在一个安全处理环境中有条件地安装和执行服务的方法和系统

摘要

提供一个系统(100)和方法(300)用于在一个安全处理器(180)上安装和执行一个applet。该系统(100)和方法(300)可以接收applet到非安全存储器(174)中。该applet包括了一个元数据部分(202)和一个可执行部分(204)。元数据部分(202)包括一个安全元数据部分，一个资源元数据部分(212)，和一个元数据签名部分(216)。该系统(100)和方法(300)至少一部分基于applet的安全元数据部分(212)和资源元数据部分(214)，来确认该applet是否可以被安全处理器(180)执行，并且如果该applet可以被安全处理器(180)执行，则在安全处理器(180)上安装该applet。

说明书

技术领域

本发明涉及的是加密系统。特别的是，本发明涉及了已授权的软件应用程序的安全安装和执行。

发明背景

许多计算机软件需要执行一个或多个安全功能。一个安全功能就是一段计算机程序，该计算机程序的特征，或者该计算机程序的操作，是有高度的抵抗力的，不会被用户和第三方篡改。

举个例子，一个软件程序可能拥有一个终止日期，过期之后，软件的applet程序变得不起作用。然而，一个典型的软件终止功能是不安全的，因为通过把本地计算机时钟重设到一个更早的时间位置，或者通过修改软件跳过程序中检测本地计算机时钟的那一部分，很容易将它破解，。

作为另一个例子，一个计算机程序，它保存着从一个本地加密的数据库中访问得到得数据记录，用于主管本地加密数据库的使用，该程序一般有两个鉴定记录，第一个记录显示了数据过去使用的次数，而另一个记录显示了剩下的信用次数。然而，如果使用和信用记录的更新不是一个安全功能的话，用户可以通过减少使用记录的数量和/或增加信用记录的数量来破解该系统。相似的，保存一个它自身使用记录，用于缴费管理的缴费软件，需要一个安全功能来防止用户篡改缴费账目记录，以及其他内部鉴定记录和功能。

作为另一个例子，一个远程访问的数据库可以管理访问数据库的注册用户。在允许用户访问数据库之前，通常需要一个安全功能来鉴别每个用户的身份。还有另一个安全功能是密钥管理，例如，注册用户的加密密钥的分配。

一类安全功能解决方案是在用户桌面软件中执行安全功能。在桌面软件中执行一个安全功能拥有实际通用的优点。然而，在桌面软件中执行一个安全功能不像在硬件中执行一个安全功能那样安全。在另一方面，安全功能的硬件实现比软件的花销要大，并且可能每一个应用程序都需要特定的硬件。如果每一个应用程序都需要它自己的特定硬件，一个安全功能的硬件实现就是不通用的。

发明简介

本发明的一个目的是提供一个系统和方法用于在一个安全环境中有条件的安装和执行一个applet。在一个特别的实施例中，当且仅当一个安全处理器拥有执行该applet的资源时，本发明才提供一个applet的安装。

依照本发明方法的第一个典型的实施例，提供了一个方法，用于在拥有一个数据存储器和一个安全处理器的系统上安全地安装applet。发明的一个方面包括，将applet接收到数据存储器中，从applet的至少一部分中决定该applet是否可以被安全处理器运行，和如果安全处理器可以运行applet则在安全处理器上安装applet。在本发明的一个方面中，applet包括一个元数据(meta-data)部分，一个可执行部分，和一个凭证部分。在本发明的另一个方面，元数据部分包含一个安全元数据部分，一个指出了applet运行所需要的任何资源的资源元数据部分，以及一个元数据签名部分。

