本發明涉及用于管理的協議，對下載的程序片斷驗證和轉換的方法，以及對應的系統，特別著重于就存儲器和計算能力而言具有很少可用資源的板載數據處理系統。

參見圖1a，一般來說，通常認為板載數據處理系統10包括微處理器11，永久存儲器，諸如包含可執行程序代碼的非可寫存儲器12，及包含存儲在系統中的數據的EEPROM型可重寫非易失永久存儲器15，易失性隨機訪問存儲器14，程序在執行時在其中存儲其中間結果，以及允許系統與其環境交互的輸入/輸出裝置。在板載數據處理系統由板卡型微處理器卡組成的情形下，則輸入/輸出裝置15由串行鏈路組成，允許卡與諸如讀卡器終端等終端通信。

在傳統的板載數據處理系統中，系統所執行的程序代碼在系統構成期間，或至少當后者在交付最終用戶之前被定制時，是固定的。

然而，更精致的板載數據處理系統已經實現，這些系統是可重編程的，諸如JavaCard型微處理器卡。至于先進的類型，這些可重編程系統通過下載程序片斷，增加了系統投入服務之后強化程序的可能性。常常由“小應用程序”所指的這些程序片斷，在本說明書中不加區別地指小型應用程序或程序片斷。對于JavaCard系統更為詳細的說明，宜參照由SUNMICROSYSTEMS?INC.公司發布的文件，并特別是在www(World?Wide?Web)網址http：//java.sun.com/products/javacard/index.html，可用的電子文檔，JavaCard技術文章，1996年6月。

圖1b示出這種可重編程板載數據處理系統的結構。這種結構類似于傳統的板載系統，所不同在于，可重編程板載系統還能夠通過其輸入/輸出裝置之一接收小應用程序，然后在其永久性存儲器13中存儲這些程序，然后從該存儲器這些程序可被執行，作為對主程序的補充。

由于不同板載數據處理系統之間的可移植性，小應用程序以對于標準虛擬機的代碼形式呈現。這種代碼是不能直接由微處理器11執行的，而必須由虛擬機16以軟件術語解釋，該虛擬機是由駐留在非可寫永久性存儲器12中的一個程序組成的。在上述JavaCard卡的例子中，所使用的虛擬機是一Java虛擬機子集。至于有關Java虛擬機的規范及所使用的虛擬機的說明，宜參見由Tim?LINDHOLM和Frank?YELLIN公布的著作，標題為“TheJava?Virtual?Machine?Specification(Java虛擬機規范)”，Addison-Wesley?1996，并參見由SUN?MICROSYSTEMS?INC.發布的文件“JavaCard?2.1?Virtual?Machine?Specification”，電子可用的文檔在www網址http：//java.sun.com/products/javacard/JCVMSpec.pdf，1999年3月。

向工作中的板載數據處理系統下載小應用程序的操作造成相當大的安全問題。偶然或甚至是故意地不良寫入的小應用程序可能錯誤地修改系統上呈現的數據，妨礙主程序正確地或在正確的時間執行，或修改先前下載的其它小應用程序，造成它們不能使用或有害。

由計算機黑客所書寫的小應用程序也可能泄漏存儲在系統中的機密信息，例如在銀行卡的情形下的訪問代碼等信息。當前，就糾正小應用程序安全問題已經提出三種解決方案。

第一個解決辦法是使用加密簽字，以便只接收來自可信團體或人員的小應用程序。

在上述銀行卡的例子中，只接收帶有發卡銀行的加密簽字的小應用程序，并由卡執行，在下載操作過程中任何其它非簽字小應用程序都被拒絕。而一個卡的惡意用戶，由于沒有來自銀行可用的密鑰，于是不可能執行卡上非簽字且危險的小應用程序。

這第一個解決辦法可用于所有小應用程序來自同一單一來源的情形，例如上述的銀行。這種解決辦法難以用于小應用程序來自若干來源的情形，諸如在銀行卡的例子中，卡的制造商，銀行，通過銀行卡管理服務的團體，提供客戶誠信程序并合法提出向卡下載小應用程序的大型商業配送組織。對于小應用程序的電子簽字所必須的密鑰，在這些各種經濟參與者之間共享或持有，則造成主要的技術，經濟和法律上的問題。

第二個解決辦法是在小應用程序執行期間，對訪問和鍵入進行動態檢驗。

在這一解決辦法中，在小應用程序執行期間虛擬機進行一定數目的檢驗，諸如：

-檢驗對存儲器的訪問：對存儲區中每一讀和寫，虛擬機檢驗小應用程序對于對應數據的訪問權限；