Предоставление графического интерфейса пользователя в системе с высокозащищенной исполнительной средой
Изобретение относится к области компьютерной безопасности. Изобретение позволяет повысить степень защищенности компьютерных систем от взлома. В системе согласно изобретению базовая операционная система используется вместе с высоконадежной операционной системой, при этом базовая система предоставляет, по меньшей мере, некоторую часть инфраструктуры высоконадежной системе. Предотвращается загораживание элементов графического интерфейса пользователя, связанных с высоконадежной операционной системой. Кроме того, сохраняется часть секретной информации, которая по команде может отображаться элементами графического интерфейса пользователя, связанными с высоконадежной операционной системой. Согласование определенных составляющих изображения всех элементов графического интерфейса пользователя, связанных с высоконадежной операционной системой, также способствует идентификации законных элементов. В системе управления окнами базовой операционной системе предоставляется информация общедоступного заголовка для идентификации окна, которым владеет процесс, работающий под управлением высоконадежной операционной системы. Информация секретного заголовка, связанного с этим же окном, используется только в высоконадежной операционной системе. 9 н. и 21 з.п. ф-лы, 9 ил.
Область техники, к которой относится изобретение
Настоящее изобретение, в общем, относится к области компьютерной безопасности. В частности, оно относится к использованию нескольких исполнительных сред (например, операционных систем) на одном вычислительном устройстве с графическим интерфейсом пользователя, позволяющим использовать его элементы процессам, протекающим в каждой из упомянутых нескольких исполнительных сред.
Уровень техники
В современных вычислительных системах многие задачи, которые могут выполняться на компьютере, требуют обеспечения некоторого уровня безопасности. Для обеспечения определенного уровня безопасности существует несколько вариантов. Одним из них является выполнение всех безопасных приложений на компьютере, который полностью обособлен от любых, возможно, небезопасных элементов, либо использование монитора виртуальных машин (VMM) для обеспечения полного разделения двух исполнительных сред (например, операционных систем), работающих в одной компьютерной системе. Однако это может оказаться неосуществимым. По соображениям стоимости или удобства может потребоваться совместное использование ресурсов безопасной исполнительной средой и приложениями с негарантированной безопасностью, в результате чего эти приложения и эти ресурсы могут оказаться уязвимыми при осуществлении неправомерных действий. Кроме того, при использовании монитора виртуальных машин, так как он требует полной виртуализации машины и всех ее устройств (в результате чего требуется, чтобы монитор виртуальных машин предоставил для всех возможных устройств его собственный драйвер устройства), то монитор виртуальных машин недостаточно хорошо подходит для машины с открытой архитектурой, для которой подразумевается, что в нее может добавляться почти неограниченное множество устройств.
Одним из способов обеспечения возможности совместного использования ресурсов двумя исполнительными средами является предоставление компьютерной системы, в которой имеется одна "основная" операционная система, управляющая большинством процессов и устройств машины, и где также существует вторая операционная система. Эта вторая операционная система представляет собой небольшую операционную систему ограниченного назначения, расположенную рядом с основной операционной системой и выполняющую определенные ограниченные задачи. Один из способов сделать операционную систему "небольшой" или имеющей "ограниченное назначение" - это позволить системе заимствовать на время определенную инфраструктуру (например, средство планирования, диспетчер памяти, драйверы устройств и т.д.) у "основной" операционной системы. Так как монитор виртуальных машин эффективно изолирует одну операционную систему от другой, такое совместное использование инфраструктуры при его применении является неосуществимым.
Имеются некоторые другие технологии, позволяющие операционным системам существовать рядом на одной машине без использования монитора виртуальных машин. Одна из таких технологий - это заставить одну операционную систему работать в качестве "хозяина" для другой операционной системы. (Операционная система, которой руководит "хозяин", иногда называется "гостем"). В этом случае базовая операционная система предоставляет гостю такие ресурсы, как память и время процессора. Другой подобной технологией является использование "экзоядра". Экзоядро управляет определенными устройствами (например, процессором и памятью), а также управляет определенными типами взаимодействия между операционными системами, несмотря на то что экзоядро, в отличие от монитора виртуальных машин, не виртуализирует всю машину. Даже при использовании экзоядра может возникнуть ситуация, когда одна операционная система (например, "основная" операционная система) предоставляет другой системе значительную часть инфраструктуры, в этом случае основная операционная система по-прежнему может называться "хозяином", а меньшая операционная система - "гостем". Как модель руководства, так и модель экзоядра делает возможными полезные типы взаимодействия между операционными системами, поддерживающими совместное использование инфраструктуры.
Таким образом, эти технологии могут использоваться для обеспечения в компьютерной системе, по меньшей мере, двух исполнительных сред. Одна из них может представлять собой "высокозащищенную" операционную систему, называемую здесь "нексус". Высокозащищенная операционная система - это та, которая обеспечивает определенный уровень защиты с точки зрения ее функционирования. Например, нексус мог бы использоваться для работы с секретной информацией (например, шифровальными ключами и т.д.), которая не должна разглашаться, посредством предоставления скрытой памяти, которая гарантирована от утечки информации во внешнюю относительно нексуса среду, и посредством предоставления возможности только определенным сертифицированным приложениям работать под управлением нексуса и обращаться к этой скрытой памяти.
В компьютерной системе с двумя исполнительными средами, одной из которых является нексус, может потребоваться, чтобы нексус был гостевой операционной системой, а вторая операционная система (от которой не требуется тот же уровень защиты с точки зрения ее функционирования) была базовой операционной системой. Это позволяет нексусу быть, насколько это возможно, небольшим. Небольшой нексус допускает более высокий уровень уверенности в защите, обеспечиваемой нексусом. В результате функции операционной системы выполняются базовой операционной системой.
Одной такой операционной системой, которая может работать под управлением базовой операционной системы, является система управления окнами. При использовании системы управления окнами экран пользовательского монитора будет заполняться окнами, областями на экране, которые отображают информацию, поступающую от приложения. Приложение может иметь одно или более окон.
Когда система управления окнами работает под управлением базовой операционной системы, а не нексуса, она уязвима для неправомерных действий. Одно из таких возможных неправомерных действий известно как подмена. Подмена - это действие, при котором пользователя заставляют поверить, что некоторое оборудование, системное программное обеспечение, приложение или агентское программное обеспечение, либо данное окно, является заслуживающим доверия объектом, даже если это не так. Злоумышленник подменяет заслуживающий доверия объект. Это может применяться с целью хищения пользовательских идентификационных данных или захвата других данных чувствительной природы, которые введены пользователем, думающим, что он использует объект с высокой степенью защиты.
