视频物联网设备密钥证书管理方法、装置和系统与流程

1.本申请涉及网络安全领域，尤其涉及一种视频物联网设备密钥证书管理方法、装置和系统。


背景技术：

2.当前物联网设备主要使用openssl（一个开放源代码的软件库包）等开源软件算法库，其并不提供证书和私钥管理功能。
3.随着物联网设备tls（transport layer security，传输层安全协议）链路种类的不断增多，物联网设备中的数字证书数量也不断增多，物联网设备中大量的证书请求、签名证书、加密证书、根证书，关系混乱，上层应用靠硬编码名称或路径进行密码运算，不易更新和统一管理，安全性不足。


技术实现要素：

4.有鉴于此，本申请提供一种视频物联网设备密钥证书管理方法、装置和系统。
5.具体地，本申请是通过如下技术方案实现的：根据本申请实施例的第一方面，提供一种视频物联网设备密钥证书管理方法，应用于视频物联网设备，所述方法包括：在软件密钥容器创建过程中，向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，并在发送所述注册请求后向所述服务端管理平台发送用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息，以使所述服务端管理平台建立所述调用者id与访问控制码信息的第二绑定关系；所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id，以使所述服务端管理平台建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系；当成功创建所述软件密钥容器时，检测针对所述软件密钥容器的访问请求；运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离；所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组，所述安全信息组至少包括：密钥对、证书请求文件、数字证书；所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务；当检测到针对所述软件密钥容器的访问请求时，请求服务端管理平台依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验，当校验通过时，响应所述访问请求，对所述软件密钥容器进行访问控制。
6.根据本申请实施例的第二方面，提供一种视频物联网设备密钥证书管理方法，应用于服务端管理平台，所述方法包括：接收视频物联网设备发送的针对所述视频物联网设备当前创建的软件密钥容器
的注册请求，所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id；建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系；接收所述视频物联网设备发送的用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息；建立所述调用者id与访问控制码信息的第二绑定关系；接收所述视频物联网设备发送的访问校验请求，所述访问校验请求由所述视频物联网设备在检测到针对所述软件密钥容器的访问请求时发送，所述访问请求中携带有调用者id、应用id、容器id以及访问控制码信息；运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离；所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组，所述安全信息组至少包括：密钥对、证书请求文件、数字证书；所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务；依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验，并当校验通过时，指示所述视频物联网设备响应所述访问请求，对所述软件密钥容器进行访问控制。
7.根据本申请实施例的第三方面，提供一种视频物联网设备密钥证书管理装置，应用于视频物联网设备，所述装置包括：发送单元，用于在软件密钥容器创建过程中，向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，并在发送所述注册请求后向所述服务端管理平台发送用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息，以使所述服务端管理平台建立所述调用者id与访问控制码信息的第二绑定关系；所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id，以使所述服务端管理平台建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系；检测单元，用于当成功创建所述软件密钥容器时，检测针对所述软件密钥容器的访问请求；运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离；所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组，所述安全信息组至少包括：密钥对、证书请求文件、数字证书；所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务；校验单元，还用于当检测到针对所述软件密钥容器的访问请求时，请求服务端管理平台依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验；处理单元，用于当校验通过时，响应所述访问请求，对所述软件密钥容器进行访问控制。
8.根据本申请实施例的第四方面，提供一种视频物联网设备密钥证书管理装置，应用于服务端管理平台，所述装置包括：接收单元，用于接收视频物联网设备发送的针对所述视频物联网设备当前创建的
