专利名称:移动设备上的安全无用信息收集系统和方法
技术领域:
本发明大体上涉及移动设备,更具体地,涉及移动设备上的安全存储技术。
背景技术:
很多已知的移动设备,如通过使用Java,支持对象,以发送、接收或至少使用数据、语音和/或多媒体(音频/视频)。这些对象可能涉及来自蜂窝网络的敏感信息及涉及很多不同的服务。然而,当前在移动设备上执行的无用信息收集操作缺乏安全性。
这种缺乏的非限定性示例包括不可及对象的收集。例如,图1示出了不引用对象(unreferenced object)的无用信息收集之间的堆的典型状态。在收集不可及对象之前,典型的无用信息收集器等待,直到存储器变得不足。这样,对象在被收集之前可能变得不可及。这为攻击创造了不可预测的机会窗口,尤其如果存储器恢复自身不是安全的。
发明内容
按照在此公开的教义,提供了一种安全无用信息收集系统,该系统包括微处理器,和可寻址存储区,该可寻址存储区具有堆和能够调用擦除函数的安全无用信息收集软件模块。当安全无用信息收集模块已经检测到所述堆中的对象不可及时,通过调用擦除函数,安全地收回所述对象过去正在使用的存储器。
在另一实施例中,安全无用信息收集可以按照多种不同的方式触发,包括但不限于以下步骤等待触发;执行用于所有安全应用程序的后续步骤;请求安全应用程序不引用敏感对象;执行安全无用信息收集;以及确定是否所有安全应用程序都已经被处理。
图1示出了使用已知无用信息收集器的不引用对象之间的典型堆的状态;图2是示出了按照本发明实施例的安全无用信息收集系统的方框图;图3a是详细示出了图2所示的示例可寻址存储区的物理图的方框图,特别示出了在典型加密消息查看应用程序中的RAM和Flash中的对象;图3b是示出了图3a的逻辑图的方框图;图4是示出了按照本发明实施例的、触发移动设备上的安全无用信息收集的示例方法的流程图;图5是按照本发明实施例示出了安全无用信息收集的示例方法的流程图,由此对不引用的对象进行安全无用信息收集;图6是示出了在移动设备上安全无用信息收集中使用的软件组件的方框图;图7是典型无线设备组件的简图。
具体实施例方式
现在参考附图,图2是示出了典型安全无用信息收集系统300的方框图。系统300特别保证敏感信息,这些敏感信息可以按照其自己的方式存在,可以来自个人信息管理(PIM),或可以来自通信,如语音和/或视频呼叫、短消息服务(SMS)通信、电子邮件消息、网页通信和无线访问协议(WAP)通信。系统300使能安全解密技术和安全永久存储技术。很多不同类型的移动设备可以利用系统300,如个人数字助理、移动通信设备、蜂窝电话和无线双向通信设备以及在具有敏感信息的任何设备中。
图2的典型安全无用信息收集系统300包括微处理器110和通过数据总线130连接到微处理器110的可寻址存储区120。可寻址存储区120存储微处理器软件模块140、堆150和引用表160。
微处理器软件140包括本地擦除函数170。本地擦除函数170能够删除可寻址存储区120部分中的数据。在‘C’编程语言中的合适函数是函数‘memset()’,它能用来以全零,全1或随机数据覆写数据,以抵御复杂的存储器复原技术。微处理器软件140还可以包括虚拟机软件200,其具有能够使用本地擦除函数170的安全无用信息收集器软件模块205,以及能够通过引用表160访问堆150中的对象。该软件140可以用在很多不同的实现环境中,如面向对象的环境(例如Java)。
虚拟机软件200能够解译在软件模块210中发现的虚拟机指令。示出了具体的虚拟机软件模块(例如,安全查看器应用程序220),并且将用作使用安全无用信息收集技术的示例应用程序。
安全查看器应用程序220,当由虚拟机软件200执行时,产生在堆150中进行分配的查看器对象10V,通过在引用表160中其相应的@V35V入口可访问。查看器对象10V例如可以是显示在敏感对象如对象10S中的敏感信息的用户接口对象。查看器对象10V最好通过在查看器应用220中的验证,根据安全对象70E,动态产生敏感对象10S。
例如,如果安全对象70E是S/MIME加密的消息,则敏感对象10S是由安全查看器应用模块220动态产生的S/MIME消息的明文未加密版本,在S/MIME电子邮件查看器应用程序的情况下,最好通过获得私钥并将私钥应用到加密的S/MIME消息对象70E而产生。
