一种能够在主计算机上从浏览器内部执行的客户侧应用扩展,所述浏览器具有执行至少一个浏览器插件,以便通过所述浏览器为用户提供访问智能卡的能力,所述智能卡被连接到具有智能卡资源管理器的所述主计算机。所述浏览器扩展具有指示中央处理单元通过与网络浏览器和平台无关的接口模块和与浏览器和平台相关的包装器模块访问智能卡上的数据的指令,与浏览器和平台相关的包装器模块连接到所述与浏览器和平台无关的接口模块,并且连接到具有函数处理模块的所述智能卡资源管理器,所述函数处理模块可以操作以便接收对用于访问智能卡上的数据的所述至少一个函数的调用,并且用于将所述函数调用变换为对所述智能卡资源管理器的相应调用。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术总体上涉及对智能卡的应用程序访问,并且更特别地,涉及用于允许在网 络浏览器中执行的用户应用访问智能卡中的功能和数据的方法和系统。
技术介绍
智能卡是没有输入和输出装置的小型安全个人计算机。智能卡的典型应用包括用 户鉴别、存储私人数据和作为电子钱包使用。对于这些应用以及其它应用,与智能卡交互的 通常模式是来自在智能卡连接到其上的主计算机上执行的主机应用。例如,对基于智能卡的公共密钥基础结构功能性的主机应用程序访问,典型地是 通过安装提供可从应用程序调用的应用程序接口的中间件实现的。然后,中间件典型地经 由某读卡器的形式执行与智能卡硬件的交互。一种普遍可用的体系结构是基于来自PC/SC 工作组的PC/SC规范。图1是示出PC/SC规范的实施例的高级别图。在主计算机103上 运行的智能卡感知应用101通过主计算机中间件105和智能卡资源管理器107访问智能 卡104a-d。智能卡资源管理器107接着与主计算机103连接到其上的各种智能卡读卡器 llla-d的驱动程序109a_d交互。该体系结构向智能卡的配置引出了几个问题。这些问题包括将中间件部件加载到 主计算机上并且更新中间件部件的要求。当智能卡被用于与基于网络的应用一起使用时, 这变成特别不期望的要求。逐渐地,网络应用已经变得普通并且允许与平台无关的对在因特网上可得的数据 和服务的访问。例如,诸如在线电影租赁和基于网络的电子邮件应用的网络服务已经变得 非常流行。联网计算机的几乎无所不在的配置和广泛采用基于网络的应用的一个优点是这 种方案将用户从虚拟范围迁移到用户自己的计算机。例如,通过使用诸如谷歌的Gmail的 基于网络的电子邮件服务,这些服务的订户能够从连接到网络的任何计算机访问他们的电 子邮件。现在,考虑将智能卡添加到基于网络的环境。如果用户拥有用于存储例如口令、账 户信息或数字证书或者用于执行例如密码服务的某种安全功能的智能卡,并且如果当在除 属于用户的计算机之外的计算机上执行某些基于网络的事务时用户希望使用智能卡,用户 将必须在用户希望使用的特定主计算机103上安装主计算机中间件105并且可能必须安装 适当的IFD驱动程序109。该主计算机的所有者可能没有给予用户用于安装中间件软件的 足够的特权。此外,所有者可能不希望将这种中间件软件安装在计算机上,或者,如果所讨 论的计算机是公共计算机,例如在机场和图书馆中的公用电话亭中找到的计算机,授权安 装该中间件部件的人甚至可能找不到。该问题是在这种安全保护将具有特别高价值的环境 中阻碍能够使用智能卡用于其中提供的安全方案智能卡的用户的一个问题。同样地,更新 中间件存在类似的问题。另一个问题是网络浏览器向中间件暴露接口的方式。因为流行的基于网络的浏览 器,例如Firefox和IE,向中间件提供不同的接口,与这种中间件相关的网络应用必须是网络浏览器感知的。换句话说,网络应用必须特定于每个网络浏览器开发,或者必须进行内部检查以确定正在使用哪个网络浏览器,并且具有寻址适当中间件的能力。这些问题是非常不好的。当网络变成广泛使用的用于许多类型事务的虚拟市场 时,网络非常易于发生诸如私人账户的欺骗使用、身份盗用和私人数据盗用的安全问题。智 能卡理想地适于解决这种问题。例如,智能卡可以被用于安全存储用户凭证,并且可以被用 作登录过程的组成部件,从而提供两因子鉴别。然而,在用户希望在访问网络服务中使用的 主计算机上安装中间件的必要性阻碍了智能卡有效地用于某些这种使用。与密码服务一起使用智能卡可以是有益的。因为这种智能卡可以被用于存储用户 的私人密钥和数字证书。此外,智能卡还可以被用于执行诸如加密消息、解密消息、提供用 户登录和使用用户的私人密钥数字地签署文档的密码操作。以上提到的在智能卡的配置中 的问题在它们用作密码装置时更加加重了。