Например, в системе, в которой нексус выполняет банковскую программу, имеющую экран регистрации, злоумышленник может написать программу, которая работает под управлением базовой операционной системы и выводит окно, которое выглядит точно, как экран регистрации банковской программы. Если пользователь обманывается этим окном подмены, то он будет вводить информацию в это окно. Эта информация похищается злоумышленником и может затем быть им использована без ведома пользователя.
Система управления окнами также уязвима для неправомерного действия, известного как обман. При обмане злоумышленник меняет изображение на пользовательском мониторе таким образом, чтобы пользователю казалось, что система является безопасной, когда это не так. Например, компьютерная система может предоставлять пользователю возможность блокировки либо позволять переводить компьютер в спящий или ждущий режим. В этом случае упомянутый обман будет имитировать изображение, выводимое при блокировке системы, ее нахождении в спящем или ждущем режиме. Когда пользователь отвлекается, полагая, что система неактивна и безопасна, злоумышленник осуществляет неавторизованное использование данной системы.
В общем случае программа, осуществляющая неправомерные действия и расположенная на стороне хозяина, может имитировать любую комбинацию пикселей, которую может создать на мониторе законная программа, расположенная на стороне нексуса, или функционирующая система. Однако чтобы поддерживать высокую защищенность нексуса, пользователь должен быть способен отличить законный элемент графического интерфейса пользователя на стороне нексуса от фальшивого.
С точки зрения вышеизложенного существует потребность в системе, которая устраняет недостатки существующего уровня техники.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
В одном из вариантов реализации настоящего изобретения данные, отображаемые на экране монитора для системы, содержащей безопасную исполнительную среду (нексус) и вторую исполнительную среду (хозяин), делаются безопасными с использованием комбинации нескольких технологий. Элементы графического интерфейса пользователя, например окна, которые связаны с процессом, работающим под управлением нексуса, отображаются, не перекрываясь другими элементами графического интерфейса пользователя.
Кроме того, используется секрет пользователя нексуса, который отображается в элементе графического интерфейса пользователя. Это отображение может быть постоянным или среди прочих альтернативных вариантов может производиться по запросу. В дополнение к этому обрамления окон могут согласовываться по цвету или отображаемой графической информации, чтобы в сознании пользователя связать вместе безопасные окна и, таким образом, более отчетливо выделить фальшивые окна. Эти обрамления могут изменяться через определенные интервалы времени по запросу, либо если системное событие вызывает данное изменение.
Если для соответствующих окон нексуса используется сопровождающее окно, для окна нексуса может применяться информация секретного заголовка, в то время как в сопровождающем окне применяется общедоступный заголовок. Это позволяет процессу нексуса, который устанавливает заголовки, выбирать информацию, которая будет присваиваться, возможно, небезопасному сопровождающему окну.
Ниже описаны другие отличительные особенности настоящего изобретения.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Приведенное выше общее описание, так же как и последующее подробное описание предпочтительных вариантов реализации настоящего изобретения, лучше понимается при прочтении с использованием приложенных чертежей. В целях иллюстрации изобретения на чертежах изображено примерное его воплощение, однако данное изобретение не ограничивается конкретными описанными способами и средствами. На чертежах:
Фиг.1 - структурная схема примерной вычислительной среды, в которой могут быть реализованы аспекты настоящего изобретения;
Фиг.2 - структурная схема двух примерных исполнительных сред, которые осуществляют некоторое взаимодействие друг с другом и поддерживают некоторую обособленность друг от друга;
Фиг.3(а) - структурная схема изображения;
Фиг.3(b) - структурная схема изображения согласно одному из вариантов реализации настоящего изобретения;
Фиг.4 - блок-схема способа поддержания безопасности данных, выводимых на экран монитора;
Фиг.5 - блок-схема способа поддержания безопасности данных, выводимых на экран монитора;
Фиг.6 - структурная схема изображения согласно одному из вариантов реализации настоящего изобретения;
Фиг.7 - блок-схема способа поддержания безопасности данных, выводимых на экран монитора;
Фиг.8 - блок-схема способа поддержания безопасности данных, выводимых на экран монитора.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
Обзор
Когда две исполнительные среды, например операционные системы, работают рядом на одной машине, при этом одна из этих сред является высокозащищенной исполнительной средой, которая поддерживается в соответствии с определенными стандартами безопасности, для пользователя может оказаться важной возможность распознать, какие отображаемые элементы графического интерфейса пользователя связаны с процессами, выполняемыми под управлением высокозащищенной операционной системы. Как рассмотрено выше, злоумышленник, выводящий изображение элемента графического интерфейса пользователя с использованием исполнительной среды, расположенной на стороне "хозяина" (не высокозащищенной), может попытаться убедить пользователя, что элемент графического интерфейса пользователя представляет собой элемент, возникающий при выполнении высокозащищенного процесса. Чтобы предотвратить такие неправомерные действия, настоящим изобретением предлагаются способы, позволяющие пользователю распознать, какие элементы графического интерфейса пользователя создаются в высокозащищенной исполнительной среде.
Примерная организация вычислительной среды
На Фиг. 1 изображен пример вычислительной среды, с использованием которой может быть реализовано данное изобретение. Вычислительная среда 100 является всего лишь одним из примеров подходящей вычислительной среды и не подразумевает какого-либо ограничения объема использования или функциональных возможностей данного изобретения. Кроме того, вычислительная среда 100 не должна восприниматься как зависящая от какого-либо одного из изображенных ее компонентов или их комбинации либо как требующая их наличия.
Данное изобретение можно использовать с множеством других вычислительных сред или конфигураций вычислительной системы общего или специального назначения. Примеры хорошо известных вычислительных систем, сред и/или конфигураций, которые могут быть пригодны для использования с настоящим изобретением, включают персональные компьютеры, серверы, карманные или портативные устройства, мультипроцессорные системы, системы на основе микропроцессоров, приставки, программируемую бытовую электронику, сетевые ПК, миникомпьютеры, универсальные ЭВМ, встроенные системы, распределенные вычислительные среды, содержащие любые из перечисленных систем или устройств и т.п., но не ограничиваются упомянутым.
Настоящее изобретение может быть описано в общем контексте исполняемых компьютером инструкций, например программных модулей, выполняемых компьютером. В основном программные модули включают процедуры, программы, объекты, компоненты, структуры данных и т.д., выполняющие конкретные задачи или использующие конкретные абстрактные типы данных. Настоящее изобретение также может быть реализовано в распределенных вычислительных средах, где задачи выполняются устройствами удаленной обработки, которые соединены посредством сети связи или другой среды передачи данных. В распределенной вычислительной среде программные модули и другие данные находятся в компьютерных средствах хранения как локального, так и удаленного компьютера, включающих запоминающие устройства.
