很多已知的移动设备，如通过使用Java，支持对象，以发送、接 收或至少使用数据、语音和/或多媒体(音频/视频)。这些对象可能涉 及来自蜂窝网络的敏感信息及涉及很多不同的服务。然而，当前在移 动设备上执行的无用信息收集操作缺乏安全性。
这种缺乏的非限定性示例包括不可及对象的收集。例如，图1示 出了不引用对象(unreferenced object)的无用信息收集之间的堆的 典型状态。在收集不可及对象之前，典型的无用信息收集器等待，直 到存储器变得不足。这样，对象在被收集之前可能变得不可及。这为 攻击创造了不可预测的机会窗口，尤其如果存储器恢复自身不是安全 的。

按照在此公开的教义，提供了一种安全无用信息收集系统，该系 统包括：微处理器，和可寻址存储区，该可寻址存储区具有堆和能够 调用擦除函数的安全无用信息收集软件模块。当安全无用信息收集模 块已经检测到所述堆中的对象不可及时，通过调用擦除函数，安全地 收回所述对象过去正在使用的存储器。
在另一实施例中，安全无用信息收集可以按照多种不同的方式触 发，包括但不限于以下步骤：等待触发；执行用于所有安全应用程序 的后续步骤；请求安全应用程序不引用敏感对象；执行安全无用信息 收集；以及确定是否所有安全应用程序都已经被处理。
附图说明
图1示出了使用已知无用信息收集器的不引用对象之间的典型堆 的状态；
图2是示出了按照本发明实施例的安全无用信息收集系统的方框 图；
图3a是详细示出了图2所示的示例可寻址存储区的物理图的方 框图，特别示出了在典型加密消息查看应用程序中的RAM和Flash中 的对象；
图3b是示出了图3a的逻辑图的方框图；
图4是示出了按照本发明实施例的、触发移动设备上的安全无用 信息收集的示例方法的流程图；
图5是按照本发明实施例示出了安全无用信息收集的示例方法的 流程图，由此对不引用的对象进行安全无用信息收集；
图6是示出了在移动设备上安全无用信息收集中使用的软件组件 的方框图；
图7是典型无线设备组件的简图。

现在参考附图，图2是示出了典型安全无用信息收集系统300的 方框图。系统300特别保证敏感信息，这些敏感信息可以按照其自己 的方式存在，可以来自个人信息管理(PIM)，或可以来自通信，如语 音和/或视频呼叫、短消息服务(SMS)通信、电子邮件消息、网页通 信和无线访问协议(WAP)通信。系统300使能安全解密技术和安全永 久存储技术。很多不同类型的移动设备可以利用系统300，如个人数 字助理、移动通信设备、蜂窝电话和无线双向通信设备以及在具有敏 感信息的任何设备中。
图2的典型安全无用信息收集系统300包括微处理器110和通过 数据总线130连接到微处理器110的可寻址存储区120。可寻址存储 区120存储微处理器软件模块140、堆150和引用表160。
微处理器软件140包括本地擦除函数170。本地擦除函数170能 够删除可寻址存储区120部分中的数据。在‘C’编程语言中的合适函 数是函数‘memset()’，它能用来以全零，全1或随机数据覆写数据， 以抵御复杂的存储器复原技术。微处理器软件140还可以包括虚拟机 软件200，其具有能够使用本地擦除函数170的安全无用信息收集器 软件模块205，以及能够通过引用表160访问堆150中的对象。该软 件140可以用在很多不同的实现环境中，如面向对象的环境(例如 Java)。
虚拟机软件200能够解译在软件模块210中发现的虚拟机指令。 示出了具体的虚拟机软件模块(例如，安全查看器应用程序220)，并 且将用作使用安全无用信息收集技术的示例应用程序。
安全查看器应用程序220，当由虚拟机软件200执行时，产生在 堆150中进行分配的查看器对象10V，通过在引用表160中其相应的 @V35V入口可访问。查看器对象10V例如可以是显示在敏感对象如对 象10S中的敏感信息的用户接口对象。查看器对象10V最好通过在查 看器应用220中的验证，根据安全对象70E，动态产生敏感对象10S。
例如，如果安全对象70E是S/MIME加密的消息，则敏感对象10S 是由安全查看器应用模块220动态产生的S/MIME消息的明文未加密版 本，在S/MIME电子邮件查看器应用程序的情况下，最好通过获得私钥 并将私钥应用到加密的S/MIME消息对象70E而产生。
