保護顯示輸出數據免於惡意軟體攻擊的製作方法

2023-05-31 10:12:16

保護顯示輸出數據免於惡意軟體攻擊的製作方法
【專利摘要】描述了包括用於保護顯示輸出數據免於惡意軟體攻擊的操作的系統、裝置和方法。
【專利說明】保護顯示輸出數據免於惡意軟體攻擊
【背景技術】
[0001]在諸如在線金融交易等的各種情景中，計算設備可能需要將信息以非篡改的方式呈現給用戶。這種情況下，諸如內核模式內核模式木馬(rootkits)和/或用戶模式木馬的惡意軟體(即惡意程序)能夠將代碼注入用戶應用程式。惡意代碼可以附帶鍵盤記錄器或者讀取存儲器，諸如顯示器緩衝器，並竊取用戶憑證或其他數據。
[0002]在一些現有的實現中，可以通過使用加密(如受保護的音頻視頻路徑(PAVP)加密)、硬體隔離、和/或通過虛擬存儲器管理器保護的顯示來保護顯示緩衝器。然而，這樣的實現可能不能用於每一個平臺，並且一般而言，他們可能是高代價的和/或難以實現。
[0003]在各種各樣的計算實現中，可能期望保護用戶數據並且，尤其是，敏感的用戶數據(例如用戶名和密碼、金融帳戶信息等)免於惡意程序攻擊。
【專利附圖】

【附圖說明】
[0004]此處描述的資料在附圖中以例子的形式而非限制的形式被示出。為了示出簡單和清晰描述，圖中示出的描述元件不是必須按比例繪製。例如，為了清楚，一些元件的尺寸相對於其他元件可能被放大。而且，被認為合適的情況下，參考標記已經在圖中被重複以便表明相應的或相似的元件。在圖中:
[0005]圖1是用於保護顯示輸出數據的示例系統的示意圖；
[0006]圖2是示出了用於保護顯示輸出數據的示例過程的流程圖；
[0007]圖3是運行中的用於保護顯示輸出數據的示例過程的示意圖；
[0008]圖4是示出了用於準備保護顯示輸出數據的系統的示例過程的流程圖；
[0009]圖5是用於保護顯示輸出數據的示例系統的示意圖；
[0010]圖6是示例系統的示意圖；以及
[0011]圖7是示例系統的示意圖，其全部根據本公開的至少一些實現被布置。
【具體實施方式】
[0012]參照附圖一個或多個實施例或實現現在被描述。當討論特定的配置和布置時，應該明白這樣做僅是出於示意的目的。相關領域技術人員將認識到也可以採用其他的配置和布置而不脫離本描述的精神和範圍。也可以在不同於此處所描述的各種各樣的其他系統和應用程式中採用此處描述的技術和/或布置，這對於相關領域技術人員來說是顯而易見的。
[0013]雖然下面的描述提出了可以在例如此類片上系統(SoC)架構的架構中被證明的各種實現，此處描述的技術和/或布置的實現並不限於特定的架構和/或計算系統，並可以由用於相似的目的的任何架構和/或計算系統來實現。舉例來說，各種架構，例如採用多個集成電路(IC)晶片和/或封裝、和/或各種計算設備和/或諸如機頂盒、智慧型電話的消費類電子(CE)設備等，可以實現此處描述的技術和/或布置。而且，雖然下面的描述可以提出很多特定細節，諸如系統組件的邏輯實現、類型和內部關係，邏輯劃分/集成選擇等等，要求保護的主題可以不用此類特定細節來實施。在其他的例子中，為了不遮掩此處公開的資料，一些資料，比如諸如控制結構和完整的軟體指令序列，可能沒有詳細顯示。
[0014]此處公開的資料可以用硬體、固件、軟體或其任意組合來實現。此處公開的資料也可以作為存儲在機器可讀介質上的指令來實現，其可被一個或多個處理器讀取和執行。機器可讀介質可以包括用於以可被機器(如計算設備)讀取的形式存儲或傳輸信息的任何介質和/或機構。例如，機器可讀介質可以包括只讀存儲器(ROM)、隨機存取存儲器(RAM)、磁碟存儲介質、光存儲介質、閃速存儲器設備、電、光、聲或其他形式傳播信號(如載波、紅外線信號、數位訊號等等)和其他。
[0015]說明書中提到的「一個實現」、「實現」、「示例實現」等表明所描述的實現可以包括特殊特徵、結構或特性，但是每個實現可以並不是必須包括該特殊特徵、結構或特性。此外，這樣的措辭並不一定是指相同的實現。而且，當結合實現描述特殊特徵、結構或特性時，提出這是在本領域技術人員的知識範圍內結合無論是否在此明顯描述的其他實現產生此類特徵、結構或特性。
[0016]系統、裝置、製品和方法下面被描述，其包括用於保護顯示輸出數據免於惡意軟體攻擊的操作。
[0017]如上所述，在各種計算環境中，惡意程序可以將代碼注入用戶應用程式，其可以攻擊鍵盤記錄器或讀取存儲器，諸如顯示器緩衝器，並竊取用戶憑證或其他數據。
[0018]如下更詳細的描述，例如諸如顯示緩衝器數據(如顯示數據)的用戶數據，可以被保護免於惡意程序攻擊。通常，計算平臺中的受信任存儲器服務層(TMSL)可以是虛擬機擴展(VMX)根模式組件並可以提供各種服務。例如，TMSL可以提供僅可被白名單軟體(即已知的驗證的和受信任的軟體)訪問的物理存儲器視圖。這樣的物理存儲器視圖可以用於保護進入存儲器中的數據不可被非白名單軟體訪問。例如，在保護顯示緩衝器免受惡意程序的上下文中，可以產生或標記隔離的顯示緩衝器，其僅可以被白名單的或受信任的軟體或代碼訪問。TMSL可以類似地提供一部分圖形存儲器空間(即訪問控制圖形存儲器區域)，其僅可以被白名單的或受信任的軟體或代碼訪問。
[0019]進一步的，TMSL可以能夠產生或仿真設備，例如諸如外設組件互連標準(PCI)或快速外設組件互連標準(peripheral component interconnect express) (PCIe)設備。在這個上下文中，TMSL可以提供虛擬子畫面設備和關聯的虛擬子畫面存儲器區域。例如，虛擬子畫面設備可以通過圖形處理器的子畫面引擎來實現，並可以提供子畫面，可以覆蓋幀緩衝器的圖像。在這個上下文中，子畫面可以提供圖像，其複製或仿真對用戶的展示(即用戶本應該通過標準圖形管道查看的展示)，以使用戶看起來顯示給他們的信息沒有變化。然而，如這裡所使用的，子畫面可以通過單獨的和安全的圖形管道(即子畫面管道)將相同的數據顯示給用戶。通常，被展示給用戶的數據可能是敏感數據。敏感數據可以在設備或系統處被接收或通過設備或系統被內部地生成。例如，數據可能包括通過如網際網路的網絡接收的金融數據。或者，例如，數據可能是設備處接收並顯示給用戶的按鍵數據(通過鍵盤或虛擬鍵盤等接收的)，如用戶名、密碼或信用卡號，諸如此類。
[0020]出於示意性的目的，在非保護的操作中，圖形管道可以將顯示數據提供給顯示設備。例如，顯示緩衝器可以例如被應用編程接口(API)訪問以將顯示緩衝器中的數據提供給窗口管理器。窗口管理器可選的可以組成數據並將其提供給圖形驅動器(其可以包含用於將虛擬地址轉換為物理地址的圖形轉換表(GTT))，其可以將數據提供(通過物理存儲器)給圖形設備，如顯示設備。將會意識到，這樣的操作可能被暴露給惡意程序攻擊。
[0021]如下更詳細的描述，在討論的實現中，佔位符顯示緩衝器(其可以包含非敏感數據、假數據等)可以通過討論的管道提供數據以使任何惡意程序攻擊將僅發現佔位符顯示緩衝器中保存的無價值的、非敏感的數據。為了將(潛在敏感的)數據顯示給用戶，備選的圖形管道(即子畫面管道)可以被使用。備選的管道可以僅允許訪問白名單的或受信任的軟體或代碼。例如，響應於敏感數據在討論的隔離的顯示緩衝器被接收(或其他觸發描述的保護技術的事件)，佔位符顯示緩衝器中保存的數據可以根據被調用的API提供給窗口管理器。進一步的，隔離顯示緩衝器中保存的敏感數據可以通過虛擬子畫面設備傳送給虛擬子畫面存儲器區域。如所討論的，由於是通過TMSL註冊的，虛擬子畫面設備和虛擬子畫面存儲器區域可以是已知是安全的。敏感數據可以被進一步傳送到討論的圖形存儲器空間的訪問控制圖形存儲器區域。還是如所討論的，由於具有通過TMSL生成的受信任存儲器視圖，訪問控制圖形存儲器區域已知是安全的。安全數據接著可以被傳送給圖形設備，如顯示設備，用於被用戶查看。將會意識到，使用所描述的技術，任何惡意程序攻擊僅可以接收非敏感數據，而敏感數據可以已經繞開被攻擊的圖形管道到達安全的圖形管道。這樣的實現可以為顯示數據提供安全性。
[0022]圖1是用於保護顯示輸出數據的示例系統100的示意圖，其依照本公開的至少一些實現被布置。如圖所示，系統100可以包括進程地址空間102、窗口管理器110、應用編程接口(API) 114、實現圖形轉換表(GTT) 122的圖形驅動器120、圖形存儲器空間130和受信任存儲器服務層(TMSL) 140。系統100還可以包括顯示設備170。在各種實現中，系統100可以被配置為給用戶數據提供安全性。如下進一步所討論的，可以通過各種硬體、固件和軟體實現以使用系統100。