软件密钥容器的注册请求，所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id；建立单元，用于建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系；所述接收单元，还用于接收所述视频物联网设备发送的用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息；所述建立单元，还用于建立所述调用者id与访问控制码信息的第二绑定关系；所述接收单元，还用于接收所述视频物联网设备发送的访问校验请求，所述访问校验请求由所述视频物联网设备在检测到针对所述软件密钥容器的访问请求时发送，所述访问请求中携带有调用者id、应用id、容器id以及访问控制码信息；校验单元，用于依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验；管理单元，用于当校验通过时，指示所述视频物联网设备响应所述访问请求，对所述软件密钥容器进行访问控制。
9.根据本申请实施例的第五方面，提供一种视频物联网设备密钥证书管理系统，包括：视频物联网设备和服务端管理平台；其中：所述视频物联网设备，用于在软件密钥容器创建过程中，向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，并在发送所述注册请求后向所述服务端管理平台发送用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息；所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id；所述服务端管理平台，用于建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系，以及，建立所述调用者id与访问控制码信息的第二绑定关系；所述视频物联网设备，还用于当成功创建所述软件密钥容器时，检测针对所述软件密钥容器的访问请求；运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离；所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组，所述安全信息组至少包括：密钥对、证书请求文件、数字证书；所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务；所述视频物联网设备，还用于当检测到针对所述软件密钥容器的访问请求时，请求服务端管理平台依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验，当校验通过时，响应所述访问请求，对所述软件密钥容器进行访问控制。
10.本申请实施例的视频物联网设备密钥证书管理方法，通过在视频物联网设备创建软件密钥容器的过程中，向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，由服务端管理平台建立调用者id、应用id以及容器id之间的第一绑定关系，以及调用者id与访问控制码信息之间的第二绑定关系，视频物联网设备在检测到针对软件密钥容器的访问请求时，可以请求服务端管理平台依据第一绑定关系和第二绑定关系对访问请求进行访问校验，提高了软件密钥容器访问的安全性；此外，运行软件密钥容器的进程与运行已创
建的其他软件密钥容器的进程之间相互隔离、且运行软件密钥容器的进程与调用应用的进程之间相互隔离，进一步提高了软件密钥容器的安全性，再者，软件密钥容器中可以存储用于实现应用的功能安全的一组安全信息组，软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务，提高了安全信息组的管理效率。
附图说明
11.图1为本申请一示例性实施例示出的一种视频物联网设备密钥证书管理方法的流程示意图；图2为本申请一示例性实施例示出的一种视频物联网设备密钥证书管理装置的结构示意图；图3为本申请又一示例性实施例示出的另一种视频物联网设备密钥证书管理装置的结构示意图；图4为本申请一示例性实施例示出的一种电子设备的硬件结构示意图；图5为本申请一示例性实施例示出的一种视频物联网设备密钥证书管理系统的结构示意图。
具体实施方式
12.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
13.在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
14.为了使本领域技术人员更好地理解本申请实施例提供的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。
15.请参见图1，为本申请实施例提供的一种视频物联网设备密钥证书管理方法的流程示意图，如图1所示，该视频物联网设备密钥证书管理方法可以包括以下步骤：步骤s100、在软件密钥容器创建过程中，视频物联网设备向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，并在发送注册请求后向服务端管理平台发送用于对当前创建的软件密钥容器进行访问控制的访问控制码信息，以使服务端管理平台建立调用者id与访问控制码信息的第二绑定关系；该注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与被调用的应用绑定的所述软件密钥容器的容器id，以使服务端管理平台建立该调用者id、该应用id以及该容器id之间的第一绑定关系。
16.本申请实施例中，为了提高视频物联网设备中的密钥和证书的管理效率，并提高视频物联网设备中的密钥和证书的安全性，可以在视频物联网设备中创建密钥容器，用于对密钥和证书进行保存和管理。
17.示例性的，考虑到视频物联网设备通常硬件资源有限，其通常不会有足够的硬件
资源用于进行硬件密钥容器的创建，因此，为了减少视频物联网设备的硬件需求，视频物联网设备中的密钥容器可以为软件密钥容器，即在本申请实施例中，若未特殊说明，所提及的密钥容器均为软件密钥容器。
18.示例性的，密钥容器可以与调用者id以及应用id绑定，调用者需要使用该调用者id，通过该应用id对应的应用，对密钥容器进行合法调用，且调用过程中，需要依据访问控制码进行校验，在校验通过后，允许调用者对密钥容器进行调用，以提高密钥容器中的证书和密钥的安全性。
19.示例性的，软件密钥容器可以存储用于实现与该软件密钥容器绑定的应用id对应的应用的功能安全的一组安全信息组。
