WO2014173298A1

WO2014173298A1 - 一种管理卡片上应用的方法

Info

Publication number: WO2014173298A1
Application number: PCT/CN2014/076030
Authority: WO
Inventors: 陆舟; 于华章
Original assignee: 飞天诚信科技股份有限公司
Priority date: 2013-04-25
Filing date: 2014-04-23
Publication date: 2014-10-30
Also published as: US20160085609A1; US10324781B2

Abstract

本发明公开了一种管理卡片上应用的方法，属于智能卡领域。所述方法包括卡片内容管理模块接收到运行环境发送的数据后检查卡片状态，当卡片状态不为第一预设状态或第二预设状态时检查接收到的数据，当接收到的数据符合预设格式时继续接收运行环境发送的数据，得到完整命令，执行相应命令实现对卡片上应用的关联。本发明的有益效果在于提供了一种管理卡片上应用的方法，可以实现卡片上应用的加载、安装、更新、个人化以及删除。

Description

一种管理卡片上应用的方法本申请要求于 2013 年 4 月 25 日提交中国专利局、申请号为 201310146939.4, 发明名称为"一种管理卡片数据的实现方法"的中国专利申请，以及 2013 年 9 月 5 日提交中国专利局、申请号为 201310399702.7, 发明名称为"一种管理卡片上应用的方法 "的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明属于智能卡领域，特别涉及一种管理卡片上应用的方法。背景技术

随着社会的发展，智能卡由于其便于随身携带、存储容量大、信息记录可靠安全等优点受到了越来越广泛的关注，而为了适应智能卡应用领域的不断扩展，需要对智能卡扩展更多的应用。

而且，为了给用户提供更多的便利，现今的智能卡上除了发卡方提供的内容外，还可以安装多个应用，通常情况下，发卡方并不会管理所有的卡片内容，尤其是不属于发卡方的卡片内容，因此，需要一种授予第三方通过预认证后来代理管理卡片内容的机制，所述管理如加载、安装、引渡和删除等。

申请人在实现本发明的过程中发现，在现有技术中尚无代理管理卡片内容机制的具体实现方法。

发明内容

本发明的目的是为了克服现有技术的缺陷，提出一种管理卡片上应用的方法。

本发明方法是通过下述技术方案实现的：

一种管理卡片上应用的方法，其基本实施过程如下：

当卡片内容管理模块接收到运行环境发送的数据后执行以下步骤：

步骤 A: 检查卡片状态，若为第一预设状态或第二预设状态则生步骤 B : 检查接收到的数据是否符合预设格式，若符合第一预设格式则执行步骤 C，若符合第二预设格式则执行步骤 D，若符合第三预设格式则执行步骤 E，若符合第四预设格式则执行步骤 F，若符合第五预设格式则执行步骤 G，若符合第六预设格式则执行步骤 H，若符合第七预设格式则执行步骤 I，若不符合预设格式则生成并返回数据错误状态码给运行环境，结束；

步骤 C: 继续接收运行环境发送的数据得到完整的第一命令，解析所述第一命令，得到加载文件标识和加载文件关联安全域标识，创建加载文件结构，并将解析得到的加载文件标识和加载文件关联域标识填充到创建的加载文件结构中，如果搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束；

步骤 D: 继续接收运行环境发送的数据得到完整的第二命令，解析所述第二命令，得到加载文件数据块，根据所述加载文件数据块获取组件数据并进行存储，将存储地址填充到加载文件结构中，如果搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束；

步骤 E: 继续接收运行环境发送的数据得到完整的第三命令，解析所述第三命令，得到可执行加载文件标识、可执行模块标识、应用标识和应用权限，根据解析得到的可执行加载文件标识查找加载文件结构，在查找到的加载文件结构中的存储地址对应的存储空间中查找与解析得到的可执行模块标识相对应的可执行模块，创建查找到的可执行模块的应用，用解析得到的应用标识标识创建的应用，并赋予创建的应用以解析得到的应用权限所指定的权限，并设置创建的应用的关联安全域为与解析得到的可执行加载文件标识相对应的可执行加载文件的关联安全域，如果搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束；

步骤 F: 继续接收运行环境发送的数据得到完整的第四命令，解析所述第四命令，得到应用标识和应用权限，在卡片中查找与解析得到的应用标识相对应的应用，更新查找到的应用的状态为可选择状态，以及更新查找到的应用的权限为解析得到的应用权限所指定的权限，如果搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束；

步骤 G: 继续接收运行环境发送的数据得到完整的第五命令，解析所述第五命令，得到安全域标识和应用标识，在卡片内查找与解析得到的应用标识相对应的应用和与解析得到的安全域标识相对应的应用，将查找到的应用的关联安全域更新为与解析得到的安全域标识相对应的应用，如果搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束；

步骤 H: 继续接收运行环境发送的数据得到完整的第六命令，解析所述第六命令，得到应用标识，在卡片内查找与解析得到的应用标识相对应的应用，设置查找到的应用为个人化应用，如果搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束；

步骤 I：继续接收运行环境发送的数据得到完整的第七命令，解析所述第七命令，得到数据域标识，在卡片内查找与解析得到的数据域标识相对应的应用和可执行加载文件，删除查找到的应用和可执行加载文件，如果搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。

其中，所述根据所述第一命令准备加载应用具体包括：

步骤 C1 :判断所述第一命令的第一个数据块是否合法，若合法则检查卡片内是否有与所述第一个数据块相对应的可执行文件，是则搡作条件不满足，搡作失败，否则执行步骤 C2; 若不合法则数据错误，搡作失败；

步骤 C2: 判断所述第一命令的第二个数据块是否满足预设要求，若满足第一预设要求则设置与所述第一个数据块对应的加载文件的关联安全域为所述卡片内容管理模块，执行步骤 C4; 若满足第二预设要求则执行步骤 C3 ; 若不满足预设要求则数据错误，搡作失败；步骤 C3 : 检查卡片内是否有与所述第二个数据块相对应的应用，若没有则搡作条件不满足，搡作失败；若有则检查与所述第二个数据块相对应的应用是否具有安全域权限，若具有安全域权限则设置与所述第一个数据块对应的加载文件的关联安全域为与所述第二个数据块相对应的应用，执行步骤 C4; 若不具有安全域权限则搡作条件不满足，搡作失败；

步骤 C4:判断所述第一命令的第三个数据块是否合法，是则存储所述第三个数据块中的相应数据，执行步骤 C5 ; 否则数据错误，搡作失败；

步骤 C5 : 处理所述第一命令的第四个数据块，执行步骤 C6 ; 步骤 C6 :判断所述第一命令的第五个数据块是否合法，是则创建加载文件结构，并根据所述第一个数据块和所述第二个数据块对加载文件结构进行填充，初始化卡片内的全局块编号，搡作成功；否则数据错误，搡作失败。

所述根据所述第二命令加载应用具体包括：

步骤 D1 : 判断所述第二命令的第四个字节是否等于卡片内的全局块编号，是则执行步骤 D2，否则数据错误，搡作失败；步骤 D2：检查所所述第二命令中是否包含数据验证模式块信息，若包含则验证所述数据验证模式快信息，若验证通过则执行步骤 D3，若验证未通过则数据错误，搡作失败；若不包含则执行步骤 D3 ; 步骤 D3 : 根据所述第二命令中的加载文件数据块获取组件数据并进行存储，将存储地址填充到加载文件结构中，更新卡片内的全局块编号为其当前值加 1，判断所述加载文件数据块是否为加载文件的最后一个加载文件数据块，是则执行步骤 D4，否则搡作成功；

步骤 D4: 判断卡片内的加载文件数据块哈希值是否有值，若有值则对由卡片内存储的全部加载文件数据块构成的整体进行哈希计算，并判断计算结果是否等于所述加载文件数据块哈希值，若等于则执行步骤 D5，若不等于则数据错误，搡作失败；若没有值则执行步骤 D5；

步骤 D5 : 存储并提交可执行加载文件结构，搡作成功。

所述根据所述第三命令安装应用具体包括：

步骤 E1 : 判断所述第三命令的第一个数据块是否合法，若合法则检查卡片内是否有与所述第一个数据块相对应的加载文件结构，是则执行步骤 E2，否则搡作条件不满足，搡作失败；若不合法则数据错误，搡作失败；

步骤 E2: 判断所述第三命令的第二个数据块是否合法，若合法则检查所述加载文件结构中的存储地址对应的存储空间中是否有与所述第二个数据块相对应的可执行模块，是则执行步骤 E3，否则搡作条件不满足，搡作失败；若不合法则数据错误，搡作失败；

步骤 E3 : 判断所述第三命令的第三个数据块是否合法，若合法则检查卡片内是否有与所述第三个数据块相对应的应用，是则执行步骤 E4，否则搡作条件不满足，搡作失败；若不合法则数据错误，搡作失败；

步骤 E4: 判断所述第三命令的第四个数据块是否合法，若合法则判断与所述第三个数据块相对应的应用是否具有默认选择权限，是则执行步骤 E5，否则执行步骤 E6; 若不合法则数据错误，搡作失败；步骤 E5 : 判断所述第三命令的第三个字节是否等于预设值，若为预设值则数据错误，搡作失败；若不为预设值则判断所述卡片内容管理模块是否具有默认选择权限，是则执行步骤 E7，否则搡作条件不满足，搡作失败；

步骤 E6: 判断所述第三命令的第三个数据块是否满足预设条件，若满足第一预设条件或第二预设条件则处理所述第三命令的第五个数据块，执行步骤 E7，若不满足预设条件则搡作条件不满足，搡作失败；

步骤 E7 : 判断所述第三命令的第六个数据块是否合法，是则根据所述第三命令注册应用，执行步骤 E8，否则数据错误，搡作失败；步骤 E8 : 判断所述第三命令的第三个字节是否等于所述预设值，是则设置与所述第三命令的第三个数据块相对应的应用的状态为安装，搡作成功；否则设置与所述第三命令的第三个数据块相对应的应用的状态为可选择，执行步骤 E9;

步骤 E9：判断与所述第三命令的第三个数据块相对应的应用是否具有默认选择权限，是则设置与所述第三命令的第三个数据块相对应的应用为默认应用，搡作成功，否则搡作成功。

所述根据第四命令设置应用状态具体包括：

步骤 F1 :判断所述第四命令的第一个数据块和第二个数据块是否均合法，是则执行步骤 F2，否则数据错误，搡作失败；

步骤 F2: 判断所述第四命令的第三个数据块是否合法，若不合法则数据错误，搡作失败；若合法则检查卡片内是否有与所述第三个数据块相对应的应用，若没有则搡作条件不满足，搡作失败；若有则判断与所述第三个数据块相对应的应用的状态是否为安装，若不为安装则搡作条件不满足，搡作失败；若为安装则执行步骤 F3 ;

步骤 F3 : 判断所述第四命令的第四个数据块是否合法，是则执行步骤 F4，否则数据错误，搡作失败；步骤 F4: 判断所述第四命令的第五个数据块是否合法，是则执行步骤 F5，否则数据错误，搡作失败；

步骤 F5 : 判断所述第四命令的第六个数据块是否合法，是则设置与所述第三个数据块相对应的应用的状态为可选择，执行步骤 F6，否则数据错误搡作失败；

步骤 F6：判断与所述第三个数据块相对应的应用是否具有默认选择权限，若没有则搡作成功；若有则判断所述卡片内容管理模块是否具有默认选择权限，是则设置与所述第三个数据块相对应的应用为默认应用，搡作成功，否则搡作条件不满足，搡作失败。

所述根据所述第五命令更新应用的关联安全域具体包括：步骤 G1 : 判断所述第五命令的第一个数据块是否合法，若不合法则数据错误，搡作失败；若合法则检查卡片内是否有与所述第一个数据块相对应的应用，若没有则搡作条件不满足，搡作失败；若有则判断与所述第一个数据块相对应的应用是否为所述卡片内容管理模块，若是则搡作条件不满足，搡作失败；若不是则执行步骤 G2; 步骤 G2: 判断所述第五命令的第二个数据块是否合法，若不合法则数据错误，搡作失败；若合法则判断与所述第一个数据块相对应的应用的状态是否为安装，若不为安装则搡作条件不满足，搡作失败；若为安装则执行步骤 G3 ;

步骤 G3 : 判断所述第五命令的第三个数据块是否合法，若不合法则数据错误，搡作失败；若合法则检查卡片内是否有与所述第三个数据块相对应的应用，若没有则搡作条件不满足，搡作失败；若有则执行步骤 G4;

步骤 G4：判断与所述第一个数据块相对应的应用是否具有安全域权限，若没有则搡作条件不满足，搡作失败；若有则判断与所述第一个数据块相对应的应用的状态是否为锁定，若为锁定则搡作条件不满足，搡作失败；若不为锁定则判断与所述第一个数据块相对应的应用的状态是否为个人化，若为个人化则执行步骤 G5，若不为个人化则搡作条件不满足，搡作失败；

步骤 G5：判断所述第五命令的第四个数据块和第五个数据块是否均合法，是则执行步骤 G6，否则数据错误，搡作失败；

步骤 G6 : 判断所述第五命令的第六个数据块是否合法，若不合法则数据错误，搡作失败；若合法则判断与所述第三个数据块相对应的应用是否具有安全域权限，若具有则搡作条件不满足，搡作失败；若不具有则设置与所述第三个数据块相对应的应用的关联安全域为与所述第一个数据块相对应的应用，搡作成功。

所述根据所述第六命令个人化应用具体包括：

步骤 HI : 判断所述第六命令的第一个数据块和第二个数据块是否均合法，是则执行步骤 H2，否则数据错误，搡作失败；

步骤 H2: 判断所述第六命令的第三个数据块是否合法，若不合法则数据错误，搡作失败；若合法则检查卡片内是否有与所述第三个数据块相对应的应用，若没有则搡作条件不满足，搡作失败；若有则判断与所述第三个数据块相对应的应用的关联安全域是否为所述卡片内容管理模块，是则执行步骤 H3，否则搡作条件不满足，搡作失败；

步骤 H3 : 判断所述第六命令的第四个数据块、第五个数据块和第六个数据块是否均合法，是则设置与所述第三个数据块相对应的应用为个人化应用，否则搡作条件不满足，搡作失败。

所述根据所述第七命令删除应用及可执行加载文件具体包括：步骤 II：判断所述第七命令的第一个数据块是否合法，是则执行步骤 12，否则数据错误，搡作失败；

步骤 12: 判断所述第七命令的第二个数据块是否合法，若不合法则数据错误，搡作失败；若合法则检查卡片内是否有与所述第二个数据块相对应的应用，是则执行步骤 13，否则执行步骤 14;