堆150可以被分区,以便敏感对象如对象10S可区别于安全对象如对象70E,正如由分别限制堆150的敏感和安全部分的区域152和157所示。应理解,对于处理敏感和安全对象,可能有很多不同的分区配置(或根本没有),以便适应当时情况。
还示出了不可及的堆150部分,由区域155示出。区域155包含不再由其他对象引用的对象10V’、10S’和70E’,并且由此适用于无用信息收集。注意,对象10S’是不可及的和敏感的,对象70E’是不可及的和安全的,而对象10V’只是不可及的。
回到S/MIME查看器应用程序220示例,对象10V’,10S’和70E’是不可及的,例如如果S/MIME查看器应用响应于删除消息用户接口命令,停止显示查看器10V’,对象10V’、10S’和70E’不可及。这样,如果查看器10V’是具有对敏感对象10S’和70E’的引用的唯一对象,当对10V’的引用丢失时,所有三个对象是无用信息收集的候选者。然而,注意对象70E,尽管由查看器10V’引用,仍然是可及且安全的(例如,加密的S/MIME—也许因为它是由查看器10V’查看的先前消息并且没有被用户删除)。
安全无用信息收集器模块205,一旦它已经检测到对象10V’,10S’和70E’是不可及的,就通过调用本地擦除函数170至少删除对象10S’,以及可选地删除对象10V’和70E’,安全地收回它们正在使用的存储器。可选地,所有无用信息收集使用擦除本地函数170,由此将所有对象当成敏感的。
参考图3a和3b,图3a是详细示出了图2的示例可寻址存储区的物理图的方框图,着重示出了典型加密消息查看应用程序中的引用表、RAM中的查看器对象、Flash中的永久加密对象和RAM中的暂时敏感的对象。
图3b是示出了图3a的逻辑图的方框图。两者将在下面描述。
引用对象10S和70E的对象10V被示出为它们可能出现在RAM 20或Flash 80中的某个地方。
还示出了引用表30,位于RAM 20中的某个地方。引用表30具有固定大小“w”37的几个存储单元(35V、35S、35E)以简化对存储单元的索引访问。每个使用的存储单元(35V、35S、35E)对应于位于可寻址空间(在此由RAM 20和Flash 80组成的)中的对象(10V、10S、70E)。例如,对象V 10V找到与存储单元索引“v”35V的对应关系,对象E 70E找到与存储单元索引“e”35E的对应关系,而对象S 10S找到与存储单元索引“s”35S的对应关系。将相应对象(10V、10S、70E)的地址(40V、40S、90E)存储在存储单元(35V、35S、35E)中,以便知道在引用表30中的对象的索引,能够分别获得对象(10V、10S、70E)的地址(40V、40S、90E)。这个通过首先获得引用表30的地址@R 50,然后假设对象引用,如“s”55S用于示例V对象10V,而实现的。存储单元@(R+v*w)60V的地址能够通过将索引55V“v”乘以每个存储单元的大小“w”37获得。
因为“v”存储单元35V保持相应对象V 10V的地址,解析存储单元35V的内容,提供RAM 20中的对象V 10V的地址@V 40V。类似地,当被解析时,“s”存储单元35S提供RAM 20中的对象10S的地址@S 40S,并且“e”存储单元35E指向Flash 80中的对象70E的地址@E 90E。还示出了每个对象(10V、10S、70E)如何在其格式内包含涉及引用表30的其“该引用”(55V、55S、55E)。还示出了对象V 10V如何在其格式内包含对对象E 70E的引用“E”65E,和对对象S 10S的引用“S”65S。这使得对象V 10V的范围内的运行时间环境能够以相同的方法访问对象E 70E和10S,与对象E 70E位于Flash 80内的地址90E和对象V 70A在RAM 20内的事实无关。
对象10V能够是安全多用途因特网邮件扩展(S/MIME)查看器,在该情况下,对象70E能够是永久(S/MIME)加密消息,对象10S能够是加密消息70E的敏感加密版本。查看器对象10V能够应验证查看器10V的用户,即S/MIME消息的预期接收者的请求,并在对查看器10V的用户进行验证之后,根据加密的对象70E,产生敏感对象10S。
参考图4,图4是示出了在移动设备上触发安全无用信息收集的示例方法的流程图。步骤410包括等待触发。与触发有关的任何参数能够通过配置402从存储区域120加载。触发能够由很多不同的事件如但不限于下列事件产生·405I是超时事件,当移动设备空闲时可能发生;·405H是支座(holstered)或底座(cradled)事件,当用户或攻击者将设备放进或移出支座(如果这样配备)或底座(如果这样配备)时可能发生。