[0023]在一些例子中，系統100可以包括為了清楚而未在圖1中顯示的附加項目。例如，系統100可以包括一個或多個中央處理單元、射頻類型(RF)收發器、顯示器、天線、作業系統、圖形處理器等。進一步的，系統100可以包括附加項目，如揚聲器、麥克風、加速計、存儲器、路由器、網絡接口邏輯等，為了清楚而未在圖1中顯示。
[0024]如所討論的，系統100可以為用戶數據提供安全性。如圖所示，系統100可以包括TMSL140，其可以通過系統100的一個或多個中央處理單元來實現。如所討論的，TMSL140可以被配置為提供僅可被白名單的(即已知的驗證的和受信任的軟體)軟體、程序或虛擬設備等訪問的物理存儲器視圖。在一些例子中，TMSL140可以是虛擬機擴展(VMX)根模式組件。在一些例子中，TMSL140可以在VMX根模式中操作並使用擴展頁表硬體來隔離隔離的顯示緩衝器106的物理存儲器、控制對GTT122的訪問、控制對虛擬子畫面存儲器區域160的訪問、和/或控制對圖形存儲器空間130的訪問。在這樣的例子中，TMSL140可以使用用於包括存儲器訪問控制和隔離的存儲器管理的擴展頁表虛擬化技術。TMSL140可以被配置為將內核虛擬地址空間或進程虛擬地址空間劃分為單獨的物理存儲器視圖。這樣的分隔可允許物理存儲器視圖僅可以被白名單的或受信任的軟體或代碼訪問(即隔離的存儲器或訪問控制存儲器)。另外，非保護的存儲器區域可以被任何代碼訪問，其可以是白名單的或受信任的或未知的(以及例如潛在的惡意程序)。
[0025]如圖1所示，TMSL140可以提供隔離的顯示緩衝器106，例如，其僅可以被註冊的程序(如軟體、虛擬設備等)通過物理存儲器視圖來訪問。隔離的顯示緩衝器106例如可以是進程地址空間102的部分，並且可以通過由TMSL140管理的所述物理存儲器視圖標記為隔離的。例如，與隔離的顯示緩衝器106相關聯的物理存儲器視圖可以被描述為隔離的顯示緩衝器受信任存儲器視圖。進一步的，系統100可以包含作為進程地址空間102的部分的佔位符顯示緩衝器104，其可能不被物理存儲器視圖保護。
[0026]進一步的，如圖所示，TMSL140可以提供圖形存儲器空間130的訪問控制區域132。例如，訪問控制區域132僅可以被註冊的程序通過由TMSL140管理的物理存儲器視圖來訪問。例如，與訪問控制區域132相關聯的物理存儲器視圖可以被描述為訪問控制區域受信任存儲器視圖。如圖所示，圖形驅動器120可以包括圖形轉換表(GTT) 122。GTT122可以提供虛擬存儲器地址到物理存儲器地址的轉換，例如諸如將內核虛擬地址轉換為物理地址。在一些例子中，虛擬子畫面設備150 (以及作業系統和/或系統100的其他設備)可以通過GTT122訪問和/或控制圖形存儲器空間130的區域。在此處討論的輸出顯示安全性上下文中，TMSL140可以實現物理存儲器視圖來限制哪些設備和/或作業系統可以訪問GTT以寫入圖形存儲器空間130。在一些例子中，將圖形存儲器空間130的部分標記為訪問控制圖形存儲器區域132可以包括通過由TMSL140實現的物理存儲器視圖訪問GTT122。在一些例子中，圖形存儲器空間130和虛擬子畫面存儲器區域160可以實現為存儲器映射輸入/輸出(MMIO)存儲器空間。例如，虛擬子畫面存儲器區域160可以是圖形存儲器空間130的1:1的複製或重映射。在一些例子中，所討論的實現可以包括通過系統100的作業系統禁止位塊傳送器(blitter) (BLT)引擎和使能對GTT122的監視。根據顯示數據安全展示的完成，對GTT122的監視可以被禁止，並且位塊傳送器引擎可以被使能。進一步的，根據顯示數據安全展示的完成，訪問控制區域132和/或隔離的顯示緩衝器106可以被系統100禁止並返回用於一般的使用。
[0027]應當注意的是TMSL140可以提供獨立物理存儲器視圖，其具有相同或不同屬性，例如諸如可以訪問該獨立物理存儲器視圖的程序或虛擬設備列表。在保護隔離的顯示緩衝器106和訪問控制區域132的上下文中，物理存儲器視圖可以各自允許通過虛擬子畫面設備150和虛擬子畫面存儲器區域160訪問，然而，他們可以允許訪問需要的其他不同程序(若有的話)。
[0028]還是如所討論的，TMSL140可以被配置為產生或仿真設備。例如，TMSL140可以提供虛擬子畫面設備150和虛擬子畫面存儲器區域160。進一步的，例如，可能需要在保護敏感數據108之前加載或創建系統100的各種組件。為了創建和/或加載系統100的各種組件，例如諸如在系統100啟動期間或當打開安全應用平臺時，諸如此類，可以使用任何適當的技術加載TMSL140。TMSL140可以暴露(到現在為止)未驗證的虛擬子畫面設備驅動器(即操作虛擬子畫面設備的軟體)。可以通過作業系統加載未驗證的子畫面設備驅動器。根據成功加載虛擬子畫面設備驅動器，TMSL140可以確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中(即子畫面設備驅動器是白名單中的)。如果未驗證的虛擬子畫面設備驅動器是白名單中的，例如，虛擬子畫面設備可以由TMSL140註冊，允許被操作，被提供相關的虛擬存儲器空間，和/或可訪問各種物理存儲器視圖。其他實現中，TMSL可以僅加載暴露已知或標記為白名單的虛擬子畫面設備驅動器。
[0029]如所討論的，在一些實現中，虛擬子畫面設備150可以作為PCI或PCIe虛擬設備被暴露和/或被仿真。在這樣的實現中，虛擬子畫面設備150可能需要被作業系統作為PCI或PCIe設備來枚舉。在一些例子中，在作業系統枚舉PCI或PCIe設備之前TMSL140可以被加載和未驗證的虛擬子畫面設備可以被暴露。在一些例子中，TMSL140可以在作業系統已經枚舉PCI或PCIe設備之後被加載，和未驗證的虛擬子畫面設備可以作為熱插拔設備被暴露，其調用作業系統設備管理器重新掃描PCI或PCIe總線。
[0030]現在回到討論虛擬子畫面設備150和虛擬子畫面存儲器設備區域160，虛擬子畫面設備150和虛擬子畫面存儲器設備區域160可以訪問隔離的顯示緩衝器106和訪問控制區域132。例如，虛擬子畫面設備150可以通過圖形處理器的子畫面引擎來實現，和可以提供子畫面，可以覆蓋幀緩衝器的圖像。如所討論的，子畫面可以提供圖像，其複製或仿真對用戶的展示，和可以在本文被用於可以通過單獨的和安全的圖形管道(即子畫面管道)將相同的數據顯示給用戶。如圖1所示，被展示給用戶的數據可能是敏感數據108。通常，敏感數據108可以包括可能需要被保護免於惡意程序的任何數據，例如諸如用戶名和密碼、金融帳戶信息等。敏感數據可以在系統100處被接收或通過系統100被內部地生成。例如，敏感數據108可包括通過如網際網路的網絡接收的金融數據。或者，例如，敏感數據108可以是設備處接收並顯示給用戶的按鍵數據(通過鍵盤或虛擬鍵盤等接收的)，如用戶名、密碼或信用卡號，諸如此類。
[0031]響應於敏感數據108在隔離的顯示緩衝器106被接收或響應於其他觸發事件，保護敏感數據108的進程可以被調用。可以通過任何適當的事件觸發對隔離的顯示緩衝器106的使用，例如諸如識別來自與硬體受保護的環境相關聯的受保護進程或為保護而使用TMSL140註冊的受保護進程的數據。通常，與敏感數據108相關聯的進程(如軟體程序)可以預先作為受保護(如受信任的)進程由TMSL140註冊。這樣的註冊可以包括通過TMSL140確定進程是否是白名單進程或其他驗證技術。受保護進程可以包括任何適當的進程，例如諸如用戶模式進程、涉及金融交易、在線金融交易、另外的在線交易、諸如此類的進程。
[0032]響應於在隔離的顯示緩衝器106的敏感數據108的接收，一個或多個API114可以被調用到窗口管理器110或通過窗口管理器110被調用以便接收信息，例如諸如與和受保護進程相關的佔位符顯示緩衝器104相關聯的坐標或其他圖形信息。如所討論的，這樣的一個操作或多個操作可以典型的是用於從顯示緩衝器提供用於顯示給用戶的數據到圖形管道。如所討論的，在描述的技術中，佔位符顯示緩衝器104可以僅包括非敏感數據、甚至是假數據等，以使例如攻擊數據的任何惡意程序將接收不到敏感數據108，這樣敏感數據108可以被保護。進一步的，如所討論的，為了通過顯示設備170顯示敏感數據108給用戶，可以使用單獨的圖形管道。通常，API114可以包括任何適當的API，例如諸如可用於微軟Windows 的 DirectX API。