堆150可以被分区，以便敏感对象如对象10S可区别于安全对象 如对象70E，正如由分别限制堆150的敏感和安全部分的区域152和 157所示。应理解，对于处理敏感和安全对象，可能有很多不同的分 区配置(或根本没有)，以便适应当时情况。
还示出了不可及的堆150部分，由区域155示出。区域155包含 不再由其他对象引用的对象10V’、10S’和70E’，并且由此适用于无用 信息收集。注意，对象10S’是不可及的和敏感的，对象70E’是不可及 的和安全的，而对象10V’只是不可及的。
回到S/MIME查看器应用程序220示例，对象10V’，10S’和70E’ 是不可及的，例如如果S/MIME查看器应用响应于删除消息用户接口命 令，停止显示查看器10V’，对象10V’、10S’和70E’不可及。这样， 如果查看器10V’是具有对敏感对象10S’和70E’的引用的唯一对象， 当对10V’的引用丢失时，所有三个对象是无用信息收集的候选者。然 而，注意对象70E，尽管由查看器10V’引用，仍然是可及且安全的(例 如，加密的S/MIME—也许因为它是由查看器10V’查看的先前消息并且 没有被用户删除)。
安全无用信息收集器模块205，一旦它已经检测到对象10V’，10S’ 和70E’是不可及的，就通过调用本地擦除函数170至少删除对象10S’， 以及可选地删除对象10V’和70E’，安全地收回它们正在使用的存储 器。可选地，所有无用信息收集使用擦除本地函数170，由此将所有 对象当成敏感的。
参考图3a和3b，图3a是详细示出了图2的示例可寻址存储区的 物理图的方框图，着重示出了典型加密消息查看应用程序中的引用表、 RAM中的查看器对象、Flash中的永久加密对象和RAM中的暂时敏感的 对象。
图3b是示出了图3a的逻辑图的方框图。两者将在下面描述。
引用对象10S和70E的对象10V被示出为它们可能出现在RAM 20 或Flash 80中的某个地方。
还示出了引用表30，位于RAM 20中的某个地方。引用表30具有 固定大小“w”37的几个存储单元(35V、35S、35E)以简化对存储单 元的索引访问。每个使用的存储单元(35V、35S、35E)对应于位于可 寻址空间(在此由RAM 20和Flash 80组成的)中的对象(10V、10S、 70E)。例如，对象V 10V找到与存储单元索引“v”35V的对应关系， 对象E 70E找到与存储单元索引“e”35E的对应关系，而对象S 10S 找到与存储单元索引“s”35S的对应关系。将相应对象(10V、10S、 70E)的地址(40V、40S、90E)存储在存储单元(35V、35S、35E) 中，以便知道在引用表30中的对象的索引，能够分别获得对象(10V、 10S、70E)的地址(40V、40S、90E)。这个通过首先获得引用表30 的地址@R 50，然后假设对象引用，如“s”55S用于示例V对象10V， 而实现的。存储单元@(R+v*w)60V的地址能够通过将索引55V“v” 乘以每个存储单元的大小“w”37获得。
因为“v”存储单元35V保持相应对象V 10V的地址，解析存储 单元35V的内容，提供RAM 20中的对象V 10V的地址@V 40V。类似地， 当被解析时，“s”存储单元35S提供RAM 20中的对象10S的地址@S 40S， 并且“e”存储单元35E指向Flash 80中的对象70E的地址@E 90E。 还示出了每个对象(10V、10S、70E)如何在其格式内包含涉及引用表 30的其“该引用”(55V、55S、55E)。还示出了对象V 10V如何在其 格式内包含对对象E 70E的引用“E”65E，和对对象S 10S的引用“S” 65S。这使得对象V 10V的范围内的运行时间环境能够以相同的方法访 问对象E 70E和10S，与对象E 70E位于Flash 80内的地址90E和对 象V 70A在RAM 20内的事实无关。
对象10V能够是安全多用途因特网邮件扩展(S/MIME)查看器， 在该情况下，对象70E能够是永久(S/MIME)加密消息，对象10S能 够是加密消息70E的敏感加密版本。查看器对象10V能够应验证查看 器10V的用户，即S/MIME消息的预期接收者的请求，并在对查看器 10V的用户进行验证之后，根据加密的对象70E，产生敏感对象10S。
参考图4，图4是示出了在移动设备上触发安全无用信息收集的 示例方法的流程图。步骤410包括等待触发。与触发有关的任何参数 能够通过配置402从存储区域120加载。触发能够由很多不同的事件 如但不限于下列事件产生：
