一种智能卡模式下V2X应用的密钥容器管理方法技术

本发明专利技术提出一种基于智能卡模式下V2X应用的密钥容器管理方法，该方法包括：构建管理密钥容器的目录控制链表、密钥容器控制链表和文件控制链表；其中，密钥容器与文件的逻辑关系隶属于目录，密钥容器与文件的数据存储只与智能卡数据存储器的物理地址唯一对应，且与目录无关；其中，对密钥容器进行管理的方法包括：目录控制项表、密钥容器控制项表和文件控制项表的构建方法，目录、密钥容器和文件的创建方法，目录、密钥容器与文件的访问方法，目录、密钥容器与文件的删除方法。本发明专利技术在不改变原有智能卡文件系统管理功能的基础上，能够节省密钥容器的管理开销，即节省系统数据存储空间，降低数据访问时间，提高密钥服务响应速度。

【技术实现步骤摘要】
一种智能卡模式下V2X应用的密钥容器管理方法
本专利技术涉及智能卡操作系统设计领域，具体涉及一种基于智能卡模式下V2X应用的密钥容器管理方法。
技术介绍
目前基于智能卡操作系统的文件管理在ISO/IEC7816系列标准中没有明确的技术规范，但针对智能卡操作系统多应用的现实需求，基于链表结构的目录控制项和文件控制项构建的目录与目录、目录与文件之间相互隶属的文件管理模式得到广泛应用。这种文件管理结构针对密钥容器中的证书与非对称密钥一般采用文件的方式来存储。一个密钥容器占用一个目录控制项，为某一应用下的一个子目录，密钥容器中的每一个数据对象占用一个文件控制项，即每一个文件控制项对应一个具体的证书或者非对称密钥的公钥与私钥，构建成密钥容器下的文件链表结构来管理密钥容器中的所有数据对象。这种管理方式下，密钥容器中的每一个数据对象均需要一个文件控制项，访问某一具体数据对象时必须从文件链首开始查找，这样既增加了数据对象管控的存储空间，也延长了访问数据的时间。随着智能卡在V2X应用时需要更大的存储空间来存储大量密钥容器及其数据对象，以及在具体应用密钥容器中数据对象时高速响应的需求，原有基于链表结构的目录与文件管理模式已不能满足V2X应用下密钥容器工作的要求，在V2X应用下设计新的密钥容器管控方式，以提高系统密码服务的响应时间，有效节省密钥容器占用的存储器空间，具有较高的实用意义和经济价值。
技术实现思路
本专利技术的目的在于设计密钥容器控制项及相应的密钥容器数据结构，密钥容器中的数据对象与智能卡物理存储器之间的映射关系，使得密钥容器与文件一样，都是目录下的一个链式节点，构建一套文件、密钥容器隶属于目录，但密钥容器与文件数据存储与目录无关的智能卡文件管理系统，即任意一目录下的全部密钥容器与文件数据存储空间均可在从0到整个智能卡数据存储空间内进行分配，并按密钥容器与文件创建的先后顺序，从低地址到高地址连续分配的规则，获取任意一个密钥容器或者文件数据的物理存储空间。再将密钥容器获取的物理空间根据密钥容器的具体类型配置到证书存储空间与非对称密钥存储空间，使得密钥容器中的每一个独立的数据对象都与唯一的物理存储空间相对应。在不改变原有智能卡文件系统管理功能的基础上，达到节省密钥容器的管理开销，即节省系统数据存储空间，降低数据访问时间，提高密钥服务响应速度。本专利技术的目的是这样实现的：一种基于智能卡模式下V2X应用的密钥容器管理方法，该方法包括：构建管理密钥容器的目录控制链表、密钥容器控制链表和文件控制链表；其中，密钥容器与文件的逻辑关系隶属于目录，密钥容器与文件的数据存储只与智能卡数据存储器的物理地址唯一对应，且与目录无关；其中，对密钥容器进行管理的方法包括：目录控制项表、密钥容器控制项表和文件控制项表的构建方法，目录、密钥容器和文件的创建方法，目录、密钥容器与文件的访问方法，目录、密钥容器与文件的删除方法。