·405L是屏幕锁定或用户锁定事件,由于各种原因,如当用户在加锁屏幕输入口令或当用户明确地锁定设备或屏幕时可能发生。
·405A是应用程序事件,如当查看器已经停止显示敏感对象时。在S/MIME的情况下,消息最好保持安全(加密的)和仅当被查看时被解密。然而,在引起安全无用信息收集触发之前,能够使用配置参数,延长解密的消息有效期(age the decrypted message),在较窄的超时时间段内,给用户查看消息、关闭消息和重新打开消息的机会。
·405R是重新运行触发,无论何时当系统时钟(如果如此配备)或时区已经改变时可能发生。能够使用配置参数指定特定的情况。
·405E是收发器事件,如果移动设备,例如通过无线网络,进行通信(如果如此被配备)能够发生。例如,当使用S/MIME通信时,或当使用SSL或TLS浏览时,可以对高速缓存进行安全无用信息收集。
步骤420包括执行用于所有安全应用程序的后续步骤。安全应用程序可以通过配置选择,或可以包括所有应用程序。
步骤430包括请求安全应用程序不引用敏感对象。这样,该步骤有助于保证在安全应用程序中攻击者的机会窗口大大受到限制,与触发无关。
步骤440包括安全无用信息收集。该步骤至少包括调用本地擦除函数调用,但也可以包括其他动作,诸如但不限于,清除系统剪贴板(如果如此配备和配置)。下面参考图5讨论执行该步骤的典型方法。
步骤450包括确定是否所有安全应用程序已经被处理。如果所有安全应用程序是干净(clean)的(例如,应用程序没有对敏感对象的引用),则针对其余的安全应用程序,重复步骤430和440。或者,如果所有安全应用程序是干净的,则进行步骤410,重新开始该方法。
注意,图4的方法可以实现为用于虚拟机的“Daemon”应用程序。
参照图5,图5是示出了安全无用信息收集的典型方法的流程图,由此对不引用的对象进行安全无用信息收集。
图5的方法500可以用来执行图4的步骤440。步骤510包括收集不引用的对象。该步骤例如通过配置信息502可以接收指示,诸如哪个触发引起图4的方法400中的无用信息收集。例如,如果S/MIME查看器应用程序是所述触发,则最好从在所述触发的起因附近开始的堆中收集不引用敏感对象。
步骤520包括执行用于对堆中的所有不引用对象的后续步骤。步骤530包括确定所述不引用的对象是否是敏感的。正如参考图2描述的,在优选实施例中,所有不引用的对象被当成敏感的。这个还可以在配置信息502中被指定。如果不引用的对象被确定是敏感的,则进行步骤540,接着步骤550;如果不是,则进行步骤550。
步骤540包括调用本地擦除函数以删除不引用敏感对象中的敏感信息。正如参考图2描述的,本地擦除函数能够是将对象数据置为0、1或随机数据的C“memset()”。能够在配置502中指定使用哪个选项。也设想能够使用非本地擦除函数。
步骤550包括收回对象存储器。该步骤能够通过传统的无用信息收集器完成。通过以对安全无用信息收集器的调用替换对传统无用信息收集器的全部调用,安全无用信息收集能够用很多现有的方法和系统进行。
步骤560包括确定所有不引用的对象是否已经被收回。如果被确定,则结束该方法。如果没有,则进行步骤530,以继续进行安全无用信息收集。
图6示出了具有安全无用信息收集系统的移动设备600。移动设备600经无线网络604接收信息(例如,安全消息602)。在移动设备600上运行的软件程序606处理安全消息602以便创建安全对象,并存储在可寻址存储区存储器608上,以处理安全消息602。在该例中,从安全消息606中提取敏感信息,并且敏感对象被创建和存储在可寻址存储区存储器608内,以便处理敏感信息。
当在可寻址存储区存储器608中的对象(610,612,614)被检测为不可及时,通过调用擦除函数618安全收回对象(610,612,614)过去使用的存储器608。可选地,所有无用信息收集使用擦除函数618,由此将所有对象(610,612,614)当成敏感的。然而,应理解,无用信息收集模块616可以改变擦除函数618可以用于的对象的类型。例如,无用信息收集模块616可以被配置为仅对不可及的敏感对象610或仅对不可及的安全对象612或对二者的组合,使用擦除函数618。此外,无用信息收集模块616可以被配置为对一个或多个软件程序的不可及对象使用擦除函数618。这些方案启动了安全无用信息收集,以放止对敏感信息的未授权访问。这样,当对象(如敏感对象)变成不可及时,而不是仅当存储器变得不足时,启动安全无用信息收集。