20.示例性的，该述安全信息组至少包括：密钥对、证书请求文件、数字证书。
21.本申请实施例中，对于视频物联网设备中的任一软件密钥容器，在创建过程中，视频物联网设备可以向服务端管理平台发送针对该软件密钥容器的注册请求。
22.在注册过程中，可以设置该软件密钥容器的合法调用者的调用者id，以及调用该密钥容器的合法应用的应用id，并将该调用者id、应用id以及待与该软件密钥容器的容器id携带在注册请求中发送给服务端管理平台；服务端管理平台可以建立该调用者id、应用id以及容器id之间的绑定关系（本文中称为第一绑定关系）。
23.此外，注册过程中，还可以设置访问控制码信息，该访问控制码信息用于调用者在对密钥容器进行调用时进行访问控制，例如，进行身份合法性校验。视频物联网设备可以将该访问控制码信息发送给服务端管理平台，由服务端管理平台保存调用者id与所设置的访问控制码信息之间的绑定关系（本文中称为第二绑定关系）。
24.示例性的，为了提高访问控制码的安全性，服务端管理平台可以随机生成盐值，并对访问控制码和盐值进行hash（散列）运算，得到对应的hash值，并保存该哈希值和盐值。
25.当需要进行访问控制码校验时，可以依据请求方提供的访问控制码和保存的盐值，按照相同的方式得到hash值，并比较该hash值和所保存的hash值，若二者一致，则确定校验通过；否则，确定校验失败。
26.步骤s110、当成功创建软件密钥容器时，视频物联网设备检测针对软件密钥容器的访问请求；运行该软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行该软件密钥容器的进程与调用该应用的进程之间相互隔离；该软件密钥容器存储用于实现应用的功能安全的一组安全信息组，该安全信息组至少包括：密钥对、证书请求文件、数字证书；该软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务。
27.本申请实施例中，为了提高密钥容器中安全信息组的安全性，视频物联网设备中，运行软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行软件密钥容器的进程与调用该应用的进程之间相互隔离。
28.当调用者需要对软件密钥容器进行调用时，需要通过该软件密钥容器绑定的应用id对应的应用，通过跨进程方式，对软件密钥容器进行调用，例如，通过rpc（remote procedure call，远程过程调用）方式对软件密钥容器进行调用。
29.此外，为了提高软件密钥容器中的安全信息组的访问效率，软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务。调用者可以通过安全信息组的索引值请求
对软件密钥容器中对应的安全信息组进行访问。
30.示例性的，对密钥容器中的安全信息组进行访问可以包括但不限于证书和/或密钥的创建/导入/更新/查询/销毁等。
31.步骤s110、当视频物联网设备检测到针对软件密钥容器的访问请求时，请求服务端管理平台依据第一绑定关系，以及第二绑定关系对该访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验，当校验通过时，响应该访问请求，对该密钥容器进行访问控制。
32.本申请实施例中，对于任一成功创建的密钥容器，当视频物联网设备检测到针对该软件密钥容器的访问请求，即请求对该软件密钥容器中的安全信息组进行访问时，如密钥创建、证书导入等，视频物联网设备可以请求服务端管理平台对该访问进行访问校验，以保证安全性。
33.示例性的，该访问请求中可以携带请求对软件密钥容器进行访问的调用者的调用者id、应用的应用id、该软件密钥容器的容器id（如容器编号、容器名称等），以及访问控制码信息。
34.服务端管理平台接收到视频物联网设备发送的访问校验请求时，可以依据访问请求中携带的容器id，查询所保存的调用者id、应用id以及容器id的绑定关系（即上述第一绑定关系），确定匹配的第一绑定关系（可以称为目标第一绑定关系），并确定该目标第一绑定关系中的调用者id以及应用id，是否分别与访问请求中携带的调用者id以及应用id一致。
35.示例性的，视频物联网设备可以将访问请求中携带的调用者id、应用id、容器id以及访问控制码信息，携带在访问校验请求中发送给服务端管理平台。
36.若一致，则进一步依据该调用者id查询匹配的第二绑定关系（可以称为目标第二绑定关系），确定该调用者id对应的访问控制码信息，对访问权请求中携带的访问控制码进行校验；并在访问控制码校验通过时，确定访问权限校验通过；在访问控制码校验未通过时，确定访问权限校验未通过。
37.若不一致（调用者id不一致，和/或，应用id不一致），则确定访问权限校验未通过，不允许此次访问请求的执行。
38.示例性的，当服务端管理平台进行访问校验的结果为校验通过时，可以指示视频物联网设备响应该访问请求，对软件密钥容器进行访问控制。
39.例如，服务端管理平台可以向视频物联网设备发送校验通过响应消息，以指示视频物联网此次访问请求校验通过。
40.示例性的，为了提高访问权限校验的效率，当服务端管理平台按照上述方式对访问请求进行访问校验的结果为校验通过时，服务端管理平台可以为向视频物联网设备分配一个会话句柄，并设置该会话句柄的超时时间（可以根据实际场景设定，如10分钟），由视频物联网设备将该会话句柄返回给管理请求发送方（即调用者）。
41.在该会话句柄的超时时间内，调用者再次请求对密钥容器进行访问时，可以将该会话句柄携带在访问请求中，视频物联网设备可以请求服务端管理平台依据该会话句柄对访问请求进行访问校验，而不需要依据访问控制码信息进行访问校验，其具体实现在此不做赘述。
42.本申请实施例中，当视频物联网设备确定服务端管理平台的访问校验结果为校验
通过时，如视频物联网设备接收到服务端管理平台的访问校验通过响应消息，视频物联网设备可以确定此次接收到的访问请求为合法的访问请求，视频物联网设备可以响应该访问请求，对该密钥容器中的安全信息组进行访问，如证书和/或密钥的创建/导入/更新/查询/销毁等。