步骤 13 : 判断所述第七命令的第四个字节是否等于预设值，是则执行步骤 14，否则执行步骤 15 ; 步骤 14: 检查卡片内是否有与所述第二个数据块相对应的可执行加载文件，若没有则搡作条件不满足，搡作失败；若有则判断所述第七命令的第四个字节是否等于预设值，若等于则删除与所述第二个数据块相对应的应用和可执行加载文件，搡作成功，若不等于则删除与所述第二个数据块相对应的可执行加载文件，搡作成功；

步骤 15 : 检查与所述第二个数据块相对应的应用是否为其他应用或其他可执行加载文件的关联安全域，是则搡作条件不满足，搡作失败；否则执行步骤 16;

步骤 16：判断与所述第二个数据块相对应的应用是否为所述卡片内容管理模块，是则搡作条件不满足，搡作失败，否则删除与所述第二个数据块相对应的应用，搡作成功。

一种管理卡片数据的实现方法，其基本实施过程如下：

当第一卡片数据管理模块接收到运行环境发送的应用协议数据单元 APDU数据后，将自身作为当前第一卡片数据管理模块，执行以下步骤：

步骤 A、检查所述 APDU数据的指令码，若所述指令码为有效数值 0xE8则执行步骤 D，若所述指令码为有效数值 0xE6则执行步骤 B，若所述指令码为有效数值 0xE4则执行步骤 I；

步骤 B、检查所述 APDU数据的第一参数，若所述第一参数为 0x02 则执行步骤 C，若所述第一参数为 0x04或 OxOC则执行步骤 E，若所述第一参数为 0x08则执行步骤 F，若所述第一参数为 0x10则执行步骤 G，若所述第一参数为 0x20则执行步骤 H;

步骤 C、收取预加载命令的数据域部分，得到预加载命令的全部内容，根据所述预加载命令的内容检查卡片是否满足预加载条件，是则新建可执行加载文件结构并设置相应数据，执行步骤 J，否则直接执行步骤 J；

步骤 D、收取加载命令的数据域部分，得到加载命令的全部内容，根据所述加载命令的内容检查卡片是否满足加载条件，是则存储所述加载命令的相应内容，执行步骤 J，否则直接执行步骤 J;

步骤 E、收取安装命令的数据域部分，得到安装命令的全部内容，根据所述安装命令的内容检查卡片是否满足安装条件，是则创建应用并设置相应状态，执行步骤 J，否则直接执行步骤 J;

步骤 F、收取可选择命令的数据域部分，得到可选择命令的全部内容，根据所述可选择命令的内容检查卡片是否满足可选择条件，是则设置相应应用的状态为可选择，执行步骤 J，否则直接执行步骤 J; 步骤 G、收取引渡命令的数据域部分，得到引渡命令的全部内容，根据所述引渡命令的内容检查卡片是否满足引渡条件，是则重置相应应用关联的安全域，执行步骤 J，否则直接执行步骤 J;

步骤 H、收取个人化命令的数据域部分，得到个人化命令的全部内容，根据所述个人化命令的内容检查卡片是否满足个人化条件，是则将相应数据发送给相应应用，执行步骤 J，否则直接执行步骤 J; 步骤 I、收取删除命令的数据域部分，得到删除命令的全部内容，根据所述删除命令的内容检查卡片是否满足删除条件，是则删除所述删除命令中指定的卡片内的相应数据，执行步骤 J，否则直接执行步骤 J;

步骤 J、生成并返回相应返回数据和 /或相应状态码给所述运行环境。

本发明方法的有益效果在于：提供了一种管理卡片上应用的方法，可以实现卡片上应用的加载、安装、更新、个人化以及删除；同时，为智能卡上数据的管理提供方便，具体体现在两个方面：

1、发卡方可以不用关心与自己无关的应用；

2、第三方也可以自己管理自身应用，而不用通过发卡方来管理。附图说明

为了更清楚的说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提供的一种管理卡片上应用的方法流程图；

图 2为本发明实施例二提供的一种准备加载应用的具体方法流程图；

图 3为本发明实施例三提供的一种加载应用的具体方法流程图；图 4为本发明实施例四提供的一种安装应用的具体方法流程图；图 5为本发明实施例五提供的一种设置应用状态的具体方法流程图；

图 6为本发明实施例六提供的一种更新应用的关联安全域的具体方法流程图；

图 7为本发明实施例七提供的一种个人化应用的具体方法流程图；

图 8为本发明实施例八中提供的一种删除应用及可执行加载文件的具体方法流程图。

图 9为本发明提供的一种管理卡片数据的实现方法流程图；图 10为步骤 1001至步骤 1028的具体流程图；

图 11为步骤 1101至步骤 1129的具体流程图；

图 12为步骤 1201至步骤 1235的具体流程图；

图 13为步骤 1301至步骤 1324的具体流程图；

图 14为步骤 1401至步骤 1428的具体流程图；

图 15为步骤 1501至步骤 1517的具体流程图；

图 16为步骤 1601至步骤 1625的具体流程图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。实施例一

本发明实施例一提供一种管理卡片上应用的方法，参见图 1，所述方法具体包括当卡片内容管理模块接收到 RE ( Runtime Environment, 运行环境）设备发送的数据后执行下述步骤，在本发明中，所述卡片内容管理模块为卡片中一种特殊的应用：

步骤 101 : 检查卡片状态，若为第一预设状态或第二预设状态则生成并返回卡片状态不支持状态码给 RE，结束；否则执行步骤 102; 具体地，在本实施例中，第一预设状态为 TERMINATED (终止），第二预设状态为 CARD_LOCKED (锁定）。

步骤 102: 检查接收到的数据是否符合预设格式，若符合第一预设格式则执行步骤 103 ; 若符合第二预设格式则执行步骤 104; 若符合第三预设格式则执行步骤 105 ; 若符合第四预设格式则执行步骤 106; 若符合第五预设格式则执行步骤 107 ; 若符合第六预设格式则执行步骤 108 ; 若符合第七预设格式则执行步骤 109; 若不符合预设格式则生成并返回数据错误状态码给 RE，结束；

具体地，在本实施例中，步骤 102具体包括：

步骤 B1 :检查接收到的数据的长度是否为五个字节，是则执行步骤 B2，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；

步骤 B2:检查接收到的数据的第一个字节是否为 0x80或 0x84，是则执行步骤 B3，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；

步骤 B3 : 检查接收到的数据的第二个字节，若为 0xE6则执行步骤 B4，若为 0xE8则执行步骤 B5，若为 0xE4则执行步骤 B6，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；

步骤 B4:检查接收到的数据的第三至第五个字节，若第三字节和第四字节分别为 0x02和 0x00且第五字节不小于 OxOA则接收到的数据符合第一预设格式，执行步骤 103 ; 若第三字节为 0x04或 0x0C、第四字节为 0x00且第五字节不小于 0x18则接收到的数据符合第三预设格式，执行步骤 105 ; 若第三字节和第四字节分别为 0x08和 0x00且第五字节不小于 OxOC则接收到的数据符合第四预设格式，执行步骤 106；若第三字节和第四字节分别为 0x10和 0x00且第五字节不小于 0x10则接收到的数据符合第五预设格式，执行步骤 107 ; 若第三字节和第四字节分别为 0x20和 0x00且第五字节不小于 OxOB则接收到的数据符合第六预设格式，执行步骤 108 ; 否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；

步骤 B5 :检查接收到的数据的第三个字节是否为 0x00或 0x80，是则接收到的数据符合第二预设格式，执行步骤 104，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；步骤 B6:检查接收到的数据的第三个字节是否为 0x00，是则接收到的数据符合第七预设格式，执行步骤 109，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束。

步骤 103 : 继续接收 RE发送的数据得到完整的 APDU数据，根据所述 APDU数据准备加载应用；

具体地，在本实施例中，步骤 103中所述 APDU数据为 for_Load 命令；

根据所述 APDU数据准备加载应用具体包括：解析 for_Load命令，得到加载文件标识和加载文件关联安全域标识，创建加载文件结构，并将解析得到的加载文件标识和加载文件关联域标识填充到创建的加载文件结构中，如果上述搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果上述搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。步骤 104: 继续接收 RE发送的数据得到完整的 APDU数据，根据所述 APDU数据加载应用；

具体地，在本实施例中，步骤 104中所述 APDU数据为 Load命令；根据所述 APDU数据加载应用具体包括：解析 Load命令，得到加载文件数据块，根据所述加载文件数据块获取组件数据并进行存储，将存储地址填充到加载文件结构中，如果上述搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果上述搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。

步骤 105 : 继续接收 RE发送的数据得到完整的 APDU数据，根据所述 APDU数据安装应用；

具体地，在本实施例中，步骤 105中所述 APDU数据为 for_Install 命令；

根据所述 APDU数据安装应用具体包括：解析 for_Install命令，得到可执行加载文件标识、可执行模块标识、应用标识和应用权限，根据解析得到的可执行加载文件标识查找加载文件结构，在查找到的加载文件结构中的存储地址对应的存储空间中查找与解析得到的可执行模块标识相对应的可执行模块，创建查找到的可执行模块的应用，用解析得到的应用标识标识创建的应用，并赋予创建的应用以解析得到的应用权限所指定的权限，并设置创建的应用的关联安全域为与解析得到的可执行加载文件标识相对应的可执行加载文件的关联安全域，如果上述搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果上述搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。

步骤 106: 继续接收 RE发送的数据得到完整的 APDU数据，根据所述 APDU数据设置应用状态；

具体地，本实施例中，步骤 106中所述 APDU数据为 for_Makeselectable命令；

根据所述 APDU数据设置应用状态具体包括：解析 for_Makeselectable命令，得到应用标识和应用权限，在卡片中查找与解析得到的应用标识相对应的应用，更新查找到的应用的状态为可选择状态，以及更新查找到的应用的权限为解析得到的应用权限所指定的权限，如果上述搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果上述搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。

步骤 107 : 继续接收 RE发送的数据得到完整的 APDU数据，根据所述 APDU数据更新应用的关联安全域；

其中，应用的关联安全域为应用提供密钥等服务；

具体地，本实施例中，步骤 107中所述 APDU数据为 for_Extradition 命令；

根据所述 APDU数据更新应用的关联安全域具体包括：解析 for_Extradition命令，得到安全域标识和应用标识，在卡片内查找与解析得到的应用标识相对应的应用和与解析得到的安全域标识相对应的应用，将查找到的与解析得到的应用标识相对应的应用的关联安全域更新为与解析得到的安全域标识相对应的应用，如果上述搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果上述搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。

步骤 108 : 继续接收 RE发送的数据得到完整的 APDU数据，根据所述 APDU数据个人化应用；

具体地，本实施例中，步骤 108中所述 APDU数据为 for—Personalized命令；

根据所述 APDU数据个人化应用具体包括：解析 for_Personalized 命令，得到应用标识，在卡片内查找与解析得到的应用标识相对应的应用，设置查找到的应用为个人化应用，如果上述搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果上述搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。步骤 109: 继续接收 RE发送的数据得到完整的 APDU数据，根据所述 APD U数据删除应用及可执行加载文件。

具体地，本实施例中，步骤 109中所述 APDU数据为 Delete命令；根据所述 APDU数据删除应用及可执行加载文件具体包括：解析 Delete命令，得到数据域标识，在卡片内查找与解析得到的数据域标识相对应的应用和可执行加载文件，删除查找到的应用和可执行加载文件，如果上述搡作成功则生成并返回搡作成功状态码和返回结果给运行环境，结束，如果上述搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束。

具体地，在本实施例中，返回结果为 0x00，搡作失败原因包括，搡作条件不满足和数据错误，当搡作失败原因为搡作条件不满足时，生成并返回条件不满足状态码给 RE，当搡作失败原因为数据错误时生成并返回数据错误状态码给 RE。实施例二

本发明实施例二提供一种实施例一中提供的管理卡片上应用的方法中准备加载应用的具体方法，本实施例中的 APDU数据为步骤 103中得到的完整 APDU数据，其数据域部分可看作是由多个数据块组成的，每个数据块都是一个 LV结构，即数据长度 +数据的结构；参见图 2，所述方法具体包括：

步骤 201 : 判断所述 APDU数据的第一个数据块是否合法，是则执行步骤 202，否则数据错误，搡作失败；

本实施例中，第一个数据块具体为：加载文件标识长度 +加载文件标识；

判断所述 APDU数据的第一个数据块是否合法具体包括：判断所述 APDU数据的第一个数据块中的加载文件标识长度是否在预设范围内，是则检查所述 APDU数据的第一个数据块中的加载文件标识的每个字节，若均为 0x00则第一个数据块不合法，若不都是 0x00则第一个数据块合法，否则第一个数据块不合法；

所述预设范围为 0x05-0x10。

步骤 202:检查卡片内是否有与加载文件标识对应的可执行文件，是则搡作条件不满足，搡作失败，否则执行步骤 203 ;

步骤 203 : 检查所述 APDU数据的第二个数据块是否满足预设要求，若满足第一预设要求则执行步骤 204，若满足第二预设要求则执行步骤 205，若不满足预设要求则数据错误，搡作失败；

本实施例中，第二个数据块具体为：加载文件关联安全域标识长度 +加载文件关联安全域标识；

检查所述 APDU数据的第二个数据块是否满足预设要求具体包括：判断所述 APDU数据的第二个数据块中的加载文件关联安全域标识长度是否为 0x00，是则所述 APDU数据的第二个数据块满足第一预设要求，否则检查所述 APDU数据的第二个数据块中的加载文件关联安全域标识的每个字节，若均为 0x00则所述 APDU数据的第二个数据块不满足预设要求，若不都是 0x00则所述 APDU数据的第二个数据块满足第二预设要求；

步骤 204: 设置加载文件的关联安全域为卡片内容管理模块，执行步骤 208 ;

其中，所述加载文件为与所述 APDU数据的第一个数据块中的加载文件标识对应的加载文件。

步骤 205 : 检查卡片内是否有与加载文件关联安全域标识对应的应用，是则执行步骤 206，否则搡作条件不满足，搡作失败；

步骤 206：检查与加载文件关联安全域标识对应的应用是否具有安全域权限，是则执行步骤 207，否则搡作条件不满足，搡作失败；具体地，通过应用的权限属性判断其是否具有安全域权限，应用的权限属性为一个字节数据，从高位到地位依次为 b8 b7 b6 b5 b4 b3 b2 bl，检查与加载文件关联安全域标识对应的应用是否具有安全域权限具体为检查与加载文件关联安全域标识对应的应用的权限属性的 b8，若为 1则与加载文件关联安全域标识对应的应用具有安全域权限，若不为 1则与加载文件关联安全域标识对应的应用不具有安全域权限。