[0033]隔離的顯示緩衝器106中的敏感數據108例如可以通過虛擬子畫面設備150傳送給虛擬子畫面存儲器區域160。如所討論的，虛擬子畫面設備150可以是受信任的白名單程序，以致被惡意程序執行對隔離的顯示緩衝器106的訪問的威脅小或沒有威脅。虛擬子畫面存儲器區域160中的敏感數據108例如可以通過虛擬子畫面設備150被傳送到訪問控制區域132。其他例子中，敏感數據108可以通過TMSL140被傳送到訪問控制區域132。在兩者中任何一個事件中，敏感數據108可能已經通過受保護的圖形管道(如子畫面管道)被轉交到圖形存儲器空間130。[0034]敏感數據108可以通過任何適當的技術從圖形存儲器空間130的訪問控制區域132傳送或提供給顯示設備170以便作為顯示敏感數據180顯示。通常，顯示設備170可以包括任何顯示設備，例如諸如顯示器，或者與系統100集成或者單獨提供並可通信地耦合(如通過有線或無線連接)到系統100的其他組件以接收用於顯示的敏感數據108。
[0035]如所討論的，一些實現可以包括通過系統100的作業系統禁止位塊傳送器(BLT)引擎以及使能對GTT122的監視。根據顯示數據安全展示的完成，對GTT122的監視可以被禁止，並且位塊傳送器引擎可以被使能。進一步的，根據顯示數據安全展示的完成，訪問控制區域132和/或隔離的顯示緩衝器106可以被系統100禁止並返回用於一般的使用。
[0036]通常，關於圖1和本文其他地方討論的操作可以保護顯示輸出數據。進一步地，如所討論的，儘管出現在系統100的任何惡意程序可以訪問佔位符顯示緩衝器104，但它不可以訪問隔離的顯示緩衝器106。
[0037]如下將更詳細的被討論，系統100或本文討論的其他系統可以被用於執行下面結合圖2-4討論的一些或所有的各種功能，或先前關於圖1所討論的操作。
[0038]圖2是示出用於保護顯示輸出數據的示例進程200的流程圖，其依照本公開的至少一些實現來布置。在示出的實現中，進程200可以包括一個或多個如由方框202、204、206、208、210、212、214和/或216的一個或多個所示的操作、功能或動作。通過以非限制示例的方式，進程200本文中將根據圖1的示例系統100被描述。
[0039]進程200可以被用作用於保護顯示輸出數據的計算機實現的方法。進程200可以在方框202開始，「通過受信任存儲器服務層註冊進程作為受保護的進程」，其中進程可以通過受信任存儲器服務層被註冊作為受保護的進程。註冊進程可以包括例如確定該進程是否是白名單進程。受保護的進程可以包括任何適當的進程，例如諸如涉及金融交易、在線金融交易、另外的在線交易、諸如此類的進程。
[0040]處理可以繼續從操作202到操作204，「將進程地址空間的一部分標記為隔離的顯示緩衝器和將該進程地址空間的另一部分標記為佔位符緩衝器」，其中進程地址空間的一部分可以被標記為隔離的顯示緩衝器，並且該進程地址空間的另一部分可以被標記為佔位符緩衝器。例如，隔離的顯示緩衝器可以被保護並僅能通過經由受信任存儲器服務層管理的受信任存儲器視圖被訪問。佔位符緩衝器例如可以是非受保護的(如，對作業系統、各種程序和進程、以及潛在的惡意程序開放)。
[0041]處理可以繼續從操作204到操作206，「將圖形存儲器空間的一部分標記為訪問控制圖形存儲器區域」，其中圖形存儲器空間的一部分可以被標記為訪問控制圖形存儲器區域。例如，訪問控制圖形存儲器區域可以被保護並僅能通過經由受信任存儲器服務層管理的受信任存儲器視圖被訪問。
[0042]處理可以繼續從操作206到操作208，「提供虛擬子畫面設備和相關的虛擬子畫面存儲器區域」，其中虛擬子畫面設備和相關的虛擬子畫面存儲器區域可以被提供。例如，可以通過受信任存儲器服務層註冊和提供虛擬子畫面設備。例如，虛擬子畫面設備可以訪問隔離的顯示緩衝器和/或訪問控制圖形存儲器區域。例如，相關的虛擬子畫面存儲器區域可以是存儲器映射輸入/輸出(MMIO)存儲器空間，以及可以具有訪問控制圖形存儲器區域的1:1的對應或映射。
[0043]處理可以繼續從操作208到操作210，「通過窗口管理器調用應用編程接口以接收與佔位符緩衝器相關聯的信息」，其中可以通過窗口管理器調用一個或多個應用編程接口(API)以接收與佔位符緩衝器相關聯的信息。例如，與佔位符緩衝器相關聯的信息可以包括坐標或其他圖形信息。在惡意程序攻擊在進行中的情況下，惡意程序可攻擊保存在佔位符緩衝器中的數據，其可以僅包括非敏感數據或甚至假數據，諸如此類。
[0044]處理可以繼續從操作210到操作212，「將隔離的顯示緩衝器中的敏感數據傳送到虛擬子畫面設備存儲器區域」，其中可以將隔離的顯示緩衝器中的敏感數據傳送到虛擬子畫面設備存儲器區域。例如，隔離的顯示緩衝器可以沿著子畫面圖形管道被保護以便安全的展示給用戶。
[0045]處理可以繼續從操作212到操作214，「將虛擬子畫面設備存儲器區域中的敏感數據傳送到訪問控制圖形存儲器區域」，其中可以將虛擬子畫面設備存儲器區域中的敏感數據傳送到訪問控制圖形存儲器區域。例如，可以通過虛擬子畫面設備和/或虛擬子畫面設備存儲器區域傳送敏感數據。
[0046]處理可以繼續從操作214到操作216，「將訪問控制圖形存儲器區域中的敏感數據提供給顯示設備」，其中可以將訪問控制圖形存儲器區域中的敏感數據傳送給顯示設備。例如，敏感數據可以顯示給用戶。如所討論的，用戶可以查看敏感數據的顯示，而在通過子畫面管道展示敏感數據的顯示與在使用了標準圖形管道來展示數據給用戶時用戶本來會看到的顯示之間沒有證明有任何差異。
[0047]涉及進程200的一些附加的和/或備選的細節在下面對於圖3和/或4以更詳細的細節討論的實現的一個或多個示例中可以被示出。
[0048]圖3是運行中的示例系統100和進程300的示意圖，其依照本公開的至少一些實現來布置。在示出的實現中，進程300可以包括一個或多個如由方框312、314、316、321、322、323、324、325和/或326的一個或多個所示的操作、功能或動作。通過以非限制示例的方式，進程300本文中將根據圖1的示例視頻編碼系統100描述。
[0049]在示出的實現中，系統100可以包括模塊302等和/或其組合。例如，模塊302可以包括窗口管理器110、進程地址空間102和子畫面管道310等和/或其組合。窗口管理器110可以配置為接收與佔位符緩衝器104相關聯的信息。如所討論的，與佔位符緩衝器104相關聯的信息可以包括非敏感或假數據等。例如，進程地址空間102可以配置為包括用於處理敏感數據108和佔位符顯示緩衝器104的隔離的顯示緩衝器106。子畫面管道310可以包括虛擬子畫面設備150、虛擬子畫面存儲器區域160、訪問控制區域132、受信任存儲器服務層或其組合。例如，子畫面管道還可以包括通過圖形驅動器120和圖形存儲器空間130實現的圖形轉換表140。子畫面管道310可以配置為通過受保護免於潛在惡意程序攻擊的路徑將敏感數據108從隔離的顯示緩衝器106傳送到虛擬子畫面存儲器區域160和進一步到訪問控制區域132。子畫面管道可以將敏感數據傳送到顯示設備170以便作為敏感數據180的顯示來顯示給用戶。儘管系統100，如圖3所示，可以包括與特殊模塊相關聯的一組特殊的方框或動作，這些方框或動作可以與這裡示出的特殊模塊之外的不同模塊相關聯。
[0050]進程300可以用作用於跨層跨信道殘差預測的計算機實現的方法。進程300可以在方框312開始，「標記隔離的顯示緩衝器和佔位符緩衝器」，其中將進程地址空間102的一部分標記為隔離的顯示緩衝器106和將進程地址空間102的另一部分標記為佔位符緩衝器104。例如，隔離的顯示緩衝器106可以被保護並僅能通過經由受信任存儲器服務層(TMSL) 140管理的受信任存儲器視圖被訪問。例如，佔位符緩衝器可以是非受保護的(如，對作業系統、各種程序和進程、和潛在的惡意程序開放)。
[0051]處理可以繼續從操作312到操作321，「註冊進程作為受保護的進程」，其中可以通過TMSL140註冊進程作為受保護的進程。註冊進程可以包括例如通過經由TMSL140管理的預先確定的白名單來確定該進程是否是白名單進程。受保護的進程可以包括任何適當的進程，例如諸如涉及金融交易、在線金融交易、另外的在線交易、諸如此類的進程。
[0052]處理可以繼續從操作321到操作322，「標記訪問控制圖形存儲器」，其中圖形存儲器空間130的一部分可以被標記為訪問控制圖形存儲器區域132。例如，訪問控制圖形存儲器區域132可以被保護並僅能通過經由TMSL140管理的受信任存儲器視圖被訪問。
[0053]處理可以繼續從操作322到操作323，「提供虛擬子畫面設備和存儲器區域」，其中虛擬子畫面設備150和相關的虛擬子畫面存儲器區域160可以被提供。例如，可以通過TMSL140註冊和提供虛擬子畫面設備150。例如，虛擬子畫面設備150可以訪問隔離的顯示緩衝器160和/或訪問控制區域132。例如，相關的虛擬子畫面存儲器區域160可以是存儲器映射輸入/輸出(MMIO)存儲器空間，和可以具有訪問控制圖形存儲器區域132的1:1的對應或映射。