依照本发明方法的第二个典型的实施例，提供了一个方法，用于在拥有一个不安全数据存储器和一个安全处理器的系统上安全地安装applet。发明的另一个方面包括将applet接收到不安全数据存储器中。该applet包含一个元数据部分和一个可执行部分，元数据部分中包括了一个安全元数据部分，一个资源元数据部分，和一个元数据签名部分。而且发明的另一个方面包括，基于至少一部分applet的安全元数据部分和资源元数据部分，来决定该applet是否可以被安全处理器运行。在本发明的一个方面，这包括校验安全处理器的一个安全处理器安全等级，是满足或是超过applet安全元数据部分的一个安全处理器安全需求，以及如果安全处理器可以执行该applet，就在安全处理器上安装该applet。

依照本发明方法的第三个典型的实施例，提供了一个可选择applet的清单，用于第一个applet不能够安装在一台计算机上的情况，该计算机拥有至少一个资源，以及与一个安全等级相联系的一个安全处理器。本发明的另一个方面包括接收一个来自于安全处理器的对可选择applet清单的请求，该请求包含一个用于识别第一个applet的applet序列号，一个单元识别符用于标识安全处理器，一个第一指示器用于识别安全处理器的安全等级，以及一个第二指示器用于识别至少一个计算机的资源。在本发明的另一个方面，可选择的applet清单是从大量的applet中，至少基于第一指示器和第二指示器的一部分而生成的，并且可选择的多个applet清单被传送给计算机。在本发明的另一个方面，该方法进一步包括了从可选择applet清单中安装一个可选择的applet，并管理安装该可选择applet的额外费用。

依照本发明方法的第四个典型的实施例，提供一个安全applet执行系统，它包含一个数据存储器元件，用于存储从安全applet系统接收到的一个applet；以及一个安全处理器，用于从applet的至少一部分中决定该applet是否可以被安全处理器执行；并且如果该安全处理器可以执行该applet，则将该applet安装到安全处理器上。仍然是在本发明的一个方面，applet进一步包括了一个元数据部分和一个可执行部分。

依照本发明方法的第五个典型的实施例，一个给出的安全applet执行系统包括一个非安全数据存储元件，用于存储从安全applet执行系统中接收到的一个applet。在本发明的一个方面，applet包括一个元数据部分和一个可执行部分，元数据部分包括一个安全元数据部分，一个资源元数据部分，和一个元数据签名部分。一个安全处理器从applet的至少一部分中决定该applet是否可以被安全处理器执行，并且如果安全处理器可以执行该applet，则将该applet安装到安全处理器上。

附图的简要说明

本发明的进一步的目的，特点和优点将在下面关于附图的详细描述中被阐明，这些附图展示了本发明说明的实施例，在其中：

图1所示为用于从一个applet服务器下载applet的系统一个框图；

图2所示为一个applet的结构的一个框图；

图3所示为applet的安装和执行过程的一个流程图；

图4所示为第一个applet的验证一个更详细的流程图；

图5所示为一个applet可执行部分的验证一个更详细的流程图；

图6所示为一个applet可执行部分的执行一个更详细的流程图，它图解了；

图7所示为applet服务器对一个applet请求的响应的一个流程图；

图8所示为applet服务器对一个加密密钥请求的响应的一个流程图；以及

图9所示为一个流程图，它图解了applet服务器对一个可选择applet请求的响应。

全部附图，除非另外声明，均使用了相同的参照编号和字符来表示相似特征，元件，组件，或所示实施例的一部分。而且，虽然现在将参考附图，并联系所示的实施例对发明的主题进行详细的描述，但是没有离开附加权利要求中所定义的发明主题的真实范围和精神，可以对所描述的实施例做出改变和修正。

对最佳实施例的描述

美国专利序列号第09/313,295号，1999年3月17日申请，StevenJ.Sprague和Gregory J.Kazmierczak著，标题为“公共加密控制单元和为此的系统”(在下文中被称为“Sprague et al”)，它的全部说明在这里被合并参考，描述了一个加密控制单元，在其中applet可以被换进和/或换出。

