定义变换。然后，相同的映射表可以基于已知的在安全环境中实现的加密混洗来实现。逆变换被执行以获取在触摸屏上按压的真实坐标。可以基于用户执行的数据输入的类型来解释触摸事件，例如，虚拟键盘、密码键盘、被标记的物理签名，或诸如此类。 0017 尽管上文描述的例子涉及标准直角坐标，但相同的技术可以用于任何坐标系统，例如极坐标，以保护屏幕的圆形部分，或甚至是三维坐标，其可。

15、以使得相同的技术用于保护手势输入。 0018 此外，为了向用户保证输入将是安全的，可以生成屏幕上的独特指示符以指示安全输入区域将确实受到加密保护。例如，在安全环境控制下的虚拟键盘可以包括独特的图像水印，其已经在安全执行环境中被安全地提供。 0019 因此，在一些实施例中，用户获得本机输入体验，就像屏幕数据不需要被随机化一样。此外，在一些实施例中，可以允许安全和不安全事件的自由混合，且只有安全环境需要的数据来自被关联为安全区域的屏幕区域。从开发者的观点来看，相同的触摸事件应用程序接口和框架可以用于与硬件交互。唯一的不同是主机软件需要理解安全区域中的坐标将发送给安全应用以进行解码。。

16、说明书CN 103999092 A 3/5页 6 0020 安全引擎可以输出混洗的触摸事件给驱动器16，随后驱动器16提供数据给不受信任的代码22。可以假定该代码22已经被破解。 0021 替代地，没有到安全区域的触摸面板输入可以经由路径18(绕过安全引擎12)被直接路由到主机软件14堆栈中的操作系统驱动器20。服务器24可以发送敏感数据给主机软件14。注意，在一些实施例中，原始坐标可以由通过片上结构或其他类似结构连接的片上块进行处理。 0022 在一个实施例中，用于实现本发明的实施例的伪代码如下所示： 0023 说明书CN 103999092 A 4/5页 7 0024 参见。

17、图2，用于混洗键输入坐标的序列26可以在软件、固件、和/或硬件中实现。在固件和软件实施例中，该序列可以由存储在一个或多个非易瞬态计算机可读介质中的计算机执行指令来实现，该介质例如为磁、光、或半导体存储器。在图1所示的实施例中，在一个实施例中，软件或固件序列可以存储在安全引擎12中。 0025 混洗序列26开始于接收触摸坐标，如在方框28中指示的。菱形30处的检查确定坐标是否是使用了安全输入模式的结果。安全输入是被指示为安全的任何数据输入。安全输入模式的例子可以是在显示器的安全区域内触摸输入。安全输入模式的另一个例子包括使得输入选择指定输入项是安全的。如果坐标被指定为安全输入项，则该。

18、坐标在安全引擎中被混洗，如方框32中所指示的。然后，在输入被混洗的情况下，经混洗的坐标可以传递给主机软件14(图1)(即，图1中，它们通过路径18到驱动器20)，如方框34中所指示的。在一个实施例中，如果输入没有被混洗，则提供解混洗的输入给主机软件14。 0026 图3中所示的序列36可以通过键事件的接收器来使用以解混洗输入键事件。例如，网站上的服务器可以接收键事件且可能需要解码该键事件。在一个实施例中，可以使用类似于图1所示的装置以及对应于安全引擎12(图1)的安全引擎。序列36可以在固件、软件、和/或硬件中实现。在固件和软件实施例中，序列可以实现为存储在一个或多个非瞬态计算机。

19、可读介质中的计算机执行指令，该介质例如为磁、光、或半导体存储设备。再次，在说明书CN 103999092 A 5/5页 8 软件或固件实施例中，安全的事务可以被存储在安全引擎12中(图1)。 0027 该序列开始于与安全控制器共享对称秘钥，如方框38中所指示的。然后，如方框 40中所指示的，可以基于用于产生混洗结果的加密混洗实现用于创建键序列的相同的映射表。在方框42处执行逆变换。然后，如方框44中指示的，基于数据输入的类型解释触摸事件。 0028 贯穿本说明书引用的“一个实施例”或“实施例”表示与实施例结合描述的特定特征、结构或特性包含于在本发明中包括的至少一个实现中。因此，短语“一个实施例”或“在一实施例中”的出现不是必须指相同的实施例。此外，特定特征、结构或特性可以设定在其他适合的形式中，而不是所说明的特定实施例中，所有这些形式可以包括在本申请的权利要求中。 0029 尽管参照有限的实施例描述了本发明，但是本领域技术人员将由此意识到无数的修改和变形。所附的权利要求意图覆盖所有这些修改和变形，以落入本发明的真实精神和范围内。说明书CN 103999092 A 1/2页 9 图1 图2 说明书附图CN 103999092 A 2/2页 10 图3 说明书附图CN 103999092 A 10 。

展开阅读全文