技術領域

本發明總體上涉及對智能卡的應用程序訪問，并且更特別地，涉 及用于允許在網絡瀏覽器中執行的用戶應用訪問智能卡中的功能和數 據的方法和系統。

背景技術

智能卡是沒有輸入和輸出裝置的小型安全個人計算機。智能卡的 典型應用包括用戶鑒別、存儲私人數據和作為電子錢包使用。對于這 些應用以及其它應用，與智能卡交互的通常模式是來自在智能卡連接 到其上的主計算機上執行的主機應用。

例如，對基于智能卡的公共密鑰基礎結構功能性的主機應用程序 訪問，典型地是通過安裝提供可從應用程序調用的應用程序接口的中 間件實現的。然后，中間件典型地經由某讀卡器的形式執行與智能卡 硬件的交互。一種普遍可用的體系結構是基于來自PC/SC工作組的 PC/SC規范。圖1是示出PC/SC規范的實施例的高級別圖。在主計算 機103上運行的智能卡感知應用101通過主計算機中間件105和智能 卡資源管理器107訪問智能卡104a-d。智能卡資源管理器107接著與 主計算機103連接到其上的各種智能卡讀卡器111a-d的驅動程序109 a-d交互。

該體系結構向智能卡的配置引出了幾個問題。這些問題包括將中 間件部件加載到主計算機上并且更新中間件部件的要求。當智能卡被 用于與基于網絡的應用一起使用時，這變成特別不期望的要求。

逐漸地，網絡應用已經變得普通并且允許與平臺無關的對在因特 網上可得的數據和服務的訪問。例如，諸如在線電影租賃和基于網絡 的電子郵件應用的網絡服務已經變得非常流行。聯網計算機的幾乎無 所不在的配置和廣泛采用基于網絡的應用的一個優點是這種方案將用 戶從虛擬范圍遷移到用戶自己的計算機。例如，通過使用諸如谷歌的 Gmail的基于網絡的電子郵件服務，這些服務的訂戶能夠從連接到網 絡的任何計算機訪問他們的電子郵件。

現在，考慮將智能卡添加到基于網絡的環境。如果用戶擁有用于 存儲例如口令、賬戶信息或數字證書或者用于執行例如密碼服務的某 種安全功能的智能卡，并且如果當在除屬于用戶的計算機之外的計算 機上執行某些基于網絡的事務時用戶希望使用智能卡，用戶將必須在 用戶希望使用的特定主計算機103上安裝主計算機中間件105并且可 能必須安裝適當的IFD驅動程序109。該主計算機的所有者可能沒有 給予用戶用于安裝中間件軟件的足夠的特權。此外，所有者可能不希 望將這種中間件軟件安裝在計算機上，或者，如果所討論的計算機是 公共計算機，例如在機場和圖書館中的公用電話亭中找到的計算機， 授權安裝該中間件部件的人甚至可能找不到。該問題是在這種安全保 護將具有特別高價值的環境中阻礙能夠使用智能卡用于其中提供的安 全方案智能卡的用戶的一個問題。同樣地，更新中間件存在類似的問 題。

另一個問題是網絡瀏覽器向中間件暴露接口的方式。因為流行的 基于網絡的瀏覽器，例如Firefox和IE，向中間件提供不同的接口， 與這種中間件相關的網絡應用必須是網絡瀏覽器感知的。換句話說， 網絡應用必須特定于每個網絡瀏覽器開發，或者必須進行內部檢查以 確定正在使用哪個網絡瀏覽器，并且具有尋址適當中間件的能力。

這些問題是非常不好的。當網絡變成廣泛使用的用于許多類型事 務的虛擬市場時，網絡非常易于發生諸如私人賬戶的欺騙使用、身份 盜用和私人數據盜用的安全問題。智能卡理想地適于解決這種問題。 例如，智能卡可以被用于安全存儲用戶憑證，并且可以被用作登錄過 程的組成部件，從而提供兩因子鑒別。然而，在用戶希望在訪問網絡 服務中使用的主計算機上安裝中間件的必要性阻礙了智能卡有效地用 于某些這種使用。

與密碼服務一起使用智能卡可以是有益的。因為這種智能卡可以 被用于存儲用戶的私人密鑰和數字證書。此外，智能卡還可以被用于 執行諸如加密消息、解密消息、提供用戶登錄和使用用戶的私人密鑰 數字地簽署文檔的密碼操作。以上提到的在智能卡的配置中的問題在 它們用作密碼裝置時更加加重了。