·405I是超时事件，当移动设备空闲时可能发生；
·405H是支座(holstered)或底座(cradled)事件，当用户或 攻击者将设备放进或移出支座(如果这样配备)或底座(如果这样配 备)时可能发生。
·405L是屏幕锁定或用户锁定事件，由于各种原因，如当用户 在加锁屏幕输入口令或当用户明确地锁定设备或屏幕时可能发生。
·405A是应用程序事件，如当查看器已经停止显示敏感对象时。 在S/MIME的情况下，消息最好保持安全(加密的)和仅当被查看时被 解密。然而，在引起安全无用信息收集触发之前，能够使用配置参数， 延长解密的消息有效期(age the decrypted message)，在较窄的超 时时间段内，给用户查看消息、关闭消息和重新打开消息的机会。
·405R是重新运行触发，无论何时当系统时钟(如果如此配备) 或时区已经改变时可能发生。能够使用配置参数指定特定的情况。
·405E是收发器事件，如果移动设备，例如通过无线网络，进 行通信(如果如此被配备)能够发生。例如，当使用S/MIME通信时， 或当使用SSL或TLS浏览时，可以对高速缓存进行安全无用信息收集。
步骤420包括执行用于所有安全应用程序的后续步骤。安全应用 程序可以通过配置选择，或可以包括所有应用程序。
步骤430包括请求安全应用程序不引用敏感对象。这样，该步骤 有助于保证在安全应用程序中攻击者的机会窗口大大受到限制，与触 发无关。
步骤440包括安全无用信息收集。该步骤至少包括调用本地擦除 函数调用，但也可以包括其他动作，诸如但不限于，清除系统剪贴板 (如果如此配备和配置)。下面参考图5讨论执行该步骤的典型方法。
步骤450包括确定是否所有安全应用程序已经被处理。如果所有 安全应用程序是干净(clean)的(例如，应用程序没有对敏感对象的 引用)，则针对其余的安全应用程序，重复步骤430和440。或者，如 果所有安全应用程序是干净的，则进行步骤410，重新开始该方法。
注意，图4的方法可以实现为用于虚拟机的“Daemon”应用程序。
参照图5，图5是示出了安全无用信息收集的典型方法的流程图， 由此对不引用的对象进行安全无用信息收集。
图5的方法500可以用来执行图4的步骤440。步骤510包括收 集不引用的对象。该步骤例如通过配置信息502可以接收指示，诸如 哪个触发引起图4的方法400中的无用信息收集。例如，如果S/MIME 查看器应用程序是所述触发，则最好从在所述触发的起因附近开始的 堆中收集不引用敏感对象。
步骤520包括执行用于对堆中的所有不引用对象的后续步骤。步 骤530包括确定所述不引用的对象是否是敏感的。正如参考图2描述 的，在优选实施例中，所有不引用的对象被当成敏感的。这个还可以 在配置信息502中被指定。如果不引用的对象被确定是敏感的，则进 行步骤540，接着步骤550；如果不是，则进行步骤550。
步骤540包括调用本地擦除函数以删除不引用敏感对象中的敏感 信息。正如参考图2描述的，本地擦除函数能够是将对象数据置为0、 1或随机数据的C“memset()”。能够在配置502中指定使用哪个选项。 也设想能够使用非本地擦除函数。
步骤550包括收回对象存储器。该步骤能够通过传统的无用信息 收集器完成。通过以对安全无用信息收集器的调用替换对传统无用信 息收集器的全部调用，安全无用信息收集能够用很多现有的方法和系 统进行。
步骤560包括确定所有不引用的对象是否已经被收回。如果被确 定，则结束该方法。如果没有，则进行步骤530，以继续进行安全无 用信息收集。
图6示出了具有安全无用信息收集系统的移动设备600。移动设 备600经无线网络604接收信息(例如，安全消息602)。在移动设备 600上运行的软件程序606处理安全消息602以便创建安全对象，并 存储在可寻址存储区存储器608上，以处理安全消息602。在该例中， 从安全消息606中提取敏感信息，并且敏感对象被创建和存储在可寻 址存储区存储器608内，以便处理敏感信息。