很多不同类型的移动设备可以利用在此公开的系统和方法,如图7中所述的无线设备。参照图7,无线设备900最好是至少具有语音和数据通信能力的双向通信设备。设备900最好具有与因特网上的其他计算机系统通信的能力。根据设备提供的功能,设备900可称为数据消息发送设备、双向寻呼机、具有数据消息发送能力的蜂窝电话、无线因特网设备或数据通信设备(具有或不具有电话功能)。
当设备900能够进行双向通信时,该设备900将包括通信子系统911。该子系统包括接收器912,发射器914,和如一个或多个最好嵌入或内部的天线单元916和918的相关组件,本地振荡器(LO)913,和处理模块如数字信号处理器(DSP)920。正如对通信领域的技术人员明显的,通信子系统911的特定设计将取决于设备打算运行的通信网络。例如,针对北美市场的设备900可包括设计运行于Mobitex移动通信系统或DataTAC移动通信系统的通信子系统911,而打算用在欧洲的设备900可包括通用分组无线业务(GPRS)通信子系统911。
一般地,设备900可通过其与蜂窝网络的交互和网络提供的服务获得或产生安全和敏感信息。蜂窝网络和它们提供的服务的示例包括提供大部分语音和某些数据服务的全球服务移动(GSM)和码分多址(CDMA)。语音服务通常与简易老式电话服务(POTS)匹配。短消息服务(SMS)和无线应用协议(WAP)在某些蜂窝网络中可用。如MobiTexTM、DatatacTM等数据网络以及如通用分组无线服务(GRPS)和通用移动电信系统(UMTS)等先进网络可以允许合适配置的无线移动设备提供数据服务,如电子邮件,网页浏览、SMS、WAP及PIM。将来的网络还可以提供视频服务。因此,敏感信息源大量存在。
网络访问需要还将取决于网络919的类型而变化。例如,在Mobitex和DataTAC网络中,移动设备如900使用与每个设备相关的唯一个人标识号或PIN注册在网络上。然而,在GPRS数据网络中,网络访问与设备900的订户或用户相关。因此,GPRS设备需要通常称为SIM卡的用户标识模块(未示出),以便运行于GPRS网络上。没有SIM,GPRS设备将不充分地实现功能。本地或非网络通信功能(如果有)可能可以运行,但是移动设备900将不能执行涉及在网络919上进行通信的任何功能。当已经完成需要的网络注册或激活程序之后,设备900可经网络919发送和接收通信信号。由天线916通过通信网络919接收的信号被输入到接收器912,其可以执行这些普通的接收器功能如信号放大、频率下转换、滤波、信道选择等和在图7所示的典型系统中的模拟数字转换。接收信号的模拟数字转换允许更复杂的通信功能,如要在DSP 920中执行的解调和解码。以类似方式,由DSP 920处理将要发送的信号,包括如调制和编码,并且输入到发射器914用于数字模拟转换、频率上转换、滤波、放大,并经天线918发送在通信网络919上传输。
DSP 920不仅处理通信信号,而且设有接收器和发送器控制。例如,应用到接收器912和发射器914中的通信信号的增益也可以通过在DSP 920中实现的自动增益控制算法得到自适应控制。
设备900最好包括微处理器938,其控制设备的整个操作。通过通信子系统911执行至少包括数据和语音通信的通信功能。微处理器938还与其他设备子系统交互,这些子系统诸如是显示器922、闪速存储器924、随机存取存储器(RAM)926、辅助输入/输出(I/O)子系统928、串行端口930、键盘932、扬声器934、麦克风936、短距离通信子系统940和总的表示为942的任何其他设备子系统。
图7中所示的某些子系统执行与通信相关的功能,而其他子系统可提供“驻留”或设备内置功能。明显的是,某些子系统如键盘932和显示器922可以用于通信相关功能,如输入文本消息,以便经通信网络传送,以及设备驻留功能,如计算器或任务列表。