图1图解了一个系统100，用于从一个applet服务器110下载applet，该applet服务器的例子有，在Sprague et al中公开的一个软件开发PC，安装applet到一个用户计算机170，例如，在Sprague et al中公开的一个桌面PC，并以一个安全的方式，在一个安全处理器180上执行该applet，该安全处理器的例子有，在Sprague et al中提到的公共加密控制单元。Applet服务器110包括一个CPU112，一个数据存储器元件114，一个网络接口116，以及一个给出的数据库。数据存储器元件114包含了描述不同用户和applet的信息。一个网络连接130，经由一个网络接口116，连接applet服务器110到一个通讯网络150上，允许网络服务器110在通讯网络150上进行通讯。最好，通讯网络150是Internet，但也可以是直接调制解调器线连接，无线连接或相似的连接。

一个凭证授权中心120，例如，在Sprague et al中公开的加密操作中心，包括一个CPU122，一数据存储器单元124，一个网络接口126，和一个给出的数据库128。一个网络连接140，经由一个网络接口126，连接凭证授权中心120到一个通讯网络150上，允许凭证授权中心120在通讯网络150上进行通讯。

一个用户计算机包括一个CPU172，一个数据存储器单元174，一个网络接口176，一个数据库178，以及拥有一个唯一标识符182的安全处理器180，该标识符与在Sprague et al中所描述的唯一的单元标识一样，是被给出的。一个网络连接160，经由一个网络接口176，连接用户计算机170到一个通讯网络150上，允许用户计算机170在通讯网络150上进行通讯。

一个认证中心系统190包括一个CPU192，一个数据存储单元194，一个网络接口196，和给出的一个数据库198。一个网络连接199，经由一个网络接口196，连接认证中心系统190到一个通讯网络150上，允许认证中心系统190在通讯网络150上进行通讯。认证中心系统190提供了一个可信的认证等级，在其中applet服务器和凭证授权中心120的凭证和相关公钥，对用户计算机170中的安全处理器180而言是已知的。

图2A显示了一个applet200，它包括一个元数据部分202，一个可执行部分204和一个凭证部分206。元数据部分202，如图2B所示，包含一个安全元数据部分，一个资源元数据214，和一个元数据签名部分216。资源元数据部分214包括指定必需资源的信息和一个applet序列号，例如在Sprague et al中公开的一个applet序列号。必需的资源可能包括，例如，一个生物统计传感器，一个安全输出，一个键盘，一个个人身份识别号登陆装置，一个第一智能卡插槽，一个第二智能卡插槽，一个指纹扫描仪，一个一般用途扫描仪，一个硬盘驱动器，一个全球定位系统输入，一个磁条卡读卡机，一个安全存储区域，一个效能量测，它定义了硬件的最小标准，一个执行特定加密运算法则的运算法则，和等等类似的东西。Applet序列号指示了元数据部分202所属的applet。元数据签名部分216是由凭证授权中心120生成的。可执行部分204，如图2C，包括一个加密的可执行部分222和一个可执行签名部分224。可执行签名部分224是由凭证授权中心120生成的。凭证部分206是由认证中心系统190生成的。一旦软件applet被下载，它就被存储在数据存储单元174中。

图3图解了软件applet的安装和执行进程300。为了启动软件applet的安装和执行进程300，用户计算机170在步骤302从applet服务器110请求applet200。该请求包括了唯一的单元识别182和一个applet序列号。这导致用户计算机170在通讯网络150上发送一个applet请求给applet服务器110。在一个可选择的实施例中，用户计算机170从一个分配媒体上，或者是从某些其他资源上，读取applet200，该媒体例如在Sprague et al中提到的分配媒体。在步骤306，用户计算机170下载applet200到用户计算机的数据存储单元174中。

Applet的安装请求在步骤304被校验。用户计算机170提示用户提供一个鉴定码来校验该请求源于该用户。如果用户提供的鉴定码与存储在安全处理器180中，用于唯一身份标识的鉴定码相匹配，一个applet200就是安装的一个候选。如果用户提供的鉴定码与存储在安全处理器180中，用于唯一身份标识的鉴定码不匹配，进程300被中断，安装进程接收到一个错误消息，并且退出进程300。在步骤308，安全处理器180校验安全处理器180在步骤308执行applet的能力，这在图4中有进一步详细的描述。作为选择，最初只有元数据部分202和凭证部分206被下载到用户计算机170，用于在步骤308的校验。这个元数据部分202和凭证部分206的初始下载，可以进一步被直接下载到安全处理器中的数据存储器。