当在可寻址存储区存储器608中的对象(610，612，614)被检 测为不可及时，通过调用擦除函数618安全收回对象(610，612，614) 过去使用的存储器608。可选地，所有无用信息收集使用擦除函数618， 由此将所有对象(610，612，614)当成敏感的。然而，应理解，无用 信息收集模块616可以改变擦除函数618可以用于的对象的类型。例 如，无用信息收集模块616可以被配置为仅对不可及的敏感对象610 或仅对不可及的安全对象612或对二者的组合，使用擦除函数618。 此外，无用信息收集模块616可以被配置为对一个或多个软件程序的 不可及对象使用擦除函数618。这些方案启动了安全无用信息收集， 以放止对敏感信息的未授权访问。这样，当对象(如敏感对象)变成 不可及时，而不是仅当存储器变得不足时，启动安全无用信息收集。
很多不同类型的移动设备可以利用在此公开的系统和方法，如图 7中所述的无线设备。参照图7，无线设备900最好是至少具有语音和 数据通信能力的双向通信设备。设备900最好具有与因特网上的其他 计算机系统通信的能力。根据设备提供的功能，设备900可称为数据 消息发送设备、双向寻呼机、具有数据消息发送能力的蜂窝电话、无 线因特网设备或数据通信设备(具有或不具有电话功能)。
当设备900能够进行双向通信时，该设备900将包括通信子系统 911。该子系统包括接收器912，发射器914，和如一个或多个最好嵌 入或内部的天线单元916和918的相关组件，本地振荡器(LO)913， 和处理模块如数字信号处理器(DSP)920。正如对通信领域的技术人 员明显的，通信子系统911的特定设计将取决于设备打算运行的通信 网络。例如，针对北美市场的设备900可包括设计运行于Mobitex移 动通信系统或DataTAC移动通信系统的通信子系统911，而打算用在 欧洲的设备900可包括通用分组无线业务(GPRS)通信子系统911。
一般地，设备900可通过其与蜂窝网络的交互和网络提供的服务 获得或产生安全和敏感信息。蜂窝网络和它们提供的服务的示例包括： 提供大部分语音和某些数据服务的全球服务移动(GSM)和码分多址 (CDMA)。语音服务通常与简易老式电话服务(POTS)匹配。短消息 服务(SMS)和无线应用协议(WAP)在某些蜂窝网络中可用。如 MobiTexTM、DatatacTM等数据网络以及如通用分组无线服务(GRPS) 和通用移动电信系统(UMTS)等先进网络可以允许合适配置的无线移 动设备提供数据服务，如电子邮件，网页浏览、SMS、WAP及PIM。将 来的网络还可以提供视频服务。因此，敏感信息源大量存在。
网络访问需要还将取决于网络919的类型而变化。例如，在 Mobitex和DataTAC网络中，移动设备如900使用与每个设备相关的 唯一个人标识号或PIN注册在网络上。然而，在GPRS数据网络中，网 络访问与设备900的订户或用户相关。因此，GPRS设备需要通常称为 SIM卡的用户标识模块(未示出)，以便运行于GPRS网络上。没有SIM， GPRS设备将不充分地实现功能。本地或非网络通信功能(如果有)可 能可以运行，但是移动设备900将不能执行涉及在网络919上进行通 信的任何功能。当已经完成需要的网络注册或激活程序之后，设备900 可经网络919发送和接收通信信号。由天线916通过通信网络919接 收的信号被输入到接收器912，其可以执行这些普通的接收器功能如 信号放大、频率下转换、滤波、信道选择等和在图7所示的典型系统 中的模拟数字转换。接收信号的模拟数字转换允许更复杂的通信功能， 如要在DSP 920中执行的解调和解码。以类似方式，由DSP 920处理 将要发送的信号，包括如调制和编码，并且输入到发射器914用于数 字模拟转换、频率上转换、滤波、放大，并经天线918发送在通信网 络919上传输。
DSP 920不仅处理通信信号，而且设有接收器和发送器控制。例 如，应用到接收器912和发射器914中的通信信号的增益也可以通过 在DSP 920中实现的自动增益控制算法得到自适应控制。
设备900最好包括微处理器938，其控制设备的整个操作。通过 通信子系统911执行至少包括数据和语音通信的通信功能。微处理器 938还与其他设备子系统交互，这些子系统诸如是显示器922、闪速存 储器924、随机存取存储器(RAM)926、辅助输入/输出(I/O)子系 统928、串行端口930、键盘932、扬声器934、麦克风936、短距离 通信子系统940和总的表示为942的任何其他设备子系统。