能够由作为图2的元件110的微处理器938使用的操作系统软件最好存储在永久存储器,如闪速存储器924中,该永久存储器能够是图3a的单元80,并且可改为只读存储器(ROM)或类似存储单元或可以作为图2,3a和3b的可寻址存储区120的一部分。本领域技术人员将理解,操作系统,特定设备应用,或其部分可以暂时加载到可以作为图2的元件20的易失存储器,如RAM 926中。期望接收的通信信号也可以存储到RAM 926。闪速存储器924最好包括数据通信模块924B和当设备900能够用于语音通信时的语音通信模块924A。针对本发明,其他软件模块924N也可以包括在闪速存储器924中,该其他软件模块可以是图2的微处理器软件140。
除了其操作系统功能之外,微处理器938最好能够在设备上执行软件应用程序。控制基本设备操作的预定应用程序组,例如,至少包括数据和语音通信应用程序,将通常在制造过程中安装在设备900上。可以装到设备上的优选应用程序可以是个人信息管理器(PIM)应用程序,其能够组织和管理涉及设备用户的数据项,诸如但不限于电子邮件、日历事件、语音信件、约会和任务项。自然地,一个或多个存储存储器将在设备上可用,以有利于在设备上PIM数据项的存储。这种PIM应用程序最好具有通过无线网络发送和接收数据项的能力。在优选实施例中,PIM数据项通过无线网络与所存储的或与主计算机系统相关的设备用户相应的数据项无缝集成、同步和更新。附加的应用程序可通过网络919、辅助I/O子系统928、串行端口930、短距离通信子系统940或通过任何其他合适的子系统942被安装到设备900上,并且由用户安装用于微处理器938的执行的RAM 926或优选地,非易失存储器中。这种在应用程序安装方面的灵活性增加了设备的功能,并且能够提供增强的设备内置功能、通信相关功能或二者。例如,如在此描述的安全通信应用程序,可以使得电子商务功能和其他金融交易能够使用移动设备900执行。
在数据通信模式中,接收的信号,如文本消息或网页下载,将由通信子系统911处理并且输入给微处理器938,其最好进一步处理接收到的信号以输出到显示器922,或可选地输出到辅助I/O设备928。设备900的用户也可以使用键盘932以及显示器922和可能的辅助I/O设备928编辑数据项,如象电子邮件消息,键盘932最好是完整的字母数字键盘或电话型小键盘。然后,该编辑的数据项可经通信子系统911在通信网络上发送。
对于语音通信,设备900的整个操作基本上类似,除了接收到的信号最好输出到扬声器934和用于传输的信号由麦克风936产生之外。可选的语音或音频I/O子系统,如语音消息记录子系统,也可以在设备900上实现。尽管语音或音频信号输出最好实质上通过杨声器934完成,也能使用显示器922提供如呼叫方标识的指示、语音呼叫的持续时间或其他语音呼叫相关的信息。
串行端口930将通常在可期望与用户的桌面计算机同步的个人数字助理(PDA)型通信设备中实现,但是可选的设备组件。这样的端口930将使得用户能够通过外部设备或软件应用程序设置喜好,并且将通过提供到设备900的信息或软件下载,而不是通过无线通信网络,扩展了设备的能力。可选的下载路径例如可以通过直接并由此可靠和信任的连接,将加密密钥加载到设备900上,由此启动安全设备通信。
短距离通信子系统940是可用于设备900和不同系统或设备(不需要是类似设备)之间通信的可选组件。例如,子系统940可包括红外设备及相关电路和组件或BluetoothTM通信模块,以提供与类似使能的系统和设备的通信。
已经详细描述了本发明的优选实施例,包括操作的优选模式,将理解,该操作能够用不同的元件和步骤实现。该优选实施例仅以举例示出,并不倾向于限制本发明的范围。所撰写的说明书可以使本领域技术人员能够制造和使用具有同样对应于本发明单元的可选元件的实施例。由此,本发明所预期的范围包括不同于说明书的文字语言的其他结构、系统或方法,并且还包括具有与说明书的文字语言无实质区别的其他结构,系统或方法。
权利要求
1.一种用于针对移动设备上的敏感信息执行安全无用信息收集的方法,包括以下步骤在移动设备处经无线网络接收安全信息;从所述安全信息中提取敏感信息;在移动设备的存储器中存储所述敏感信息;其中,运行在移动设备上的软件程序使用第一对象访问所存储的敏感信息;等待触发,其中所述触发将被用作执行安全无用信息收集操作的指示;确定已经发生触发;如果已经发生触发,请求安全应用程序不引用对象,其中由于所述安全应用程序已经不引用所述第一对象,所述第一对象变得不可及;确定所述第一对象已经变得不可及;基于所述第一对象已经变得不可及的确定,从所述存储器中删除所述不可及的第一对象;以及收回所述第一对象过去正在使用的存储器。