步骤 207 : 设置加载文件的关联安全域为与加载文件关联安全域标识对应的应用；

步骤 208 : 判断所述 APDU数据的第三个数据块是否合法，是则执行步骤 209，否则数据错误，搡作失败；

本实施例中，第三个数据块具体为：加载文件数据块哈希值长度 +加载文件数据块哈希值；

判断所述 APDU数据的第三个数据块是否合法具体包括：判断所述 APDU数据的第三个数据块中的加载文件数据块哈希值长度是否为 0x00，是则所述 APDU数据的第三个数据块不合法，否则所述 APDU 数据的第三个数据块合法。

步骤 209: 存储加载文件数据块哈希值；

步骤 210: 处理所述 APDU数据的第四个数据块；

本实施例中，第四个数据块具体为：加载参数域长度 +加载参数域，所述加载参数域为 1个 TLV结构数据块（Tn,Ln， Vn) , 所述 Vn由 3个 TLV结构数据块（Tn ' ,Ln '， Vn ') 组成，本实施例中，步骤 210 具体包括：

步骤 210-1 :判断加载参数域长度是否为 0x00，是则执行步骤 211，否则执行步骤 210-2;

步骤 210-2: 判断 Tn是否为 0xEF，是则执行步骤 210-3，否则数据错误，搡作失败；

步骤 210-3 : 获取 Vn的 1个 TLV结构数据块，判断该 TLV结构数据块的 Tn '是否合法，是则执行步骤 210-4，否则数据错误，搡作失败；步骤 210-4: 判断该 TLV结构数据块的 Ln ' 是否为 0x02，是则执行步骤 210-5，否则数据错误，搡作失败；

步骤 210-5 : 检查该 TLV结构数据块的 Tn '，若为 0xC6则根据该 TLV结构数据块的 Vn '获取并存储非易失性代码空间限额，执行步骤 210-6, 若为 0xC7则根据该 TLV结构数据块的 Vn '获取并存储易失性数据空间限额，执行步骤 210-6，若为 0xC8则根据该 TLV结构数据块的 Vn '获取并存储非易失性数据空间限额，执行步骤 210-6;

步骤 210-6:判断是否还有未处理的 TLV结构数据块，是则返回执行步骤 210-3，否则执行步骤 210-7 ;

步骤 210-7：判断卡内非易失性存储空间和易失性存储空间是否能够满足上述限额，是则执行步骤 211，否则搡作条件不满足，搡作失败。

步骤 211 :判断所述 APDU数据的第五个数据块是否合法，是则执行步骤 212，否则数据错误，搡作失败；

本实施例中，第五个数据块具体为：加载令牌长度 +加载令牌；判断所述 APDU数据的第五个数据块是否合法具体包括：判断所述 APDU数据的第五个数据块中的加载令牌长度是否为 0x00，是则所述 APDU数据的第五个数据块合法，否则所述 APDU数据的数据块不合法。

步骤 212: 创建加载文件结构，将加载文件标识和加载文件关联安全域标识填充到创建的加载文件结构中，初始化卡片内的全局块编号，搡作成功。实施例三

本发明实施例三提供一种实施例一中提供的管理卡片上应用的方法中加载应用的具体方法，参见图 3，所述方法具体包括：

步骤 301 : 判断所述 APDU数据的第四个字节是否等于卡片内的全局块编号，是则执行步骤 302，否则数据错误，搡作失败；

步骤 302：检查所述 APDU数据中是否包含 DAP ( Data Authentication Pattern, 数据验证模式）块信息，是则执行步骤 303，否则执行步骤 304; 步骤 303 : 验证所述 DAP块信息，若验证通过则执行步骤 304，否则数据错误，搡作失败；

步骤 304: 根据所述 APDU数据中的加载文件数据块获取组件数据并进行存储，将存储地址填充到加载文件结构中；

具体地，加载文件在卡片外被分割成若干个加载文件数据块，每次将一个加载文件数据块封装成一条 APDU数据发送给卡片， RE将卡片接收到的 APDU数据发送给卡片内容管理模块，卡片内容管理模块以组件为单位对每条 APDU数据中的加载文件数据块进行处理，所述组件包括： Header组件、 Directory组件、 Applet组件、 Import组件等。

步骤 305 : 更新卡片内的全局块编号；

本实施例中，更新卡片内的全局块编号具体为更新卡片内的全局块编号为其当前值加 1。

步骤 306：判断所述加载文件数据块是否为加载文件的最后一个加载文件数据块，是则执行步骤 307，否则搡作成功；

本实施例中，判断所述加载文件数据块是否为加载文件的最后一个加载文件数据块具体包括：判断所述 APDU数据的第三个字节的值是否为 0x80，是则所述加载文件数据块是加载文件的最后一个加载文件数据块，否则所述加载文件数据块不是加载文件的最后一个加载文件数据块，加载文件还有其他数据块。

步骤 307 : 判断卡片内的加载文件数据块哈希值是否有值，是则执行步骤 308，否则执行步骤 310;

步骤 308 : 将卡片内存储的全部加载文件数据块作为一个整体对其进行哈希计算；

步骤 309: 判断计算结果是否等于卡片内存储的加载文件数据块哈希值，是则执行步骤 310，否则数据错误，搡作失败；

步骤 310: 存储并提交可执行加载文件结构，搡作成功。

本实施例中，所述提交具体为将数据从緩存中写入永久存储区。实施例四

本发明实施例四提供一种实施例一中提供的管理卡片上应用的方法中安装应用的具体方法，本实施例中的 APDU数据的数据域部分可看作是由多个数据块组成的，每个数据块都是一个 LV结构，即数据长度 +数据的结构；参见图 4，所述方法具体包括：

步骤 401 : 判断所述 APDU数据的第一个数据块是否合法，是则执行步骤 402，否则数据错误，搡作失败；

本实施例中，第一个数据块具体为：可执行加载文件标识长度 + 可执行加载文件标识；

判断所述 APDU数据的第一个数据块是否合法具体包括：判断所述 APDU数据的第一个数据块中的可执行加载文件标识长度是否在预设范围内，是则所述 APDU数据的第一个数据块合法，否则所述 APDU数据的第一个数据块不合法；

所述预设范围为： 0x05-0x10。

步骤 402: 检查卡片内是否有与可执行加载文件标识对应的加载文件结构，是则执行步骤 403，否则搡作条件不满足，搡作失败；步骤 403 : 判断所述 APDU数据的第二个数据块是否合法，是则执行步骤 404，否则数据错误，搡作失败；

本实施例中，第二个数据块具体为：可执行模块标识长度 +可执行模块标识；

判断所述 APDU数据的第二个数据块是否合法具体包括：判断所述 APD U数据的第二个数据块中的可执行模块标识长度是否在预设范围内，是则所述 APDU数据的第二个数据块合法，否则所述 APDU 数据的第二个数据块不合法；

所述预设范围为 0x05-0x10。

步骤 404：检查加载文件结构中的存储地址对应的存储空间中是否有与可执行模块标识对应的可执行模块，是则执行步骤 405，否则搡作条件不满足，搡作失败；步骤 405 : 判断所述 APDU数据的第三个数据块是否合法，是则执行步骤 406，否则数据错误，搡作失败；

本实施例中，第三个数据块具体为：应用标识长度 +应用标识；判断所述 APDU数据的第三个数据块是否合法具体包括：判断所述 APDU数据的第三个数据块中的应用标识长度是否在预设范围内，是则检查所述 APDU数据的第三个数据块中的应用标识的每个字节，若均为 0x00则所述 APDU数据的第三个数据块不合法，若不都是 0x00 则所述 APDU数据的第三个数据块合法，否则所述 APDU数据的第三个数据块不合法；

所述预设范围为 0x05-0x10。

步骤 406: 检查卡片内是否有与应用标识对应的应用，是则执行步骤 407，否则搡作条件不满足，搡作失败；

步骤 407 : 判断所述 APDU数据的第四个数据块是否合法，是则执行步骤 408，否则数据错误，搡作失败；

本实施例中，第四个数据块具体为：应用权限长度 +应用权限；判断所述 APDU数据的第四个数据块是否合法包括：判断所述 APDU数据的第四个数据块中的应用权限长度是否为 0x01，是则所述 APDU数据的第四个数据块合法，否则所述 APDU数据的第四个数据块不合法。

步骤 408 : 判断本次安装的应用是否具有默认选择权限，是则执行步骤 409，否则执行步骤 411；

本实施例中，本次安装的应用具体为与第三个数据块中的应用标识相对应的应用；判断本次安装的应用是否具有默认选择权限具体包括：判断所述 APDU数据的第四个数据块中的应用权限是否为 0x04，是则本次安装的应用具有默认选择权限，否则本次安装的应用不具有默认选择权限。

步骤 409 : 判断所述 APDU数据的第三字节是否为预设值，是则数据错误，搡作失败；否则执行步骤 410; 本实施例中，预设值为 0x04。

步骤 410: 判断卡片内容管理模块是否具有默认选择权限，是则执行步骤 413 ; 否则搡作条件不满足，搡作失败；

本实施例中，通过卡片内容管理模块的权限属性判断其是否具有默认选择权限，卡片内容管理模块的权限属性为一个字节数据，从高位到地位依次为 b8 b7 b6 b5 b4 b3 b2 bl ;

判断卡片内容管理模块是否具有默认选择权限具体包括：判断卡片内容管理模块的权限属性的 b3是否为 1，是则卡片内容管理模块具有默认选择权限，否则卡片内容管理模块不具有默认选择权限。

步骤 411 : 判断应用权限是否满足预设条件，若满足第一预设条件或第二预设条件则执行步骤 412，若不满足预设条件则搡作条件不满足，搡作失败；

本实施例中，判断应用权限是否满足预设条件具体包括：检查应用权限，若应用权限从低位端起的第 1比特位、第 6比特位和第 7比特位均为 0，第 8比特位为 1则应用权限满足第一预设条件；若应用权限从低位端起的第 1比特位、第 6比特位和第 7比特位不都是 0则应用权限满足第二预设条件，否则应用权限不满足预设条件；

步骤 412: 处理所述 APDU数据的第五个数据块中的安装参数域，执行步骤 413 ;

本实施例中，第五个数据块具体为：安装参数域长度 +安装参数域，所述安装参数域由 1个或多个 TLV结构数据块（Tn,Ln， Vn) 的格式的数据组成，所述 Vn由 0个或若干个 TLV结构数据块（Tn ' ,Ln '， Vn ') 组成，本实施例中，步骤 412具体包括：

步骤 412-1 :判断安装参数域长度是否为 0x00，是则执行步骤 413，否则执行步骤 412-2;

步骤 412-2: 获取安装参数域的 1个 TLV结构数据块，检查该 TLV 结构数据块的 Tn，若为 0xC9则执行步骤 412-3，若为 OxEF则执行步骤 412-4，否则数据错误，搡作失败；步骤 412-3 : 存储该 TLV结构数据块的 Vn，执行步骤 412-9;

步骤 412-4: 获取该 TLV结构数据块的 Vn的一个 TLV结构数据块，判断 Tn '是否合法，是则执行步骤 412-5，否则数据错误，搡作失败；步骤 412-5 : 判断 Ln '是否为 0x02，是则执行步骤 412-6，否则数据错误，搡作失败；

步骤 412-6 : 检查 Tn '，若为 0xC7则根据 Vn '获取并存储易失性数据空间限额，执行步骤 412-7，若为 0xC8则根据 Vn '获取并存储非易失性数据空间限额，执行步骤 412-7 ;

步骤 412-7 :判断该 TLV结构数据块中是否还有未处理的 TLV结构数据块，是则返回执行步骤 412-4，否则执行步骤 412-8 ;

步骤 412-8：判断卡内非易失性存储空间和易失性存储空间是否能够满足上述限额，是则执行步骤 412-9，否则搡作条件不满足，搡作失败；

步骤 412-9 : 判断安装参数域中是否还有未处理的 TLV结构数据块，是则返回执行步骤 412-2，否则执行步骤 413。

步骤 413 : 判断所述 APDU数据的第六个数据块是否合法，是则执行步骤 414; 否则数据错误，搡作失败；

本实施例中，第六个数据块具体为安装令牌长度 +安装令牌；判断所述 APDU数据的第六个数据块是否合法具体包括：判断所述 APDU数据的第六个数据块中的安装令牌长度是否为 0x00，是则所述 APDU数据的第六个数据块合法，否则所述 APDU数据的第六个数据块不合法。

步骤 414: 根据所述 APDU数据的数据域中的应用标识注册应用；本实施例中，步骤 414具体为：创建并存储与所述 APDU数据中的可执行模块标识对应的可执行模块的一个实例，将该实例与所述 APDU数据中的应用标识唯一关联，设置该实例的状态为初始值，根据所述 APDU数据中的应用权限设置该实例的权限，并设置该实例的关联安全域为与所述 APDU数据中的可执行加载文件标识对应的可执行加载文件的关联安全域。

步骤 415：判断所述 APD U数据的第三个字节是否等于预设值，是则执行步骤 419；否则执行步骤 416；

本实施例中，预设值为 0x04。

步骤 416: 将本次安装的应用的状态设置为 SELECTABLE (可选择）；

本实施例中，步骤 416具体为：将本次安装的应用的状态属性设为 0x07。

步骤 417 : 判断本次安装的应用是否具有默认选择权限，是则执行步骤 418，否则搡作成功；

步骤 418 : 设置本次安装的应用为默认应用，搡作成功；步骤 419: 设置本次安装的应用的状态为 INSTALLED (安装），搡作成功。

本实施例中，步骤 419具体为：设置本次安装的应用的状态属性为 0x03。实施例五

本发明实施例五提供一种实施例一中提供的管理卡片上应用的方法中设置应用状态的具体方法，本实施例中的 APDU数据的数据域部分可看作是由多个数据块组成的，每个数据块都是一个 LV结构，即数据长度 +数据的结构；参见图 5，所述方法具体包括：

步骤 501：判断所述 APDU数据的第一个数据块和第二个数据块是否均合法，是则执行步骤 502，否则数据错误，搡作失败；

本实施例中，判断所述 APDU数据的第一个数据块是否合法具体包括：判断所述 APDU数据的第一个数据块是否为 0x00，是则所述 APDU数据的第一个数据块合法，否则所述 APDU数据的第一个数据块不合法；

