[发明专利]一种JAVASCRIPT使用密码设备的方法

说明书

技术领域

本发明涉及在互联网WEB应用中使用密码设备的技术领域，尤其涉及多种不同内核浏览器的跨平台技术、WEB页面脚本跨域访问技术、浏览器插件技术。

背景技术

密码设备是指使用密码算法进行密码生成、存储、运算的设备，常见的有加密卡、加密机、智能密码钥匙（又称USB-key，U盾）、操作系统的证书存储区和加密服务。我国国密标准SM1/SM2等算法都要求必须硬件实现。密码设备一般提供应用接口（API），通过API可以操作密码设备，但是密码设备的API一般为C/C++接口。

调用密码设备一般需要授权，通常以pin码的方式进行。如果是远程调用的话，有一种授权认证协议-OAuth2.0.OAuth2.0（开放授权认证）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源，而无需将用户名和密码等身份认证信息提供给第三方应用。

密码设备由于属于私密资源，目前的浏览器页面都不支持直接访问密码设备，但是实际应用中，如网上银行等，在交易过程中都需要使用到数字签名，需要调用密码设备调用存储在密码设备中的数字证书进行签名运算。有时候还需要在线更新密码设备，如在线证书更新、延期等，都需要在WEB页面上对密码设备进行操作。现在一般的实现方法就是使用浏览器的插件技术来扩展浏览器的功能，使得WEB页面可以通过浏览器插件使用密码设备。

关于浏览器插件的技术，不同内核的浏览器插件技术不一样，目前主要浏览器插件技术和对应浏览器内核如下：

1、ActiveX技术：适用Trident(InternetExplorer（简称IE）)的内核的浏览器。

2、NPAPI技术：适用Webkit内核的Safari苹果浏览器，以前谷歌Chrome浏览器，国内品牌的浏览器的极速模式。Gecko内核的FireFox火狐浏览器也使用NPAPI技术。

3、PPAPI技术：适用Blink内核的谷歌Chrome浏览器、Opera浏览器。

如果要实现WEB页面对密码设备进行操作，首先就需要针对每种浏览器内核的插件技术开发浏览器插件，然后用户根据自己使用浏览器类型安装不同的插件，当然也可以都安装上。

其次WEB应用的WEB页面脚本要根据浏览器类型实现不同的脚本调用不同的插件技术实现的插件。目前主流的WEB页面脚本为javascript脚本语言。JavaScript一种直译式脚本语言，是一种动态类型、弱类型、基于原型的语言，内置支持类型。它的解释器被称为JavaScript引擎，为浏览器的一部分，并广泛使用的一种脚本语言，最早是在HTML（标准通用标记语言下的一个应用）网页上使用，用来给HTML网页增加动态功能。目前所有的浏览器都支持JavaScript脚本。JavaScript脚本存在一个问题，就是不允许跨域访问。但是html的<script>标签的SRC属性是可以跨域链接的。通过这个特性可以让<script>执行一个跨域脚本。

现有WEB页面使用密码设备的方法均有以下缺陷：

1、依赖浏览器内核。需要针对浏览器内核开发插件和相应的脚本，由于浏览器内核多样，每种插件技术都有不小的学习和开发成本，而且浏览器还在不断的发展，经常会更新插件技术，比如谷歌浏览器不同版本的支持的插件技术不一样，维护成本也会比较高。

2、影响应用系统的稳定性。由于插件方法是通过加载插件来扩展功能，插件经常会导致浏览器不稳定而崩溃，虽然很多浏览器采用多进程方式进行，浏览器虽然不会因插件崩溃了，但是浏览应用的那个进程还是会崩溃掉。

3、安全问题。插件与浏览器结合紧密，可以访问浏览器内部数据，劫持浏览器功能，对所有网站都有影响，很容易被恶意插件利用，从而面临很大的安全风险。目前很多浏览器都在限制插件使用。

4、使用复杂。这主要体现在插件的安装上，因为插件会影响浏览器稳定，而且还会带来安全隐患，所以所有浏览器都对插件持限制的策略，这导致了插件经常安装不成功，使用过程中各种警告提示不断，为了通过安全拦截二安装插件，有时候需要对浏览器做手动设置，对很多对浏览器不熟悉的用户来说是个大麻烦。

发明内容

为了解决上述的技术问题，本发明的目的是提供一种JAVASCRIPT使用密码设备的方法，该方法为一种通用、易用的WEB页面操作密码设备的方法，通过WEB页面的JavaScript脚本就可以完成对密码设备的操作。

为了实现上述的第一个目的，本发明采用了以下的技术方案：