[发明专利]国密智能密码钥匙应用接口实现方法及装置

说明书

本发明提供了一种国密智能密码钥匙应用接口实现方法及装置，该方法包括如下步骤：在根目录下生成设备安全管理文件以及设备信息管理文件；在根目录下生成应用目录管理文件；在根目录下生成多个应用；其中，应用目录管理文件用于映射和维护进行应用创建和应用选择时所使用的应用名称以及应用使用权限与应用目录索引的对应关系；当创建应用时，判断应用管理目录文件中是否存在相同的应用名称，若存在相同的应用名称，则不允许创建应用；若不存在相同的应用名称，则执行以下步骤：创建应用并设置应用有效开关为开状态；更新应用使用权限、应用名称以及应用索引；同时在应用下创建应用安全管理文件、容器目录管理文件以及文件目录管理文件。

技术领域

本发明涉及信息安全领域，特别涉及一种国密智能密码钥匙应用接口实现方法及装置。

背景技术

国家密码管理局发布了《智能IC卡及智能密码钥匙密码应用接口规范》和《智能IC卡及智能密码钥匙密码应用接口数据格式规范》，在应用层为国内智能IC卡、智能密码钥匙的使用提供了统一的技术标准和接口规范，取得了良好的效果。规范规定了这类产品的数据访问接口，从数据类型、数据格式、参数描述和定义、安全性要求等方面进行了具体描述，用于指导相关产品的研制、使用和检测。

规范定义：一个设备中存在设备认证密钥和多个应用，应用之间相互独立，设备的逻辑结构如图1所示。一个应用的逻辑结构如下图2所示，应用由管理员PIN、用户PIN、文件和容器组成，可以存在多个文件和多个容器。每个应用维护各自的与管理员PIN和用户PIN相关的权限状态。

容器中存放加密密钥对、签名密钥对和会话密钥。其中加密密钥对用于保护会话密钥，签名密钥对用于数字签名和验证，会话密钥用于数据加解密和MAC运算。容器中也可以存放与加密密钥对对应的数字证书和与签名密钥对对应的签名数字证书。其中，签名密钥对由内部产生，加密密钥对由外部产生并安全导入，会话密钥可有内部产生或者由外部产生并安全导入。

现有技术方案是利用智能卡中的目录层级结构来实现：设备为主目录、应用为一级目录、容器为二级目录，容器内所有密钥和证书均为内部文件。如图3所示。

公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。

发明内容

本发明的目的在于提供一种国密智能密码钥匙应用接口实现方法及装置，从而克服现有技术的缺点。

为实现上述目的，本发明提供了一种国密智能密码钥匙应用接口实现方法，包括如下步骤：在根目录下生成设备安全管理文件以及设备信息管理文件；在根目录下生成应用目录管理文件；在根目录下生成多个应用；其中，应用管理目录文件包括以下各项：应用有效开关、应用索引、应用名称以及应用使用权限，应用目录管理文件用于映射和维护进行应用创建和应用选择时所使用的应用名称以及应用使用权限与应用目录索引的对应关系。

优选地，上述技术方案中，当创建应用时，判断应用管理目录文件中是否存在相同的应用名称，若存在相同的应用名称，则不允许创建应用；若不存在相同的应用名称，则执行以下步骤：创建应用并设置应用有效开关为开状态；更新应用使用权限、应用名称以及应用索引；同时在应用下创建应用安全管理文件、容器目录管理文件以及文件目录管理文件。

优选地，上述技术方案中，设备安全管理文件中存放设备的认证密钥，认证密钥用于在收到设备认证信息时，对设备进行认证。

优选地，上述技术方案中，国密智能密码钥匙应用接口实现方法还包括如下步骤：当删除应用时，执行以下操作：设置应用有效开关为关状态，并删除应用；当打开应用时，执行以下操作：查找应用名称所对应的应用是否存在；如果应用存在，则将应用打开开关设置为开状态并返回对应应用索引。