2.一种触发移动设备上的安全无用信息收集的方法,包括以下步骤等待触发,其中所述触发将被用作执行安全无用信息收集操作的指示;确定已经发生触发;如果已经发生触发,请求运行在移动设备上的应用程序不引用敏感对象;以及对不引用的敏感对象执行安全无用信息收集,其中所述安全无用信息收集使与不引用的敏感对象相关联的敏感数据不可读。
3.一种针对移动设备上的操作的无用信息收集系统,其中所述移动设备包括存储器,用于存储由软件程序使用以访问存储在移动设备上的敏感信息的至少一个对象,包括配置数据结构,存储关于至少一个触发事件的信息,其中所述触发事件用作执行安全无用信息收集操作的指示;无用信息收集模块,具有对所述配置数据结构和对所述存储器的数据访问路径;其中所述无用信息收集模块可配置用于根据触发事件的检测,执行安全无用信息收集操作,其中根据存储在所述配置数据结构中的信息,执行所述触发事件的检测;其中所述安全无用信息操作包括所述对象是不可及的确定,和针对不可及的对象对擦除函数的调用。
4.一种用于处理移动设备上的敏感信息的安全无用信息收集系统,包括在移动设备处经无线网络接收安全信息的装置;从所述安全信息中提取敏感信息的装置;在移动设备的存储器中存储所述敏感信息的装置;其中运行在移动设备上的软件程序使用对象访问所存储的敏感信息;确定已经发生触发事件的装置;确定所述对象已经变得不可及的装置;在所述对象已经被确定为不可及之后,从所述存储器中删除所述不可及的对象的装置;其中使已删除的对象不可读;以及收回所述不可及的对象过去正在使用的存储器的装置。
5.一种可配置用于执行安全无用信息收集的移动设备,所述移动设备包括微处理器,可配置用于执行处理敏感信息的软件程序;堆存储器,用于存储由所述软件程序使用以访问所述敏感信息的至少一个对象;无用信息收集模块,可在所述微处理器上操作,并具有对所述堆存储器的数据访问路径;其中所述无用信息收集模块可配置用于在检测到所述堆存储器中的对象不可及时,针对存储在所述堆存储器中的对象,调用擦除函数。
6.一种执行涉及移动设备上的敏感信息的安全无用信息收集的方法,包括以下步骤在移动设备处经无线网络接收安全信息;从所述安全信息中提取敏感信息;在移动设备的存储器中存储所述敏感信息;其中运行在移动设备上的软件程序使用对象以访问所存储的敏感信息;确定所述对象已经变得不可及;基于所述对象已经变得不可及的确定,从所述存储器中删除所述不可及的对象;以及收回所述对象过去正在使用的所述存储器。
7.如权利要求6所述的方法,其特征在于所述移动设备是个人数字助理。
8.如权利要求6所述的方法,其特征在于所述移动设备是移动通信设备。
9.如权利要求6所述的方法,其中,所述移动设备是具有数据消息发送能力的蜂窝电话。
10.如权利要求6所述的方法,其特征在于所述移动设备是无线双向通信设备。
11.如权利要求6所述的方法,其特征在于所述移动设备是数据消息发送设备。
12.如权利要求6所述的方法,其特征在于所述移动设备是双向寻呼机。
13.如权利要求6所述的方法,其特征在于所述移动设备是无线因特网应用设备。
14.如权利要求6所述的方法,其特征在于所述无线网络包括用于提供所述无线网络的装置。
15.如权利要求6所述的方法,其特征在于所述安全信息是S/MIME加密消息。
16.如权利要求15所述的方法,其特征在于所述敏感信息是S/MIME消息的未加密版本。
17.如权利要求16所述的方法,其特征在于通过获得私钥并将私钥应用于已加密S/MIME消息来解密所述安全消息。
18.如权利要求6所述的方法,其特征在于所述敏感信息由于使用个人信息管理(PIM)应用程序而产生。
19.如权利要求6所述的方法,其特征在于所述敏感信息由于使用语音通信移动设备而产生。
20.如权利要求6所述的方法,其特征在于所述敏感信息由于使用视频通信移动设备而产生。
21.如权利要求6所述的方法,其特征在于所述敏感信息由于使用短消息服务(SMS)通信移动设备而产生。
22.如权利要求6所述的方法,其特征在于所述敏感信息由于使用电子邮件消息通信移动设备而产生。
23.如权利要求6所述的方法,其特征在于所述敏感信息由于使用网页通信移动设备而产生。
24.如权利要求6所述的方法,其特征在于所述敏感信息由于使用无线访问协议(WAP)通信移动设备而产生。
25.如权利要求6所述的方法,其特征在于当对象不被另一对象参考时,该对象不可及。
26.如权利要求6所述的方法,其特征在于当对象不被所述软件程序参考时,该对象不可及。