43.可见，在图1所示方法流程中，通过在视频物联网设备创建软件密钥容器的过程中，向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，由服务端管理平台建立调用者id、应用id以及容器id之间的第一绑定关系，以及调用者id与访问控制码信息之间的第二绑定关系，视频物联网设备在检测到针对软件密钥容器的访问请求时，可以请求服务端管理平台依据第一绑定关系和第二绑定关系对访问请求进行访问校验，提高了软件密钥容器访问的安全性；此外，运行软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行软件密钥容器的进程与调用应用的进程之间相互隔离，进一步提高了软件密钥容器的安全性，再者，软件密钥容器中可以存储用于实现应用的功能安全的一组安全信息组，软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务，提高了安全信息组的管理效率。
44.在一些实施例中，访问请求中还携带有待校验权限信息；步骤s120中，服务端管理平台依据第一绑定关系、以及第二绑定关系对访问请求中携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验校验之后，还可以包括：当服务端管理平台依据第一绑定关系，以及第二绑定关系对访问请求携带的调用者id、应用id、容器id以及访问控制码信息校验通过时，依据调用者id确定该调用者id的权限信息；服务端管理平台依据该调用者id的权限信息，对访问请求中携带的待校验权限信息进行校验，以确定该访问请求是否符合调用者id对应的权限；当服务端管理平台确定该访问请求符合调用者id对应的权限时，确定访问权限校验通过。
45.示例性的，为了细化权限校验粒度，进一步提高安全性，可以预先设置调用者对软件密钥容器的具体权限。
46.示例性的，该权限可以包括安全信息组范围的权限、安全信息组访问类型的权限。
47.其中，不同调用者对于软件密钥容器的权限可以不同。
48.例如，部分调用者可以对软件密钥容器中的部分安全信息组具有管理权限；另一部分调用者可以对软件密钥容器中的全部安全信息组具有管理权限。
49.又例如，部分调用者可以对软件密钥容器具有全部访问类型的管理权限，部分调用者以对软件密钥容器具有部分访问类型的管理权限。
50.其中，访问类型可以包括证书和/或密钥的创建/导入/更新/查询/销毁等。
51.相应地，当服务端管理平台依据第一绑定关系以及第二绑定关系对访问请求携带的调用者id、应用id、容器id以及访问控制码信息校验通过时，服务端管理平台可以查询该调用者id对应的权限信息，并依据调用者id的权限信息，对访问请求中携带的待校验权限信息进行校验，以确定该访问请求是否符合调用者id对应的权限。
52.当服务端管理平台确定该访问请求符合调用者id对应的权限时，确定访问权限校
验通过。
53.在一个示例中，待校验权限信息包括请求访问的安全信息组的索引值，上述访问请求符合调用者id对应的权限，可以包括：访问请求中携带的索引值，与调用者id对应的目标索引值匹配；其中，目标索引值为调用者id具有管理权限的安全信息组的索引值。
54.示例性的，以待校验权限信息包括请求访问的安全信息组的索引值为例，服务端管理平台接收到访问请求时，一方面可以获取其中携带的请求访问的安全信息组的索引值，另一方面，可以依据调用者id查询调用者具有访问权限的安全信息组的索引值（本文中称为目标索引值）。
55.当访问请求中携带的索引值与目标索引值匹配，如该索引值与目标索引值相同，或，该索引值为目标索引值中的其中一个索引值时，确定该访问请求符合调用者id对应的权限。
56.在另一个示例中，待校验权限信息包括访问类型，上述访问请求符合调用者id对应的权限，可以包括：访问请求中携带的访问类型，与调用者id对应的目标访问类型匹配，其中，目标访问类型为调用者id具有操作权限的访问类型。
57.示例性的，以待校验权限信息包括访问类型为例，服务端管理平台接收到访问请求时，一方面可以获取其中携带的访问类型，另一方面，可以依据调用者id查询调用者具有操作权限的访问类型（本文中称为目标访问类型）。
58.当访问请求中携带的访问类型与目标访问类型匹配，如该访问类型与目标访问类型相同，或，该访问类型为目标访问类型中的其中一个访问类型时，确定该访问请求符合调用者id对应的权限。
59.在一些实施例中，访问请求可以包括密钥创建请求；步骤s120中，视频物联网设备响应访问请求，对该密钥容器进行访问控制，可以包括：视频物联网设备响应该密钥创建请求，调用该软件密钥容器的密钥生成接口，生成签名密钥对，并将签名密钥对中的签名公钥返回给管理请求发送方。
60.示例性的，调用者可以请求调用软件密钥容器提供的密钥生成接口，以生成签名密钥对。
61.当视频物联网设备检测到密钥创建请求时，可以按照上述方式进行访问校验，并在确定访问校验通过时，调用该软件密钥容器的密钥生成接口，生成签名密钥对。
62.示例性的，密钥容器完成签名密钥对生成时，可以将签名密钥对中的公钥（可以称为签名公钥）返回给管理请求发送方。
63.管理请求发送方可以按照需求，使用该签名公钥对指定数据进行签名，以保证数据的完整性。
64.在一些实施例中，上述访问请求可以包括证书请求生成请求；步骤s120中，视频物联网设备响应证书密钥管理请求，对该密钥容器进行证书密钥管理，可以包括：视频物联网设备响应证书请求生成请求，调用该密钥容器的证书请求生成接口，
生成证书请求，并将证书请求返回给管理请求发送方。
65.示例性的，为了实现证书获取，调用者可以请求调用密钥容器的证书请求生成接口，以生成证书请求（也可以称为证书请求文件）。
66.当视频物联网设备检测到证书请求生成请求时，可以按照上述方式进行访问权限校验，并在确定访问权限校验通过时，调用该密钥容器的证书请求生成接口，生成证书请求。
67.示例性的，调用者获取到签名公钥和证书请求时，可以将该签名公钥携带在证书请求中，从可信第三方机构中获取数字证书和加密密钥。
68.示例性的，该数字证书可以包括签名证书和加密证书。
69.在一些实施例中，证书密钥管理请求可以包括密钥和证书导入请求；步骤s120中，视频物联网设备响应访问请求，对该密钥容器进行访问控制，可以包括：视频物联网设备响应密钥证书导入请求，向该软件密钥容器导入加密密钥对以及数字证书，加密密钥对以及数字证书依据该软件密钥容器返回的签名公钥以及证书请求文件，从可信第三方机构获取得到，该数字证书包括签名证书和加密证书。