[0054]處理可以繼續從操作323到操作324，「將敏感數據傳送到虛擬子畫面設備存儲器區域」，其中可以將隔離的顯示緩衝器106中的敏感數據108傳送到虛擬子畫面存儲器區域160。例如，隔離的顯示緩衝器106可以沿著子畫面管道310被保護以便安全的展示給用戶。
[0055]處理可以繼續從操作324到操作325，「將敏感數據傳送到訪問控制圖形存儲器」，其中可以將虛擬子畫面存儲器區域160中的敏感數據108傳送到訪問控制區域132。例如，可以通過虛擬子畫面設備150和/或虛擬子畫面存儲器區域160傳送敏感數據108。
[0056]處理可以繼續從操作325到操作326，「將敏感數據提供給顯示設備」，其中可以將訪問控制區域132中的敏感數據108傳送給顯示設備170。例如，敏感數據108可以作為敏感數據180的顯示來顯示給用戶。如所討論的，用戶可以查看敏感數據180的顯示，而在通過子畫面管道310展示的顯示敏感數據180與在使用了標準圖形管道來展示數據給用戶時用戶本來會看到的數據顯示之間沒有證明有任何差異。
[0057]圖4是示出描述用於準備保護顯示輸出數據的系統的示例進程400的流程圖，其依照本公開的至少一些實現來布置。在示出的實現中，進程400可以包括一個或多個如由方框402、404、406、408和/或410中的一個或多個所示的操作、功能或動作。通過以非限制示例的方式，進程400將在本文中根據示例系統100被描述。
[0058]進程400可以用作用於保護顯示輸出數據的計算機實現的方法。進程400可以在方框402開始，「加載受信任存儲器服務層」，其中可以加載受信任存儲器服務層(TMSL) 140。例如，可以在系統100啟動期間或當打開安全應用平臺時等加載TMSL140。例如，TMSL140可以包括虛擬機擴展根模式組件。
[0059]處理可以繼續從操作402到操作404，「通過受信任存儲器服務層暴露未驗證的虛擬子畫面設備」，其中未驗證的虛擬子畫面設備可以通過或被TMSL140暴露。未驗證的虛擬子畫面設備可以被TMSL140以任何適當的方式暴露。例如，TMSL可以配置為掛鈎(hook)和/或仿真埠訪問以允許PCI或PCIe的定製猛拉(haling)，並且這樣的能力可以用於暴露未驗證的子畫面設備。[0060]處理可以繼續從操作404到操作406，「加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器」，其中可以加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器。可以利用任何適當的技術加載未驗證的虛擬子畫面設備驅動器，例如諸如通過系統100的作業系統加載未驗證的虛擬子畫面設備驅動器。
[0061]處理可以繼續從操作406到操作408，「通過受信任存儲器服務層確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中」，其中可以通過TMSL140確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中。如所討論的，TMSL140可以管理受信任和/或安全程序和/或代碼的白名單。TMSL140可以確定未驗證的虛擬子畫面設備驅動器是否可以被包含在白名單中。如所討論的，如果未驗證的虛擬子畫面設備驅動器被包含在白名單中，未驗證的虛擬子畫面設備驅動器可以被認為是安全的。如果其不在白名單中，未驗證的虛擬子畫面設備驅動器可以被認為是未知的，並且不可以允許被註冊、加載或操作，諸如此類。
[0062]處理可以繼續從操作408到操作410，「如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，註冊未驗證的虛擬子畫面設備」，其中，如果未驗證的虛擬子畫面設備驅動器被認為是被包含在規定的白名單中，例如，虛擬子畫面設備可以被TMSL140註冊、被允許操作、被提供相關的虛擬存儲器空間和/或可以訪問各種物理存儲器視圖。
[0063]使用這樣的技術，可以在系統100上建立或配置安全的子畫面管道。如所討論的，安全的子畫面管道可以是標準圖形管道的備選管道，並且可以提供用於敏感數據的安全性以免於針對系統100的輸出顯示數據的惡意程序攻擊。
[0064]當示例進程200、300、400和關於圖1討論的進程的實現可以包括採取示出的按順序顯示的所有方框時，本公開並非限制在這一點，並且在各種例子中，進程200和300的實現可以包括僅採取示出的方框的子集和/或以與描述不同的順序。
[0065]另外，圖14的方框中的任何一個或多個和關於圖1討論的進程可以響應於由一個或多個電腦程式產品提供的指令被採取。這樣的程序產品可以包括承載介質的信號，其提供指令，當被例如處理器執行時可以提供本文描述的功能。可以用任何計算機可讀介質形式提供電腦程式產品。因此，例如，包含一個或多個處理器核的處理器可以採取圖1-4顯示的方框中的一個或多個。
[0066]如本文中描述的任何實現中所使用的，術語「模塊」指的是被配置為提供本文中描述的功能的任何軟體、固件和/或硬體的組合。軟體可以被實施為軟體包、代碼和/或指令集或指令，如本文中描述的任何實現中所使用的，「硬體」可以包括，例如單一的或任何組合的，硬接線電路、可編程電路、狀態機電路和/或存儲由可編程電路執行的指令的固件。模塊可以共同的或單獨的被實施為形成更大系統的一部分的電路，例如，集成電路(1C)、片上系統(SoC)等等。
[0067]圖5是用於保護顯示輸出數據的系統100的示意圖，其依照本公開的至少一些實現來布置。在示出的實現中，系統100可以包括一個或多個中央處理單元506、一個或多個存儲器存儲508、一個或多個圖形處理單元510、子畫面管道310和/或顯示設備170。中央處理單元506、存儲器存儲508、圖形處理單元510和子畫面管道310可以能夠彼此通信，例如通過總線或其他通路。在各種實現中，顯不設備170可以被集成在系統100中或與系統100分開實現。[0068]如圖所示，中央處理單元506可以實現窗口管理器110、作業系統520和應用編程接口(API) 114，圖形處理單元510可以包括子畫面引擎512，子畫面管道310可以包括受信任存儲器服務層(TMSL) 140、虛擬子畫面設備150和虛擬子畫面存儲器區域160，和存儲器存儲508可以包括進程地址空間102和圖形存儲器空間130，其可以包括訪問控制區域132，為了清楚其未被顯示。進一步如圖所示，圖形驅動器120可以通過中央處理單元506和/或圖形處理單元510實現。
[0069]將會意識到，圖5中示出的模塊可以包括各種軟體和/或硬體模塊和/或可以通過軟體和/或硬體實現的模塊。例如，虛擬子畫面設備150可以通過中央處理單元506和/或圖形處理單元510實現為軟體。進一步的，例如，顯示的存儲器存儲508可以是用於中央處理單元506和/或圖形處理單元510的共享存儲器。而且，系統100可以通過各種方式實現。例如，系統100(除了顯示設備170)可以實現為具有圖形處理器的單一晶片或設備、四核中央處理單元、板上集成緩存和存儲器控制器輸入/輸出(I/O)模塊(未顯示)。在其他些例子中，系統100(還是除了顯示設備170)可以實現為晶片組。
[0070]例如，受信任存儲器服務層140可以通過中央處理單元506來實現，虛擬子畫面設備130可以通過圖形處理單元510的子畫面引擎512來實現，進程地址空間102可以通過存儲器存儲508來實現，圖形存儲器空間114可以通過存儲器存儲508來實現，窗口管理器110可以通過中央處理單元506來實現，圖形轉換表(圖5中未顯示)可以通過圖形驅動器120來實現，和圖形驅動器120可以通過中央處理單元506或圖形處理單元510中的一個來實現。
[0071]中央處理單元506可以包括任何適當的實現，例如包括一個或多個微處理器、多核處理器、特定用途集成電路、一個或多個晶片、晶片組等。進一步的，圖形處理單元510可以包括任何適當的實現，例如包括一個或多個處理器、多核處理器、特定用途集成電路、可編程邏輯設備、圖形卡、集成圖形、一個或多個通用圖形處理單元等。此外，存儲器存儲508可以是任何類型的存儲器，如易失性存儲器(如靜態隨機存取存儲器(SRAM)、動態隨機存取存儲器(DRAM)等)或非易失性存儲器(如閃速存儲器等)等。在非限制性例子中，存儲器存儲508可以通過緩存存儲器來實現。如所討論的，在各種例子中，系統100可以實現為晶片組或片上系統。作業系統520可以包括任何適當的作業系統，例如諸如基於微軟Windows的作業系統。
