[发明专利]具有审计功能的虚拟智能卡

权利要求书

1.一种用于在公钥基础设施(PKI)方案的情况下控制私钥的使用的方法，包括：

将多个分别分配给虚拟智能卡的私钥存储在只能由虚拟智能卡服务器VSS访问的安全数据存储中；

使用远离所述VSS的客户端计算机机器上的系统级代理，在所述VSS上启动所述客户端计算机机器的机器认证协议，以将所述客户端计算机机器向所述VSS确立为可信计算机系统；

响应于在所述客户端计算机机器的用户级代理处接收到对私钥操作的请求，从用户获得用户认证信息；

在基于所述用户认证信息对所述用户进行认证之前，使所述用户级代理与所述系统级代理协商以从所述VSS获取授权所述私钥操作的cookie；

从所述用户级代理向所述VSS发起对私钥操作的请求；

将所述用户认证信息和所述cookie作为所述请求的一部分从所述用户级代理传送到所述VSS；

响应于所述请求，在所述VSS处使用分配给至少被发放给所述用户的一个所述虚拟智能卡的私钥选择性地执行由所述用户级代理请求的私钥操作。

2.根据权利要求1所述的方法，还包括：将所述私钥操作的结果从所述VSS传送到所述用户级代理。

3.根据权利要求2所述的方法，还包括：将所述私钥操作的结果提供给在所述客户端计算机机器上执行的应用程序。

4.根据权利要求1所述的方法，还包括：从在所述客户端计算机机器上执行的应用程序接收在所述用户级代理处对所述私钥操作的请求。

5.根据权利要求1所述的方法，还包括：限制所述cookie在所述VSS处的使用，使得在所述VSS处对于允许执行所述私钥操作，所述cookie仅有效一次。

6.根据权利要求1所述的方法，还包括：选择在所述VSS处执行的所述私钥操作，以包括生成已经传送到所述VSS的签名或解密数据的安全散列。

7.根据权利要求1所述的方法，其中所述用户认证信息包括从由密码、用户生物特征数据和从物理智能卡获得的数据组成的组中选择的一个或多个元素。

8.根据权利要求7所述的方法，其中所述方法还包括：通过使用生物特征数据捕获装置和智能卡读取装置中的至少一个捕获所述用户认证信息。

9.根据权利要求1所述的方法，还包括：在所述用户级代理、所述系统级代理和所述VSS处选择性地应用根据正被请求使用的特定私钥确定的预定安全策略。

10.根据权利要求1所述的方法，还包括：在所述VSS处将关于请求执行私钥操作的每个动作的信息记录在安全数据日志中。

11.一种用于在公钥基础设施(PKI)方案的情况下控制私钥的使用的方法，包括：

将多个分别分配给虚拟智能卡的私钥存储在只能由虚拟智能卡服务器VSS访问的安全数据存储中；

在所述VSS处接收将远离所述VSS的客户端计算机机器确立为可信计算机系统的请求，所述请求由所述客户端计算机机器上的系统级代理根据预定的机器认证协议发起；

在认证所述客户端计算机机器的用户之前，在所述VSS处接收来自所述系统级代理的对cookie的请求；

向所述系统级代理提供所请求的cookie；

在所述VSS处接收来自用户级代理的对私钥操作的请求，其中所述cookie和所述用户级代理从所述用户获得的所选用户认证信息包括所述请求的一部分；和

响应于所述请求，通过使用分配给至少被发放给所述用户的一个所述虚拟智能卡的私钥，在所述VSS处选择性地执行由所述用户级代理请求的所述私钥操作。