70.示例性的，调用者获取到签名公钥和证书请求文件时，可以将该签名公钥携带在证书请求文件中，从可信第三方机构中获取数字证书和加密密钥对。
71.示例性的，视频物联网设备可以将签名公钥携带在证书请求文件中发送给服务端管理平台，由服务端管理平台依据该携带有签名公钥的证书请求文件从可信第三方机构中获取数字证书和加密密钥对，并下发至视频物联网设备，由视频物联网设备导入对应的软件密钥容器。
72.示例性的，该数字证书可以包括签名证书和加密证书。
73.示例性的，调用者获取签名公钥和证书请求文件的具体实现可以参见上述实施例中的相关说明。
74.示例性的，调用者获取到数字证书和加密密钥时，可以将获取到的数字证书和加密密钥对导入到对应的软件密钥容器中，由密钥容器对加密密钥对和数字证书进行存储。
75.在一些实施例中，上述视频物联网设备密钥证书管理方法还可以包括：对于视频物联网设备中任一成功创建的密钥容器，视频物联网设备定时或实时向服务端管理平台上报该软件密钥容器的状态信息，以使服务端管理平台对该软件密钥容器的状态进行校验，并在校验未通过时，停止该软件密钥容器提供服务的权限；其中，软件密钥容器的状态信息包括以下之一或多个：软件密钥容器中安全信息组的当前状态；软件密钥容器当前的资源占有率；软件密钥容器当前的权限和属性。
76.示例性的，为了提高软件密钥容器的可靠性，服务端管理平台可以定时或实时地对成功创建（已在服务端管理平台侧注册）的软件密钥容器进行状态检测。
77.相应地，对于任一视频物联网设备中任一成功创建的软件密钥容器，视频物联网设备可以定时或实时向服务端管理平台上报该软件密钥容器的状态信息。
78.示例性的，软件密钥容器的状态信息包括以下之一或多个：
软件密钥容器中安全信息组的当前状态；软件密钥容器当前的资源占有率；软件密钥容器当前的权限和属性。
79.示例性的，软件密钥容器中安全信息组的当前状态可以包括但不限于密钥和/或证书的类型、数量、有效期、使用频率、合法性等。
80.软件密钥容器当前的资源占有率可以包括但不限于文件结构、进程句柄、内存占用、cpu占用、网络流量等。
81.软件密钥容器当前的权限和属性可以包括但不限于密码运算范围、有效期限、访问权限等。
82.服务端管理平台接收到视频物联网设备上报的软件密钥容器的状态信息时，可以依据预置的基准值，对软件密钥容器的状态进行校验，以确定软件密钥容器是否存在异常。
83.示例性的，软件密钥容器在注册时，服务端管理平台可以保存该软件密钥容器合理的资源占有率，如所在文件系统的结构、进程句柄数量、内存占用、cpu占用、网络流量阈值等，并将其存储为基准值；此外，服务端管理平台为软件密钥容器分配合理的权限和属性，如密码运算范围、使用有效期限、访问权限等，并存储在服务端管理平台作为基准值。
84.示例性的，当服务端管理平台对软件密钥容器的状态校验结果校验不通过时，服务端管理平台可以停止该软件密钥容器提供服务的权限。
85.示例性的，当服务端管理平台对软件密钥容器的状态校验结果校验不通过时，服务端管理平台还可以记录审计日志，分析原因并进行自我修复（如更新密钥容器及其中的密钥和证书等）。
86.在一些实施例中，上述视频物联网设备密钥证书管理方法还可以包括：服务端管理平台实时或定时获取可信第三方机构的根证书库，并将获取到的根证书库分发至视频物联网设备；视频物联网设备依据根证书库对各软件密钥容器中存储的数字证书进行校验，并在校验失败时，向服务端管理平台进行异常上报。
87.示例性的，为了提高软件密钥容器中证书的可靠性，服务端管理平台可以实时或定时获取可信第三方机构的根证书库，并将获取到的根证书库分发至视频物联网设备。
88.示例性的，视频物联网设备接收到根证书库时，可以分别将根证书库保证到各软件密钥容器中，或者，可以统一保证在受信任的安全区域。
89.对于任一密钥容器，视频物联网可以依据该软件密钥容器中保存的数字证书，以及根证书库中对应的根证书，形成数字证书链，进行合法性和有效性校验。
90.其中，软件密钥容器中保存的数字证书通常为某些可信第三机构的根证书的下级证书，如二级证书、三级证书，视频物联网设备可以依据软件密钥容器中保存的数字证书，从根证书库中查询对应的根证书，并将该根证书和密钥容器中保存的数字证书形成数字证书链。
91.示例性的，当视频物联网设备对软件密钥容器中保存的数字证书进行合法性和有效性校验的结果为不通过时，视频物联网设备可以向服务端管理平台进行异常上报。
92.在一个示例中，服务端管理平台实时或定时获取可信第三方机构的根证书库，并将获取到的根证书库分发至所述视频物联网设备，可以包括：
服务端管理平台对获取到的根证书库进行数据解析处理，数据解析处理包括数据清洗、数据分析、数据校验以及数据分类中的至少一种；服务端管理平台依据视频物联网设备上的密钥证书架构和/或平台，将与视频物联网设备的密钥证书架构和/或平台匹配的根证书库下发至视频物联网设备。
93.示例性的，考虑到服务端管理平台从可信第三方机构获取根证书信息时，获取到的数据中通常会存在一些无效数据。
94.此外，考虑到不同视频物联网设备的密钥容器中密钥证书的架构和/或平台可能存在区别，服务端管理平台下发根证书库时，也会需要针对性的下发。
95.相应地，对于从可信第三方机构获取根证书信息，服务端管理平台需要进行数据解析处理，例如，使用python数据解析。
96.示例性的，数据解析处理包括数据清洗、数据分析、数据校验以及数据分类等处理中的至少一种。
97.服务端管理平台得到各不同架构和/或平台的根证书库时，可以依据视频物联网设备上的密钥证书架构和/或平台，将与视频物联网设备的密钥证书架构和/或平台匹配的根证书库下发至视频物联网设备。
98.本申请实施例中，为了进一步提高软件密钥容器中密钥的安全性，还可以使用指定算法对软件密钥容器中的密钥进行保护，例如，对非对称密钥对中的私钥进行保护，或者，对对称密钥进行保护。
99.在一些实施例中，软件密钥容器中存储的安全信息组中的密钥对包括非对称密钥对；对于任一非对称密钥对中的私钥，分别由视频物联网设备和管理平台存储该私钥的第一分量和第二分量；其中，第一分量由视频物联网设备利用依据调用者id、应用id以及容器id得到的对称密钥加密后存储，第二分量由管理平台利用依据管理员id、调用者id、应用id、容器id以及视频物联网设备的设备id得到的对称密钥加密后存储；本申请实施例提供的视频物联网设备密钥证书管理方法还可以包括：管理平台对视频物联网设备上的软件密钥容器中的私钥分量进行生命周期管理；其中，该生命周期管理包括以下之一或多个：密钥合法性管理、密钥有效期管理、密钥状态管理以及密钥调用状态管理。