[0072]圖6示出了依照本公開的示例系統600。在各種實現中，系統600可以是介質系統，儘管系統600並非限制於該上下文。例如，系統600可以併入個人計算機(PC)、膝上型計算機、超便膝上型計算機、平板、觸控板、便攜計算機、手持計算機、掌上計算機、個人數字助理(PDA)、蜂窩電話、組合蜂窩電話/PDA、電視、智能設備(如智慧型電話、智能平板或智能電視)、移動網際網路設備(MID)、消息傳送設備、數據通信設備等等。
[0073]在各種實現中，系統600包括耦合到顯示器620的平臺602。平臺602可以接收來自內容設備的內容，如一個或多個內容服務設備630或一個或多個內容輸送設備640或其他類似的內容源。包括一個或多個導航特徵的導航控制器650可以被用於例如與平臺602和/或顯示器620交互。下面更詳細的描述這些組件的每一個。
[0074]在各種實現中，平臺602可以包括晶片組605、處理器610、存儲器612、存儲裝置614、圖形子系統615、應用616和/或無線電設備618的任意組合。晶片組605可以提供處理器610、存儲器612、存儲裝置614、圖形子系統615、應用616和/或無線電設備618之間的內部通信。例如，晶片組605可以包括能夠提供與存儲裝置614內部通信的存儲器適配器(未描述)。
[0075]處理器610可以實現為複雜指令集計算機(CISC)或精簡指令集計算機(RISC)處理器；x86指令集兼容處理器、多核或任何其他微處理器或中央處理單元(CPU)。在各種實現中，處理器610可以是一個或多個雙核處理器、一個或多個雙核移動處理器等。
[0076]存儲器612可以實現為易失性存儲器設備，例如但非限制於隨機存取存儲器(RAM)、動態隨機存取存儲器(DRAM)或靜態隨機存取存儲器(SRAM)。
[0077]存儲裝置614可以實現為非易失性存儲設備，例如但非限制於磁碟驅動器、光碟驅動器、磁帶驅動器、內部存儲器設備、附加存儲器設備、閃速存儲器、電池備份SDRAM(同步DRAM)和/或網絡可訪問存儲器設備。在各種實現中，存儲裝置614可以包括例如當包括多個硬碟驅動器時增加有價值數字介質的存儲性能提高的保護的技術。
[0078]圖形子系統615可以執行對圖像的處理，如用於顯示的靜態圖片或視頻。圖形子系統615可以例如是圖形處理單元(GPU)或視覺處理單元(VPU)。模擬或數字接口可以被用於通信上耦合圖形子系統615和顯示器620。例如，接口可以是任何高清晰度多媒體接口、顯示埠(Display Port)、無線HDMI和/或無線HD兼容技術。圖形子系統615可以被集成到處理器610或晶片組605。在一些實現中，圖形子系統615可以是通信上耦合到晶片組605的獨立的卡。
[0079]本文描述的圖形和/或視頻處理技術可以用各種硬體架構來實現。例如，圖形和/或視頻功能可以集成在晶片組內。備選地，可以使用離散的圖形和/或視頻處理器。作為又另一個實現，圖形和/或視頻功能可以由通用處理器提供，包括多核處理器。進一步的實施例中，功能可以在消費類電子設備中實現。
[0080]無線電設備618可以包括能夠使用各種適當的無線通信技術發射和接收信號的一個或多個無線電設備。這樣的技術可以包括穿過一個或多個無線網絡的通信。示例無線網絡包括(但不限於)無線區域網(WLAN)、無線個人區域網(WPAN)、無線城域網(WMAN)、蜂窩網和衛星網。在穿越這樣的網絡進行通信中，無線電設備618可以依照一個或多個任何版本的適用標準來操作。
[0081]在各種實現中，顯示器620可以包括任何電視類型監視器或顯示器。顯示器620可以包括例如計算機顯示器屏幕、觸控屏顯示器、視頻監視器、類電視設備、和/或電視。顯示器620可以是數字的和/或模擬的。在各種實現中，顯示器620可以是全息顯示器。還有，顯示器620可以是可以接收視覺投影的透明表面。這樣的投影可以傳輸各種形式的信息、圖像和/或對像。例如，這樣的投影可以是用於移動式增強現實(MAR)應用的視覺覆蓋。在一個或多個軟體應用616的控制下，平臺602可以在顯示器620上顯示用戶界面622。
[0082]在各種實現中，一個或多個內容服務設備630可以由任何本國的、國際的和/或獨立的服務託管，並從而能夠例如通過網際網路訪問平臺602。一個或多個內容服務設備630可以耦合到平臺602和/或顯示器620。平臺602和/或一個或多個內容服務設備630可以耦合到網絡660以往返網絡660傳輸(如發送和/或接收)媒體信息。一個或多個內容輸送設備640也可以耦合到平臺602和/或顯示器620。
[0083]在各種實現中，一個或多個內容服務設備630可以包括有線電視盒、個人計算機、網絡、電話、能用網際網路的設備或能夠輸送數字信息和/或內容的裝置、和能夠通過網絡660或直接地，單向或雙向地在內容提供者和平臺602和/或顯示器620之間傳輸內容的任何其他類似設備。將會意識到內容可以通過網絡660單向和/或雙向地往返內容提供者和系統600中的組件中的任何一個被傳輸。內容的例子可以包括例如包括視頻、音樂、醫學和比賽信息等的任何媒體信息。
[0084]一個或多個內容服務設備630可以接收內容，例如包括媒體信息、數字信息和/或其他內容的有線電視節目。內容提供者的例子可以包括任何有線或衛星電視或無線電或網際網路內容提供者。提供的例子並不意味著以任何方式限制依照本公開的實現。
[0085]在各種實現中，平臺602可以從具有一個或多個導航特徵的導航控制器650接收控制信號。控制器650的導航特徵例如可以被用於與用戶界面622交互。實施例中，導航控制器650可以是指點設備，其可以是允許用戶輸入空間(如連續的和多維的)數據到計算機的計算機硬體組件(特別的，人界面設備)。許多系統例如圖形用戶界面(GUI)和電視和監視器允許用戶使用身體姿態控制和提供數據給計算機或電視。
[0086]控制器650的導航特徵的運動可以通過顯示在顯示器上的指針、光標、聚焦環或其他視覺指示器的運動複製到顯示器上(如顯示器620)。例如，在軟體應用616的控制下，位於導航控制器650上的導航特徵可以映射到例如顯示在用戶界面622上的虛擬導航特徵。在實施例中，控制器650可以不是單獨的組件而可以是集成到平臺602和/或顯示器620。然而，本公開並非限制於這些元件或本文中顯示或描述的上下文。
[0087]在各種實現中，驅動器(未顯示)可以包括例如使用戶能夠諸如電視一樣在初始啟動後當允許時通過觸動按鈕立刻打開或關閉平臺602的技術。程序邏輯可以允許甚至當平臺被「關閉」時，平臺602將內容流傳送向媒體適配器或一個或多個其他內容服務設備630或一個或多個內容輸送設備640。此外，晶片組605可以包括例如對8.1環繞聲音音頻和/或高清(7.1)環繞聲音音頻的硬體和/或軟體支持。驅動器可以包括用於集成的圖形平臺的圖形驅動器。在實施例中，圖形驅動器可以包括快速外設組件互連標準(PCI)圖形卡。
[0088]在各種實現中，系統600中所顯示的任何一個或多個組件可以被集成。例如，平臺602和一個或多個內容服務設備630可以被集成，或平臺602和一個或多個內容輸送設備640可以被集成，或，例如平臺602、一個或多個內容服務設備630和一個或多個內容輸送設備640可以被集成。在各種實現中，平臺602和顯示器620可以是集成單元。例如，顯示器620和一個或多個內容服務設備630可以被集成,或顯不器620和一個或多個內容輸送設備640可以被集成。這些例子並不意味著限制本公開。
[0089]在各種實施例中，系統600可以被實現為無線系統、有線系統或兩者的組合。當實現為無線系統時，系統600可以包括適合用於通過無線共享介質通信的組件和接口，例如一個或多個天線、信號傳送器、接收器、收發器、放大器、過濾器、控制邏輯等。無線共享介質的例子可以包括部分無線頻譜，例如RF頻譜等。當實現為有線系統時，系統600可以包括適合用於通過有線通信介質通信的組件和接口，例如輸入/輸出(I/O)適配器、連接I/O適配器和對應的有線通信介質的物理連接器、網絡接口卡(NIC)、磁碟控制器、視頻控制器、音頻控制器等。有線通信介質的例子可以包括線、線纜、金屬引線、印刷電路板(PCB)、底板、交換結構、半導體材料、雙絞線、同軸電纜、光纖等等。[0090]平臺602可以建立一個或多個邏輯或物理信道以傳輸信息。信息可以包括媒體信息和控制信息。媒體信息可以指的是用於意圖為用戶表示內容的任何數據。內容的例子例如可以包括來自聲音會話、視頻會議、流傳送視頻、電子郵件(「email」)消息、聲音郵件消息、字母數字符號、圖形、圖像、視頻、文本等的數據。來自聲音會話的數據例如可以是演講信息、靜默期、背景噪聲、舒適噪聲、聲調等。控制信息可以指的是用於意圖為自動系統表示命令、指令或控制字的任何數據。例如，控制信息可以用於通過系統路由媒體信息或指示節點以預先確定的方式處理媒體信息。然而，實施例並非限制於這些元件或圖6中顯示或描述的上下文中。