在图4，在步骤402，applet200的元数据部分202和凭证部分206被从数据存储单元174中移入安全处理器180中。在元数据部分202被移入安全处理器180之后，在步骤403，applet200的凭证部分206被安全处理器180使用Rivest，Shamir和Adleman算法进行校验。如果安全处理器180核实认证中心系统190生成了凭证部分206，进程300前进到步骤404。如果认证中心系统190没有生成凭证部分206，进程300被退出。

在步骤404，一个临时变量resources被设为FALSE，而一个临时变量secure被设为FALSE。之所以这样设置是表示不知道安全处理器180是否有必需的安全级别来执行applet，也不知道安全处理器180是否有必要的资源来执行applet。

在步骤406，Applet200的元数据部分的数据完整性被校验。安全处理器180依靠元数据签名部分216，使用一个公钥校验算法来校验安全元数据部分212和资源元数据部分214的数据完整性。在某一个实施例中，使用了Rivest，Shamir和Adleman算法。最初，在applet200被从applet服务器110下载之前，元数据签名部分216基于安全元数据部分212和资源元数据部分214而被生成。如果在安全元数据部分212或资源元数据部分214中的任何信息，在元数据签名部分被生成和校验进行这两个时间之间被改变，那么校验进程就失败了。如果校验进程失败了，进程300被退出并且显示一个错误。如果校验进程在安全元数据部分212和资源元数据部分214中检测不到改动，则继续进程300。

在安全处理器180上必需资源的可用性在步骤408得到校验。资源元数据部分214指定了许多可执行部分在执行时可能需要的资源。最好的是，资源元数据部分214指定了每一个可执行部分在执行时可能需要的资源。所有在资源元数据部分214中指定的资源在安全处理器180上必须是可用的，以便于安装applet200。当applet安装时，这些资源可能当前正被另一个进程使用，但是在执行中，所有指定的资源必须在applet200的支配之中。如果安全处理器180拥有必需的资源，临时变量resources被设为TRUE，从而指明所需的资源现在在安全处理器180中。

安全处理器180支持的安全等级，例如，它的安全级别，必须在步骤410中被验证为至少和安全元数据212中指定的安全等级相等。如果在安全处理器中可用的安全等级至少和安全元数据212中指定的安全等级相等，applet200可以被安装到安全处理器180上。如果applet200可以被安装到安全处理器180，临时变量secure被设为TRUE，表示安全处理器180上有所需的安全等级。

接下来进程300前进到图3中的步骤310，在这儿检测applet是否能够被安装。如果临时变量secure和临时变量resources是TRUE，applet200能够被安装。Applet200的元数据部分202被存储在安全处理器180中，而步骤300前进到步骤318。如果临时变量secure或者临时变量resources是FALSE，那么applet不能够被安装，并且进程300前进到步骤312。

安全处理器180确认是否有某些已知的可选择applet可用作步骤312中的applet。applet200的安装失败或者是因为安全处理器180不拥有所需的资源，或者是因为安全处理器180不支持必需的安全协议。安全处理器180通过让用户计算机170从applet服务器110中请求可选择applet的清单，来开始它对于某些可选择applet是否存在的确认。用户计算机170传送一个对可选择applet的清单的请求。该请求包含唯一的单元标识符182，不可被安装的applet的applet序列号，安全处理器180的安全级别，以及安全处理器180的资源性能。如果从applet服务器返回到用户计算机170的可选择applet的清单是空的，则退出进程300。如果可选择applet的清单不是空的，进程300前进到步骤314。