Как показано на Фиг. 1, примерная система, реализующая данное изобретение на практике, включает вычислительное устройство общего назначения в виде компьютера 110. Компоненты компьютера 110 могут включать процессор 120, системную память 130 и системную шину 121, соединяющую различные компоненты системы, включая системную память, с процессором 120, но не ограничиваются упомянутым. Процессор 120 может представлять собой множество логических процессоров, например, входящих в состав процессора многопоточной обработки. Системная шина 121 может относиться к любому из нескольких типов шинных архитектур, включая шину памяти или контроллер памяти, шину периферийных устройств и локальную шину на основе любой из множества шинных архитектур. В качестве примера, не подразумевающего ограничение, подобные архитектуры включают шину ISA (архитектура промышленного стандарта), шину MCA (микроканальная архитектура), шину EISA (расширенная архитектура промышленного стандарта), локальную шину VESA (стандарт высокоскоростной локальной видеошины) и шину PCI (локальная шина для системных плат), так же известную как шина Mezzanine. Системная шина 121 может также быть реализована как соединение "точка-точка", коммутирующая матрица или т.п. из числа устройств связи.
Компьютер 110 в типичном случае содержит множество машиночитаемых носителей информации. Машиночитаемые носители могут представлять собой любые существующие носители, к которым может обращаться компьютер 110, и включают как энергозависимые, так и энергонезависимые носители, съемные и несъемные носители. В качестве примера, не подразумевающего ограничение, машиночитаемые носители могут включать компьютерные средства хранения и коммуникационные среды. Компьютерные средства хранения включают как энергозависимые, так и энергонезависимые, съемные и несъемные носители, использующие любой способ или технологию хранения такой информации, как машиночитаемые инструкции, структуры данных, программные модули или другие данные. Компьютерные средства хранения включают ОЗУ (оперативное запоминающее устройство), ПЗУ (постоянное запоминающее устройство), ЭСППЗУ (электрически стираемое программируемое постоянное запоминающее устройство), флэш-память или другие виды памяти, ПЗУ на компакт-диске (CD-ROM), цифровые универсальные диски (DVD) или другие оптические диски, кассеты с магнитной лентой, магнитную ленту, магнитные диски или другие магнитные устройства хранения информации, или любой другой носитель, который может использоваться для хранения требуемой информации и к которому может обращаться компьютер 110. Коммуникационная среда в типичном случае воплощает машиночитаемые инструкции, структуры данных, программные модули или другие данные в виде модулированного сигнала данных, например несущей волны или другого механизма передачи, и включает любую среду доставки информации. Термин "модулированный сигнал данных" означает сигнал, одна или более характеристик которого заданы или изменены таким образом, чтобы закодировать информацию в данном сигнале. В качестве примера, не подразумевающего ограничение, коммуникационная среда включает проводную среду, например проводную сеть или прямое соединение, и беспроводную среду, например акустическую, радиочастотную, инфракрасную и другую беспроводную среду. Комбинации любого из вышеупомянутого также представляют собой машиночитаемую среду.
Системная память 130 содержит компьютерное средство хранения в виде энергозависимой и/или энергонезависимой памяти, например ПЗУ 131 и ОЗУ 132. Базовая система ввода/вывода 133 (BIOS), содержащая основные процедуры, помогающие элементам компьютера 110 обмениваться информацией, например, во время запуска в типичном случае хранится в ПЗУ 131. ОЗУ 132 в типичном случае содержит данные и/или программные модули, которые непосредственно доступны процессору 120 и/или используются им в текущий момент. В качестве примера, не подразумевающего ограничение, на Фиг.1 изображена операционная система 134, прикладные программы 135, другие программные модули 136 и программные данные 137.
Компьютер 110 может также содержать другие съемные/несъемные, энергозависимые/энергонезависимые компьютерные средства хранения. Только в качестве примера на Фиг. 1 изображены накопитель 141 на жестком диске, считывающий информацию с несъемного энергонезависимого магнитного носителя или записывающий информацию на него, накопитель 151 на магнитных дисках, считывающий информацию со съемного энергонезависимого магнитного диска 152 или записывающий информацию на него, и привод 155 оптических дисков, считывающий информацию со съемного энергонезависимого оптического диска 156, например диска CD-ROM или другого оптического носителя, и записывающий информацию на него. Другие съемные/несъемные энергозависимые/энергонезависимые компьютерные средства хранения, которые могут использоваться в примерной операционной среде, включают кассеты с магнитной лентой, карты флэш-памяти, цифровые универсальные диски, кассеты для цифрового видео, твердотельное ОЗУ, твердотельное ПЗУ и т.п., но не ограничиваются упомянутым. Накопитель 141 на жестком диске в типичном случае соединен с системной шиной 121 посредством интерфейса несъемных запоминающих устройств, например интерфейса 140, а накопитель 151 на магнитных дисках и привод 155 оптических дисков в типичном случае соединены с системной шиной 121 при помощи интерфейса съемных запоминающих устройств, например интерфейса 150.
Рассмотренные выше и изображенные на Фиг. 1 накопители и соответствующие им компьютерные средства хранения обеспечивают хранение машиночитаемых инструкций, структур данных, программных модулей и других данных для компьютера 110. Например, на Фиг.1 накопитель 141 на жестком диске изображен как средство хранения операционной системы 144, прикладных программ 145, других программных модулей 146 и программных данных 147. Отметим, что эти компоненты могут быть идентичны или отличаться от операционной системы 134, прикладных программ 135, других программных модулей 136 и программных данных 137. Операционная система 144, прикладные программы 145, другие программные модули 146 и программные данные 147 обозначены здесь отличающимися номерами, чтобы проиллюстрировать то, что они представляют собой, как минимум, другие копии. Пользователь может вводить команды и информацию в компьютер 110 при помощи устройств ввода, например клавиатуры 162 и указывающего устройства 161, обычно представляющего собой мышь, трекбол или сенсорную панель. Другие устройства ввода (не показаны) могут включать микрофон, джойстик, игровую панель, спутниковую тарелку, сканер или тому подобное. Эти и другие устройства ввода часто соединяют с процессором 120 через интерфейс 160 ввода пользователем, соединенный с системной шиной, но могут соединять при помощи других интерфейсов и шин другой архитектуры, таких как параллельный порт, игровой порт или универсальная последовательная шина (USB). С системной шиной 121 через интерфейс, например видеоинтерфейс 190, также соединен монитор 191 или другое устройство отображения информации. Кроме монитора компьютеры могут также содержать другие периферийные устройства вывода, например динамики 197 и принтер 196, которые могут быть соединены через интерфейс 195 периферийных устройств вывода.