[0091]如上所述，系統600可以用不同物理樣式或形式的要素實施。圖7示出了小形狀因子設備700的實現，其中可以實施系統600。在實施例中，例如，設備700可以實現為具有無線能力的移動計算設備。例如，移動計算設備可以指的是具有處理系統和例如一個或多個電池的移動功率源或供應的任何設備。
[0092]如上所述，移動計算設備的例子可以包括個人計算機(PC)、膝上型計算機、超便膝上型計算機、平板、觸控板、便攜計算機、手持計算機、掌上計算機、個人數字助理(PDA)、蜂窩電話、組合蜂窩電話/PDA、電視、智能設備(如智慧型電話、智能平板或智能電視)、移動網際網路設備(MID)、消息傳送設備、數據通信設備等等。
[0093]移動計算設備的例子還可以包括被布置成用於被人佩戴的計算機，例如腕式計算機、手指計算機、戒指計算機、眼鏡計算機、帶夾計算機、臂章計算機、鞋子計算機、服裝計算機和其他可佩戴的計算機。在各種實施例中，例如，移動計算設備可以實現為能夠執行計算機應用還有聲音通信和/或數據通信的智慧型電話。儘管一些實施例可以用以例子方式實現為智慧型電話的移動計算設備進行描述，可以意識到其他實施例也可以用其他無線移動計算設備來實現。實施例並非限制於這個上下文中。
[0094]如圖7所示，設備700可以包括外殼702、顯示器704、輸入/輸出(I/O)設備706和天線708。設備700也可以包括導航特徵712。顯示器704可以包括用於適於為移動計算設備顯示信息的任何適當的顯示單元。I/O設備706可以包括用於向移動計算設備輸入信息的任何適當的I/O設備。I/O設備706的例子可以包括字母數字鍵盤、數字小鍵盤、觸控板、輸入鍵、按鈕、開關、搖臂開關、麥克風、揚聲器、語音識別設備和軟體等。信息還可以用麥克風(未顯示)的方式輸入設備700。這樣的信息可以是被語音識別設備(未顯示)數位化的。實施例並非限制於這個上下文中。
[0095]各種實施例可以使用硬體元件、軟體元件或兩者的組合來實現。硬體元件的例子可以包括處理器、微處理器、電路、電路元件(如電晶體、電阻器、電容器、電感器等)、集成電路、專用集成電路(ASIC)、可編程邏輯器件(PLD)、數位訊號處理器(DSP)、現場可編程門陣列(FPGA)、邏輯門、寄存器、半導體設備、晶片、微晶片、晶片組等。軟體的例子可以包括軟體組件、程序、應用、電腦程式、應用程式、系統程序、機器程序、作業系統軟體、中間件、固件、軟體模塊、例程、子例程、函數、方法、過程、軟體接口、應用編程接口(API)、指令集、計算代碼、計算機代碼、代碼段、計算機代碼段、字、值、符號或他們的任意組合。確定實施例是否用硬體元件和/或軟體元件來實現可以根據任何數量的因素變化，如希望的計算速率、功率級、耐熱性、處理周期預算、輸入數據速率、輸出數據速率、存儲器資源、數據總線速度和其他設計或性能限制。[0096]至少一個實施例的一個或多個方面可以由存儲在計算機可讀介質上的表示處理器內各種邏輯的代表指令來實現，當被機器讀取時其使機器構建邏輯以執行本文描述的技術。這樣的表示(被稱為「IP核」)可以存儲在有形的、機器可讀介質上並被提供給各種客戶或製造設施來加載到實際構造邏輯或處理器的製造機器中。
[0097]雖然已經參考各種實現描述了本文提出的特定特徵，該描述並不意在以限制的意思被解釋。因此，對於本公開所屬【技術領域】的技術人員是顯而易見的本文描述的實現的各種修改以及其他實現，被認為屬於本公開的精神和範圍。
[0098]下面的例子屬於進一步的實施例。
[0099]在一個例子中，用於保護顯示輸出數據的計算機實現的方法可以包括通過受信任存儲器服務層註冊進程作為受保護進程。進程地址空間的一部分可以被標記為與受保護進程相關聯的隔離的顯示緩衝器，和該進程地址空間的另一部分可以被標記為與受保護進程相關聯的佔位符顯示緩衝器。圖形存儲器空間的一部分可以被標記為訪問控制圖形存儲器區域。虛擬子畫面設備和相關的虛擬子畫面存儲器區域可以被提供。響應於將敏感數據接收到隔離的顯示緩衝器，應用編程接口可以通過窗口管理器被調用來接收與和受保護進程相關聯的佔位符顯示緩衝器相關聯的信息。隔離的顯示緩衝器中的敏感數據可以傳送給虛擬子畫面設備存儲器區域。虛擬子畫面設備存儲器區域中的敏感數據可以傳送給訪問控制圖形存儲器區域。訪問控制圖形存儲器區域中的敏感數據可以被提供給顯示設備。
[0100]在用於保護顯示輸出數據的計算機實現的方法的進一步的例子中，受信任存儲器服務層可以被加載。未驗證的虛擬子畫面設備通過受信任存儲器服務層可以被暴露。與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器通過作業系統可以被加載。未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中，通過受信任存儲器服務層可以確定。如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，未驗證的虛擬子畫面設備可以通過受信任存儲器服務層被註冊為虛擬子畫面設備。可以通過受信任存儲器服務層創建隔離的顯示緩衝器受信任存儲器視圖，以使隔離的顯示緩衝器受信任存儲器視圖允許僅通過註冊的程序訪問隔離的顯示緩衝器，和以使虛擬子畫面設備是註冊的程序。可以通過受信任存儲器服務層創建訪問控制圖形存儲器區域受信任存儲器視圖，以使訪問控制圖形存儲器區域受信任存儲器視圖允許僅通過註冊的程序訪問訪問控制圖形存儲器區域，和以使虛擬子畫面設備是註冊的程序。敏感數據可以被接收到隔離的顯示緩衝器。隔離的顯示緩衝器的使用可以，基於對來自與硬體受保護的環境相關聯的受保護進程或為保護而使用受信任存儲器服務層註冊的受保護進程的數據的識別，選擇性地觸發。通過作業系統，位塊傳送器引擎可以被禁止和對圖形轉換表的監視可以被使能。虛擬子畫面設備可以通過圖形處理器的子畫面引擎來實現，並且受信任存儲器服務層可以通過中央處理單元來實現。將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域可以包括通過經由受信任存儲器服務層實現的圖形轉換表物理存儲器視圖訪問圖形轉換表，以使圖形轉換表被配置為將虛擬圖形存儲器地址轉換為物理圖形存儲器地址。虛擬子畫面設備可以是可以訪問隔離的顯示緩衝器和訪問控制圖形存儲器區域的註冊的程序。在作業系統枚舉快速外設組件互連標準設備之前，受信任存儲器服務層可以被加載和未驗證的虛擬子畫面設備可以被暴露。受信任存儲器服務層可以在作業系統枚舉快速外設組件互連標準設備之後被加載，以使暴露未驗證的虛擬子畫面設備包括未驗證的虛擬子畫面設備作為熱插拔設備以調用作業系統設備管理器重新掃描快速外設組件互連標準總線。與佔位符顯示緩衝器相關聯的信息可以包括佔位符顯示緩衝器的坐標。受保護進程可以包括涉及在線金融交易的進程。佔位符顯示緩衝器可以對作業系統開放和隔離的顯示緩衝器可以與作業系統隔離。圖形存儲器空間可以包括存儲器映射輸入/輸出(MMIO)存儲器空間。惡意程序可以訪問佔位符顯示緩衝器但不能訪問隔離的顯示緩衝器。受信任存儲器服務層可以包括虛擬機擴展根模式組件。
[0101]在另一個例子中，用於保護計算機上的顯示輸出數據的系統可以包括顯示設備、一個或多個處理器、一個或多個存儲器存儲、包括佔位符顯示緩衝器的進程地址空間、窗口管理器和包括受信任存儲器服務層的子畫面管道、虛擬子畫面設備和相關的虛擬子畫面存儲器區域。顯示設備可以被配置用來顯示數據。一個或多個處理器可以通信上耦合到顯示設備。一個或多個存儲器存儲可以通信上耦合到一個或多個處理器。子畫面管道可以被配置用來通過受信任存儲器服務層將進程註冊為受保護進程、將進程地址空間的一部分標記為與受保護進程相關聯的隔離的顯示緩衝器、將圖形存儲器空間的一部分標記為訪問控制圖形存儲器區域、接收隔離的顯示緩衝器中的敏感數據、將隔離的顯示緩衝器中的敏感數據傳送到虛擬子畫面設備存儲器區域、將虛擬子畫面設備存儲器區域中的敏感數據傳送到訪問控制圖形存儲器區域和將訪問控制圖形存儲器區域中的敏感數據提供給顯示設備。