在步骤314中，安全处理器180指示用户计算机向用户出示可选择applet清单。在步骤316，用户可以挑选安装可选择applet中的一个，或是拒绝选择。如果用户选择接受可选择applet中的一个，进程300从步骤302重新开始。如果用户拒绝可选择的applet，则退出进程300。

在步骤318，安全处理器180从applet服务器110请求一个解密密钥。该解密密钥请求包括唯一标识182和applet序列号。该解密密钥使安全处理器180能够解密applet200的加密可执行部分222。安全处理器200在步骤320等待解密密钥。如果安全处理器180从applet服务器110接收到了解密密钥，安全处理器180可以前进到步骤322，从而继续applet200的安装。如果用户计算机170没有从applet服务器110接收到解密密钥，applet200不能被安装，退出进程300。applet200的加密可执行部分222在步骤322被校验。

图5更详细的显示了在步骤322中，applet200的加密可执行部分222的校验。为了校验加密可执行部分222，在步骤502中，它必须首先被从数据存储单元174中移动到安全处理器180中。在步骤504，加密可执行部分222被使用解密密钥解密到一个非加密可执行部分中。

非加密可执行部分的数据完整性在步骤506进行校验。安全处理器180通过预备applet序列号给非加密可执行部分，来校验非加密可执行部分的数据完整性，并使用一个公钥校验算法来校验可执行签名部分224。在某一个实施例中，使用了Rivest，Shamir和Adleman算法。在applet服务器110下载applet之前，基于非加密可执行部分中的数据生成可执行签名部分，它带有被预备给非加密可执行部分的applet序列号。在可执行签名部分被生成之后，applet序列号被从非加密可执行部分上去掉，而非加密可执行部分被加密从而生成加密可执行部分222。如果在非加密可执行签名216被生成，到在安全处理器180上开始校验这段时间内，在加密可执行部分222和非加密可执行部分中的任何信息，或是applet序列号被改变，校验进程失败。如果校验进程失败，则退出进程300。如果校验进程没有在非加密可执行部分中检测到变化，applet可以被安装。

在步骤508，非加密可执行部分被加密并被捆绑到安全处理器180上。非加密可执行部分被重加密，并生成一个本地解密密钥。该本地解密密钥由安全处理器180生成，并对安全处理器180而言是唯一的。重加密的可执行部分只能够由该本地解密密钥解密，它被存储在安全处理器180中。因此将加密可执行部分捆绑到安全处理器180上。之后在步骤510，重加密可执行部分被卸载到数据存储单元174，从而完成了步骤322。之后进程300前进到图3的步骤324。

在步骤324，确认在此时是否要求执行。如果此时要求执行，进程300进入步骤326。如果此时没有要求执行，则退出进程300。

图6更详细的显示了在步骤326中applet200的执行。作为安装进程的一部分，执行进程600可以被它自身激活，。在步骤602，加密可执行部分被从数据存储单元174移动到安全处理器180中。在步骤604，加密可执行部分222在安全处理器180中，被使用存储在安全处理器180中的本地解密密钥解密。

为了执行非加密的可执行部分，在applet200的元数据部分中指定的资源必须是可用的。在applet200的元数据部分中指定的资源的可用性在步骤606中被校验。安全处理器180读取存储于安全处理器180中的，来自于applet200元数据部分的资源元数据中的所需资源。如果安全处理器180的所需资源是空闲的，进程前进到步骤609。如果安全处理器180的所需资源不是空闲的，进程前进到步骤607。

在步骤607，安全处理器180控制用户计算机170显示一个消息给用户，来确认所需要的资源是非空闲的，并且提供给用户机会来释放必需的资源。非加密可执行部分只有在它所需要的所有资源都对它来说是可用的时候，才会被执行。如果在步骤608用户释放了所需的资源，进程300前进到步骤609。如果用户不能够或没有释放所需资源，因为另一个进程正在使用该资源，或其他什么原因，则退出进程300。在一个可选择的实施例中，安全处理器180按计划等待直至所需的资源变为可用的。在另一个可选择的实施例中，安全处理器180呈给用户一个选择，是延迟applet的执行直至所需的资源空闲，还是根本就不执行该applet。仍是在另一个可选择的实施例中，资源基于事先建立的优先选择或优先级按计划被释放。