判断所述 APDU数据的第二个数据块是否合法具体包括：判断所述 APDU数据的第二个数据块是否为 0x00，是则所述 APDU数据的第二个数据块合法，否则所述 APDU数据的第二个数据块不合法。

步骤 502: 判断所述 APDU数据的第三个数据块是否合法，是则执行步骤 503，否则数据错误，搡作失败；

本实施例中，第三个数据块具体为：应用标识长度 +应用标识；判断所述 APDU数据的第三个数据块是否合法具体包括：判断所述 APDU数据的第三个数据块中的应用标识长度是否在预设范围内，是则所述 APDU数据的第三个数据块合法，否则所述 APDU数据的第三个数据块不合法；

所述预设范围为 0x05-0x10。

步骤 503 : 检查卡片内是否有与应用标识对应的应用，是则执行步骤 504，否则搡作条件不满足，搡作失败；

步骤 504：判断与应用标识对应的应用的状态是否为 INSTALLED, 是则执行步骤 505，否则搡作条件不满足，搡作失败；步骤 505 : 判断所述 APDU数据的第四个数据块是否合法，是则执行步骤 506，否则数据错误，搡作失败；

本实施例中，第四个数据块具体为应用权限长度 +应用权限；判断所述 APDU数据的第四个数据块是否合法具体包括：判断所述 APDU数据的第四个数据块中的应用权限长度是否为 0x01，是则所述 APDU数据的第四个数据块合法，否则所述 APDU数据的第四个数据块不合法。

步骤 506 : 判断所述 APDU数据的第五个数据块是否合法，是则执行步骤 507，否则数据错误，搡作失败；

本实施例中，第五个数据块具体为参数域长度 +参数域；判断所述 APDU数据的第五个数据块是否合法具体包括：判断所述 APDU数据的第五个数据块中的参数域长度是否为 0x00，是则所述

APDU数据的第五个数据块合法，否则所述 APDU数据的第五个数据块不合法。步骤 507 : 判断所述 APDU数据的第六个数据块是否合法，是则执行步骤 508，否则数据错误，搡作失败；

本实施例中，第六个数据块具体为：可选择令牌长度 +可选择令牌；

判断所述 APDU数据的第六个数据块是否合法具体包括：判断所述 APDU数据的第六个数据块中的可选择令牌长度是否为 0x00，是则所述 APDU数据的第六个数据块合法，否则所述 APDU数据的第六个数据块不合法。

步骤 508 ：将与应用标识对应的应用的状态设置为 SELECTABLE;

本实施例中，步骤 508具体为设置与应用标识对应的应用的状态属性为 0x07。

步骤 509：判断与应用标识对应的应用是否具有默认选择权限，是则执行步骤 510，否则搡作成功；

步骤 510: 判断卡片内容管理模块是否具有默认选择权限，是则执行步骤 511，否则搡作条件不满足，搡作失败；

步骤 511 : 设置与应用标识对应的应用为默认应用，搡作成功。实施例六

本发明实施例六提供一种实施例一中提供的管理卡片上应用的方法中更新应用的关联安全域的具体方法，本实施例中的 APDU数据的数据域部分可看作是由多个数据块组成的，每个数据块都是一个 LV结构，即数据长度 +数据的结构；参见图 6，所述方法具体包括：步骤 601 : 判断所述 APDU数据的第一个数据块是否合法，是则执行步骤 602，否则数据错误，搡作失败；

本实施例中，第一个数据块具体为：安全域标识长度 +安全域标识；

判断所述 APDU数据的第一个数据块是否合法具体包括：判断所述 APDU数据的第一个数据块中的安全域标识长度是否在预设范围内，是则所述 APDU数据的第一个数据块合法，否则所述 APDU数据的第一个数据块不合法；

所述预设范围为 0x05-0x10。

步骤 602: 检查卡片内是否有与安全域标识对应的应用，是则执行步骤 603，否则搡作条件不满足，搡作失败；

步骤 603 : 判断与安全域标识对应的应用是否为卡片内容管理模块，是则搡作条件不满足，搡作失败，否则执行步骤 604;

步骤 604: 判断所述 APDU数据的第二个数据块是否合法，是则执行步骤 605，否则数据错误，搡作失败；

本实施例中，判断所述 APDU数据的第二个数据块是否合法具体包括：判断所述 APDU数据的第二个数据块是否为 0x00，是则所述 APDU数据的第二个数据块合法，否则所述 APDU数据的第二个数据块不合法。

步骤 605：判断与安全域标识对应的应用的状态是否为 INSTALLED, 是则执行步骤 606，否则搡作条件不满足，搡作失败；步骤 606 : 判断所述 APDU数据的第三个数据块是否合法，是则执行步骤 607，否则数据错误，搡作失败；

所述预设范围为 0x05-0x10。

步骤 607 : 检查卡片内是否有与应用标识对应的应用，是则执行步骤 608，否则搡作条件不满足，搡作失败；

步骤 608：判断与安全域标识对应的应用是否具有安全域权限，是则执行步骤 609; 否则搡作条件不满足，搡作失败；

本实施例中，步骤 608具体包括：判断与安全域标识对应的应用的权限属性最高比特位是否为 1，是则与安全域标识对应的应用具有安全域权限，否则与安全域标识对应的应用不具有安全域权限。

步骤 609：判断与安全域标识对应的应用的状态是否为 LOCKED (锁定），是则搡作条件不满足，搡作失败；否则执行步骤 610; 步骤 610：判断与安全域标识对应的应用的状态是否为 PERSONALIZED (个人化），是则执行步骤 611，否则搡作条件不满足，搡作失败；

步骤 611 :判断所述 APDU数据的第四个数据块和第五个数据块是否均合法，是则执行步骤 612，否则数据错误，搡作失败；

本实施例中，判断所述 APDU数据的第四个数据块是否合法具体包括：判断所述 APDU数据的第四个数据块是否为 0x00，是则所述 APDU数据的第四个数据块合法，否则所述 APDU数据的第四个数据块不合法；

判断所述 APDU数据的第五个数据块是否合法具体包括：判断所述 APDU数据的第五个数据块是否为 0x00，是则所述 APDU数据的第五个数据块合法，否则所述 APDU数据的第五个数据块不合法。

步骤 612: 判断所述 APDU数据的第六个数据块是否合法，是则执行步骤 613，否则数据错误，搡作失败；

本实施例中，第六个数据块具体为：引渡令牌长度 +引渡令牌；判断所述 APDU数据的第六个数据块是否合法具体包括：判断所述 APDU数据的第六个数据块中的引渡令牌长度是否为 0x00，是则所述 APDU数据的第六个数据块合法，否则所述 APDU数据的第六个数据块不合法。

步骤 613 : 判断与应用标识对应的应用是否具有安全域权限，是则搡作条件不满足，搡作失败；否则执行步骤 614;

本实施例中，步骤 613具体包括：判断与应用标识对应的应用的权限属性最高比特位是否为 1，是则与应用标识对应的应用具有安全域权限，否则与应用标识对应的应用不具有安全域权限。

步骤 614：设置与应用标识对应的应用的关联安全域为与安全域标识对应的应用，搡作成功。实施例七

本发明实施例七提供一种实施例一中提供的管理卡片上应用的方法中个人化应用的具体方法，本实施例中的 APDU数据的数据域部分可看作是由多个数据块组成的，每个数据块都是一个 LV结构，即数据长度 +数据的结构；参见图 7，所述方法具体包括：

步骤 701 : 判断所述 APDU数据的第一个数据块和第二个数据块是否均合法，是则执行步骤 702，否则数据错误，搡作失败；

步骤 702: 判断所述 APDU数据的第三个数据块是否合法，是则执行步骤 703，否则数据错误，搡作失败；

本实施例中，第三个数据块具体为应用标识长度 +应用标识；判断所述 APDU数据的第三个数据块是否合法具体包括：判断所述 APDU数据的第三个数据块中的应用标识长度是否在预设范围内，是则所述 APDU数据的第三个数据块合法，否则所述 APDU数据的第三个数据块不合法；

所述预设范围为 0x05-0x10。

步骤 703 : 检查卡片内是否有与应用标识对应的应用，是则执行步骤 704，否则搡作条件不满足，搡作失败；

步骤 704：判断与应用标识对应的应用的关联安全域是否为卡片内容管理模块，是则执行步骤 705，否则搡作条件不满足，搡作失败；步骤 705 : 判断所述 APDU数据的第四个数据块、第五个数据块和第六个数据块是否均合法，是则执行步骤 706，否则数据错误，搡作失败；

判断所述 APDU数据的第五个数据块是否合法具体包括：判断所述 APDU数据的第五个数据块是否为 0x00，是则所述 APDU数据的第五个数据块合法，否则所述 APDU数据的第五个数据块不合法；

判断所述 APDU数据的第六个数据块是否合法具体包括：判断所述 APDU数据的第六个数据块是否为 0x00，是则所述 APDU数据的第六个数据块合法，否则所述 APDU数据的第六个数据块不合法。

步骤 706：将与应用标识对应的应用的状态设为 PERSONLIZED，搡作成功。实施例八

本发明实施例八提供一种实施例一中提供的管理卡片上应用的方法中删除应用及可执行加载文件的具体方法，本实施例中的 APDU 数据的数据域部分可看作是由多个数据块组成的，每个数据块都是一个 LV结构，即数据长度 +数据的结构；参见图 8，所述方法具体包括：步骤 801 : 判断所述 APDU数据的第一个数据块是否合法，是则执行步骤 802，否则数据错误，搡作失败；

本实施例中，判断所述 APDU数据的第一个数据块是否合法具体包括：判断所述 APDU数据的第一个数据块是否为 0x4f，是则所述

APDU数据的第一个数据块合法，否则所述 APDU数据的第一个数据块不合法。

步骤 802: 判断所述 APDU数据的第二个数据块是否合法，是则执行步骤 803，否则数据错误，搡作失败；

本实施例中，第二个数据块具体为数据域标识长度 +数据域标识；判断所述 APDU数据的第二个数据块是否合法具体包括：判断所述 APDU数据的第二个数据块中的数据域标识长度是否在预设范围内，是则所述 APDU数据的第二个数据块合法，否则所述 APDU数据的第二个数据块不合法；

所述预设范围为： 0x05-0x10。

步骤 803 : 检查卡片内是否有与数据域标识对应的应用，是则执行步骤 804，否则执行步骤 805 ;

步骤 804：判断所述 APD U数据的第四个字节是否等于预设值，是则执行步骤 805，否则执行步骤 809;

本实施例中，预设值为 0x80。

步骤 805 : 检查卡片内是否有与数据域标识对应的可执行加载文件，是则执行步骤 806，否则搡作条件不满足，搡作失败；

步骤 806：判断所述 APDU数据的第四个字节是否等于预设值，是则执行步骤 807，否则执行步骤 808 ;

本实施例中，预设值为 0x80。

步骤 807：删除与数据域标识对应的应用和与数据域标识对应的可执行加载文件，搡作成功；

步骤 808 : 删除与数据域标识对应的可执行加载文件，搡作成功；步骤 809：检查与数据域标识对应的应用是否为其他应用或其他可执行加载文件的关联安全域，是则搡作条件不满足，搡作失败；否则执行步骤 810;

步骤 810: 判断与数据域标识对应的应用是否为卡片内容管理模块，是则搡作条件不满足，搡作失败；否则执行步骤 811 ;

步骤 811 : 删除与数据域标识对应的应用，搡作成功。实施例九

需说明的是，在本发明实施例中，将智能卡简称为卡片。

本发明实施例提供的一种管理卡片数据的实现方法，参见图 9，所述方法具体包括当第一卡片数据管理模块接收到运行环境发送的 APDU ( ApplicationProtocolDataUnit , 应用协议数据单元）数据后将自身作为当前第一卡片数据管理模块，执行以下步骤：

步骤 901 : 检查所述 APDU数据的 INS (指令码），若为 0xE8则执行步骤 1101至步骤 1129; 若为 0xE6则执行步骤 902; 若为 0xE4则执行步骤 1601至步骤 1625 ; 若为其他有效数值则所述 APDU数据为其他非内容管理的有效命令，根据所述 APDU数据执行相应搡作；否则所述 APDU数据为无效命令，生成并返回相应状态码；

具体地，所述其他有效数值包括： 0xA4、 0x78、 0x7 A, 0x82、 0x50、 0xE2、 0xF0、 0xD8、 0xF2、 OxCA;

步骤 902: 检查所述 APDU数据的 PI (第一参数），若为 0x02则执行步骤 1001至步骤 1028；若为 0x04或 OxOC则执行步骤 1201至步骤 1235; 若为 0x08则执行步骤 1301至步骤 1324;若为 0x10则执行步骤 1401至步骤 1428 ; 若为 0x20则执行步骤 1501至步骤 1517 ; 否则所述 APDU数据为无效命令，生成并返回相应状态码；

在本发明中，所述第一卡片数据管理模块为卡片中一种特殊的应用，为应用提供商在卡上的代表；

优选地，参见图 10，步骤 1001至步骤 1028具体如下：步骤 1001: 判断所述 APDU数据是否为合法的预加载命令的命令头，是则执行步骤 1002，否则执行步骤 1027;

具体地，当所述 APDU数据的 CLA (指令类别）为 0x80或 0x84、 P2 (第二参数）为 0x00且 Lc (数据域长度）不小于 OxOA时，所述 APDU 数据为合法的预加载命令的命令头；

步骤 1002: 判断卡片的当前状态是否为 TERMINATED (终止）或 CARD_LOCKED (锁定），是则执行步骤 1027，否则执行步骤 1003; 具体地，通过卡片的状态属性判断其状态，卡片的状态属性为一个字节数据，从高位到低位依次为138137136135134133132131，卡片的状态包括准备 OP_READY、初始化 INITIALIZED、安全 SECURED、锁定 CARD_LOCKED和终止 TERMINATED, 参见下表：

进一步地，步骤 1001和步骤 1002的位置可以调换：首先判断卡片的当前状态是否为终止或卡片锁定，是则执行步骤 1027，否则判断所述 APDU数据是否为合法的预加载命令的命令头，是则执行步骤 1003, 否则执行步骤 1027;