Компьютер 110 может работать в сетевой среде, используя логические соединения с одним или более удаленных компьютеров, например удаленным компьютером 180. Удаленный компьютер 180 может представлять собой персональный компьютер, сервер, маршрутизатор, сетевой ПК, устройство, соединенное через одноранговую сеть, или другой общий сетевой узел и в типичном случае содержит многие или все элементы, описанные выше применительно к компьютеру 110, несмотря на то что на Фиг.1 показано только запоминающее устройство 181. Логические соединения, изображенные на Фиг.1, включают локальную сеть (ЛВС) 171 и глобальную сеть (ГВС) 173, но могут также включать и другие сети. Такие сетевые среды представляют собой офисные серверы, компьютерные сети предприятий, сети интранет и Интернет.
При использовании в сетевой среде ЛВС компьютер 110 соединен с ЛВС 171 посредством сетевого интерфейса или адаптера 170. При использовании в сетевой среде ГВС компьютер 110 в типичном случае включает в себя модем 172 или другие средства для установления связи в ГВС 173, например Интернет. Модем 172, который может быть внутренним или внешним, может быть соединен с системной шиной 121 посредством интерфейса 160 ввода пользователем или другого подходящего устройства. В сетевой среде программные модули, описанные применительно к компьютеру 110, или их части могут храниться в удаленном запоминающем устройстве. В качестве примера, не подразумевающего ограничение, на Фиг.1 удаленные прикладные программы 185 изображены как находящиеся в запоминающем устройстве 181. Понятно, что показанные сетевые соединения являются примерными и могут быть использованы другие средства установления канала связи между компьютерами.
Несколько вычислительных сред на одной машине
Как описано ранее, в данной области техники известно, что две операционные системы могут работать рядом в одном вычислительном устройстве. Одной из проблем, для решения которых может быть использовано настоящее изобретение, является обеспечение некоторого уровня разделения двух операционных систем при одновременном сохранении некоторого уровня взаимодействия между ними.
На Фиг. 2 изображена система, в которой две операционные системы 134(1) и 134(2) работают на одном компьютере 110. Между этими операционными системами существует некоторый тип логического разделения 202, при этом между этими операционными системами допускается некоторая степень взаимодействия 204 при одновременном сохранении защиты, по меньшей мере, одной из операционных систем от событий, возникающих в другой операционной системе. В примере, показанном на Фиг. 2, операционная система 134(1) является базовой операционной системой, а операционная система 134(2) является гостевой операционной системой, например описанным выше "нексусом". Как отмечалось ранее, если операционная система 134(2) представляет собой нексус, то желательно создать такое разделение 202, чтобы эта операционная система могла взаимодействовать с операционной системой 134(1) с целью заимствования на время ее инфраструктуры, при одновременном сохранении для операционной системы 134(2) возможности защищать себя от действий (либо злонамеренных, либо безвредных), происходящих в операционной системе 134(1) и могущих заставить операционную систему 134(2) функционировать с нарушением заданных для нее спецификаций. (При этом нужно понимать, что данное изобретение не ограничивается тем случаем, когда операционная система 134(2) представляет собой нексус.)
Разделение 202 между операционными системами 134(1) и 134(2) может в качестве варианта быть усилено с помощью монитора безопасности. Монитор безопасности является компонентом, внешним по отношению к обеим операционным системам 134(1) и 134(2), и предоставляет некоторые услуги безопасности, которые могут быть использованы для защиты операционной системы 134(2) от операционной системы 134(1). Например, монитор безопасности может контролировать доступ к определенному оборудованию, может управлять использованием памяти (чтобы предоставить операционной системе 134(2) право исключительного использования некоторых областей памяти) либо может способствовать передаче данных от операционной системы 134(1) операционной системе 134(2) безопасным образом. Необходимо отметить, что использование монитора безопасности представляет одну из моделей того, как операционная система 134(2) может быть защищена от операционной системы 134(1), и использование монитора безопасности не является обязательным. В качестве другого примера операционная система 134(2) могла бы иметь все функциональные возможности, необходимые для защиты от операционной системы 134(1).
Необходимо отметить, что на Фиг. 2 операционная система 134(1) показана в качестве "хозяина", а операционная система 134(2) - в качестве "гостя". В общем, под этим подразумевается, что в этих примерах операционная система 134(1) предоставляет определенную системную инфраструктуру, которая используется обеими операционными системами 134(1) и 134(2) (например, драйверы устройств, планирование и т.д.), и операционная система 134(2) является "гостем" в том смысле, что она в предпочтительном случае испытывает недостаток такой инфраструктуры и использует инфраструктуру операционной системы 134(1). Однако необходимо отметить, что параметры того, что делает операционную систему "хозяином" или "гостем", являются гибкими. Более того, необходимо отметить, что традиционные концепции "базовой" и "гостевой" операционных систем предполагают, что хозяину требуется защитить себя от действий гостя. Однако в примере, показанном на Фиг.2, предполагается, что гостевая операционная система 134(2) является высокозащищенной операционной системой, которой требуется защитить себя от базовой операционной системы 134(1). В последующих примерах мы будем в основном называть операционную систему 134(1) "хозяином" и операционную систему 134(2) "гостем" или "нексусом", чтобы их различать. Необходимо понимать, что описанные здесь способы могут быть применимы к взаимодействию любых двух или более операционных систем, работающих на одной и той же машине (или даже на одной и той же группе связанных машин).
Обеспечение графического интерфейса пользователя в случае нескольких вычислительных сред на одной машине
Когда пользователь работает с программами в компьютерной системе, содержащей высокозащищенную операционную систему, он делает это с помощью пользовательского устройства ввода, например мыши 161 или клавиатуры 162 (показаны на Фиг.1). Как рассмотрено выше, разрешение системе управления окнами, работающей под управлением базовой операционной системы 134(1), контролировать место назначения потока входных событий может сделать возможным неправомерные действия с использованием компрометируемой базовой операционной системы или приложения. Окно или другой элемент графического интерфейса пользователя может отображаться пользователю процессом, выполняемым на стороне хозяина, который может попытаться имитировать законный процесс, выполняемый на стороне нексуса и работающий под управлением гостевой операционной системы 134(2) (нексуса). Поэтому согласно одному из вариантов реализации настоящего изобретения применяется несколько различных способов защиты целостности и идентифицируемости законных окон и других элементов графического интерфейса пользователя на стороне хозяина. В различных вариантах реализации настоящего изобретения совместно используются любые из этих способов или все способы.