在一个可选择的实施例中，如果用户能够释放所需的资源，进程300返回步骤606而不是前进到步骤608。

在步骤608，安全处理器180校验所需的资源是否已经被用户所释放。如果用户已经释放了所需的资源，进程300前进到步骤609。如果用户没有释放所需资源，则退出进程300。在步骤609，非加密可执行部分被安全处理器180执行。在步骤609，非加密可执行部分完成所有它所被要求的动作，并退出。在非加密可执行部分执行完毕之后，非加密可执行部分必须被重加密。非加密可执行部分在步骤612被加密，并移入数据存储单元174，而解密密钥被存储在安全处理器180中，这样就完成了步骤324，以及进程300。这个步骤被用来完成对与可执行部分相关的任何用户和应用程序的数据进行重加密。

在一个可选择的实施例中，步骤612和614可以被跳过，如果安全处理器180没有按计划预留机会给applet的可执行部分。

在一个可选择的实施例中，步骤602和604可以在安装进程中被跳过，使得可执行部分在其校验之后可以立即被执行。

图7图解了一个进程700，用于applet服务器110响应一个关于applet的请求。在步骤702，applet服务器110接收一个对applet的请求。对applet的请求包括唯一的单元识别符182和一个applet序列号。在步骤704，applet服务器110在数据库118中搜索一个applet，该applet拥有在步骤702中接收到的请求所指定的applet序列号。如果applet服务器100拥有步骤702中接收到的请求所指定的applet，在步骤708，applet服务器100发送一个确认请求到用户计算机170。如果applet服务器没有请求中指定的applet，在步骤706，applet服务器100发送一个报错消息给用户计算机170并退出进程700。

在一个可选择的实施例中，如果applet服务器l00拥有该applet，步骤708，710，712，714，716可以被省略，进程700直接从步骤704前进到步骤716。

在步骤710，applet服务器110接收来自用户的确认代码。在步骤712中，applet服务器110验证确认代码。在安全处理器180初始注册的时候，applet服务器100把注册的每一个唯一标识182的确认代码，存储在applet服务器100的数据库118中。如果applet服务器100在步骤710接收到的确认代码，同存储在数据库118中的唯一标识符182的确认代码相匹配，进程700前进到步骤716。如果两个代码不匹配，在步骤714，applet服务器100传输一个拒绝信息给用户计算机170并退出进程700。

在步骤716，applet服务器100依照规定校验用户账户。如果用户账户不是非法的，applet服务器100在步骤718中传输所需的applet并退出进程700。如果用户账户是非法的，applet服务器100在步骤720中传输一个拒绝信息给用户计算机并退出进程700。如果一个用户的帐单没有按定期方式被付清，或是因为其他的商业目的，例如作为被允许执行applet的群体的一部分，该用户的账户可以被视为非法的。

在一个可选择的实施例中，用户可以在applet服务器110上拥有一个存款帐户。如果该存款帐户中的金额大于所需的applet的授权费用，该账号就不是非法的。在另一个可选择的实施例中，用户可以有一个信用卡号归档在applet服务器110中。如果该信用卡号可以付清所需applet的授权费用，该账号就不是非法的。

在一个可选择的实施例中，用户可以在安全处理器110上拥有一个借贷帐户。如果该借贷帐户上的金额大于所需的applet的授权费用，该本地借贷帐户可以被用于与applet安装费用相关的金融交易。