因为硬件权标、甚至软件安全装置呈现不同接口,并且使用不同协议,业界已经 致力于用于以与硬件无关的方式访问诸如存储和访问证书、签署或加密数据等的密码性 能的各种规范。用于提供这种对密码的硬件无关访问的主要竞争标准有两个Crypto API (CAPI)和PKCS#11。这两个标准与不同的操作系统平台和网络浏览器大大相关联。CAPI 是用在来自华盛顿雷德蒙的微软公司的Windows操作系统中的标准,并且作为Windows操 作系统的标准功能提供。其是用于实现微软的IE的密码标准。RSA实验室开发的PKCS#11 可用在几个台式机操作系统中,并且是可经由Firefox网络浏览器从Mozilla机构本土地 获得的。在两个方法之间存在类似处和不同处。在用于使用智能卡提供密码服务的传统方法中,开发者将开发用于将要作为电子 邮件客户和诸如台式机登录或虚拟个人网(VPN)的其它应用的插件程序安装的CAPI或 PKCS#11的主机模块。这些模块不是以下操作系统安装的一部分。从上文可以看出,明显地有提供对智能卡的网络应用访问的改进的方法的需要。附图说明图1是示出PC/SC规范的实施例的高级别视图的框图。图2是示出图1的智能卡的体系结构的高级别视图的框图。图3是示出其中网络浏览器应用与智能卡交互的实施例的框图。图4是示出智能卡资源管理器网络浏览器应用接口程序的实施例的框图,其中智 能卡资源管理器网络浏览器应用接口程序被划分成两部分智能卡资源管理器包装器网络 浏览器扩展和智能卡应用接口脚本模块。图5是其中用户可以尝试执行网页的网络的示意图。图6是示出SCormect. PCSC类的实例和使用它与智能卡交互的框图。图7是示出当用户尝试执行要求使用智能卡的网络应用时的消息流的时序图。图8是示出消息流和在向智能卡创建异步命令期间发生的定时的时序图。图9是示出用于从在远程计算机系统上执行的远程服务器获得卡特定驱动程序 的序列的时序图。图10是示出过程流的时序图。图11是允许用户给予或拒绝网站使用从网站下载的javascript与智能卡交互的批准的示例用户对话窗口。图12是允许用户管理被允许和不被允许使用从网站下载的javascript与智能卡交互的网站的列表的示例用户对话窗口。图13是示出用于允许或不允许网站使用从网站下载的javascript与智能卡交互 过程流的时序图。具体实施例方式在以下的详细描述中,参考通过图示的方式示出其中本专利技术实施的特定实施例的 附图。这些实施例被足够详细地描述,以使得本领域的技术人员能够实施本专利技术。应该理 解,本专利技术的各种实施例虽然不同,但并不必然相互排斥。例如,这里结合一个实施例描述 的一个特定特征、结构或特性可以在其它实施例中实现,而不偏离本专利技术的精神和范围。此 夕卜,应该理解,可以修改在每个公开的实施例中的各个元件的位置或布置,而不偏离本专利技术 的精神和范围。因此,以下的详细描述不应理解为限制意义,并且本专利技术的范围仅仅由所附 的权利要求限定,适当地解释为,在权利要求的等价物的整个范围上授权。在附图中,相似 的附图标记指在几个视图中相同或类似的功能。在本专利技术的实施例中,网络浏览器扩展提供网络浏览器应用和在大多数计算机中 找到的智能卡资源管理器(PC/SC)之间的接口。网络浏览器扩展将网络浏览器应用与智能 卡资源管理器隔离。此外,网络浏览器扩展经由智能卡资源管理器提供本文档来自技高网...
【技术保护点】
一种能够在主计算机上从浏览器内部执行的客户侧应用扩展,所述主计算机具有中央处理单元和随机访问存储器,所述浏览器具有执行至少一个浏览器插件,以便通过所述浏览器为用户提供访问智能卡的能力,所述智能卡被连接到具有智能卡资源管理器的所述主计算机,所述浏览器扩展包括:指示中央处理单元访问智能卡上的数据的指令,所述指令包括:与浏览器和平台无关的接口模块,提供了允许所述主计算机执行所述至少一个浏览器插件,以便调用所述浏览器扩展的函数的与浏览器和平台无关的应用程序接口,所述应用程序接口提供了用于访问智能卡上的数据的至少一个函数;和与浏览器和平台相关的包装器模块,其连接到所述与浏览器和平台无关的接口模块,并且连接到具有函数处理模块的所述智能卡资源管理器,所述函数处理模块能够操作以便接收对用于访问智能卡上的数据的所述至少一个函数的调用,并且用于将所述函数调用变换为对所述智能卡资源管理器的相应调用。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:K萨赫德瓦,K克里希纳,
申请(专利权)人:金雅拓股份有限公司,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。