100.示例性的，为了提高软件密钥容器中非对称密钥对中的私钥的安全性，对于任一私钥，可以以私钥分量的形式分别保存在视频物联网设备的软件密钥容器中，以及服务端管理平台中。
101.示例性的，该私钥可以包括签名密钥对中的签名私钥，或加密密钥对中的加密私钥。
102.以签名密钥对中的签名私钥为例，软件密钥容器一侧，可以使用一种双端协同方法，如sm2双端协同算法，生成签名私钥分量（即上述第一分量），并使用调用者id、应用id以及容器id，利用指定算法，如kdf算法衍生对称密钥，将私钥分量进行加密保存。类似的，服务端管理平台一侧，可以使用对应的双端协同方法生成签名私钥分量（即上述第二分量），并使用平台管理员id、容器调用者id、应用id、容器id以及视频物联网设备的设备id，利用指定算法，如kdf算法衍生对称密钥，将私钥分量进行加密保存。
103.以加密密钥对中的加密私钥为例，由于加密密钥对可以由视频物联网设备或服务端管理平台从可信第三方机构中获取，因此，在进行私钥保护时，可以依据获取到的加密私钥，拆分得到不同的加密私钥分量，并分别保存在视频物联网设备的软件密钥容器中，以及服务端管理平台中。
104.以服务端管理平台从可信第三方机构中获取加密密钥对为例，服务端管理平台获取到加密密钥对时，可以依据加密私钥，利用双端协同算法反向运算，如上述sm2双端协同算法，对加密私钥进行拆分得到对应的加密私钥分量，并加密保存，其实现可以与对签名私钥分量进行加密的方式相同；同理，视频物联网设备也可以对加密私钥分量进行加密保存。
105.示例性的，为了提高私钥分量的可控性，服务端管理平台可以对各视频物联网设备上的各软件密钥容器中的私钥分量进行全生命周期管理。
106.该全生命周期管理可以包括以下之一或多个：密钥合法性管理，即对调用私钥分量的调用者进行权限管理；此外，对私钥分量进行调用时，还可以依据hash算法进行完整性校验。
107.密钥有效期管理，即服务端管理平台可以设置私钥分量的有效期，并对有效期进行监测；其中，当私钥分量超过有效期时，可以主动更新（即服务端管理平台主动更新）或被动更新（如手动触发更新）。
108.密钥状态管理，即对私钥分量的状态进行管理；其中，该状态可以包括正常、撤销（即超过有效期，并进行了更新）、归档（对已超过有效期，并进行了更新的私钥分量进行记录）。
109.密钥调用状态管理，如记录私钥分量是否被非法调用（即在未被授权的情况下调用）。
110.示例性的，服务端管理平台可以依据私钥分量的生命周期管理进行日志记录，并将一段时间内的日志进行图形化和建模分析。
111.在一些实施例中，软件密钥容器中存储的安全信息组中的密钥对包括对称密钥；本申请实施例提供的视频物联网设备密钥证书管理方法还可以包括：对于任一对称密钥，服务端管理平台生成该对称密钥对应的白盒算法库，并将该白盒算法库下发至视频物联网设备，由视频物联网设备将白盒算法库保存至软件密钥容器；管理平台对视频物联网设备上的软件密钥容器中的白盒算法库进行生命周期管理；其中，生命周期管理包括以下之一或多个：白盒算法库合法性、白盒算法库有效期、白盒算法库状态以及白盒算法库调用状态。
112.示例性的，为了提高软件密钥容器中的对称密钥的安全性，服务端管理平台可以依据各软件密钥容器中的对称密钥，生成对应的白盒算法库。
113.例如，服务端管理平台可以依据用户需求、用户权限、容器权限，和/或，设备使用场景等，定制白盒算法库，并下发至视频物联网设备。
114.示例性的，服务端管理平台可以设置白盒算法库的有效期，对于任一视频物联网设备上的任一软件密钥容器中的白盒算法库，当其超过有效期时，可以由服务端管理平台
触发自动更新白盒算法库。
115.示例性的，为了提高白盒算法库的可控性，服务端管理平台可以对各视频物联网设备上的各软件密钥容器中的白盒算法库进行全生命周期管理，其具体实现可以参见上述私钥分量的相关描述。
116.以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述：请参见图2，为本申请实施例提供的一种视频物联网设备密钥证书管理装置的结构示意图，其中，该视频物联网设备密钥证书管理装置可以应用于上述实施例中的视频物联网设备，如图2所示，该视频物联网设备密钥证书管理装置可以包括：发送单元210，用于在软件密钥容器创建过程中，向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，并在发送所述注册请求后向所述服务端管理平台发送用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息，以使所述服务端管理平台建立所述调用者id与访问控制码信息的第二绑定关系；所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id，以使所述服务端管理平台建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系；检测单元220，用于当成功创建所述软件密钥容器时，检测针对所述软件密钥容器的访问请求；运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离；所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组，所述安全信息组至少包括：密钥对、证书请求文件、数字证书；所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务；校验单元230，还用于当检测到针对所述软件密钥容器的访问请求时，请求服务端管理平台依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验；处理单元240，用于当校验通过时，响应所述访问请求，对所述软件密钥容器进行访问控制。