步骤 1003:收取预加载命令的数据域部分，得到完整预加载命令；步骤 1004 : 判断当前第一卡片数据管理模块状态是否为 PERSONALIZED, 是则执行步骤 1005，否则执行步骤 1027; 具体地，第一卡片数据管理模块通过当前第一卡片数据管理模块的状态属性判断当前第一卡片数据管理模块的状态，第一卡片数据管理模块的状态属性为一个字节数据，从高位到低位依次为 b8b7b6b5 b4b3 b2bl, 第一卡片数据管理模块的状态包括已安装 INSTALLED、可选择 SELECTABLE、个人化 PERSONALIZED和锁定 LOCKED, 参见下表：

步骤 1005：判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 1006，否则执行步骤 1027；

具体地，第一卡片数据管理模块通过当前第一卡片数据管理模块的权限属性判断当前第一卡片数据管理模块是否具有代理权限，第一卡片数据管理模块的权限属性为一个字节数据，从高位到低位依次为 b8b7b6b5b4b3b2bl，当 b8和 b6均为 1时，第一卡片数据管理模块具有代理权限；

步骤 1006: 判断卡片是否满足安全条件，是则执行步骤 1007，否则执行步骤 1027;

具体地，第一卡片数据管理模块通过检查卡片的安全标志判断卡片是否满足安全条件，若所述安全标志置位则卡片满足安全条件，若所述安全标志未置位则卡片不满足安全条件，当卡片依次正确执行完 INS字节的值为 0x50的合法命令以及 INS字节的值为 0x82的合法命令时所述安全标志被置位；步骤 1007 :检查卡片的安全级别，若为第一级别则执行步骤 1010，若为第二级别则执行步骤 1008，若为第三级别则执行步骤 1009;

INS字节的值为 0x82的两条合法命令确定的；

具体地，若卡片的安全级别为第一级别，则所述预加载命令为消息数据明文，若卡片的安全级别为第二级别，则所述预加载命令为消息数据明文和消息认证码（Message Authentication Code, 简称 MAC) 的组合，若卡片的安全级别为第三级别，则所述预加载命令为消息数据密文和消息认证码的组合；

步骤 1008 : 根据所述预加载命令中的消息数据明文和 MAC (消息认证码）判断所述预加载命令是否完整，是则执行步骤 1010，否则执行步骤 1027 ;

其中，所述根据所述预加载命令中的消息数据明文和消息认证码判断所述预加载命令是否完整具体包括：利用约定的会话密钥对消息认证码进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述预加载命令完整，否则所述预加载命令不完整；

步骤 1009：根据所述预加载命令中的消息数据密文和 MAC判断所述预加载命令是否完整，是则执行步骤 1010，否则执行步骤 1027 ; 其中，所述根据所述预加载命令中的消息数据密文和消息认证码判断所述预加载命令是否完整具体包括：对消息数据密文解密得到消息数据明文，利用约定的会话密钥对消息认证码进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述预加载命令完整，否则所述预加载命令不完整；

步骤 1010:判断所述预加载命令中的加载文件标识长度是否在预设范围内，是则执行步骤 1011，否则执行步骤 1027 ;

具体地，所述预设范围为 0x05-0x10; 步骤 1011 : 判断所述预加载命令中的加载文件标识是否合法，是则执行步骤 1012，否则执行步骤 1027；

具体地，所述加载文件标识，当其每个字节均为 0x00时不合法，否则合法；

步骤 1012:检查卡片内是否已存在所述加载文件标识对应的加载文件，是则执行步骤 1027，否则执行步骤 1013 ;

步骤 1013 :判断所述预加载命令中的安全域标识长度是否在预设范围内，是则执行步骤 1014，否则执行步骤 1027 ;

具体地，所述预设范围为 0x05-0x10;

步骤 1014: 判断所述预加载命令中的安全域标识是否合法，是则执行步骤 1015，否则执行步骤 1027 ;

具体地，所述安全域标识，当其每个字节均为 0x00时不合法，否则合法；

步骤 1015 :检查卡片内是否存在所述预加载命令中的安全域标识对应的应用，是则执行步骤 1016，否则执行步骤 1027 ;

步骤 1016:判断所述预加载命令中的安全域标识对应的应用是否具有安全域权限，是则执行步骤 1017，否则执行步骤 1027 ;

具体地，通过应用的权限属性判断其是否具有安全域权限，应用的权限属性为一个字节数据，从高位到低位依次为 b8 b7 b6 b5 b4 b3 b2 bl，当 b8为 1时，应用具有安全域权限；

步骤 1017：判断所述预加载命令中的安全域标识对应的应用是否为当前第一卡片数据管理模块，是则执行步骤 1019，否则执行步骤 1018 ;

步骤 1018：判断所述预加载命令中的安全域标识对应的应用的状态是否为 PERSONALIZED (个人化），是则执行步骤 1019，否则执行步骤 1027 ;

步骤 1019：设置所述预加载命令中的加载文件标识对应的加载文件的关联安全域为所述预加载命令中的安全域标识对应的应用；步骤 1020:判断所述预加载命令中的加载文件数据块哈希值长度是否为预设值，是则执行步骤 1021，否则执行步骤 1027 ;

优选地，在本实施例中，所述预设值为 0x14;

步骤 1021 :存储所述预加载命令中的加载文件数据块哈希值并设置哈希值验证标志；

步骤 1022：处理所述预加载命令中的加载参数域；

具体地，所述加载参数域为 TLV结构，即由多个标签 +长度 +值的格式的数据组成，根据不同的标签执行不同的搡作，在此不进行详细表述；

步骤 1023 : 判断所述预加载命令中的加载令牌长度是否为 0x80，是则执行步骤 1024，否则执行步骤 1027；

步骤 1024:发送计算加载令牌所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的计算结果，判断所述计算结果与所述预加载命令中的加载令牌是否相同，是则执行步骤 1025，否则执行步骤 1027 ;

其中，所述第二卡片数据管理模块也是卡片中的一个特殊应用；具体地，发送所述预加载命令中的 Pl、 P2、有效数据的长度、加载文件标识长度、加载文件标识、安全域标识长度、安全域标识、加载文件数据块哈希值长度、加载文件数据块哈希值、加载参数域长度以及加载参数域给第二卡片数据管理模块，关于卡片发行商验证加载令牌的过程，在此不进行详细表述；

步骤 1025 : 新建加载文件结构，初始化全局块编号；

具体地，初始化全局块编号为 0，所述新建加载文件结构包括：在緩存中创建一个可执行加载文件结构的对象，将所述对象的各个属性值设置为默认值，所述对象的属性值包括各加载文件数据块在緩存中的存储地址以及可执行加载文件的各个属性，所述可执行加载文件的属性如可执行加载文件关联安全域标识等，在此不做具体描述；步骤 1026: 设置返回数据为 0x00，执行步骤 1027 ; 步骤 1027 : 生成相应状态码；

具体地，所述相应状态码包括标识成功的状态码和标识错误的状态码，其中不同的错误类型对应不同的状态码；

步骤 1028：返回设置的返回数据和 /或生成的状态码；优选地，参见图 11，步骤 1101至步骤 1129具体如下：

步骤 1101 :判断所述 APDU数据是否为合法的加载命令的命令头，是则执行步骤 1102，否则执行步骤 1128；

具体地，当所述 APDU数据的 CLA为 0x80或 0x84、 P1为 0x00或 0x80且 P2在 OxOO-OxFF之间时，所述 APDU数据合法；

步骤 1102：判断卡片当前的状态是否为 TERMANATED或 CARD_LOCKED，是则执行步骤 1128，否则执行步骤 1103 ;

步骤 1103 : 收取加载命令的数据域部分，得到完整加载命令；步骤 1104 : 判断当前第一卡片数据管理模块的状态是否为 PERSONALIZED, 是则执行步骤 1105，否则执行步骤 1128 ;

步骤 1105 : 判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 1106，否则执行步骤 1128；

步骤 1106: 判断卡片是否满足安全条件，是则执行步骤 1107，否则执行步骤 1128 ;

步骤 1107 :检查卡片的安全级别，若为第一级别则执行步骤 1110，若为第二级别则执行步骤 1108，若为第三级别则执行步骤 1109;

具体地，若卡片的安全级别为第一级别，则所述加载命令为消息数据明文，若卡片的安全级别为第二级别，则所述加载命令为消息数据明文和消息认证码的组合，若卡片的安全级别为第三级别，则所述加载命令为消息数据密文和消息认证码的组合；

步骤 1108：根据所述加载命令中的消息数据明文和 MAC判断所述加载命令是否完整，是则执行步骤 1110，否则执行步骤 1128 ;

其中，所述根据所述加载命令中的消息数据明文和 MAC判断所述加载命令是否完整具体包括：利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述加载命令完整，否则所述加载命令不完整；

步骤 1109: 根据所述加载命令中的消息数据密文和 MAC判断所述加载命令是否完整，是则执行步骤 1110，否则执行步骤 1128 ;

其中，所述根据所述加载命令中的消息数据密文和 MAC判断所述加载命令是否完整具体包括：对消息数据密文解密得到消息数据明文，利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述加载命令完整，否则所述加载命令不完整；

步骤 1110: 判断所述加载命令中的 P2是否等于所述全局块编号，是则执行步骤 1111，否则执行步骤 1128；

步骤 1111 : 判断所述全局块编号是否为 0，是则执行步骤 1112，否则执行步骤 1113 ;

步骤 1112 : 验证所述加载命令中的 DAP ( Data Authentication Pattern, 数据验证模式）块信息，若验证通过则执行步骤 1113，若验证不通过则执行步骤 1128；

具体地，加载文件在卡外被分割为若干个加载文件数据块，每条加载命令中包含一个加载文件数据块，当所述加载命令的 P2等于全局块编号，且全局块编号为 0时，所述加载命令中还包含 DAP块信息， DAP块信息中包含加载文件数据块签名值，第一卡片数据管理模块根据当前第一卡片数据管理模块存储的应用提供商 DAP计算密钥对 DAP块信息中的加载文件数据块签名值进行验证；

步骤 1113 : 判断卡片内是否存在哈希值验证标志，是则保存所述加载命令中的加载文件数据块，执行步骤 1114，否则直接执行步骤 1114; 步骤 1114:判断所述可执行加载文件结构中是否有未提交存储的组件，是则执行步骤 1118，否则执行步骤 1115 ;

具体地，应用以组件为单位对加载的加载文件数据块进行处理，得到可执行加载文件结构，所述组件包括： Header组件、 Directory组件、 Applet组件、 Import组件等；

步骤 1115 : 检查所述加载命令中是否包含组件编号和组件大小，是则执行步骤 1116，否则执行步骤 1128；

步骤 1116 : 读取所述组件编号，判断所述组件编号是否合法，是则执行步骤 1117，否则执行步骤 1128；

具体地，除首次读取到组件编号外，若所述组件编号与上一次读取到的组件编号是连续的则所述编号合理，否则所述编号不合理；步骤 1117：根据所述组件大小分派相应大小的空间；

步骤 1118 : 开始处理所述加载命令中的加载文件数据块；步骤 1119 : 判断当前组件是否处理完成，是则执行步骤 320，否则执行步骤 1121 ;

具体地，所述判断当前组件是否处理完成为判断当前组件中已经处理的数据的大小是否等于所述当前组件的大小；

步骤 1120: 提交当前组件的处理结果，执行步骤 1121 ;

步骤 1121 : 判断是否还有未处理的加载文件数据块数据，是则返回执行步骤 1115，否则执行步骤 1122；

步骤 1122: 所述全局块编号自增，判断所述加载命令的 P1是否为 0x80, 是则执行步骤 1123，否则执行步骤 1127 ;

具体的，所述全局块编号自增 1 ;

步骤 1123 : 判断卡片内是否存在哈希值验证标志，是则执行步骤 1124，否则执行步骤 1125 ;

步骤 1124: 对已存储的加载文件数据块进行哈希计算，判断计算结果是否等于加载文件数据块哈希值，是则执行步骤 1125，否则执行步骤 1128 ; 步骤 1125 : 提交存储所述可执行加载文件结构；步骤 1126: 发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 1128 ;

具体地，发送所述加载命令中的加载文件数据块对应的加载文件标识的长度、加载文件标识、安全域标识的长度、安全域标识给卡片提供商模块；

步骤 1127 : 设置返回数据为 0x00，执行步骤 1128 ;

步骤 1128 : 生成相应状态码；

步骤 1129：返回设置的返回数据和 /或生成的状态码；优选地，参见图 12，步骤 1201至步骤 1235具体如下：

步骤 1201：判断所述 APD U数据是否为合法的安装命令的命令头，是则执行步骤 1202，否则执行步骤 1234;

具体地，当所述 APDU数据的 CLA为 0x80或 0x84、 P2为 0x00且 Lc 不小于 0x18时，所述 APDU数据为合法的安装命令的命令头；

步骤 1202：判断卡片的当前状态是否为 TERMANATED或 CARD_LOCKED，是则执行步骤 1234，否则执行步骤 1203 ;

步骤 1203 : 收取安装命令的数据域部分，得到完整安装命令；步骤 1204 : 判断当前第一卡片数据管理模块的状态是否为 PERSONALIED，是则执行步骤 1205，否则执行步骤 1234；

步骤 1205：判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 1206，否则执行步骤 1234；

步骤 1206: 判断卡片是否满足安全条件，是则执行步骤 1207，否则执行步骤 1234;

步骤 1207 :检查卡片的安全级别，若为第一级别则执行步骤 1210，若为第二级别则执行步骤 1208，若为第三级别则执行步骤 1209；具体地，若卡片的安全级别为第一级别，则所述安装命令为消息数据明文，若卡片的安全级别为第二级别，则所述安装命令为消息数据明文和消息认证码的组合，若卡片的安全级别为第三级别，则所述安装命令为消息数据密文和消息认证码的组合；

步骤 1208：根据所述安装命令中的消息数据明文和 MAC判断所述安装命令是否完整，是则执行步骤 1210，否则执行步骤 1234; 其中，所述根据所述安装命令中的消息数据明文和 MAC判断所述安装命令是否完整具体包括：利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述安装命令完整，否则所述安装命令不完整；

步骤 1209: 根据所述安装命令中的消息数据密文和 MAC判断所述安装命令是否完整，是则执行步骤 1210，否则执行步骤 1234; 其中，所述根据所述安装命令中的消息数据密文和 MAC判断所述安装命令是否完整具体包括：对消息数据密文解密得到消息数据明文，利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述安装命令完整，否则所述安装命令不完整；

步骤 1210:判断所述安装命令中的可执行加载文件标识长度是否在预设范围内，是则执行步骤 1211，否则执行步骤 1234;