Загораживание и проглядывание
Если как процессы, выполняемые на стороне хозяина, так и процессы, выполняемые на стороне нексуса, могут выводить на экран монитора графические объекты, например окна и другие элементы интерфейса пользователя, неправомерные действия могут осуществляться путем загораживания всей или части законной графики процесса, выполняемого на стороне нексуса, графикой процесса, выполняемого на стороне хозяина. Фиг.3(а) представляет собой структурную схему изображения. На Фиг.3(а) изображение 300 включает графические объекты 310 нексуса, которые являются графикой процессов, выполняемых под управлением гостевой операционной системы 134(2) (нексуса). Графические объекты 320 хозяина являются графикой процессов, выполняемых под управлением базовой операционной системы 134(1). Как показано на Фиг.3(а), если допускается отображение графических объектов 320 хозяина поверх графических объектов нексуса, то графические объекты нексуса могут загораживаться графическими объектами 320 хозяина. В этом случае неправомерные действия могут предприниматься путем загораживания некоторой части или всего графического объекта 310 нексуса графическим объектом 320 хозяина. Кроме того, если графический объект 310 нексуса накладывается на графический объект 320 хозяина, но при этом является частично прозрачным, то графический объект 320 хозяина может быть использован для изменения внешнего вида графического объекта 310 нексуса таким образом, чтобы ввести в заблуждение.
В одном из вариантов реализации настоящего изобретения такие неправомерные действия предотвращаются путем недопущения загораживания всех графических объектов 310 нексуса, а также путем запрета какого-либо проглядывания через графические объекты 310 нексуса. Таким образом, для случая, показанного на Фиг. 3(а), не будет допускаться загораживание графических объектов 310 нексуса. Фиг.3(b) является иллюстрацией запрета загораживания графического объекта 310 нексуса. На Фиг. 3(b) каждый из двух графических объектов 310 нексуса виден полностью, и не допускается наложение графического объекта 320 хозяина на графический объект 310 нексуса. Кроме того, в одном из вариантов реализации настоящего изобретения для графического объекта 310 нексуса не допускается прозрачность (либо полная, либо частичная).
В одном из вариантов реализации настоящего изобретения чтобы предотвратить подобные неправомерные действия одного процесса, выполняемого на стороне нексуса, по отношению к другому процессу, выполняемому на стороне нексуса, не допускается наложения графических объектов 310 нексуса. В системе управления окнами по одному из вариантов реализации настоящего изобретения допускается одно исключение - курсору мыши (который может отрисовываться процессом, выполняемым на стороне нексуса, поверх графического объекта 310 нексуса при отображении этого курсора) может разрешаться наложение на графический объект 310 нексуса.
В другом варианте реализации настоящего изобретения если одному процессу, выполняемому на стороне нексуса, принадлежит два или более элементов графического интерфейса пользователя, например два окна, либо окно и диалоговое окно, при разрешении их наложения не возникает проблемы безопасности. Следовательно, одному элементу графического интерфейса пользователя, находящемуся в общем владении, разрешается накладываться на другой элемент графического интерфейса пользователя, находящийся в общем владении, который принадлежит процессу, выполняемому нексусом. В следующем варианте реализации настоящего изобретения не допускается наложение элементов графического интерфейса пользователя верхнего уровня, которые находятся в общем владении, однако на элемент верхнего уровня может накладываться элемент, дочерний по отношению к этому элементу верхнего уровня. Например, в этом варианте диалоговое окно, которое является дочерним элементом окна верхнего уровня, может накладываться на это окно.
В одном из вариантов реализации настоящего изобретения для проверки того, какие элементы графического интерфейса пользователя являются элементами, относящимися к стороне нексуса, предусмотрено заложенное действие пользователя, которое удаляет с экрана все элементы графического интерфейса пользователя, не относящиеся к стороне нексуса. Заложенное действие пользователя - это действие пользователя, которое в контексте компьютерной системы всегда приводит к особым последствиям. Поэтому когда осуществляется заложенное действие пользователя, относящееся к безопасности работы с монитором, например нажатие комбинации клавиш, очищается весь экран, за исключением элементов графического интерфейса пользователя, относящихся к стороне нексуса.
Фиг. 4 представляет собой блок-схему этого способа. На этапе 400 сохраняется изображение относящегося к нексусу элемента графического интерфейса пользователя, которое связано с процессом, выполняемым под управлением безопасной исполнительной среды (агента нексуса). На этапе 410 изображение относящегося к нексусу элемента графического интерфейса пользователя отображается полностью, не заслоненное какими-либо элементами интерфейса пользователя, относящимися к хозяину. В других вариантах реализации настоящего изобретения никакие элементы графического интерфейса пользователя (относящиеся к хозяину или пользователю), кроме связанных с данным процессом, не могут загораживать элемент графического интерфейса пользователя, относящийся к нексусу.
Совместное использование секрета
В одном из вариантов реализации настоящего изобретения для предотвращения описанных выше неправомерных действий, связанных с подменой, отображается секрет, который скрыт от хозяина. Ни один из процессов, выполняемых на стороне хозяина, не имеет доступа к секрету, и, следовательно, если окно или другой элемент графического интерфейса пользователя может отображать секрет, то это элемент графического интерфейса пользователя, относящийся к стороне нексуса (Прим.перев.4).
В одном из вариантов реализации настоящего изобретения секрет сообщается нексусу пользователем. Этот секрет пользователя нексуса может сообщаться нексусу во время начала доверительной фазы работы, например когда пользователем задаются пароли. Элемент графического интерфейса пользователя может либо отображать секрет пользователя нексуса постоянно, либо выводить этот секрет по требованию.
Отображением элементов графического интерфейса пользователя процессами, выполняемыми на стороне нексуса, со стороны нексуса управляет доверенный администратор окон. Этот доверенный администратор окон также ответственен за обрамление окон, например их границы и заголовки. В одном из вариантов реализации настоящего изобретения секрет пользователя нексуса не обязательно совместно используется процессами нексуса. Однако он отображается доверенным администратором окон в обрамлении окон. В другом варианте реализации настоящего изобретения секрет пользователя нексуса отображается в том случае, если пользователь запрашивает его из окна. Этот запрос может быть сделан из активного окна при помощи заложенного действия пользователя. Например, заложенным действием пользователя может быть особая комбинация нажатия клавиш, которая заставляет активное окно отобразить секрет пользователя нексуса. В ином случае окно может содержать выпадающее меню или область активации, выбор которых с помощью мыши или нажатия клавиш приводит к тому, что достоверный графический объект 310 нексуса отображает секрет пользователя нексуса.
Секрет пользователя нексуса может представлять собой изображение или фразу. Полезным секретом может оказаться изображение, так как изображения легко идентифицируются пользователем и их трудно описать. Если изображением, выбранным пользователем для использования в качестве секрета, является, например, фотография собаки пользователя перед его домом, эта фотография может быть описана злоумышленником, который видит изображение на пользовательском экране, однако, даже имея эту информацию, злоумышленнику будет трудно воссоздать изображение или найти его копию.