27.如权利要求6所述的方法,其特征在于当对象不被任何对象参考时,该对象不可及。
28.如权利要求6所述的方法,其特征在于当在存储器中的所述对象被检测为不可及时,使用擦除函数,以便安全收回所述对象过去正在使用的所述存储器。
29.如权利要求28所述的方法,其特征在于除了删除所述对象之外,清除系统剪贴板。
30.如权利要求28所述的方法,其特征在于实质上至少在所述移动设备上执行的所有无用信息收集使用所述擦除函数。
31.如权利要求28所述的方法,其特征在于在所述移动设备上执行的所有无用信息收集使用所述擦除函数,由此将所有对象当成敏感的。
32.如权利要求6所述的方法,其特征在于所述存储器存储用于移动设备的微处理器上的操作的软件程序,其中使用非本地擦除函数从所述存储器中删除所述对象。
33.如权利要求6所述的方法,其特征在于所述存储器存储用于移动设备的微处理器上的操作的软件程序,其中使用本地擦除函数从所述存储器中删除所述对象。
34.如权利要求33所述的方法,其特征在于通过将所述存储器中的对象数据覆写成全部为零,从所述存储器中删除所述对象。
35.如权利要求33所述的方法,其特征在于通过将所述存储器中的对象数据覆写成全部为一,从所述存储器中删除所述对象。
36.如权利要求33所述的方法,其特征在于通过将所述存储器中的对象数据覆写成随机数据,从所述存储器中删除所述对象。
37.如权利要求33所述的方法,其特征在于从所述存储器中删除所述对象,以便抵制攻击者的复杂的存储器恢复技术。
38.如权利要求6所述的方法,其特征在于所述存储器存储用于移动设备的微处理器上的操作的软件程序,其中使用擦除函数从所述存储器中删除所述对象。
39.如权利要求38所述的方法,其特征在于所述软件程序包括具有能够使用所述擦除函数的安全无用信息收集器软件模块的虚拟机软件。
40.如权利要求39所述的方法,其特征在于配置所述虚拟机软件以解译在所述软件程序中发现的虚拟机指令。
41.如权利要求39所述的方法,其特征在于所述存储器包括用在存储所述对象中的动态可分配存储器。
42.如权利要求39所述的方法,其特征在于所述存储器包括堆存储器,其中配置所述虚拟机软件,以通过引用表,访问存储在堆中的对象。
43.如权利要求42所述的方法,其特征在于处理所述敏感对象的对象是敏感对象,其中处理所述安全信息的对象是安全对象,其中所述堆包括分区,从而使敏感对象可区别于安全对象。
44.如权利要求43所述的方法,其特征在于将所述安全对象存储在移动设备的非易失存储器中,以及将所述敏感对象存储在移动设备的易失存储器中。
45.如权利要求44所述的方法,其特征在于将对象的存储器地址存储在引用表中,以便给出对所述引用表中的对象的索引,可以获得所述对象的存储器地址。
46.如权利要求45所述的方法,其特征在于对象在其格式内包含对任何其他对象的对象参考。
47.如权利要求46所述的方法,其特征在于所述引用表允许所述对象访问其他对象,无论所述其他对象是存储在易失还是非易失存储器中。
48.如权利要求47所述的方法,其特征在于创建所述对象的所述软件程序是运行在移动设备上的安全查看器应用程序。
49.如权利要求48所述的方法,其特征在于所述安全查看器应用程序,在由所述虚拟机软件执行时,产生被分配到堆中、并可以通过所述引用表中其相应入口访问的对象。
50.如权利要求49所述的方法,其特征在于使用查看器对象向移动设备的用户显示所述敏感信息。
51.如权利要求50所述的方法,其特征在于通过安全查看器应用程序中的验证,所述查看器对象动态产生敏感对象。
52.如权利要求6所述的方法,其特征在于删除所述对象和收回所述对象过去正在使用的存储器的决定是基于安全考虑的。
53.如权利要求6所述的方法,其特征在于删除所述对象和收回所述对象过去正在使用的存储器的决定是基于安全考虑的,而不是基于剩余的存储器容量。
54.如权利要求6所述的方法,其特征在于删除所述对象和收回所述对象过去正在使用的存储器的决定基于确定所述对象已经变得不可及的所述步骤,而且所述决定不依赖于可用存储器的水平。
55.如权利要求6所述的方法,其特征在于删除所述对象和收回所述对象过去正在使用的存储器的决定基于确定所述对象已经变得不可及的所述步骤,而且所述决定不基于存储器的容量低于预先选择的阈值而执行。