具体地，所述预设范围为 0x05-0x10; 件标识对应的可执行加载文件，是则执行步骤 1212，否则执行步骤 1234;

步骤 1212：判断所述安装命令中的可执行加载文件标识对应的可执行加载文件关联的安全域是否为当前第一卡片数据管理模块，是则执行步骤 1213，否则执行步骤 1234;

步骤 1213:判断所述安装命令中的可执行模块标识长度是否在预设范围内，是则执行步骤 1214，否则执行步骤 1234;

具体地，所述预设范围为 0x05-0x10; 识对应的可执行模块，是则执行步骤 1215，否则执行步骤 1234;

步骤 1215 :判断所述安装命令中的应用标识长度是否在预设范围内，是则执行步骤 1216，否则执行步骤 1234;

具体地，所述预设范围为 0x05-0x10;

步骤 1216 : 判断所述安装命令中的应用标识是否合法，是则执行步骤 1217，否则执行步骤 1234;

具体地，所述应用标识当其每个字节均为 0x00时不合法，否则合法；

步骤 1217 :判断卡片内是否存在所述安装命令中的应用标识对应的应用，是则执行步骤 1234，否则执行步骤 1218 ;

步骤 1218 : 判断所述安装命令中的应用权限长度是否为 0x01，是则执行步骤 1219，否则执行步骤 1234；

步骤 1219 : 判断所述安装命令中的应用权限是否为 0x04，是则执行步骤 1220，否则执行步骤 1222;

步骤 1220 : 判断所述安装命令的 P1是否为 0x04，是则执行步骤 1234, 否则执行步骤 1221 ;

步骤 1221：判断第二卡片数据管理模块是否具有默认选择权限，是则执行步骤 1222，否则执行步骤 1234;

具体地，通过第二卡片数据管理模块的权限属性判断其是否具有默认选择权限，第二卡片数据管理模块的权限属性为一个字节数据，从高位到低位依次为138 137 136 135 134 133 132 131，当 b3为 1时，第二卡片数据管理模块具有默认选择权限；

步骤 1222:判断所述安装命令的应用权限的低位端起第 1比特位、第 6比特位和第 7比特位是否均为 0，是则执行步骤 1223，否则执行步骤 1224;

步骤 1223：判断所述安装命令的应用权限的最高比特位是否为 1，是则执行步骤 1224，否则执行步骤 1234；

步骤 1224: 处理所述安装命令中的安装参数域；

步骤 1225 : 判断所述安装命令中的安装令牌长度是否为 0x80，是则执行步骤 1226，否则执行步骤 1234；

步骤 1226:发送计算安装令牌所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的计算结果，判断所述计算结果和所述安装命令中的安装令牌是否相同，是则执行步骤 1227，否则执行步骤 1234;

具体地，发送所述安装命令的 Pl、 P2、有效数据的长度、可执行加载文件标识长度、可执行加载文件标识、可执行模块标识长度、可执行模块标识、应用标识长度、应用标识、应用权限长度、应用权限、安装参数域长度以及安装参数域给第二卡片数据管理模块；

步骤 1227 : 根据所述安装命令的数据域中的数据注册应用；步骤 1228 : 判断所述安装命令中的 P1是否为 0x04，是则执行步骤 1232, 否则执行步骤 1229;

步骤 1229：将所述安装命令中的应用标识对应的应用的状态设置为 SELECTABLE (可选择）；

具体地，步骤 1229为将所述安装命令中的应用标识对应的应用的状态属性的值设置为 0x07 ;

步骤 1230: 判断所述安装命令中的应用权限是否为 0x04，是则执行步骤 1231，否则执行步骤 1233 ;

步骤 1231：将所述安装命令中的应用标识对应的应用设置为默认应用，执行步骤 1233 ;

步骤 1232：将所述安装命令中的应用标识对应的应用的状态设置为 INSTALLED (安装），执行步骤 1233 ; 具体地，步骤 1232包括：将所述得到的命令中的应用标识对应的应用的状态属性的值设置为 0x03；

步骤 1233 : 发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 1234;

具体地，发送所述安装命令中的可执行加载文件标识长度、可执行加载文件标识、应用标识长度以及应用标识给第二卡片数据管理模块；

步骤 1234: 生成相应状态码；

步骤 1235：返回设置的返回数据和 /或生成的状态码；优选地，参见图 13，步骤 1301至步骤 1324具体如下：

步骤 1301 : 判断所述 APDU数据是否为合法的可选择命令的命令头，是则执行步骤 1302，否则执行步骤 1323 ;

具体地，当所述 APDU数据的 CLA为 0x80或 0x84、 P2为 0x00且 Lc 不小于 0x0( †，所述 APDU数据为合法的可选择命令的命令头；

步骤 1302：判断卡片的当前状态是否为 TERMANATED或 CARD_LOCKED，是则执行步骤 1323，否则执行步骤 1303 ;

步骤 1303 :收取可选择命令的数据域部分，得到完整可选择命令；步骤 1304 : 判断当前第一卡片数据管理模块的状态是否为 PERSONALIZED (个人化），是则执行步骤 1305，否则执行步骤 1323 ; 步骤 1305 : 判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 1306，否则执行步骤 1323 ;

步骤 1306: 判断卡片是否满足安全条件，是则执行步骤 1307，否则执行步骤 1323 ;

步骤 1307 :检查卡片的安全级别，若为第一级别则执行步骤 1310，若为第二级别则执行步骤 1308，若为第三级别则执行步骤 1309; 具体地，若卡片的安全级别为第一级别，则所述可选择命令为消息数据明文，若卡片的安全级别为第二级别，则所述可选择命令为消息数据明文和消息认证码的组合，若卡片的安全级别为第三级别，则所述可选择命令为消息数据密文和消息认证码的组合；

步骤 1308：根据所述可选择命令中的消息数据明文和 MAC判断所述可选择命令是否完整，是则执行步骤 1310，否则执行步骤 1323 ; 其中，所述根据所述可选择命令中的消息数据明文和 MAC判断所述可选择命令是否完整具体包括：利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述可选择命令完整，否则所述可选择命令不完整

步骤 1309: 根据所述可选择命令中的消息数据密文和 MAC判断所述可选择命令是否完整，是则执行步骤 1310，否则执行步骤 1323 ; 其中，所述根据所述可选择命令中的消息数据密文和 MAC判断所述可选择命令是否完整具体包括：对消息数据密文解密得到消息数据明文，利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述可选择命令完整，否则所述可选择命令不完整；

步骤 1310:判断所述可选择命令的数据域中的前两个字节数据是否均为 0x00，是则执行步骤 1311，否则执行步骤 1323 ;

步骤 1311 :判断所述可选择命令中的应用标识长度是否在预设范围内，是则执行步骤 1312，否则执行步骤 1323 ;

具体地，所述预设范围为 0x05-0x10;

步骤 1312:判断卡片内是否有所述可选择命令中的应用标识对应的应用，是则执行步骤 1313，否则执行步骤 1323 ;

步骤 1313：判断所述可选择命令中的应用标识对应的应用的状态是否为 INSTALLED (安装），是则执行步骤 1314，否则执行步骤 1323 ; 步骤 1314: 判断所述可选择命令中的应用权限长度是否为 0x00，是则执行步骤 1315，否则执行步骤 1323 ;

步骤 1315 :判断所述可选择命令中应用权限之后的一个字节数据是否为 0x00，是则执行步骤 1316，否则执行步骤 1323 ; 是则执行步骤 1317，否则执行步骤 1323 ;

步骤 1317 :发送计算安装令牌所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的计算结果，判断所述计算结果与所述可选择命令中的安装令牌是否相同，是则执行步骤 1318，否则执行步骤 1323 ;

具体地，发送所述可选择命令的 Pl、 P2、有效数据长度、可执行加载文件标识长度、 0x00、 0x00、应用标识长度、应用标识、应用权限长度、应用权限以及 0x00给第二卡片数据管理模块；

步骤 1318 :将所述可选择命令中的应用标识对应的应用的状态设置为 SELECTABLE (可选择）；

具体地，步骤 1318具体为将所述可选择命令中的应用标识对应的应用的状态属性的值设置为 0x07；

步骤 1319: 判断所述可选择命令中的 P1是否为 0x04，是则执行步骤 1320，否则执行步骤 1322；

步骤 1320: 判断第二卡片数据管理模块是否具有默认选择权限，是则执行步骤 1321，否则执行步骤 1323 ;

步骤 1321：设置所述可选择命令中的应用标识对应的应用为默认应用，执行步骤 1322;

步骤 1322: 设置返回数据为 0x00，执行步骤 1323 ;

步骤 1323 : 生成相应状态码；

具体地，所述相应状态码包括标识成功的状态码和标识错误的状态码，其中不同的错误类型对应不同的状态码；步骤 1324：返回设置的返回数据和 /或生成的状态码；优选地，参见图 14，步骤 1401至步骤 1428具体如下：

步骤 1401：判断所述 APDU数据是否为合法的引渡命令的命令头，是则执行步骤 1402，否则执行步骤 1427 ;

具体地，当所述 APDU数据的 CLA为 0x80或 0x84、 P2为 0x00且 Lc 不小于 0x10时，所述 APDU数据为合法的引渡命令的命令头；

步骤 1402：判断卡片的当前状态是否为 TERMANATED或 CARD_LOCKED，是则执行步骤 1427，否则执行步骤 1403 ;

步骤 1403 : 收取引渡命令的数据域部分，得到完整引渡命令；步骤 1404 : 判断当前第一卡片数据管理模块的状态是否为 PERSONALIZED, 是则执行步骤 1405，否则执行步骤 1427 ;

步骤 1405：判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 1406，否则执行步骤 1427；

步骤 1406: 判断卡片是否满足安全条件，是则执行步骤 1407，否则执行步骤 1427 ;

步骤 1407 :检查卡片的安全级别，若为第一级别则执行步骤 1410，若为第二级别则执行步骤 1408，若为第三级别则执行步骤 1409;

具体地，若卡片的安全级别为第一级别，则所述引渡命令为消息数据明文，若卡片的安全级别为第二级别，则所述引渡命令为消息数据明文和消息认证码的组合，若卡片的安全级别为第三级别，则所述引渡命令为消息数据密文和消息认证码的组合；

步骤 1408：根据所述引渡命令中的消息数据明文和 MAC判断所述引渡命令是否完整，是则执行步骤 1410，否则执行步骤 1427 ;

其中，所述根据所述引渡命令中的消息数据明文和 MAC判断所述引渡命令是否完整具体包括：利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述引渡命令完整，否则所述引渡命令不完整；

步骤 1409: 根据所述引渡命令中的消息数据密文和 MAC判断所述引渡命令是否完整，是则执行步骤 1410，否则执行步骤 1427 ;

其中，所述根据所述引渡命令中的消息数据密文和 MAC判断所述引渡命令是否完整具体包括：对消息数据密文解密得到消息数据明文，利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述引渡命令完整，否则所述引渡命令不完整；围内，是则执行步骤 1411，否则执行步骤 1427 ;

具体地，所述预设范围为 0x05-0x10; 应的应用，是则执行步骤 1412，否则执行步骤 1427 ;

步骤 1412：判断所述引渡命令中的安全域标识对应的应用是否为当前卡片提供商模块，是则执行步骤 1427，否则执行步骤 1413 ;

步骤 1413 :判断所述引渡命令中安全域标识之后的一个字节数据是否为 0x00，是则执行步骤 1414，否则执行步骤 1427 ;

步骤 1414：判断所述引渡命令中的安全域标识对应的应用的状态是否为 INSTALLED (安装），是则执行步骤 1415，否则执行步骤 1427 ; 步骤 1415 :判断所述引渡命令中的应用标识长度是否在预设范围内，是则执行步骤 1416，否则执行步骤 1427 ;

具体地，所述预设范围为 0x05-0x10;

步骤 1416:判断卡片内是否存在所述引渡命令中的应用标识对应的应用，是则执行步骤 1417，否则执行步骤 1427 ;

步骤 1417 :判断所述引渡命令中的应用标识对应的应用关联的安全域是否为当前第一卡片数据管理模块，是则执行步骤 1418，否则执行步骤 1427 ; 步骤 1418：判断所述引渡命令中的安全域标识对应的应用是否具有安全域权限，是则执行步骤 1419，否则执行步骤 1427 ;

步骤 1419：判断所述引渡命令中的安全域标识对应的应用的状态是否为 LOCKED (锁定），是则执行步骤 1427，否则执行步骤 1420; 步骤 1420：判断所述引渡命令中的安全域标识对应的应用的状态是否为 PERSONALIZED (个人化），是则执行步骤 1421 ，否则执行步骤 1427 ;

步骤 1421：判断所述引渡命令中的应用标识后的两个字节数据是否均为 0x00，是则执行步骤 1422，否则执行步骤 1427 ;

步骤 1422: 判断所述引渡命令中的引渡令牌长度是否为 0x80，是则执行步骤 1423，否则执行步骤 1427；

步骤 1423：发送计算引渡令牌所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的计算结果，判断所述计算结果是否与所述引渡命令中的引渡令牌相同，是则执行步骤 1424，否则执行步骤 1427 ;

具体地，发送所述引渡命令的 Pl、 P2、有效数据长度、安全域标识长度、安全域标识、 0x00、应用标识长度、应用标识、 0x00以及 0x00 给第二卡片数据管理模块；

步骤 1424:判断所述引渡命令中的应用标识对应的应用是否具有安全域权限，是则执行步骤 1427，否则执行步骤 1425 ;

步骤 1425：将所述！渡命令中的应用标识对应的应用关联的安全域修改为所述引渡命令中的安全域标识对应的应用；

步骤 1426: 发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 1427 ;

具体地，发送本次引渡应用的：应用标识的长度、应用标识、原安全域标识的长度、原安全域标识、新安全域标识的长度以及新安全域标识给第二卡片数据管理模块，其中，所述原安全域标识为本次引渡应用在引渡之前关联的安全域的安全域标识；所述新安全域标识为本次引渡应用在引渡之后将要关联的安全域的安全域标识；

步骤 1427 : 生成相应状态码；

步骤 1428：返回设置的返回数据和 /或生成的状态码；优选地，参见图 15，步骤 1501至步骤 1517具体如下：

步骤 1501 : 判断所述 APDU数据是否为合法的个人化命令的命令头，是则执行步骤 1502，否则执行步骤 1516;