Фиг. 5 представляет собой блок-схему этого способа. На этапе 500 сохраняется секрет пользователя нексуса, связанный с нексусом. На этапе 510 изображение секрета пользователя нексуса выводится на экран как часть относящегося к нексусу элемента графического интерфейса пользователя.
Постоянная смена секрета
Как описано выше, в одном из вариантов реализации настоящего изобретения доверенный администратор окон является посредником, при помощи которого все процессы, выполняемые на стороне нексуса, отображают свои элементы графического интерфейса пользователя, и доверенный администратор окон несет исключительную ответственность за обрамление окон, например границы, для элементов графического интерфейса пользователя. В одном из вариантов реализации настоящего изобретения обрамление окон включает постоянно обновляемый краткосрочный секрет. Этот непрерывно обновляемый секрет недоступен окнам, не относящимся к нексусу, и, следовательно, может использоваться для идентификации окна, не относящегося к хозяину.
Например, если граница каждого относящегося к нексусу элемента графического интерфейса пользователя имеет определенный цвет и этот цвет меняется каждые 15 секунд, то пользователь заметит, что окно не является относящимся к нексусу элементом графического интерфейса пользователя, если граница данного окна не соответствует границам других относящихся к нексусу элементов графического интерфейса пользователя. Другие возможные постоянно обновляемые секреты могут включать небольшие графические изображения, комбинации иконок, глифов или символов, отображаемых в обрамлении окна, либо цепочки цифр или шестнадцатеричных чисел. Может использоваться любая информация, которую пользователю довольно легко проверить на наличие несходства.
В одном из вариантов реализации настоящего изобретения при отображении графического объекта 310 нексуса в изображении 300 всегда присутствует область пользовательского интерфейса нексус-системы. Эта область пользовательского интерфейса содержит информацию, касающуюся отображаемых графических объектов 310 нексуса. Например, эта область может содержать число отображаемых графических объектов 310 нексуса или названия отображаемых графических объектов 310 нексуса (например, заголовки окон). Совместно используемый секрет, входящий в обрамление графических объектов 310 нексуса, также отображается в области пользовательского интерфейса нексус-системы. Фиг.6 представляет собой структурную схему изображения согласно одному из вариантов реализации настоящего изобретения. На Фиг.6 в обрамлении 610 окна каждого графического объекта 310 нексуса, имеющегося в изображении 300, отображается последовательность, состоящая из трех глифов(
). Кроме того, отображается область 600 пользовательского интерфейса нексус-системы, содержащая тот же набор из трех глифов. Это позволяет с легкостью подтвердить пользователю, что окно отображается процессом, выполняемым на стороне нексуса.
Хотя изменение секрета может происходить на временной основе (например, цветная граница, изменяющаяся каждые 15 секунд, как описано выше), в других вариантах реализации настоящего изобретения секрет меняется по запросу пользователя при помощи заложенного действия пользователя либо когда возникает системное событие, например смена активного окна.
Фиг. 7 представляет собой блок-схему этого способа. На этапе 700 принимаются, по меньшей мере, два относящихся к нексусу элемента графических данных. В системе управления окнами эти элементы вместе с обрамлениями окон будут составлять изображение окна. На этапе 710 отображаются два относящихся к нексусу элемента графического интерфейса пользователя (например, окна), каждый из которых содержит один из упомянутых элементов графических данных в дополнение к обрамлению, являющемуся одинаковым для всех окон.
Заголовки окон - общедоступные и секретные
Как описано выше, доверенный администратор окон может использоваться в качестве посредника, при помощи которого все процессы, выполняемые на стороне нексуса, отображают свои элементы графического интерфейса пользователя. При этом администратор окон, работающий на стороне хозяина, может использоваться для управления отображением элементов графического интерфейса пользователя для процессов, выполняемых на стороне хозяина. В одном из вариантов реализации настоящего изобретения для каждого элемента графического интерфейса пользователя, относящегося к нексусу (например, графического объекта 310 нексуса), администратором окон, работающим на стороне хозяина, поддерживается соответствующий сопровождающий элемент графического интерфейса пользователя. Это позволяет администратору окон, работающему на стороне хозяина, распознавать, что определенные области изображения 300 используются графическими объектами 310 нексуса. При запрете загораживания и проглядывания, описанном выше, эта информация может оказаться полезной для администратора окон, работающего на стороне хозяина, в результате чего окна, которые должны быть видимыми, не размещаются в этих областях. При этом только ограниченный объем информации о графических объектах 310 нексуса должен быть доступен на стороне хозяина.
Таким образом, в одном из вариантов реализации настоящего изобретения доверенный администратор окон позволяет агенту нексуса (процессу, работающему под управлением нексуса) задавать два заголовка для каждого окна или другого элемента графического интерфейса пользователя. Один заголовок, секретный, передается доверенному администратору окон и используется для целей управления окнами, а также для отображения в графическом объекте 310 нексуса. Этот секретный заголовок не используется доверенным администратором окон совместно с какими-либо процессами, выполняемыми на стороне хозяина или процессами, выполняемыми на стороне нексуса, кроме агента нексуса, который владеет данным окном (или другим элементом).
В дополнение к секретному заголовку агент нексуса может также задавать общедоступный заголовок. Этот общедоступный заголовок может использоваться также и базовой стороной, включая администратор окон, работающий на стороне хозяина. Общедоступный заголовок может использоваться администратором окон, работающим на стороне хозяина, в качестве заголовка для сопровождающего окна. В этом случае этот администратор окон может обращаться к окну, используя общедоступный заголовок, выбираемый таким образом, чтобы быть понятным пользователю без включения информации, которая может нарушить конфиденциальность. Таким образом, если работающий на стороне хозяина администратор окон предоставляет пользователю возможность выбрать окно, которое должно стать активным, из списка окон, то в качестве опции выбора приводится и общедоступный заголовок, связанный с сопровождающим окном. Когда выбрано сопровождающее окно, будет активизироваться соответствующее надежное окно и агент нексуса, связанный с этим соответствующим доверенным окном, будет становиться активным для ввода информации пользователем.
Фиг.8 представляет собой блок-схему этого способа. На этапе 800 для относящегося к нексусу элемента графического интерфейса пользователя, который связан с агентом нексуса, сохраняется информация общедоступного и частного заголовков. На этапе 810 информация секретного заголовка используется доверенным администратором окон в целях управления окнами. На этапе 820 информация общедоступного заголовка предоставляется хозяину для использования на стороне хозяина.