117.在一些实施例中，所述发送单元210，还用于对于所述视频物联网设备中任一成功创建的软件密钥容器，定时或实时向所述服务端管理平台上报该软件密钥容器的状态信息，以使所述服务端管理平台对该软件密钥容器的状态进行校验，并在校验未通过时，停止该软件密钥容器提供服务的权限；其中，软件密钥容器的状态信息包括以下之一或多个：软件密钥容器中安全信息组的当前状态；软件密钥容器当前的资源占有率；软件密钥容器当前的权限和属性。
118.在一些实施例中，所述校验单元230，还用于接收服务端管理平台发送的根证书库，所述根证书库由所述服务端管理平台实时或定时从可信第三方机构中获取；依据所述根证书库对各软件密钥容器中存储的数字证书进行校验；所述发送单元，还用于在所述校验单元230校验失败时，向所述服务端管理平台进行异常上报。
119.请参见图3，为本申请实施例提供的一种视频物联网设备密钥证书管理装置的结构示意图，其中，该视频物联网设备密钥证书管理装置可以应用于上述实施例中的服务端管理平台，如图3所示，该视频物联网设备密钥证书管理装置可以包括：接收单元310，用于接收视频物联网设备发送的针对所述视频物联网设备当前创建的软件密钥容器的注册请求，所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id；建立单元320，用于建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系；所述接收单元310，还用于接收所述视频物联网设备发送的用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息；所述建立单元320，还用于建立所述调用者id与访问控制码信息的第二绑定关系；所述接收单元310，还用于接收所述视频物联网设备发送的访问校验请求，所述访问校验请求由所述视频物联网设备在检测到针对所述软件密钥容器的访问请求时发送，所述访问请求中携带有调用者id、应用id、容器id以及访问控制码信息；校验单元330，用于依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验；管理单元340，用于当校验通过时，指示所述视频物联网设备响应所述访问请求，对所述软件密钥容器进行访问控制。
120.在一些实施例中，所述访问请求中还携带有待校验权限信息；所述校验单元330依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验之后，还包括：当依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息校验通过时，依据所述调用者id确定所述调用者id的权限信息；依据所述调用者id的权限信息，对所述访问请求中携带的待校验权限信息进行校验，以确定所述访问请求是否符合所述调用者id对应的权限；当确定所述访问请求符合所述调用者id对应的权限时，确定访问权限校验通过。
121.在一些实施例中，所述待校验权限信息包括请求访问的安全信息组的索引值，所述访问请求符合所述调用者id对应的权限，包括：所述访问请求中携带的索引值，与所述调用者id对应的目标索引值匹配；其中，所述目标索引值为所述调用者id具有管理权限的安全信息组的索引值；和/或，所述待校验权限信息包括访问类型，所述访问请求符合所述调用者id对应的权限，包括：所述访问请求中携带的访问类型，与所述调用者id对应的目标访问类型匹配，其中，所述目标访问类型为所述调用者id具有操作权限的访问类型。
122.在一些实施例中，所述接收单元310，还用于接收所述视频物联网设备定时或实时上报的软件密钥容器的状态信息；所述校验单元330，还用于对该软件密钥容器的状态进行校验，并在校验未通过
时，停止该软件密钥容器提供服务的权限；其中，软件密钥容器的状态信息包括以下之一或多个：软件密钥容器中安全信息组的当前状态；软件密钥容器当前的资源占有率；软件密钥容器当前的权限和属性。
123.在一些实施例中，所述管理单元340，还用于实时或定时获取可信第三方机构的根证书库，并将获取到的根证书库分发至所述视频物联网设备，以使所述视频物联网设备依据所述根证书库对各软件密钥容器中存储的数字证书进行校验，并在校验失败时，向所述服务端管理平台进行异常上报。
124.在一些实施例中，所述管理单元340实时或定时获取可信第三方机构的根证书库，并将获取到的根证书库分发至所述视频物联网设备，包括：对获取到的根证书库进行数据解析处理，所述数据解析处理包括数据清洗、数据分析、数据校验以及数据分类中的至少一种；依据所述视频物联网设备上的密钥证书架构和/或平台，将与所述视频物联网设备的密钥证书架构和/或平台匹配的根证书库下发至所述视频物联网设备。
125.在一些实施例中，所述软件密钥容器中存储的所述安全信息组中的密钥对包括非对称密钥对；对于任一所述非对称密钥对中的私钥，分别由所述视频物联网设备和所述管理平台存储该私钥的第一分量和第二分量；其中，所述第一分量由所述视频物联网设备利用依据调用者id、应用id以及容器id得到的对称密钥加密后存储，所述第二分量由所述管理平台利用依据管理员id、调用者id、应用id以及容器id得到的对称密钥加密后存储；所述管理单元340，还用于对所述视频物联网设备上的所述软件密钥容器中的私钥分量进行生命周期管理；其中，所述生命周期管理包括以下之一或多个：密钥合法性管理、密钥有效期管理、密钥状态管理以及密钥调用状态管理。
126.在一些实施例中，所述软件密钥容器中存储的所述安全信息组中的密钥对包括对称密钥；所述管理单元340，还用于对于任一所述对称密钥，生成该对称密钥对应的白盒算法库，并将该白盒算法库下发至所述视频物联网设备，由所述视频物联网设备将所述白盒算法库保存至所述软件密钥容器；对所述视频物联网设备上的所述软件密钥容器中的白盒算法库进行生命周期管理；其中，所述生命周期管理包括以下之一或多个：白盒算法库合法性、白盒算法库有效期、白盒算法库状态以及白盒算法库调用状态。
127.请参见图4，为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可包括处理器401、存储有机器可执行指令的存储器402。处理器401与存储器402可经由系统总线403通信。并且，通过读取并执行存储器402中的机器可执行指令，处理器401可执行上文描述的视频物联网设备密钥证书管理方法。