基于链表结构的目录控制项、密钥容器控制项和文件控制项，在目录控制项中通过同级和下级目录指针构建不同层次的目录结构关系，通过密钥容器链表指针构建本目录下所有密钥容器控制项链表，通过文件链表指针构建本目录下所有文件的控制项链表；智能卡全部的密钥容器与文件数据存储空间均在主目录（MF）控制项中由剩余数据存储空间首地址和剩余数据存储空间两个参数进行指示；在密钥容器控制项中密钥容器链表指针指向同级目录密钥容器的控制项首地址，密钥容器中各数据对象的首地址则指向该数据对象在智能卡数据存储器中的首地址，数据对象的存储空间则表明该数据对象占用数据存储空间的大小，数据对象首地址和数据对象的数据存储空间是该数据对象访问控制的安全边界。同理，在文件控制项中文件链表指针指向同级目录文件的控制项首地址，文件数据首地址则指向该文件数据在智能卡数据存储器中的首地址，文件数据存储空间则表明该文件占用数据存储空间的大小，文件数据首地址和文件数据存储空间是该文件数据访问控制的安全边界。通过目录控制项、密钥容器控制项和文件控制项中的控制参数，构建起智能卡文件管理系统中不同级目录之间、同级目录之间、目录与密钥容器之间、目录与文件之间、密钥容器与密钥容器之间、文件与文件之间的层次关系，各文件控制项与文件数据存储器存在唯一的一种映射关系，各密钥容器控制项所指示的密钥容器中的数据对象与数据存储器也存在唯一的一种映射关系，在密钥容器与文件进行相关数据访问操作时检测对应数据的操作安全边界，从而可方便实现密钥容器与文件访问控制时的边界检测功能。智能卡预初始化时，根据V2X的具体应用要求规划目录控制项、密钥容器控制项和文件控制项数量，在数据存储区中开辟文件管理区并预留部分扩展区域，集中建立指定数量的目录控制项、密钥容器控制项和文件控制项，并将所有的指针和地址设置成空或无效，该控制区属于智能卡内部控制管理区，对外不可进行任何操作，从而保护控制区的数据安全而增强文件系统的健壮性。智能卡初始化时，根据V2X的具体应用需要创建相关应用目录和目录之间的层次关系，并制定各自目录相关的安全规则；然后，在指定目录下创建密钥容器和工作文件，规定密钥容器和工作文件的类型、访问控制策略、并与数据存储空间绑定在一起；只要智能卡数据存储空间的大小满足需要，则目录下密钥容器与文件的数量和占用存储空间的大小可随应用需求确定。至此，相对于某一具体应用的智能卡密钥容器和文件管理系统构建完成。同一目录下不同的密钥容器的数据存储空间可连续分配也可间隔分配，但同一密钥容器必须存储在一个连续的数据存储空间。创健密钥容器时若将申请的密钥容器数据存储空间与主目录下剩余数据存储空间进行比较，满足密钥容器数据存储的需要时，则将主目录控制项中的剩余数据存储空间首地址赋值给密钥容器控制项中第一个数据对象的首地址；第一个数据对象首地址加上该数据对象的存储空间后形成下一个数据对象的首地址；依次将数据存储空间首地址赋值给密钥容器中相应各数据对象，（如签名数据证书首地址、签名公钥首地址、签名私钥首地址、交换数据证书首地址、交换公钥首地址、交换私钥首地址，也可任意修改相应数据对象的顺序），修改主控制项中的剩余数据存储空间首地址和剩余数据存储空间值，则完成了密钥容器中各数据对象与智能卡数据存储空间一一对应的映射关系。同理，同一目录下不同的文件数据存储空间可连续分配也可间隔分配，但同一个文件的数据必须存储在一个连续的数据存储空间。创健文件时若将申请的文件数据存储空间与主目录下剩余文件数据存储空间进行比较，满足文件数据存储的需要时，则将主目录控制项中的剩余数据存储空间首地址赋值给文件控制项中的文件数据存储首地址，文件数据存储空间为申请的文件数据存储空间，修改主控制项中的剩余数据存储空间首地址和剩余数据存储空间值，则完成了文件数据与智能卡数据存储空间一一对应的映射关系。在满足密钥容器使用安全的前提下，通过密钥容器ID号选中指定的密钥容器；执行证书导入与导出命令时，将证书数据写入到对应证书数据对象存储空间，或者从其存储空间读出；执行非对称密钥生成或者导入命令时，将公钥、私钥数据写入到对应密钥数据对象存储空间；执本文档来自技高网...