具体地，当所述 APDU数据的 CLA为 0x80或 0x84、 P2为 0x00且 Lc 不小于 OxOB时，所述 APDU数据为合法的个人化命令的命令头；

步骤 1502：判断卡片的当前状态是否为 TERMANATED或 CARD_LOCKED，是则执行步骤 1516，否则执行步骤 1503 ;

步骤 1503 :收取个人化命令的数据域部分，得到完整个人化命令；步骤 1504 : 判断当前第一卡片数据管理模块的状态是否为 PERSONALIZED (个人化），是则执行步骤 1505，否则执行步骤 1516; 步骤 1505 : 判断卡片是否满足安全条件，是则执行步骤 1506，否则执行步骤 1516;

步骤 1506: 检查卡片的安全级别，若为第一级别则执行步 1509，若为第二级别则执行步骤 1507，若为第三级别则执行步骤 1508；

具体地，若卡片的安全级别为第一级别，则所述个人化命令为消息数据明文，若卡片的安全级别为第二级别，则所述个人化命令为消息数据明文和消息认证码的组合，若卡片的安全级别为第三级别，则所述个人化命令为消息数据密文和消息认证码的组合；

步骤 1507：根据所述个人化命令中的消息数据明文和 MAC判断所述个人化命令是否完整，是则执行步骤 1509，否则执行步骤 1516; 其中，所述根据所述个人化命令中的消息数据明文和 MAC判断所述个人化命令是否完整具体包括：利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述个人化命令完整，否则所述个人化命令不完整；

步骤 1508: 根据所述个人化命令中的消息数据密文和 MAC判断所述个人化命令是否完整，是则执行步骤 1509，否则执行步骤 1516; 其中，所述根据所述个人化命令中的消息数据密文和 MAC判断所述个人化命令是否完整具体包括：对消息数据密文解密得到消息数据明文，利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述个人化命令完整，否则所述个人化命令不完整；。

步骤 1509:判断所述个人化命令的数据域的前两个字节数据是否均为 0x00，是则执行步骤 1510，否则执行步骤 1516;

步骤 1510：判断所述个人化命令中的应用标识长度是否在预设范围内，是则执行步骤 1511，否则执行步骤 1516;

具体地，所述预设范围为 0x05-0x10;

步骤 1511 :判断卡片内是否存在所述个人化命令中的应用标识对应的应用，是则执行步骤 1512，否则执行步骤 1516;

步骤 1512：判断所述个人化命令中的应用标识对应的应用关联的安全域是否为当前第一卡片数据管理模块，是则执行步骤 1513，否则执行步骤 1516;

步骤 1513 : 判断所述个人化命令的最后三个字节数据是否均为 0x00, 是则执行步骤 1514，否则执行步骤 1516;

步骤 1514:将所述个人化命令中的应用标识对应的应用的状态设置为个人化（PERSONLIZED) ;

步骤 1515 : 设置返回数据为 0x00;

步骤 1516: 生成相应状态码；具体地，所述相应状态码包括标识成功的状态码和标识错误的状态码，其中不同的错误类型对应不同的状态码；

步骤 1517：返回设置的返回数据和 /或生成的状态码；优选地，参见图 16，步骤 1601至步骤 1625具体如下：

步骤 1601：判断所述 APDU数据是否为合法的删除命令的命令头，是则执行步骤 1602，否则执行步骤 1624;

具体地，当所述 APDU数据的 CLA为 0x80或 0x84且 P1为 0x00时，所述 APD U数据为合法的删除命令的命令头；

步骤 1602：判断卡片的当前状态是否为 TERMANATED或 CARD_LOCKED，是则执行步骤 1624，否则执行步骤 1603 ;

步骤 1603 : 收取删除命令的数据域部分，得到完整删除命令；步骤 1604 : 判断当前第一卡片数据管理模块的状态是否为 PERSONALIED, 是则执行步骤 1605，否则执行步骤 1624;

步骤 1605：判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 1606，否则执行步骤 1624；

步骤 1606: 判断卡片是否满足安全条件，是则执行步骤 1607，否则执行步骤 1624;

步骤 1607 :检查卡片的安全级别，若为第一级别则执行步骤 1610，若为第二级别则执行步骤 1608，若为第三级别则执行步骤 1609；

具体地，若卡片的安全级别为第一级别，则所述删除命令为消息数据明文，若卡片的安全级别为第二级别，则所述删除命令为消息数据明文和消息认证码的组合，若卡片的安全级别为第三级别，则所述删除命令为消息数据密文和消息认证码的组合；

步骤 1608：根据所述删除命令中的消息数据明文和 MAC判断所述删除命令是否完整，是则执行步骤 1610，否则执行步骤 1624;

其中，所述根据所述删除命令中的消息数据明文和 MAC判断所述删除命令是否完整具体包括：利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述删除命令完整，否则所述删除命令不完整；

步骤 1609：根据所述删除命令中的消息数据密文和 MAC判断所述删除命令是否完整，是则执行步骤 1610，否则执行步骤 1624; 其中，所述根据所述删除命令中的消息数据密文和 MAC判断所述删除命令是否完整具体包括：对消息数据密文解密得到消息数据明文，利用约定的会话密钥对 MAC进行解密得到解密结果，同时根据约定的散列函数对消息数据明文进行计算得到计算结果，判断所述解密结果和所述计算结果是否相同，是则所述删除命令完整，否则所述删除命令不完整；

步骤 1610:判断所述删除命令的数据域中的第一个字节数据是否为 0x4f，是则执行步骤 1611，否则执行步骤 1624;

步骤 1611 :判断所述删除命令中的数据域标识长度是否在预设范围内，是则执行步骤 1612，否则执行步骤 1624;

具体地，预设范围为 0x05-0x10;

步骤 1612:判断卡片内是否存在所述删除命令中的数据域标识对应的应用，是则执行步骤 1613，否则执行步骤 1614;

步骤 1613 : 判断所述删除命令中的 P2是否为 0x80，是则执行步骤 1614，否则执行步骤 1619;

步骤 1614:判断卡片内是否存在所述删除命令中的数据域标识对应的可执行文件，是则执行步骤 1615，否则执行步骤 1624;

步骤 1615：判断所述删除命令中的数据域标识对应的可执行文件关联的安全域是否为当前第一卡片数据管理模块，是则执行步骤 1616，否则执行步骤 1624;

步骤 1616: 判断所述删除命令中的 P2是否为 0x80，是则执行步骤 1617，否则执行步骤 1618 ;

步骤 1617：删除所述删除命令中的数据域标识对应的可执行文件以及所述可执行文件对应的全部应用，执行步骤 1623；步骤 1618 : 删除所述删除命令中的数据域标识对应的可执行文件，执行步骤 1623 ;

步骤 1619：判断所述删除命令中的数据域标识对应的应用是否为其他应用或其他可执行文件关联的安全域，是则执行步骤 1624，否则执行步骤 1620;

步骤 1620：判断所述删除命令中的数据域标识对应的应用是否为当前第一卡片数据管理模块，是则执行步骤 1624，否则执行步骤 1621 ; 步骤 1621：判断所述删除命令中的数据域标识对应的应用关联的安全域是否为当前第一卡片数据管理模块，是则执行步骤 1622，否则执行步骤 1624;

步骤 1622: 删除与所述删除命令中的数据域标识对应的应用；步骤 1623 : 发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 1624;

具体地，发送所述删除命令中的数据域标识长度以及所述数据域标识给第二卡片数据管理模块；

步骤 1624: 生成相应状态码；

步骤 1625：返回设置的返回数据和 /或生成的状态码。

以上所述的实施例只是本发明较优选的具体实施方式，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims

权利要求

1、一种管理卡片上应用的方法，其特征在于，当卡片内容管理模块接收到运行环境发送的数据后执行以下步骤：

步骤 A : 检查卡片状态，若为第一预设状态或第二预设状态则生步骤 B : 检查接收到的数据是否符合预设格式，若符合第一预设格式则执行步骤 C，若符合第二预设格式则执行步骤 D，若符合第三预设格式则执行步骤 E，若符合第四预设格式则执行步骤 F，若符合第五预设格式则执行步骤 G，若符合第六预设格式则执行步骤 H，若符合第七预设格式则执行步骤 I，若不符合预设格式则生成并返回数据错误状态码给运行环境，结束；

步骤 C: 继续接收运行环境发送的数据得到完整的第一命令，解析所述第一命令，得到加载文件标识和加载文件关联安全域标识，创建加载文件结构，并将解析得到的加载文件标识和加载文件关联域标识填充到创建的加载文件结构中，如果搡作成功则生成并返回搡作成功状态码并返回结果给运行环境，结束，如果搡作未成功则根据搡作失败原因生成并返回相应状态码给运行环境，结束；

2、如权利要求 1所述的方法，其特征在于，所述步骤 B具体包括：步骤 B1 :检查接收到的数据的长度是否为五个字节，是则执行步骤 B2，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；

步骤 B4:检查接收到的数据的第三至第五个字节，若第三个字节和第个四字节分别为 0x02和 0x00且第五个字节不小于 OxOA则接收到的数据符合第一预设格式，执行步骤 C;若第三个字节为 0x04或 0x0C、第四个字节为 0x00且第五个字节不小于 0x18则接收到的数据符合第三预设格式，执行步骤 E; 若第三个字节和第四个字节分别为 0x08和 0x00且第五个字节不小于 OxOC则接收到的数据符合第四预设格式，执行步骤 F; 若第个三字节和第个四字节分别为 0x10和 0x00且第五个字节不小于 0x10则接收到的数据符合第五预设格式，执行步骤 G; 若第三个字节和第四个字节分别为 0x20和 0x00且第五字节不小于 OxOB则接收到的数据符合第六预设格式，执行步骤 H; 否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；

步骤 B5 :检查接收到的数据的第三个字节是否为 0x00或 0x80，是则接收到的数据符合第二预设格式，执行步骤 D，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束；步骤 B6:检查接收到的数据的第三个字节是否为 0x00，是则接收到的数据符合第七预设格式，执行步骤 I，否则接收到的数据不符合预设格式，生成并返回数据错误状态码给运行环境，结束。

3、如权利要求 1所述的方法，其特征在于，所述根据所述第一命令准备加载应用具体包括：

步骤 C5 : 处理所述第一命令的第四个数据块，执行步骤 C6; 步骤 C6:判断所述第一命令的第五个数据块是否合法，是则创建加载文件结构，并根据所述第一个数据块和所述第二个数据块对加载文件结构进行填充，初始化卡片内的全局块编号，搡作成功；否则数据错误，搡作失败。

4、如权利要求 3所述的方法，其特征在于，所述第一命令的第一个数据块包括：加载文件标识长度和加载文件标识；判断所述第一命令的第一个数据块是否合法具体为：判断所述加载文件标识长度是否在预设范围内，且所述加载文件标识的每个字节不都是 0x00，若同时满足上述两个条件则所述第一命令的第一个数据块合法，否则所述第一命令的第一个数据块不合法；与所述第一个数据块相对应的可执行文件具体为：与所述加载文件标识对应的可执行文件；与所述第一个数据块相对应的加载文件具体为：与所述加载文件标识对应的加载文件；

所述第一命令的第二个数据块包括：加载文件关联安全域标识长度和加载文件关联安全域标识；所述判断所述第一命令的第二个数据块是否满足预设要求具体为：判断所述加载文件关联安全域标识长度是否为 0x00，是则所述第一命令的第二个数据块满足第一预设要求，否则检查所述加载文件关联安全域标识，若所述加载文件关联安全域标识的每个字节都是 0x00则所述第一命令的第二个数据块不满足预设要求，若所述加载文件关联安全域标识的每个字节不都是 0x00则所述第一命令的第二个数据块满足第二预设要求；所述与所述第二个数据块相对应的应用具体为：与所述加载文件关联安全域标识对应的应用；

所述第一命令的第三个数据块包括：加载文件数据块哈希值长度和加载文件数据块哈希值；所述判断所述第一命令的第三个数据块是否合法具体为：判断所述加载文件数据块哈希值长度是否为 0x00，是则所述第一命令的第三个数据块不合法，否则所述第一命令的第三个数据块合法；所述存储所述第三个数据块中的相应数据具体为：存储所述加载文件数据块哈希值；

所述第一命令的第四个数据块包括：加载参数域；所述处理所述第一命令的第四个数据块具体为：处理所述加载参数域；

所述第一命令的第五个数据块包括：加载令牌长度和加载令牌；所述判断所述第一命令的第五个数据块是否合法具体为：判断所述加载令牌长度是否为 0x00，是则所述第一命令的第五个数据块合法，否则所述第一命令的第五个数据块不合法；

所述预设范围为 0x05-0x10。

5、如权利要求 1所述的方法，其特征在于，所述根据所述第二命令加载应用具体包括：

步骤 D1 : 判断所述第二命令的第四个字节是否等于卡片内的全局块编号，是则执行步骤 D2，否则数据错误，搡作失败；

步骤 D2: 检查所所述第二命令中是否包含数据验证模式块信息，若包含则验证所述数据验证模式快信息，若验证通过则执行步骤 D3，若验证未通过则数据错误，搡作失败；若不包含则执行步骤 D3 ; 步骤 D3 : 根据所述第二命令中的加载文件数据块获取组件数据并进行存储，将存储地址填充到加载文件结构中，更新卡片内的全局块编号为其当前值加 1，判断所述加载文件数据块是否为加载文件的最后一个加载文件数据块，是则执行步骤 D4，否则搡作成功；

步骤 D5 : 存储并提交可执行加载文件结构，搡作成功。

6、如权利要求 1所述的方法，其特征在于，所述根据所述第三命令安装应用具体包括：

步骤 E7 : 判断所述第三命令的第六个数据块是否合法，是则根据所述第三命令注册应用，执行步骤 E8，否则数据错误，搡作失败；步骤 E8：判断所述第三命令的第三个字节是否等于所述预设值，是则设置与所述第三命令的第三个数据块相对应的应用的状态为安装，搡作成功；否则设置与所述第三命令的第三个数据块相对应的应用的状态为可选择，执行步骤 E9;

7、如权利要求 1所述的方法，其特征在于，所述根据第四命令设置应用状态具体包括：

步骤 F3 : 判断所述第四命令的第四个数据块是否合法，是则执行步骤 F4，否则数据错误，搡作失败；

步骤 F4: 判断所述第四命令的第五个数据块是否合法，是则执行步骤 F5，否则数据错误，搡作失败；

8、如权利要求 1所述的方法，其特征在于，所述根据所述第六命令个人化应用具体包括：

9、如权利要求 1所述的方法，其特征在于，所述根据所述第七命令删除应用及可执行加载文件具体包括：

步骤 II：判断所述第七命令的第一个数据块是否合法，是则执行步骤 12，否则数据错误，搡作失败；

步骤 13 : 判断所述第七命令的第四个字节是否等于预设值，是则执行步骤 14，否则执行步骤 15 ;