128.本文中提到的存储器402可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：ram（radom access memory，随机存取存储器）、易失存储器、非易失性存储器、闪存、存储驱动器（如硬盘驱动器）、固态硬盘、任何类型的存储盘（如光盘、dvd等），或者类似的存储介质，或者它们的组合。
129.在一些实施例中，还提供了一种机器可读存储介质，如图4中的存储器402，该机器可读存储介质内存储有机器可执行指令，所述机器可执行指令被处理器执行时实现上文描述的视频物联网设备密钥证书管理方法。例如，所述机器可读存储介质可以是rom、ram、cd
‑
rom、磁带、软盘和光数据存储设备等。
130.请参见图5，为本申请实施例提供的一种视频物联网设备密钥证书管理系统的结构示意图，如图5所示，该视频物联网设备密钥证书管理系统可以包括：视频物联网设备510和服务端管理平台520；其中：所述视频物联网设备510，用于在软件密钥容器创建过程中，向服务端管理平台发送针对当前创建的软件密钥容器的注册请求，并在发送所述注册请求后向所述服务端管理平台发送用于对所述当前创建的软件密钥容器进行访问控制的访问控制码信息；所述注册请求携带调用应用的调用者id、被调用的应用的应用id以及待与所述被调用的应用绑定的所述软件密钥容器的容器id；所述服务端管理平台520，用于建立所述调用者id、所述应用id以及所述容器id之间的第一绑定关系，以及，建立所述调用者id与访问控制码信息的第二绑定关系；所述视频物联网设备510，还用于当成功创建所述软件密钥容器时，检测针对所述软件密钥容器的访问请求；运行所述软件密钥容器的进程与运行已创建的其他软件密钥容器的进程之间相互隔离、且运行所述软件密钥容器的进程与调用所述应用的进程之间相互隔离；所述软件密钥容器存储用于实现所述应用的功能安全的一组安全信息组，所述安全信息组至少包括：密钥对、证书请求文件、数字证书；所述软件密钥容器通过其存储的安全信息组对应的索引值对外提供服务；所述视频物联网设备510，还用于当检测到针对所述软件密钥容器的访问请求时，请求服务端管理平台依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息进行访问校验，当校验通过时，响应所述访问请求，对所述软件密钥容器进行访问控制。
131.在一些实施例中，所述访问请求中还携带有待校验权限信息；所述服务端管理平台520，还用于当依据所述第一绑定关系，以及所述第二绑定关系对所述访问请求携带的调用者id、应用id、容器id以及访问控制码信息校验通过时，依据所述调用者id确定所述调用者id的权限信息；依据所述调用者id的权限信息，对所述访问请求中携带的待校验权限信息进行校验，以确定所述访问请求是否符合所述调用者id对应的权限；当确定所述访问请求符合所述调用者id对应的权限时，确定访问权限校验通过。
132.在一些实施例中，所述待校验权限信息包括请求访问的安全信息组的索引值，所述访问请求符合所述调用者id对应的权限，包括：所述访问请求中携带的索引值，与所述调用者id对应的目标索引值匹配；其中，所
述目标索引值为所述调用者id具有管理权限的安全信息组的索引值；和/或，所述待校验权限信息包括访问类型，所述访问请求符合所述调用者id对应的权限，包括：所述访问请求中携带的访问类型，与所述调用者id对应的目标访问类型匹配，其中，所述目标访问类型为所述调用者id具有操作权限的访问类型。
133.在一些实施例中，所述视频物联网设备510，还用于对于所述视频物联网设备中任一成功创建的软件密钥容器，定时或实时向所述服务端管理平台上报该软件密钥容器的状态信息；所述服务端管理平台520，还用于对该软件密钥容器的状态进行校验，并在校验未通过时，停止该软件密钥容器提供服务的权限；其中，软件密钥容器的状态信息包括以下之一或多个：软件密钥容器中安全信息组的当前状态；软件密钥容器当前的资源占有率；软件密钥容器当前的权限和属性。
134.在一些实施例中，所述服务端管理平台520，还用于实时或定时获取可信第三方机构的根证书库，并将获取到的根证书库分发至所述视频物联网设备；所述视频物联网设备510，还用于依据所述根证书库对各软件密钥容器中存储的数字证书进行校验，并在校验失败时，向所述服务端管理平台进行异常上报。
135.在一些实施例中，所述服务端管理平台520，具体用于对获取到的根证书库进行数据解析处理，所述数据解析处理包括数据清洗、数据分析、数据校验以及数据分类等处理中的至少一种；依据所述视频物联网设备上的密钥证书架构和/或平台，将与所述视频物联网设备的密钥证书架构和/或平台匹配的根证书库下发至所述视频物联网设备。
136.在一些实施例中，所述软件密钥容器中存储的所述安全信息组中的密钥对包括非对称密钥对；对于任一所述非对称密钥对中的私钥，分别由所述视频物联网设备和所述管理平台存储该私钥的第一分量和第二分量；其中，所述第一分量由所述视频物联网设备利用依据调用者id、应用id以及容器id得到的对称密钥加密后存储，所述第二分量由所述管理平台利用依据管理员id、调用者id、应用id以及容器id得到的对称密钥加密后存储；所述服务端管理平台520，还用于对所述视频物联网设备上的所述软件密钥容器中的私钥分量进行生命周期管理；其中，所述生命周期管理包括以下之一或多个：密钥合法性管理、密钥有效期管理、密钥状态管理以及密钥调用状态管理。
137.在一些实施例中，所述软件密钥容器中存储的所述安全信息组中的密钥对包括对称密钥；所述服务端管理平台520，还用于对于任一所述对称密钥，生成该对称密钥对应的白盒算法库，并将该白盒算法库下发至所述视频物联网设备，由所述视频物联网设备将所述白盒算法库保存至所述软件密钥容器；
对所述视频物联网设备上的所述软件密钥容器中的白盒算法库进行生命周期管理；其中，所述生命周期管理包括以下之一或多个：白盒算法库合法性、白盒算法库有效期、白盒算法库状态以及白盒算法库调用状态。
138.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
139.以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。