56.如权利要求6所述的方法,其特征在于还包括以下步骤确定触发已经发生,其中所述触发被用作执行安全无用信息收集操作的指示;基于接收所述触发,请求安全应用程序不参考应用程序的敏感对象;确定敏感对象已经被所述安全应用程序不引用;基于所述敏感对象已经未被参考的所述确定,从存储器删除所述不引用的对象。
57.如权利要求56所述的方法,其特征在于基于多个敏感对象已经未被所述安全应用程序参考的确定,删除多个对象,其中使用触发器的类型确定如何执行无用信息收集。
58.如权利要求56所述的方法,其特征在于向多个安全应用程序请求不引用它们各自的敏感对象。
59.如权利要求56所述的方法,其特征在于从配置文件加载与所述触发相关的参数,其中将所述参数用在确定触发已经发生中。
60.如权利要求56所述的方法,其特征在于所述配置文件规定将所有不引用的对象看作敏感对象。
61.如权利要求56所述的方法,其特征在于所述触发包括触发装置。
62.如权利要求56所述的方法,其特征在于基于预先选择的事件发生,所述触发发生。
63.如权利要求62所述的方法,其特征在于所述事件是当移动设备空闲预先选择时间时发生的超时事件。
64.如权利要求62所述的方法,其特征在于所述事件是底座事件。
65.如权利要求64所述的方法,其特征在于当移动设备被放进移动设备的底座或从移动设备的底座中移去时,所述底座事件发生。
66.如权利要求62所述的方法,其特征在于所述事件是支座事件。
67.如权利要求66所述的方法,其特征在于当移动设备被放进移动设备的支座或从移动设备的支座中移去时,所述支座事件发生。
68.如权利要求62所述的方法,其特征在于所述事件是屏幕锁定事件。
69.如权利要求62所述的方法,其特征在于所述事件是用户锁定事件。
70.如权利要求62所述的方法,其特征在于所述事件是应用程序事件。
71.如权利要求70所述的方法,其特征在于所述应用程序事件包括何时查看器已经停止显示敏感事件。
72.如权利要求70所述的方法,其特征在于在导致触发产生之前,使用配置参数延长解密信息的有效期。
73.如权利要求72所述的方法,其特征在于使用解密信息的有效期延长,给移动设备用户在预先选择的暂停时间段内查看消息、关闭消息和重新打开消息的机会。
74.如权利要求62所述的方法,其特征在于所述事件是重新运行触发事件。
75.如权利要求74所述的方法,其特征在于当移动设备的系统时钟或时区已经改变时,所述重新运行触发事件发生。
76.如权利要求62所述的方法,其特征在于所述事件是基于收发器的事件。
77.如权利要求76所述的方法,其特征在于如果所述移动设备经无线网络进行通信,所述基于收发器的事件发生。
78.如权利要求56所述的方法,其特征在于基于所述触发的确定,请求安全应用程序不引用应用程序的非敏感对象。
79.如权利要求56所述的方法,其特征在于所述安全无用信息收集操作包括删除所述不引用的敏感对象。
80.如权利要求79所述的方法,其特征在于所述安全无用信息收集操作包括收回由所述不引用的敏感对象使用的存储器。
81.如权利要求6所述的方法,其特征在于还包括以下步骤确定触发已经发生,其中所述触发被用作执行安全无用信息收集操作的指示;基于接收所述触发,请求安全应用程序不引用应用程序的敏感对象;以及对所述不引用的敏感对象执行安全无用信息收集操作。
82.如权利要求6所述的方法,其特征在于还包括以下步骤在执行安全无用信息收集操作之前等待触发;确定触发已经发生,其中所述触发被用作执行安全无用信息收集操作的指示;基于接收所述触发,请求安全应用程序不引用应用程序的敏感对象;以及对所述应用程序不引用的敏感对象执行安全无用信息收集操作。
83.如权利要求6所述的方法,其特征在于还包括步骤在执行安全无用信息收集操作之前等待触发;确定触发已经发生,其中所述触发被用作执行安全无用信息收集操作的指示;基于接收所述触发,请求安全应用程序不引用应用程序的敏感对象;以及对所述应用程序不引用的敏感对象执行安全无用信息收集操作。
全文摘要
一种用于执行涉及移动设备上的敏感信息的无用信息收集的方法和系统。在移动设备上经无线网络接收安全信息。从安全信息中提取敏感信息。运行在移动设备上的软件程序使用对象访问所述敏感信息。在对象变得不可及之后,对所述对象执行安全无用信息收集。
文档编号H04K1/00GK1653431SQ03811230
公开日2005年8月10日 申请日期2003年3月20日 优先权日2002年3月20日
发明者赫伯特·A·利特尔, 尼尔·P·亚当斯, 斯特凡·E·扬胡宁, 约翰·F·A·达姆斯 申请人:捷讯研究有限公司