绝大数现代智能卡操作系统允许对文件扩大、创建、擦除和闭锁，以及其他的文件管理功能，只要在所加 诸于它们的特定的安全条件的限度之内即可。然而，大多数或是全部的管理功能对单一应用卡来说都被省略 了，这些功能要占用大量的程序代码并因此增大了对存储量的需求，从而加大了卡的成本。对于多应用卡来 说，支持某些管理功能是绝对必需的，以避免在个人化时把所有的应用都装人卡内的需求。

　　从安全的观点出发只应在相互鉴别之后才执行管理功能，因为它们对攻击者来说是理想的工具。例如，假 定有一个未经授权的人删去了一个存有秘密数据的文件，然后又用同一名字建立了一个新文件，且取消了任 何读访问的限制，这样就可以不启用任何安全机制而读取它。至于终端则关心的是文件继续以其原来的名字 存在，它可以写入秘密数据到此被管理的文件中。这种类型的攻击决不是新的——它已经以各种形式出现了 许多年。可是，在文件管理的领域中它依然再被成功的使用。

　　另一个薄弱环节是在可公开访问的终端上执行管理功能，这是不安全的。这里，数据的传输必须经常处于 报文的安全功能的保护之下。只有这样，一个应用的提供者才有机会安全地把文件和应用装人已经在使用的 卡中。例如，通过卡式电话，从逻辑上来说，它是非常容易受到攻击的。

　　特别是在多应用智能卡的情况下，它可由几个应用提供者使用，必需划分存储区并在各个应用产生之前为 建立的文件指派密钥。这样可以阻止任何个别应用的提供者把全部可用存储器都保留给他自己的应用而不给 其他应用留下任何余地。做到这｀点的一个方法是用某种处理预先分配存储空间给某个应用，而同时存储一 张卡（和应用）专用密钥以便在卡内建立文件。所用之命令为register（注册），它不是标准化的，其功能 如表1所示。若是知道了应用专用密钥，就可在稍后的日子里建立新的文件。这种方法的结果是严格地分开存储空间的分配和在卡中引人的 新文件。一张多应用卡的发行者可以销售存储空间给数个应用提供者而不必担心存储量被非法侵占。

　　表1 register的功能（非标准的）

　　create file（建立文件）命令允许在完成了的智能卡中建立dr和ef。在这条命令执行之前，必须先达到某 个特定的逻辑状态，例如经过成功的相互鉴别。取决于在其中执行create file命令的环境，数据传输可能 会受到安全传送的保护。这里有两个国际标准（en726－3和iso/iec 7816－9）规定了create file命令，其 编码与大量可用参数的序列在这两个标准中的规定是不同的，但基本功能则一样，参见表2。

　　表2 遵照en 726－3的create file的的功能

　　当随着其访问条件、属性和其他特性－起建立了文件之后，就可用select file（选择文件）选择并访问它 。操作系统必须防止使用不完整的文件的可能性，它们是由中断文件建立过程而产生的，这是一种攻击卡的 方法。此外，还必须使仅读取部分被新建文件覆盖的存储区中原先的内容是不可能的。

　　文件头标中含有对文件访问的完整条件。例如，其中所存储的数据与read或update命令被允许访问文件内 容的状态有关。当卡被个人化时，并且在文件树内扩充管理的过程中，为不要对方的保护而直接去访问文件 提供了许多好处，这点可利用iso/iec 7816-9的manageatfributes（管理属性）命令去改变一个先前选择的 文件的访问条件来做到。这条命令的功能如表3所示，而相互鉴别以及在安全环境中的执行是这条命令的绝 对必要的前提。

　　表3 遵照iso/iec 7816-9的manage attributes的功能

　　如果register命令可用，则可由卡发行者用来规定稍后可分配给一个应用的最大存储容量。同时，它规定 一个临时的de名作为应用的de并存储一个create fle命令用的密钥。de名中可包括一个aid（应用标识符） 。如果已知密钥，则可在晚些时候去建立文件。

　　用户现在接受了已经按这种方式准备的智能卡。如果用户这样要求，可以让一个应用提供者向卡中装人其 他的补充应用，例如卡或电话的应用。然而，应用提供者需要一个重新装入的秘密密钥，以装人一新应用， 而卡的发行者不会提供这个密钥，除非在双方之间有契约的关系。

　　在智能卡和终端之间相互成功鉴别后，应用提供者可在分配给他的df中建立其文件。这点可在发行者的基 地或经一卡式公共电话进行。其次，应用提供者供给ef及必要的数据和密钥并设置好文件的访问属性。之后 ，应用已准备就绪，而用户可以享用获得的新功能了。

　　在智能卡文件树中装入新应用的过程如图1所示。