图7中所示的某些子系统执行与通信相关的功能，而其他子系统 可提供“驻留”或设备内置功能。明显的是，某些子系统如键盘932 和显示器922可以用于通信相关功能，如输入文本消息，以便经通信 网络传送，以及设备驻留功能，如计算器或任务列表。
能够由作为图2的元件110的微处理器938使用的操作系统软件 最好存储在永久存储器，如闪速存储器924中，该永久存储器能够是 图3a的单元80，并且可改为只读存储器(ROM)或类似存储单元或可 以作为图2，3a和3b的可寻址存储区120的一部分。本领域技术人员 将理解，操作系统，特定设备应用，或其部分可以暂时加载到可以作 为图2的元件20的易失存储器，如RAM 926中。期望接收的通信信号 也可以存储到RAM 926。闪速存储器924最好包括数据通信模块924B 和当设备900能够用于语音通信时的语音通信模块924A。针对本发明， 其他软件模块924N也可以包括在闪速存储器924中，该其他软件模块 可以是图2的微处理器软件140。
除了其操作系统功能之外，微处理器938最好能够在设备上执行 软件应用程序。控制基本设备操作的预定应用程序组，例如，至少包 括数据和语音通信应用程序，将通常在制造过程中安装在设备900上。 可以装到设备上的优选应用程序可以是个人信息管理器(PIM)应用程 序，其能够组织和管理涉及设备用户的数据项，诸如但不限于电子邮 件、日历事件、语音信件、约会和任务项。自然地，一个或多个存储 存储器将在设备上可用，以有利于在设备上PIM数据项的存储。这种 PIM应用程序最好具有通过无线网络发送和接收数据项的能力。在优 选实施例中，PIM数据项通过无线网络与所存储的或与主计算机系统 相关的设备用户相应的数据项无缝集成、同步和更新。附加的应用程 序可通过网络919、辅助I/O子系统928、串行端口930、短距离通信 子系统940或通过任何其他合适的子系统942被安装到设备900上， 并且由用户安装用于微处理器938的执行的RAM 926或优选地，非易 失存储器中。这种在应用程序安装方面的灵活性增加了设备的功能， 并且能够提供增强的设备内置功能、通信相关功能或二者。例如，如 在此描述的安全通信应用程序，可以使得电子商务功能和其他金融交 易能够使用移动设备900执行。
在数据通信模式中，接收的信号，如文本消息或网页下载，将由 通信子系统911处理并且输入给微处理器938，其最好进一步处理接 收到的信号以输出到显示器922，或可选地输出到辅助I/O设备928。 设备900的用户也可以使用键盘932以及显示器922和可能的辅助I/O 设备928编辑数据项，如象电子邮件消息，键盘932最好是完整的字 母数字键盘或电话型小键盘。然后，该编辑的数据项可经通信子系统 911在通信网络上发送。
对于语音通信，设备900的整个操作基本上类似，除了接收到的 信号最好输出到扬声器934和用于传输的信号由麦克风936产生之外。 可选的语音或音频I/O子系统，如语音消息记录子系统，也可以在设 备900上实现。尽管语音或音频信号输出最好实质上通过杨声器934 完成，也能使用显示器922提供如呼叫方标识的指示、语音呼叫的持 续时间或其他语音呼叫相关的信息。
串行端口930将通常在可期望与用户的桌面计算机同步的个人数 字助理(PDA)型通信设备中实现，但是可选的设备组件。这样的端口 930将使得用户能够通过外部设备或软件应用程序设置喜好，并且将 通过提供到设备900的信息或软件下载，而不是通过无线通信网络， 扩展了设备的能力。可选的下载路径例如可以通过直接并由此可靠和 信任的连接，将加密密钥加载到设备900上，由此启动安全设备通信。
短距离通信子系统940是可用于设备900和不同系统或设备(不 需要是类似设备)之间通信的可选组件。例如，子系统940可包括红 外设备及相关电路和组件或BluetoothTM通信模块，以提供与类似使 能的系统和设备的通信。
已经详细描述了本发明的优选实施例，包括操作的优选模式，将 理解，该操作能够用不同的元件和步骤实现。该优选实施例仅以举例 示出，并不倾向于限制本发明的范围。所撰写的说明书可以使本领域 技术人员能够制造和使用具有同样对应于本发明单元的可选元件的实 施例。由此，本发明所预期的范围包括不同于说明书的文字语言的其 他结构、系统或方法，并且还包括具有与说明书的文字语言无实质区 别的其他结构，系统或方法。
交叉引用
本申请要求2002年3月20日递交的、序列号为60/365,515的 美国临时专利申请的利益和优先权。