步骤 14: 检查卡片内是否有与所述第二个数据块相对应的可执行加载文件，若没有则搡作条件不满足，搡作失败；若有则判断所述第七命令的第四个字节是否等于预设值，若等于则删除与所述第二个数据块相对应的应用和可执行加载文件，搡作成功，若不等于则删除与所述第二个数据块相对应的可执行加载文件，搡作成功；

10、一种管理卡片数据的实现方法，其特征在于，当第一卡片数据管理模块接收到运行环境发送的应用协议数据单元 APDU数据后，将自身作为当前第一卡片数据管理模块，执行以下步骤：

11、根据权利要求 10所述方法，其特征在于，步骤 C、步骤 D、步骤 E、步骤 F、步骤 G、步骤 H以及步骤 I之前还包括：判断所述 APDU 数据是否为合法的命令头，是则检查卡片的当前状态，若卡片的当前状态为终止或锁定则执行步骤 J，若卡片的当前状态既不是终止也不是锁定则顺序执行下一步；否则执行步骤 J; 或者

检查卡片的当前状态，若卡片的当前状态为终止或锁定则执行步是否为合法的命令头，是则顺序执行下一步，否则执行步骤 J。

12、根据权利要求 11所述的方法，其特征在于，所述步骤 C具体包括：

步骤 cl、收取预加载命令的数据域部分，得到预加载命令的全部内容，检查当前第一卡片数据管理模块的状态，若当前第一卡片数据管理模块的状态为个人化则判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 c2，否则执行步骤 c4; 若当前第一卡片数据管理模块的状态不为个人化则执行步骤 c4；

步骤 c2、判断卡片是否满足安全条件，是则检查卡片的安全级别，若为第一级别则执行步骤 c3，若为第二级别或第三级别则判断所述预加载命令是否完整，当所述预加载命令完整时执行步骤 _C3，当所述预加载命令不完整时执行步骤 _C4，否则执行步骤 c4;

步骤 c3、对所述预加载命令进行格式检查，若检查通过则设置所述预加载命令中的加载文件标识对应的加载文件的关联安全域为所述预加载命令中的安全域标识对应的应用，存储所述预加载命令中的加载文件数据块哈希值并设置哈希值验证标识，处理所述预加载命令中的加载参数域，新建加载文件结构，初始化全局块编号，设置返回数据为 0x00，执行步骤 c4，若检查未通过则执行步骤 c4; 步骤 c4、生成相应状态码，返回设置的返回数据和 /或生成的状态码。

13、根据权利要求 12所述的方法，其特征在于，所述步骤 c3具体包括：

步骤 c3- l、判断所述预加载命令中的加载文件标识长度是否在预设范围内，是则检查所述预加载命令中的加载文件标识是否合法，若合法则执行步骤 c3-2，若不合法则执行步骤 c4 ; 否则执行步骤 c4 ; 步骤 c3-2、检查卡片内是否已存在所述预加载命令中的加载文件标识对应的加载文件，是则执行步骤 c4 ; 否则判断所述预加载命令中的安全域标识长度是否在预设范围内，若在预设范围内则执行步骤 c3-3 , 若不在预设范围内则执行步骤 c4 ;

步骤 c3-3、判断所述预加载命令中的安全域标识是否合法，是则检查卡片内是否存在所述预加载命令中的安全域标识对应的应用，若存在则执行步骤 c3-4，若不存在则执行步骤 c4 ; 否则执行步骤 c4 ; 步骤 c3-4、判断所述预加载命令中的安全域标识对应的应用是否具有安全域权限，若有安全域权限则判断所述预加载命令中的安全域标识对应的应用是否为当前第一卡片数据管理模块，是则执行步骤 c3-6, 否则执行步骤 c3-5 ; 若没有安全域权限则执行步骤 c4 ;

步骤 c3-5、判断所述预加载命令中的安全域标识对应的应用的状态是否为个人化，是则执行步骤 c3-6，否则执行步骤 c4 ;

步骤 c3-6、设置所述预加载命令中的加载文件标识对应的加载文件的关联安全域为所述预加载命令中的安全域标识对应的应用，判断所述预加载命令中的加载文件数据块哈希值长度是否为预设值，是则存储所述预加载命令中的加载文件数据块哈希值并设置哈希值验证标志，处理所述预加载命令中的加载参数域，执行步骤 c3-7，否则执行步骤 c4 ;

步骤 c3-7、判断所述预加载命令中的加载令牌长度是否为 0x80，是则发送计算加载令牌所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的计算结果，判断所述计算结果与所述预加载命令中的加载令牌是否相同，是则新建加载文件结构，初始化全局块编号，设置返回数据为 0x00，执行步骤 c4，否则执行步骤 c4。

14、根据权利要求 11所述的方法，其特征在于，所述步骤 D具体包括：

步骤 dl、收取加载命令的数据域部分，得到加载命令的全部内容，检查当前第一卡片数据管理模块的状态，若当前第一卡片数据管理模块的状态为个人化则判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 d2，否则执行步骤 d4; 若当前第一卡片数据管理模块的状态不为个人化则执行步骤 d4；

步骤 d2、判断卡片是否满足安全条件，是则检查卡片的安全级别，若为第一级别则执行步骤 d3，若为第二级别或第三级别则判断所述加载命令是否完整，当所述加载命令完整时执行步骤 d3，当所述加载命令不完整时执行步骤 d4，否则执行步骤 d4;

步骤 d3、对所述加载命令进行格式检查，若检查通过则以组件为单位处理所述加载命令中的加载文件数据块，当所述加载命令中的加载文件数据块为加载文件的最后一个加载文件数据块时提交存储可执行加载文件结构，发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 d4，否则设置返回数据为 0x00，执行步骤 d4; 若检查未通过则执行步骤 d4;

步骤 d4、生成相应状态码，返回设置的返回数据和 /或生成的状态码。

15、根据权利要求 14所述的方法，其特征在于，所述步骤 d3具体包括：

步骤 d3-l、检查所述加载命令中的第二参数是否等于全局块编号，是则判断所述全局块编号是否为 0，若所述全局块编号为 0则验证所述加载文件中的数据验证模式块信息，当验证通过时执行步骤 d3-2, 当验证不通过时执行步骤 d4，若所述全局块编号不为 0则执行步骤 d3-2; 否则执行步骤 d4;

步骤 d3-2、判断卡片内是否存在哈希值验证标志，是则保存所述加载命令中的加载文件数据块，执行步骤 d3-3，否则直接执行步骤 d3-3 ;

步骤 d3-3、判断所述可执行加载文件结构中是否有未提交存储的组件，是则执行步骤 d3-5，否则执行步骤 d3-4;

步骤 d 3 - 4、检查所述加载命令中是否包含组件编号和组件大小，是则读取所述组件编号，判断所述编号是否合法，若所述编号合法则根据所述组件大小分派相应大小的空间，执行步骤 d3-5，若不合法则执行步骤 d4，否则执行步骤 d4;

步骤 d3-5、开始处理所述加载命令中的加载文件数据块，判断当前组件是否处理完成，是则提交当前组件的处理结果，执行步骤 d3-6，否则执行步骤 d3-6 ;

步骤 d3-6、判断是否还有未处理的加载文件数据块数据，是则返回执行步骤 d3-5，否则所述全局块编号自增，判断所述加载命令中的第一参数是否为 0x80，若为 0x80则执行步骤 d3-7，若不为 0x80则设置返回数据为 0x00，执行步骤 d4;

步骤 d3-7、判断卡片内是否存在哈希值验证标志，是则对已存储的加载文件数据块进行哈希计算，判断计算结果是否等于卡内存储的加载文件数据块哈希值，若等于则执行步骤 d3-8，若不等于则执行步骤 d4，否则执行步骤 d3-8 ;

步骤 d3-8、提交存储所述可执行加载文件结构，发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 d4。

16、根据权利要求 11所述的方法，其特征在于，所述步骤 E具体包括：

步骤 el、收取安装命令的数据域部分，得到安装命令的全部内容，检查当前第一卡片数据管理模块的状态，若当前第一卡片数据管理模块的状态为个人化则判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 e2，否则执行步骤 e4，；若当前第一卡片数据管理模块的状态不为个人化则执行步骤 e4；

步骤 e2、判断卡片是否满足安全条件，是则检查卡片的安全级别，若为第一级别则执行步骤 e3，若为第二级别或第三级别则判断所述安装命令是否完整，当所述安装命令完整时执行步骤 e3，当所述安装命令不完整时执行步骤 e4，否则执行步骤 e4;

步骤 e3、对所述安装命令进行格式检查，若检查通过则处理所述安装命令中的安装参数域，根据所述安装命令的数据域中的数据注册应用以及设置所述安装命令中的应用标识对应的应用的状态和权限，发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 e4; 若检查未通过则执行步骤 e4；

步骤 e4、生成相应状态码，返回设置的返回数据和 /生成的状态码。

17、根据权利要求 11所述的方法，其特征在于所述步骤 G具体包括：

步骤 gl、收取引渡命令的数据域部分，得到引渡命令的全部内容，检查当前第一卡片数据管理模块的状态，若当前第一卡片数据管理模块的状态为个人化则判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 g2，否则执行步骤 g4; 若当前第一卡片数据管理模块的状态不为个人化则执行步骤 g4；

步骤 g2、判断卡片是否满足安全条件，是则检查卡片的安全级别，若为第一级别则执行步骤 g3，若为第二级别或第三级别则判断所述引渡命令是否完整，当所述引渡命令完整时执行步骤 g3，当所述引渡命令不完整时执行步骤 g4，否则执行步骤 g4;

步骤 g3、对所述引渡命令进行格式检查，若检查通过则将所述引渡命令中的应用标识对应的应用关联的安全域修改为所述引渡命令中的安全域标识对应的应用，发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 g4，若检查未通过则执行步骤 g4;

步骤 g4、生成相应状态码，返回设置的返回数据和 /生成的状态码。

18、根据权利要求 17所述的方法，其特征在于，所述步骤 g3具体包括：

应用，若存在则执行步骤 g3-2，若不存在则执行步骤 g4; 否则执行步骤 g4;

步骤 g3-2、判断所述引渡命令中的安全域标识对应的应用是否为当前卡片提供商模块，是则执行步骤 g4; 否则判断所述引渡命令中安全域标识之后的一个字节数据是否为 0x00，是则执行步骤 g3-3，否则执行步骤 g4;

步骤 g3-3、判断所述引渡命令中的安全域标识对应的应用的状态是否为安装，是则判断所述引渡命令中的应用标识长度是否在预设范围内，若在预设范围内则执行步骤 g3-4，若不在预设范围内则执行步骤 g4; 否则执行步骤 g4;

步骤 g3-4、判断卡片内是否存在所述引渡命令中的应用标识对应的应用，是则判断所述引渡命令中的应用标识对应的应用关联的安全域是否为当前第一卡片数据管理模块，若为当前第一卡片数据管理模块则执行步骤 g3-4，若不为当前第一卡片数据管理模块则执行步骤 g4; 否则执行步骤 g4;

步骤 g3-5、判断所述引渡命令中的安全域标识对应的应用是否具有安全域权限，是则判断所述引渡命令中的安全域标识对应的应用的状态是否为锁定，若为锁定则执行步骤 g4，若不为锁定则执行步骤 g3-6 ; 否则执行步骤 g4;

步骤 g3-6、判断所述引渡命令中的安全域标识对应的应用的状态是否为个人化，若为个人化则判断所述引渡命令中的应用标识后的两个字节数据是否均为 0x00，是则执行步骤 g3-6，否则执行步骤 g4; 若不为个人化则执行步骤 g4；是则发送计算引渡令牌所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的计算结果，判断所述计算结果是否与所述引渡命令中的引渡令牌相同，若相同则执行步骤 g3-8，若不相同则执行步骤 g4；否则执行步骤 g4；

步骤 g3-8、判断所述引渡命令中的应用标识对应的应用是否具有安全域权限，是则执行步骤 g4，否则将所述引渡命令中的应用标识对应的应用关联的安全域修改为所述引渡命令中的安全域标识对应的应用，发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 g4。

19、根据权利要求 11所述的方法，其特征在于，所述步骤 H具体包括：

步骤 hl、收取个人化命令的数据域部分，得到个人化命令的全部内容，判断当前第一卡片数据管理模块的状态，若当前第一卡片数据管理模块的状态为个人化则执行步骤 h2，否则执行步骤 h4；

步骤 h2、判断卡片是否满足安全条件，是则检查卡片的安全级别，若为第一级别则执行步骤 h3，若为第二级别或第三级别则判断所述个人化命令是否完整，当所述个人化命令完整时执行步骤 h3，当所述个人化命令不完整时执行步骤 h4；否则执行步骤 h4；

步骤 h3、对所述可选择命令进行格式检查，若检查通过则将所述个人化命令中的应用标识对应的应用的状态设置为个人化，设置返回数据为 0x00，执行步骤 h4，若检查未通过则执行步骤 h4; 步骤 h4、生成相应状态码，返回设置的返回数据和 /生成的状态码。

20、根据权利要求 11所述的方法，其特征在于所述步骤 I具体包括：

步骤 il、收取删除命令的数据域部分，得到删除命令的全部内容，检查当前第一卡片数据管理模块的状态，若当前第一卡片数据管理模块的状态为个人化则判断当前第一卡片数据管理模块是否具有代理权限，是则执行步骤 i2，否则执行步骤 i4; 若当前第一卡片数据管理模块的状态不为个人化则执行步骤 i4；

步骤 i2、判断卡片是否满足安全条件，是则检查卡片的安全级别，若为第一级别则执行步骤 i3，若为第二级别或第三级别则判断所述删除命令是否完整，当所述删除命令完整时执行步骤 i3，当所述删除命令不完整时执行步骤 i4，否则执行步骤 i4；

步骤 i3、对所述删除命令进行格式检查，若检查通过则根据所述删除命令中的数据域标识删除相应可执行文件和 /或相应应用，发送计算收条所需的数据给第二卡片数据管理模块，接收第二卡片数据管理模块返回的收条，设置返回数据为所述收条，执行步骤 i4，若检查未通过则执行步骤 i4;

步骤 i4、生成相应状态码，返回设置的返回数据和 /生成的状态码。