[0102]在用於保護計算機上的顯示輸出數據的系統的進一步的例子中，該系統可以包括一個或多個圖形處理器和作業系統。一個或多個圖形處理器可以通信上耦合到一個或多個處理器，和一個或多個圖形處理器可以包括子畫面引擎。該作業系統可以通過一個或多個處理器來實現。子畫面管道可以進一步被配置以用於通過受信任存儲器服務層暴露未驗證的虛擬子畫面設備、通過受信任存儲器服務層確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中、如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，通過受信任存儲器服務層將未驗證的虛擬子畫面設備註冊為虛擬子畫面設備、通過受信任存儲器服務層創建隔離的顯示緩衝器受信任存儲器視圖，以使以使隔離的顯示緩衝器受信任存儲器視圖允許僅通過註冊的程序訪問隔離的顯示緩衝器，以及以使虛擬子畫面設備是註冊的程序、通過受信任存儲器服務層創建訪問控制圖形存儲器區域受信任存儲器視圖，以使訪問控制圖形存儲器區域受信任存儲器視圖允許僅通過註冊的程序訪問訪問控制圖形存儲器區域，以及以使虛擬子畫面設備是註冊的程序、將敏感數據接收到隔離的顯示緩衝器、基於對來自與硬體受保護的環境相關聯的受保護進程或為保護而使用受信任存儲器服務層註冊的受保護進程的數據的識別的一個選擇性地觸發隔離的顯示緩衝器的使用。該作業系統可以配置為加載受信任存儲器服務層、加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器、禁止位塊傳送器引擎和使能對圖形轉換表的監視、和枚舉快速外設組件互連標準設備，其中在作業系統枚舉快速外設組件互連標準設備之前，受信任存儲器服務層被加載和未驗證的虛擬子畫面設備被暴露，以及其中未驗證的虛擬子畫面設備作為熱插拔設備被暴露以調用作業系統設備管理器重新掃描快速外設組件互連標準總線。子畫面管道可以配置為依據通過經由受信任存儲器服務層實現的圖形轉換表物理存儲器視圖訪問圖形轉換表將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域，以使圖形轉換表被配置為將虛擬圖形存儲器地址轉換為物理圖形存儲器地址。與佔位符顯示緩衝器相關聯的信息可以包括佔位符顯示緩衝器的坐標。受保護進程可以包括涉及在線金融交易的進程。佔位符顯示緩衝器可以對作業系統開放和隔離的顯示緩衝器可以與作業系統隔離。圖形存儲器空間可以包括存儲器映射輸入/輸出(MMIO)存儲器空間。惡意程序可以訪問佔位符顯示緩衝器但不能訪問隔離的顯示緩衝器。受信任存儲器服務層可以包括虛擬機擴展根模式組件。虛擬子畫面設備可以是可以訪問隔離的顯示緩衝器和訪問控制圖形存儲器區域的註冊的程序。受信任存儲器服務層可以通過一個或多個處理器來實現，虛擬子畫面設備可以通過子畫面引擎來實現，進程地址空間可以通過一個或多個存儲器存儲來實現，圖形存儲器空間可以通過一個或多個存儲器存儲來實現，窗口管理器可以通過一個或多個處理器來實現，圖形轉換表可以通過圖形驅動器來實現，和圖形驅動器可以通過一個或多個處理器或一個或多個圖形處理器中的至少一個來實現。
[0103]在進一步的例子中，至少一個機器可讀介質可以包括多條指令，其響應於在計算設備上被執行使計算設備執行根據上述例子的任何一個的方法。
[0104]在更進一步的例子中，裝置可以包括用於執行根據上述例子的任何一個的方法的設備。
[0105]上述例子可以包括特定的特徵組合。然而，上述的這樣的例子並非限制於這一點，在各種實現中，上述例子可以包括僅採取這樣的特徵的子集、採取這些特徵的不同順序、採取這樣的特徵的不同組合、和/或採取明確列出的那些特徵以外的附加特徵。例如，描述的關於示例方法的所有特徵可以被實現為關於示例裝置、示例系統和/或示例製品，反之亦然。
【權利要求】
1.一種用於保護顯示輸出數據的計算機實現的方法，包括: 通過受信任存儲器服務層將進程註冊為受保護進程； 將進程地址空間的第一部分標記為與受保護進程相關聯的隔離的顯示緩衝器以及將該進程地址空間的第二部分標記為與受保護進程相關聯的佔位符顯示緩衝器； 將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域； 提供虛擬子畫面設備和相關的虛擬子畫面存儲器區域； 響應於將敏感數據接收到隔離的顯示緩衝器，通過窗口管理器調用應用編程接口以接收與和受保護進程相關聯的佔位符顯示緩衝器相關聯的信息； 將隔離的顯示緩衝器中的敏感數據傳送到虛擬子畫面設備存儲器區域； 將虛擬子畫面設備存儲器區域中的敏感數據傳送到訪問控制圖形存儲器區域；以及 將訪問控制圖形存儲器區域中的敏感數據提供給顯示設備。
2.如權利要求1的方法,進一步包括: 通過受信任存儲器服務層創建隔離的顯示緩衝器受信任存儲器視圖，其中，隔離的顯示緩衝器受信任存儲器視圖允許僅通過註冊的程序訪問隔離的顯示緩衝器，以及其中虛擬子畫面設備是註冊的程序。
3.如權利要求1的方法,進一步包括: 通過受信任存儲器服務層創建訪問控制圖形存儲器區域受信任存儲器視圖，其中，訪問控制圖形存儲器區域受信任存儲器視圖允許僅通過註冊的程序訪問訪問控制圖形存儲器區域，以及其中虛擬子畫面設備是註冊的程序。
4.如權利要求1的方法,進一步包括: 加載受信任存儲器服務層； 通過受信任存儲器服務層暴露未驗證的虛擬子畫面設備； 通過作業系統加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器； 通過受信任存儲器服務層確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中；以及 如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，通過受信任存儲器服務層將未驗證的虛擬子畫面設備註冊為虛擬子畫面設備。
5.如權利要求1的方法,進一步包括: 至少部分基於對來自與硬體受保護的環境相關聯的受保護進程或為保護而使用受信任存儲器服務層註冊的受保護進程的數據的識別中的一個，有選擇地觸發隔離的顯示緩衝器的使用。
6.如權利要求1的方法,進一步包括: 通過圖形處理器的子畫面引擎實現子畫面設備和通過中央處理單元實現受信任存儲器服務層。
7.如權利要求1的方法，其中將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域包括通過經由受信任存儲器服務層實現的圖形轉換表物理存儲器視圖訪問圖形轉換表，其中圖形轉換表被配置為將虛擬圖形存儲器地址轉換為物理圖形存儲器地址。
8.如權利要求1的方法，其中圖形存儲器空間包括存儲器映射輸入/輸出(MMIO)存儲器空間。
9.如權利要求1的方法，其中佔位符顯示緩衝器對作業系統開放，以及其中隔離的顯示緩衝器與作業系統隔離。
10.如權利要求1的方法，其中惡意程序可以訪問佔位符顯示緩衝器但不能訪問隔離的顯示緩衝器，以及其中受信任存儲器服務層包括虛擬機擴展根模式組件。
11.如權利要求1的方法,進一步包括: 加載受信任存儲器服務層； 通過受信任存儲器服務層暴露未驗證的虛擬子畫面設備； 通過作業系統加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器； 通過受信任存儲器服務層確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中； 如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，通過受信任存儲器服務層將未驗證的虛擬子畫面設備註冊為虛擬子畫面設備； 通過受信任存儲器服務層創建隔離的顯示緩衝器受信任存儲器視圖，其中隔離的顯示緩衝器受信任存儲器視圖允許僅通過註冊的程序訪問隔離的顯示緩衝器，以及其中虛擬子畫面設備是註冊的程序； 通過受信任存儲器服務層創建訪問控制圖形存儲器區域受信任存儲器視圖，其中訪問控制圖形存儲器區域受信任存儲器視圖允許僅通過註冊的程序訪問訪問控制圖形存儲器區域，以及其中虛擬子畫面設備是註冊的程序； 將敏感數據接收到隔離的顯示緩衝器； 至少部分基於對來自與硬體受保護的環境相關聯的受保護進程或為保護而使用受信任存儲器服務層註冊的受保護進程的數據的識別中的一個，有選擇的觸發隔離的顯示緩衝器的使用； 通過作業系統禁止位塊傳送器引擎和使能對圖形轉換表的監視； 通過圖形處理器的子畫面引擎實現虛擬子畫面設備和通過中央處理單元實現受信任存儲器服務層；以及 其中將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域包括通過經由受信任存儲器服務層實現的圖形轉換表物理存儲器視圖訪問圖形轉換表，以及其中，圖形轉換表被配置為將虛擬圖形存儲器地址轉換為物理圖形存儲器地址， 其中虛擬子畫面設備是可訪問隔離的顯示緩衝器和訪問控制圖形存儲器區域的註冊的程序， 其中在作業系統枚舉快速外設組件互連標準設備之前受信任存儲器服務層被加載以及未驗證的虛擬子畫面設備被暴露， 其中在作業系統枚舉快速外設組件互連標準設備之後受信任存儲器服務層被加載，以及其中暴露未驗證的虛擬子畫面設備包括將未驗證的虛擬子畫面設備作為熱插拔設備暴露以調用作業系統設備管理器以重新掃描快速外設組件互連標準總線， 其中與佔位符顯示緩衝器相關聯的信息包括佔位符顯示緩衝器的坐標， 其中受保護進程包括涉及在線金融交易的進程，其中佔位符顯示緩衝器對作業系統開放，以及其中隔離的顯示緩衝器與作業系統隔離， 其中圖形存儲器空間包括存儲器映射輸入/輸出(MMIO)存儲器空間， 其中惡意程序可以訪問佔位符顯示緩衝器但不能訪問隔離的顯示緩衝器，以及 其中受信任存儲器服務層包括虛擬虛擬機擴展根模式組件。
