【技术实现步骤摘要】
视频物联网设备密钥证书管理方法、装置和系统
[0001]本申请涉及网络安全领域,尤其涉及一种视频物联网设备密钥证书管理方法、装置和系统。
技术介绍
[0002]当前物联网设备主要使用OpenSSL(一个开放源代码的软件库包)等开源软件算法库,其并不提供证书和私钥管理功能。
[0003]随着物联网设备TLS(Transport Layer Security,传输层安全协议)链路种类的不断增多,物联网设备中的数字证书数量也不断增多,物联网设备中大量的证书请求、签名证书、加密证书、根证书,关系混乱,上层应用靠硬编码名称或路径进行密码运算,不易更新和统一管理,安全性不足。
技术实现思路
[0004]有鉴于此,本申请提供一种视频物联网设备密钥证书管理方法、装置和系统。
[0005]具体地,本申请是通过如下技术方案实现的:根据本申请实施例的第一方面,提供一种视频物联网设备密钥证书管理方法,应用于视频物联网设备,所述方法包括:在软件密钥容器创建过程中,向服务端管理平台发送针对当前创建的软件密钥容器的注册请求...
【技术保护点】
【技术特征摘要】
1.一种视频物联网设备密钥证书管理方法,其特征在于,应用于视频物联网设备,所述方法包括:在软件密钥容器创建过程中,向服务端管理平台发送针对当前创建的软件密钥容器的注册请求,并在发送所述注册请求后向所述服务端管理平台发送用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息,以使所述服务端管理平台建立调用者ID与访问控制码信息的第二绑定关系;所述注册请求携带调用应用的调用者ID、被调用的应用的应用ID以及待与所述被调用的应用绑定的所述软件密钥容器的容器ID,以使所述服务端管理平台建立所述调用者ID、所述应用ID以及所述容器ID之间的第一绑定关系;当成功创建所述软件密钥容器时,检测针对所述软件密钥容器的访问请求;运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离;所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组,所述安全信息组至少包括:密钥对、证书请求文件、数字证书;所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务;当检测到针对所述软件密钥容器的访问请求时,请求服务端管理平台依据所述第一绑定关系,以及所述第二绑定关系对所述访问请求携带的调用者ID、应用ID、容器ID以及访问控制码信息进行访问校验,当校验通过时,响应所述访问请求,对所述软件密钥容器进行访问控制。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:对于所述视频物联网设备中任一成功创建的软件密钥容器,定时或实时向所述服务端管理平台上报该软件密钥容器的状态信息,以使所述服务端管理平台对该软件密钥容器的状态进行校验,并在校验未通过时,停止该软件密钥容器提供服务的权限;其中,软件密钥容器的状态信息包括以下之一或多个:软件密钥容器中安全信息组的当前状态;软件密钥容器当前的资源占有率;软件密钥容器当前的权限和属性。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:接收服务端管理平台发送的根证书库,所述根证书库由所述服务端管理平台实时或定时从可信第三方机构中获取;依据所述根证书库对各软件密钥容器中存储的数字证书进行校验,并在校验失败时,向所述服务端管理平台进行异常上报。4.一种视频物联网设备密钥证书管理方法,其特征在于,应用于服务端管理平台,所述方法包括:接收视频物联网设备发送的针对所述视频物联网设备当前创建的软件密钥容器的注册请求,所述注册请求携带调用应用的调用者ID、被调用的应用的应用ID以及待与所述被调用的应用绑定的所述软件密钥容器的容器ID;建立所述调用者ID、所述应用ID以及所述容器ID之间的第一绑定关系;接收所述视频物联网设备发送的用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息;建立所述调用者ID与访问控制码信息的第二绑定关系;
接收所述视频物联网设备发送的访问校验请求,所述访问校验请求由所述视频物联网设备在检测到针对所述软件密钥容器的访问请求时发送,所述访问请求中携带有调用者ID、应用ID、容器ID以及访问控制码信息;运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离;所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组,所述安全信息组至少包括:密钥对、证书请求文件、数字证书;所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务;依据所述第一绑定关系,以及所述第二绑定关系对所述访问请求携带的调用者ID、应用ID、容器ID以及访问控制码信息进行访问校验,并当校验通过时,指示所述视频物联网设备响应所述访问请求,对所述软件密钥容器进行访问控制。5.根据权利要求4所述的方法,其特征在于,所述访问请求中还携带有待校验权限信息;所述依据所述第一绑定关系,以及所述第二绑定关系对所述访问请求携带的调用者ID、应用ID、容器ID以及访问控制码信息进行访问校验之后,还包括:当依据所述第一绑定关系,以及所述第二绑定关系对所述访问请求携带的调用者ID、应用ID、容器ID以及访问控制码信息校验通过时,依据所述调用者ID确定所述调用者ID的权限信息;依据所述调用者ID的权限信息,对所述访问请求中携带的待校验权限信息进行校验,以确定所述访问请求是否符合所述调用者ID对应的权限;当确定所述访问请求符合所述调用者ID对应的权限时,确定访问权限校验通过。6.根据权利要求5所述的方法,其特征在于,所述待校验权限信息包括请求访问的安全信息组的索引值,所述访问请求符合所述调用者ID对应的权限,包括:所述访问请求中携带的索引值,与所述调用者ID对应的目标索引值匹配;其中,所述目标索引值为所述调用者ID具有管理权限的安全信息组的索引值;和/或,所述待校验权限信息包括访问类型,所述访问请求符合所述调用者ID对应的权限,包括:所述访问请求中携带的访问类型,与所述调用者ID对应的目标访问类型匹配,其中,所述目标访问类型为所述调用者ID具有操作权限的访问类型。7.根据权利要求4~6任一项所述的方法,其特征在于,所述方法还包括:接收所述视频物联网设备定时或实时上报的软件密钥容器的状态信息;对该软件密钥容器的状态进行校验,并在校验未通过时,停止该软件密钥容器提供服务的权限;其中,软件密钥容器的状态信息包括以下之一或多个:软件密钥容器中安全信息组的当前状态;软件密钥容器当前的资源占有率;软件密钥容器当前的权限和属性。8.根据权利要求4~6任一项所述的方法,其特征在于,所述方法还包括:实时或定时获取可信第三方机构的根证书库,并将获取到的根证书库分发至所述视频
物联网设备,以使所述视频物联网设备依据所述根证书库对各软件密钥容器中存储的数字证书进行校验,并在校验失败时,向所述服务端管理平台进行异常上报。9.根据权利要求8所述的方法,其特征在于,所述实时或定时获取可信第三方机构的根证书库,并将获取到的根...
【专利技术属性】
技术研发人员:王滨,陈达,陈加栋,张君,黄杰,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。