Заключение
Отметим, что приведенные выше примеры предоставлены просто для разъяснения и ни в коем случае не должны быть истолкованы как ограничивающие настоящее изобретение. Хотя настоящее изобретение описано со ссылкой на различные варианты его реализации, необходимо понимать, что приведенный здесь текст является текстом, предназначенным для его описания и иллюстрации, а не для ограничения. Кроме того, хотя изобретение описано здесь со ссылкой на конкретные средства, материалы и варианты реализации, не подразумевается его ограничение рассмотренной здесь конкретикой, скорее, оно охватывает все функционально эквивалентные устройства, способы и варианты применения, не выходящие за пределы объема пунктов приложенной формулы изобретения. Специалисты в данной области техники, воспользовавшись данным описанием, могут осуществить многочисленные модификации, и эти изменения не будут выходить за пределы объема и сущности настоящего изобретения.
1. Способ поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем этот способ содержит
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя другую операционную систему;
сохранение изображения, по меньшей мере, одного относящегося к нексусу элемента графического интерфейса пользователя, который связан с первым процессом, работающим под управлением упомянутой безопасной исполнительной среды; и
отображение упомянутого относящегося к нексусу элемента графического интерфейса пользователя на упомянутом экране монитора полностью, в результате чего на упомянутом экране монитора никакая часть этого элемента не загораживается элементом графического интерфейса пользователя, связанным с упомянутой второй исполнительной средой.
2. Способ по п.1, в котором этап отображения упомянутого относящегося к нексусу элемента графического интерфейса пользователя содержит
обеспечение того, что упомянутый относящийся к нексусу элемент графического интерфейса пользователя не содержит прозрачных областей.
3. Способ по п.1, в котором этап отображения упомянутого относящегося к нексусу элемента графического интерфейса пользователя содержит
отображение упомянутого относящегося к нексусу элемента графического интерфейса пользователя таким образом, что никакая часть этого элемента не загораживается элементом графического интерфейса пользователя, связанным со вторым процессом, работающим под управлением упомянутой безопасной исполнительной среды.
4. Способ по п.1, дополнительно содержащий
отображение только упомянутых элементов графического интерфейса пользователя на упомянутом экране монитора при приеме от пользователя указания о безопасном отображении.
5. Способ поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем этот способ содержит
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
сохранение секрета пользователя нексуса, связанного с упомянутой безопасной исполнительной средой; и
отображение относящегося к нексусу элемента графического интерфейса пользователя, содержащего упомянутый секрет пользователя нексуса, на упомянутом экране монитора, при этом относящийся к нексусу элемент графического интерфейса пользователя связан с процессом, работающим под управлением упомянутой безопасной исполнительной среды.
6. Способ по п.5, в котором этап отображения относящегося к нексусу элемента графического интерфейса пользователя, содержащего упомянутый секрет пользователя нексуса, на экране монитора содержит
прием от пользователя указания об отображении упомянутого секрета пользователя нексуса; и
отображение упомянутого секрета пользователя нексуса.
7. Способ поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем этот способ содержит
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
прием для отображения на упомянутом экране монитора, по меньшей мере, двух относящихся к нексусу элементов графических данных, каждый из которых связан с процессом, работающим под управлением упомянутой безопасной исполнительной среды; и
отображение, по меньшей мере, двух относящихся к нексусу элементов графического интерфейса пользователя, каждый из которых содержит один из упомянутых относящихся к нексусу элементов графических данных и обрамление, типовое для элементов графического интерфейса пользователя.
8. Способ по п.7, в котором упомянутое обрамление, типовое для элементов графического интерфейса пользователя, содержит цветную границу.
9. Способ по п.7, в котором упомянутое обрамление, типовое для элементов графического интерфейса пользователя, содержит одно или более изображений, выбираемых случайным образом.
10. Способ по п.7, дополнительно содержащий
изменение упомянутого обрамления, типового для элементов графического интерфейса пользователя, по истечении заданного периода времени.
11. Способ по п.7, дополнительно содержащий
изменение упомянутого обрамления, типового для элементов графического интерфейса пользователя, при приеме от пользователя указания на изменение обрамления.
12. Способ поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, и этот способ содержит
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
сохранение информации общедоступного заголовка и информации секретного заголовка для относящегося к нексусу элемента графического интерфейса пользователя, который связан с процессом, работающим под управлением упомянутой безопасной исполнительной среды;
использование упомянутой информации секретного заголовка в целях управления окнами в упомянутой безопасной исполнительной среде при отображении упомянутого относящегося к нексусу элемента графического интерфейса пользователя; и
предоставление упомянутой информации общедоступного заголовка для использования в упомянутой второй исполнительной среде.
13. Способ по п.12, в котором упомянутая вторая исполнительная среда содержит базовый администратор окон, предназначенный для управления элементами графического интерфейса пользователя на упомянутом экране монитора, причем упомянутый базовый администратор окон создает сопровождающий элемент графического интерфейса пользователя для упомянутого относящегося к нексусу элемента графического интерфейса пользователя, и упомянутый общедоступный заголовок используется упомянутым базовым администратором окон.
14. Способ по п.12, дополнительно содержащий
отображение каждого из упомянутых относящихся к нексусу элементов графического интерфейса пользователя на упомянутом экране монитора полностью таким образом, что на упомянутом экране монитора никакая часть упомянутого относящегося к нексусу элемента графического интерфейса пользователя не загораживается элементом графического интерфейса пользователя, связанным с упомянутой второй исполнительной средой, при этом каждый из упомянутых относящихся к нексусу элементов графического интерфейса пользователя содержит обрамление, типовое для элементов графического интерфейса пользователя;
сохранение секрета пользователя нексуса, связанного с упомянутой безопасной исполнительной средой; и
отображение на упомянутом экране монитора относящегося к нексусу элемента графического интерфейса пользователя, содержащего упомянутый секрет пользователя нексуса.
15. Машиночитаемый носитель, содержащий исполняемые компьютером инструкции, предназначенные для поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем эти исполняемые компьютером инструкции предназначены для выполнения действий, содержащих
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
сохранение изображения, по меньшей мере, одного относящегося к нексусу элемента графического интерфейса пользователя, который связан с первым процессом, работающим под управлением упомянутой безопасной исполнительной среды; и
отображение упомянутого относящегося к нексусу элемента графического интерфейса пользователя на упомянутом экране монитора полностью, в результате чего на упомянутом экране монитора никакая часть этого элемента не загораживается элементом графического интерфейса пользователя, связанным с упомянутой второй исполнительной средой.
16. Машиночитаемый носитель по п.15, в котором упомянутое действие отображения относящегося к нексусу элемента графического интерфейса пользователя на экране монитора содержит
обеспечение того, что упомянутый относящийся к нексусу элемент графического интерфейса пользователя не содержит прозрачных областей.
17. Машиночитаемый носитель по п.15, в котором упомянутое действие отображения относящегося к нексусу элемента графического интерфейса пользователя на экране монитора содержит
отображение упомянутого относящегося к нексусу элемента графического интерфейса пользователя таким образом, что никакая часть этого элемента не загораживается элементом графического интерфейса пользователя, связанным со вторым процессом, работающим под управлением упомянутой безопасной исполнительной среды.