12.一種用於保護計算機上的顯示輸出數據的系統，包括: 配置為顯示數據的顯示設備； 通信上耦合到顯示設備的一個或多個處理器； 通信上耦合到一個或多個處理器的一個或多個存儲器存儲； 包括佔位符顯示緩衝器的進程地址空間； 窗口管理器；以及 子畫面管道，其包括受信任存儲器服務層、虛擬子畫面設備和相關的虛擬子畫面存儲器區域，子畫面管 道被配置為: 通過受信任存儲器服務層將進程註冊為受保護進程； 將進程地址空間的部分標記為與受保護進程相關聯的隔離的顯示緩衝器； 將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域； 接收隔離的顯示緩衝器中的敏感數據； 將隔離的顯示緩衝器中的敏感數據傳送到虛擬子畫面設備存儲器區域； 將虛擬子畫面設備存儲器區域中的敏感數據傳送到訪問控制圖形存儲器區域；以及 將訪問控制圖形存儲器區域中的敏感數據提供給顯示設備。
13.如權利要求12的系統，進一步包括: 通過一個或多個處理器實現的作業系統； 其中子畫面管道進一步被配置為: 通過受信任存儲器服務層暴露未驗證的虛擬子畫面設備； 通過受信任存儲器服務層確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中， 如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，通過受信任存儲器服務層將未驗證的虛擬子畫面設備註冊為虛擬子畫面設備，以及其中作業系統被配置為: 加載受信任存儲器服務層； 加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器。
14.如權利要求12的系統，進一步包括: 通過一個或多個處理器實現的作業系統； 其中子畫面管道進一步被配置為: 通過受信任存儲器服務層暴露未驗證的虛擬子畫面設備； 通過受信任存儲器服務層確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中， 如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，通過受信任存儲器服務層將未驗證的虛擬子畫面設備註冊為虛擬子畫面設備，以及其中作業系統配置為: 加載受信任存儲器服務層； 加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器；以及 枚舉快速外設組件互連標準設備，其中在作業系統枚舉快速外設組件互連標準設備之前受信任存儲器服務層被加載和未驗證的虛擬子畫面設備被暴露，以及其中將未驗證的虛擬子畫面設備作為熱插拔設備暴露以調用作業系統設備管理器重新掃描快速外設組件互連標準總線。
15.如權利要求12的系統，其中子畫面管道進一步被配置為: 通過受信任存儲器服務層創建隔離的顯示緩衝器受信任存儲器視圖，其中，隔離的顯示緩衝器受信任存儲器視圖允許僅通過註冊的程序訪問隔離的顯示緩衝器，以及其中虛擬子畫面設備是註冊的程序。
16.如權利要求12的系統，其中子畫面管道進一步被配置為: 通過受信任存儲器服務層創建訪問控制圖形存儲器區域受信任存儲器視圖，其中，訪問控制圖形存儲器區域受信任存儲器視圖允許僅通過註冊的程序訪問訪問控制圖形存儲器區域，以及其中虛擬子畫面設備是註冊的程序。
17.如權利要求12的系統，其中子畫面管道配置為通過經由受信任存儲器服務層實現的圖形轉換表物理存儲器視圖訪問圖形轉換表，將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域，以及其中，圖形轉換表配置為將虛擬圖形存儲器地址轉換為物理圖形存儲器地址。
18.如權利要求12的系統，其中受保護進程包括涉及在線金融交易的進程。
19.如權利要求12的系統，其中佔位符顯示緩衝器對作業系統開放，以及其中隔離的顯示緩衝器與作業系統隔離。
20.如權利要求12的系統，其中圖形存儲器空間包括存儲器映射輸入/輸出(MMIO)存儲器空間。
21.如權利要求12的系統，其中惡意程序可以訪問佔位符顯示緩衝器但不能訪問隔離的顯示緩衝器。
22.如權利要求12的系統，進一步包括: 通信上耦合到一個或多個處理器的一個或多個圖形處理器，一個或多個圖形處理器包括子畫面引擎； 通過一個或多個處理器實現的作業系統； 其中子畫面管道進一步被配置為: 通過受信任存儲器服務層暴露未驗證的虛擬子畫面設備； 通過受信任存儲器服務層確定未驗證的虛擬子畫面設備驅動器是否被包含在規定的白名單中； 如果未驗證的虛擬子畫面設備驅動器被包含在規定的白名單中，通過受信任存儲器服務層將未驗證的虛擬子畫面設備註冊為虛擬子畫面設備； 通過受信任存儲器服務層創建隔離的顯示緩衝器受信任存儲器視圖，其中，隔離的顯示緩衝器受信任存儲器視圖允許僅通過註冊的程序訪問隔離的顯示緩衝器，以及其中虛擬子畫面設備是註冊的程序；通過受信任存儲器服務層創建訪問控制圖形存儲器區域受信任存儲器視圖，其中，訪問控制圖形存儲器區域受信任存儲器視圖允許僅通過註冊的程序訪問訪問控制圖形存儲器區域，以及其中虛擬子畫面設備是註冊的程序； 將敏感數據接收到隔離的顯示緩衝器；以及 至少部分基於對來自與硬體受保護的環境相關聯的受保護進程或為保護而使用受信任存儲器服務層註冊的受保護進程的數據的識別中的一個，有選擇的觸發隔離的顯示緩衝器的使用， 其中作業系統被配置為: 加載受信任存儲器服務層； 加載與未驗證的虛擬子畫面設備相關聯的未驗證的虛擬子畫面設備驅動器； 禁止位塊傳送器引擎和使能對圖形轉換表的監視； 枚舉快速外設組件互連標準設備，其中在作業系統枚舉快速外設組件互連標準設備之前受信任存儲器服務層被加載和未驗證的虛擬子畫面設備被暴露，以及其中將未驗證的虛擬子畫面設備作為熱插拔設備暴露以調用作業系統設備管理器重新掃描快速外設組件互連標準總線， 其中子畫面管道配置為通過經由受信任存儲器服務層實現的圖形轉換表物理存儲器視圖訪問圖形轉換表，將圖形存儲器空間的部分標記為訪問控制圖形存儲器區域，以及其中，圖形轉換表被配置為將虛擬圖形存儲器地址轉換為物理圖形存儲器地址， 其中與佔位符顯示緩衝器相關聯的信息包括佔位符顯示緩衝器的坐標， 其中受保護進程包括涉及在線金融交易的進程， 其中佔位符顯示緩衝器對作業系統開放，和其中隔離的顯示緩衝器與作業系統隔離， 其中圖形存儲器空間包括存儲器映射輸入/輸出(MMIO)存儲器空間， 其中惡意程序可以訪問佔位符顯示緩衝器但不能訪問隔離的顯示緩衝器， 其中受信任存儲器服務層包括虛擬機擴展根模式組件， 其中虛擬子畫面設備是可以訪問隔離的顯示緩衝器和訪問控制圖形存儲器區域的註冊的程序，以及 其中受信任存儲器服務層通過一個或多個處理器實現，虛擬子畫面設備通過子畫面引擎實現，進程地址空間通過一個或多個存儲器存儲實現，圖形存儲器空間通過一個或多個存儲器存儲實現，窗口管理器通過一個或多個處理器實現，圖形轉換表通過圖形驅動器實現，以及圖形驅動器通過一個或多個處理器或一個或多個圖形處理器中的至少一個實現。
23.至少一種機器可讀介質，包括: 多條指令，其響應於在計算設備上被執行使計算設備執行根據權利要求1-11的任何一個的方法。
24.—種裝置，包括: 用於執行根據權利要求1-11的任何一個的方法的設備。
【文檔編號】G06F21/55GK103984894SQ201410153555
【公開日】2014年8月13日 申請日期:2014年2月11日 優先權日:2013年2月11日
【發明者】R·L·薩希塔, V·普赫加德, D·J·科珀斯維特 申請人:英特爾公司