在另一个可选择的实施例中，用户可以在安全处理器110上拥有一个信用帐户。如果这个信用帐户可以被用于建立一个真正的分期赊购交易，安装可以进行。

图8图解了一个进程800，用于applet服务器110响应一个请求。在步骤802，applet服务器110接收到一个用于applet的解密密钥请求。对于解密密钥的请求包括唯一单元识别码182和一个applet序列号。在步骤804，applet服务器110在数据库118中搜索applet解密密钥，该密钥是由在步骤802接收到的请求所确认的。如果applet服务器110拥有在步骤802接收到的请求所指定的applet解密密钥，进程800前进到步骤808。如果applet服务器110没有正确的applet解密密钥，在步骤806，applet服务器110传输一个出错信息给用户计算机170并退出进程800。

在步骤808，applet服务器100依照规定校验用户账户。如果用户账户不是非法的，applet服务器100在步骤812中传输所需解密密钥的并退出进程800。如果用户账户是非法的，applet服务器100在步骤810中传输一个拒绝信息给用户计算机并退出进程800。如果一个用户的帐单没有按定期方式被付清，该用户的账户是非法的，。

在一个可选择的实施例中，用户可以在applet服务器110上拥有一个存款帐户，如果存款帐户中的金额大于所需的applet的授权费用，该账号就不是非法的。在另一个可选择的实施例中，用户可以有一个信用卡号归档在applet服务器110中。如果该信用卡号可以付清所需applet的授权费用，该账号就不是非法的。

在一个可选择的实施例中，用户可以在安全处理器180上拥有一个借贷帐户。如果该借贷帐户上的金额大于所需的applet的授权费用，该本地借贷帐户可以被用于和applet安装费用相关的金融交易。

在另一个可选择的实施例中，用户可以在安全处理器180上拥有一个信用帐户。如果这个信用帐户可以被用于建立一个真正的分期赊购交易，安装可以进行。

图9图解了一个进程900，用于applet服务器110响应一个对可选择applet的请求。在步骤902，applet服务器110接收到一个对可选择applet清单的请求。对可选择applet清单的请求包括唯一单元识别符182，一个applet序列号，安全处理器180的安全级别和安全处理器180的资源性能。

在步骤904，applet服务器110搜索已知的可选择applet作为applet200。applet200的安装失败或者是因为安全处理器180没有所需的资源，或者是因为安全处理器180不支持所必需的安全保护。applet服务器110分析安全处理器180的安全级别，以及安全处理器180的资源性能，来确认安装失败的原因。applet服务器110在它的数据库118中搜索等价的applet，该applet需要更少的资源，较低的安全程度，或两者都有，这取决于失败安装的原因。

在步骤906，applet服务器110生成一个可选择applet的清单。在步骤904，applet服务器110获得数据库查询的执行结果，并从这些数据中生成一个可选择applet清单。在步骤908，applet服务器110传输该可选择applet清单给用户计算机170，无论该清单是否为空。在该清单被传输之后，退出进程900。

在一个可选择的实施例中，安全等级可以同applet的费用相关联。换句话说，用户可能不得不付更高的费用，来接收安全处理器180中的applet，如果它有比典型的applet请求更低的安全等级的话。因此用户要为使用较低安全等级的applet付额外的费用。

在一个可选择的实施例中，applet200的费用可以同该applet提供的安全等级相关联。用户可能不得不为一个更安全的服务付更高的费用，因为更高等的安全服务提供了一个更高水平的服务完整性。

在另一个可选择实施例中，同等的安全等级可以通过执行的核算量来分配。系统中的核算量越大，所需的安全等级越高。专门致力于安全硬件和安全软件的确认的独立第三方团体，可以独立的分配安全等级给安全处理器和applet。通过由拥有尊重和行业信任的第三方团体确认环境和相关的服务，可能提供一个更高等级的凭证，以及附加提供保险单或其他保险来分配服务的责任。

由于applet发布商有能力指定他们的服务所需的资源和安全需求，硬件供应商有能力指定他们的安全处理器的资源和安全等级，以及用户有能力指定他们想要的最小的安全需求，这样就有可能生成一个定制的安全执行能力，来满足多方交易模式下不同设备的所有需求。