[发明专利]具有审计功能的虚拟智能卡

说明书

虚拟智能卡系统包括虚拟智能卡服务器(VSS)，该VSS控制对分别与多个虚拟智能卡相关联的内容的访问。远程客户端计算机系统包括系统级代理，该系统级代理将客户端计算机机器向VSS确立可信计算机系统。客户端计算机系统上的用户级代理通过使客户端计算机系统获得用户认证信息、与系统级代理协商以获得cookie以及向VSS发起对虚拟智能卡操作的请求来响应对虚拟智能卡操作的请求。如果满足安全策略，则VSS执行虚拟智能卡操作并且将结果传送到用户级代理。

相关申请的交叉引用

本申请要求2016年6月29日提交的美国专利申请号15/196,702的权益，该申请通过引用整体并入本文。

技术领域

本文涉及用于认证、加密和数据存储的方法和系统。更具体地，本文涉及促进通常使用智能卡实现的这种企业级功能的方法和系统。

背景技术

智能卡是袖珍卡，其包含嵌入式电子电路(例如，具有内部存储器的安全微控制器)，可以由读取装置通过直接物理访问或射频信令来读取该嵌入式电子电路。智能卡有许多用途，范围从加密到身份认证。智能卡具有存储少量数据的能力，并且可以被设计为执行某些卡上处理功能。为了促进这种交互，传统的智能卡被设计为与通常被称为智能卡读卡器的硬件元件交互。

许多公司对诸如金融交易和文件批准之类的审计过程有严格的要求。他们需要知道哪些员工被授权了哪些步骤和时间。类似地，员工需要充分理解他们正在批准的交易，并且必须能够为此目的控制他们的凭证的使用。为了促进这些过程，可以向员工发放智能卡用于认证和签名的目的。在这种情况下，智能卡可以包含用于与传统公钥基础设施(publickey infrastructure,PKI)方案结合使用的私钥。智能卡可以与个人识别码(personalidentification number,PIN)密码或指纹读取器结合使用以验证用户。

作为智能卡使用的替代方案，用于本文所述目的的数字证书已经使用“软件证书”支持直接发放给最终用户。在这种实施中，用于PKI系统的私钥传统上存储在用户的漫游配置文件中。众所周知，漫游用户配置文件是某些计算机操作系统的特征，由此用户可以登录到同一网络上的任何计算机并访问他们的文档以及其他数据(例如数字证书和/或私钥)。但是用户无法控制私钥，并且黑客可以很容易地“窃取”密钥。

与利用与漫游用户配置文件相关联的证书和私钥的系统相比，传统的智能卡提供了某些优点。例如，智能卡有助于基于硬件的解决方案，更好地保护私钥不被复制。但是，智能卡可能容易丢失/被盗，并且如果可以推断出用户的PIN，则可以在未经授权的情况下被使用。一旦丧失对诸如智能卡之类的令牌的物理控制，则企业就很难确保该密钥不会被用于未授权的目的。例如，在解雇时员工不返还智能卡的情况下可能出现这种情况。

使用传统智能卡时的另一个挑战是它们可能妨碍审计过程，审计过程可能需要重建或跟踪特定人的证书何时以及如何用于各种交易。使用智能卡的系统可以被设计为便于审计，但是这些系统往往是专有的或内置于不同的应用中。因此，可能无法统一审计，或者某些应用可能无法记录所有适当的信息。

发明内容

本发明的实施例涉及虚拟智能卡系统。该系统包括第一计算机机器，第一计算机机器包括虚拟智能卡服务器(VSS)。VSS控制对分别与多个虚拟智能卡相关联的内容的访问。一个或多个第二计算机机器被设置为远离VSS。每个第二计算机机器是客户端计算机系统，其包括系统级代理。该系统级代理在VSS中启动客户端计算机机器的机器认证协议，以使该客户端计算机机器在VSS确立为可信计算机系统。一旦确立，该客户端计算机系统处的用户级代理就接收对一个或多个虚拟智能卡操作的请求。例如，该请求可以由在该客户端计算机机器上执行的应用程序启动。