【技术保护点】
1.一种基于智能卡模式下V2X应用的密钥容器管理方法，其特征在于，该方法包括：/n构建管理密钥容器的目录控制链表、密钥容器控制链表和文件控制链表；其中，密钥容器与文件的逻辑关系隶属于目录，密钥容器与文件的数据存储只与智能卡数据存储器的物理地址唯一对应，且与目录无关；/n其中，对密钥容器进行管理的方法包括：目录控制项表、密钥容器控制项表和文件控制项表的构建方法，目录、密钥容器和文件的创建方法，目录、密钥容器与文件的访问方法，目录、密钥容器与文件的删除方法。/n

【技术特征摘要】
1.一种基于智能卡模式下V2X应用的密钥容器管理方法，其特征在于，该方法包括：
构建管理密钥容器的目录控制链表、密钥容器控制链表和文件控制链表；其中，密钥容器与文件的逻辑关系隶属于目录，密钥容器与文件的数据存储只与智能卡数据存储器的物理地址唯一对应，且与目录无关；
其中，对密钥容器进行管理的方法包括：目录控制项表、密钥容器控制项表和文件控制项表的构建方法，目录、密钥容器和文件的创建方法，目录、密钥容器与文件的访问方法，目录、密钥容器与文件的删除方法。


2.根据权利要求1所述的基于智能卡模式下V2X应用的密钥容器管理方法，其特征在于，所述目录控制项表、密钥容器控制项表和文件控制项表的构建方法包括以下步骤：
步骤1，智能卡接收相应的卡初始化命令，对卡中数据存储器区域进行初始化检验，将整个数据存储区进行清除处理，自动创建一个主目录控制项；
步骤2，在主目录控制项后，根据命令中的参数创建目录控制项表、密钥容器控制项表和文件控制项表的数量；
步骤3，创建相应数量的空目录控制项、空密钥容器控制项和空文件控制项，其中，空目录项中的目录标识符为FFFFH，各空目录控制项的首地址DCFA赋值为该目录控制项在智能卡存储器中的第一个物理地址；
空密钥容器项中的密钥容器标识符为0000H，各空密钥容器控制项首地址KCCFA赋值为该密钥容器控制项在智能卡存储器中的第一个物理地址；
空文件控制项的文件标识为0000H，各空文件控制项首地址FCFA赋值为该文件控制项在智能卡存储器中的第一个物理地址；
步骤4，依据实际控制项中参数的多少来决定各控制项的长度，并依此将智能卡中的存储区划分密钥容器和文件管理参数区、控制项表区域和数据存储区；
步骤5，在密钥容器和文件管理参数区设置主目录控制项首地址、目录控制项首地址、密钥容器控制项首地址、文件控制项首地址、数据存储区首地址、备份主目录控制项首地址。


3.根据权利要求1所述的基于智能卡模式下V2X应用的密钥容器管理方法，其特征在于，所述目录、密钥容器和文件的创建方法包括：
先创建主目录，然后在主目录下创建相关应用子目录、密钥容器和基本工作文件，创建目录时通过创建目录命令得到相应控制参数；其中，所有子目录均隶属于主目录下，子目录的嵌套关系只与目录控制项的数量有关；
密钥容器创建在某一已经存在的目录下，创建密钥容器时通过创建密钥容器命令得到相应控制参数；
文件创建在某一已经存在的目录下，创建文件时通过创建文件命令得到相应控制参数。


4.根据权利要求3所述的基于智能卡模式下V2X应用的密钥容器管理方法，其特征在于，主目录的创建过程包括：
第一步、接收创建目录命令，检测主目录标识符、相关参数和命令序列是否符合相关规定，若创建命令序列不满足相关规定，则禁止创建主目录，否则执行下一步；
第二步、根据智能卡控制参数首地址读取主目录控制参数，并赋值给对应的BMFFA、MFID、RDMFA、RDMS，将接收的主目录其他控制参数赋值给对应参数区，所有链表指针全部设置为空即00H，重新计算主目录控制项的CRC校验码；
第三步、将主目录控制项数据覆盖主目录控制项首地址开始的区域，则主目录创建完成。


5.根据权利要求3所述的基于智能卡模式下V2X应用的密钥容器管理方法，其特征在于，目录的创建过程包括：
第一步、接收创建目录命令，检测相关参数和命令序列是否符合相关规定，若创建命令序列不满足相关规定，则禁止创建目录，否则执行下一步；
第二步、从当前目录的下级目录链首指针指示的目录控制项开始，到下级目录链尾指针指示的目录控制项为止，查找所要创建的目录标识符和目录名是否存在，若存在则创建目录终止，否则执行下一步；
第三步、从目录控制项表头开始，依次查找第一个出现的空目录控制项，若目录控制项表中无空目录控制项，则禁止创建目录，否则空目录控制项即为新创建的目录控制项，执行下一步；
第四步、判断当前目录的下级目录链尾指针是否为空，若为空则当前目录的下级目录链首和尾指针赋值为新创建的目录控制项首地址，若不为空则下级目录链尾指针指示的目录控制项中的同级目录链表指针赋值为新创建的目录控制项首地址，当前目录的下级目录链尾指针赋值为新创建的目录控制项首地址；
第五步、新创建的目录控制项写入接收到的相关参数，重新计算修改过参数的目录控制项和新创建的目录控制项的CRC码，并覆盖原有对应控制项数据区，目录创建正常结束。


6.根据权利要求3所述的基于智能卡模式下V2X应用的密钥容器管理方法，其特征在于，密钥容器的创建过程包括：
第一步、接收创建密钥容器命令，检测相关参数和命令序列是否符合相关规定，若创建命令序列不满足相关规定，则禁止创建密钥容器，否则执行下一步；
第二步、从当前目录控制项的密钥容器链表首指针指示的密钥容器控制项开始，到密钥容器链表尾指针指示的密钥容器控制项为止，检索所要创建的密钥容器名和密钥容器ID号是否存在，若存在则创建密钥容器终止，否则执行下一步；
第三步、从第一个密钥容器控制项表开始，依次查找第一个出现的空密钥容器控制项，若密钥容器控制项表中无空的密钥容器控制项，则禁止创建密钥容器，否则空密钥容器控制项即为新创建的密钥容器控制项，执行下一步；
第四步、判断剩余数据存储空间RDMS是否大于或等于新建密钥容器数据申请空间，若RDMS小于密钥容器数据申请空间，则智能卡剩余数据存储空间小于创建密钥容器所需要的密钥容器数据存储空间...

【专利技术属性】
技术研发人员：张鲁国，李鑫，彭金辉，周吉祥，廖正赟，
申请(专利权)人：郑州信大捷安信息技术股份有限公司，
类型：发明
国别省市：河南;41