18. Машиночитаемый носитель по п.15, в котором исполняемые компьютером инструкции реализованы с возможностью выполнения действий, дополнительно содержащих
отображение только упомянутых элементов графического интерфейса пользователя на упомянутом экране монитора при приеме от пользователя указания о безопасном отображении.
19. Машиночитаемый носитель, содержащий исполняемые компьютером инструкции, предназначенные для поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем эти исполняемые компьютером инструкции предназначены для выполнения действий, содержащих
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
сохранение секрета пользователя нексуса, связанного с упомянутой безопасной исполнительной средой; и
отображение относящегося к нексусу элемента графического интерфейса пользователя, содержащего упомянутый секрет пользователя нексуса, на упомянутом экране монитора, при этом относящийся к нексусу элемент графического интерфейса пользователя связан с процессом, работающим под управлением упомянутой безопасной исполнительной среды.
20. Машиночитаемый носитель по п.19, в котором упомянутое действие отображения относящегося к нексусу элемента графического интерфейса пользователя, содержащего упомянутый секрет пользователя нексуса, на экране монитора содержит
прием от пользователя указания об отображении упомянутого секрета пользователя нексуса; и
отображение упомянутого секрета пользователя нексуса.
21. Машиночитаемый носитель, содержащий исполняемые компьютером инструкции, предназначенные для поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем эти исполняемые компьютером инструкции предназначены для выполнения действий, содержащих
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
прием для отображения на упомянутом экране монитора, по меньшей мере, двух относящихся к нексусу элементов графических данных, каждый из которых связан с процессом, работающим под управлением упомянутой безопасной исполнительной среды; и
отображение, по меньшей мере, двух относящихся к нексусу элементов графического интерфейса пользователя, каждый из которых содержит один из упомянутых относящихся к нексусу элементов графических данных и обрамление, типовое для элементов графического интерфейса пользователя.
22. Машиночитаемый носитель по п.21, в котором упомянутое обрамление, типовое для элементов графического интерфейса пользователя, содержит цветную границу.
23. Машиночитаемый носитель по п.21, в котором упомянутое обрамление, типовое для элементов графического интерфейса пользователя, содержит одно или более изображений, выбираемых случайным образом.
24. Машиночитаемый носитель по п.21, в котором исполняемые компьютером инструкции реализованы с возможностью выполнения действий, дополнительно содержащих
изменение упомянутого обрамления, типового для элементов графического интерфейса пользователя, по истечении заданного периода времени.
25. Машиночитаемый носитель по п.21, в котором исполняемые компьютером инструкции реализованы с возможностью выполнения действий, дополнительно содержащих
изменение упомянутого обрамления, одинакового для элементов графического интерфейса пользователя, при приеме от пользователя указания на изменение обрамления.
26. Машиночитаемый носитель, содержащий исполняемые компьютером инструкции, предназначенные для поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем эти исполняемые компьютером инструкции предназначены для выполнения действий, содержащих
осуществление функционирования второй исполнительной среды одновременно с функционированием безопасной исполнительной среды, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
сохранение информации общедоступного заголовка и информации секретного заголовка для относящегося к нексусу элемента графического интерфейса пользователя, который связан с процессом, работающим под управлением упомянутой безопасной исполнительной среды;
использование упомянутой информации секретного заголовка в целях управления окнами в упомянутой безопасной исполнительной среде при отображении упомянутого относящегося к нексусу элемента графического интерфейса пользователя; и
предоставление упомянутой информации общедоступного заголовка для использования в упомянутой второй исполнительной среде.
27. Машиночитаемый носитель по п.26, в котором упомянутая вторая исполнительная среда содержит базовый администратор окон, предназначенный для управления элементами графического интерфейса пользователя на упомянутом экране монитора, причем упомянутый базовый администратор окон создает сопровождающий элемент графического интерфейса пользователя для упомянутого относящегося к нексусу элемента графического интерфейса пользователя, и упомянутый общедоступный заголовок используется упомянутым базовым администратором окон.
28. Машиночитаемый носитель по п.26, в котором исполняемые компьютером инструкции реализованы с возможностью выполнения действий, дополнительно содержащих
отображение каждого из упомянутых относящихся к нексусу элементов графического интерфейса пользователя на упомянутом экране монитора полностью, в результате чего на упомянутом экране монитора никакая часть упомянутого относящегося к нексусу элемента графического интерфейса пользователя не загораживается элементом графического интерфейса пользователя, связанным с упомянутой второй исполнительной средой, при этом каждый из упомянутых относящихся к нексусу элементов графического интерфейса пользователя содержит обрамление, типовое для элементов графического интерфейса пользователя;
сохранение секрета пользователя нексуса, связанного с упомянутой безопасной исполнительной средой; и
отображение на упомянутом экране монитора относящегося к нексусу элемента графического интерфейса пользователя, содержащего упомянутый секрет пользователя нексуса.
29. Система, предназначенная для поддержания безопасности данных, выводимых на экран монитора, для системы, содержащей безопасную исполнительную среду и вторую исполнительную среду, причем эта система содержит
безопасную исполнительную среду и вторую исполнительную среду, которые функционируют в упомянутой системе одновременно, причем безопасная исполнительная среда включает в себя нексус, а вторая исполнительная среда включает в себя другую операционную систему;
средство хранения безопасной исполнительной среды, предназначенное для хранения информации секретного заголовка для относящегося к нексусу элемента графического интерфейса пользователя, который связан с процессом, работающим под управлением упомянутой безопасной исполнительной среды, и хранения секрета пользователя нексуса, связанного с упомянутой безопасной исполнительной средой;
средство хранения второй исполнительной среды, предназначенное для хранения информации общедоступного заголовка для упомянутого относящегося к нексусу элемента графического интерфейса пользователя; и
доверенный администратор окон, предназначенный для отображения каждого из упомянутых относящихся к нексусу элементов графического интерфейса пользователя на упомянутом экране монитора полностью, в результате чего на упомянутом экране монитора никакая часть упомянутого относящегося к нексусу элемента графического интерфейса пользователя не загораживается элементом графического интерфейса пользователя, связанным с упомянутой второй исполнительной средой, при этом каждый из упомянутых относящихся к нексусу элементов графического интерфейса пользователя содержит обрамление, типовое для элементов графического интерфейса пользователя, и упомянутую информацию секретного заголовка.
30. Система по п.29, в котором упомянутый доверенный администратор окон отображает на упомянутом экране относящийся к нексусу элемент графического интерфейса пользователя, содержащий упомянутый секрет пользователя нексуса.
