[发明专利]管理协议、验证和转换下载程序片断的方法及对应的系统

说明书

本发明涉及用于管理的协议，对下载的程序片断验证和转换的方法，以及对应的系统，特别着重于就存储器和计算能力而言具有很少可用资源的板载数据处理系统。

参见图1a，一般来说，通常认为板载数据处理系统10包括微处理器11，永久存储器，诸如包含可执行程序代码的非可写存储器12，及包含存储在系统中的数据的EEPROM型可重写非易失永久存储器15，易失性随机访问存储器14，程序在执行时在其中存储其中间结果，以及允许系统与其环境交互的输入/输出装置。在板载数据处理系统由板卡型微处理器卡组成的情形下，则输入/输出装置15由串行链路组成，允许卡与诸如读卡器终端等终端通信。

在传统的板载数据处理系统中，系统所执行的程序代码在系统构成期间，或至少当后者在交付最终用户之前被定制时，是固定的。

然而，更精致的板载数据处理系统已经实现，这些系统是可重编程的，诸如JavaCard型微处理器卡。至于先进的类型，这些可重编程系统通过下载程序片断，增加了系统投入服务之后强化程序的可能性。常常由“小应用程序”所指的这些程序片断，在本说明书中不加区别地指小型应用程序或程序片断。对于JavaCard系统更为详细的说明，宜参照由SUNMICROSYSTEMS INC.公司发布的文件，并特别是在www(World Wide Web)网址http：//java.sun.com/products/javacard/index.html，可用的电子文档，JavaCard技术文章，1996年6月。

图1b示出这种可重编程板载数据处理系统的结构。这种结构类似于传统的板载系统，所不同在于，可重编程板载系统还能够通过其输入/输出装置之一接收小应用程序，然后在其永久性存储器13中存储这些程序，然后从该存储器这些程序可被执行，作为对主程序的补充。

由于不同板载数据处理系统之间的可移植性，小应用程序以对于标准虚拟机的代码形式呈现。这种代码是不能直接由微处理器11执行的，而必须由虚拟机16以软件术语解释，该虚拟机是由驻留在非可写永久性存储器12中的一个程序组成的。在上述JavaCard卡的例子中，所使用的虚拟机是一Java虚拟机子集。至于有关Java虚拟机的规范及所使用的虚拟机的说明，宜参见由Tim LINDHOLM和Frank YELLIN公布的著作，标题为“TheJava Virtual Machine Specification(Java虚拟机规范)”，Addison-Wesley 1996，并参见由SUN MICROSYSTEMS INC.发布的文件“JavaCard 2.1 Virtual Machine Specification”，电子可用的文档在www网址http：//java.sun.com/products/javacard/JCVMSpec.pdf，1999年3月。

向工作中的板载数据处理系统下载小应用程序的操作造成相当大的安全问题。偶然或甚至是故意地不良写入的小应用程序可能错误地修改系统上呈现的数据，妨碍主程序正确地或在正确的时间执行，或修改先前下载的其它小应用程序，造成它们不能使用或有害。

由计算机黑客所书写的小应用程序也可能泄漏存储在系统中的机密信息，例如在银行卡的情形下的访问代码等信息。当前，就纠正小应用程序安全问题已经提出三种解决方案。

第一个解决办法是使用加密签字，以便只接收来自可信团体或人员的小应用程序。

在上述银行卡的例子中，只接收带有发卡银行的加密签字的小应用程序，并由卡执行，在下载操作过程中任何其它非签字小应用程序都被拒绝。而一个卡的恶意用户，由于没有来自银行可用的密钥，于是不可能执行卡上非签字且危险的小应用程序。

这第一个解决办法可用于所有小应用程序来自同一单一来源的情形，例如上述的银行。这种解决办法难以用于小应用程序来自若干来源的情形，诸如在银行卡的例子中，卡的制造商，银行，通过银行卡管理服务的团体，提供客户诚信程序并合法提出向卡下载小应用程序的大型商业配送组织。对于小应用程序的电子签字所必须的密钥，在这些各种经济参与者之间共享或持有，则造成主要的技术，经济和法律上的问题。

第二个解决办法是在小应用程序执行期间，对访问和键入进行动态检验。

在这一解决办法中，在小应用程序执行期间虚拟机进行一定数目的检验，诸如：

-检验对存储器的访问：对存储区中每一读和写，虚拟机检验小应用程序对于对应数据的访问权限；