(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113572791A(43)申请公布日2021.10.29(21)申请号202111113169.4G16Y40/50(2020.01)(22)申请日2021.09.23(71)申请人杭州海康威视数字技术股份有限公司地址310051浙江省杭州市滨江区阡陌路555号(72)发明人王滨陈达陈加栋李超豪姚相振李琳黄晶晶(74)专利代理机构北京博思佳知识产权代理有限公司11415代理人杨春香(51)Int.Cl.H04L29/06(2006.01)H04L29/08(2006.01)G16Y30/10(2020.01)权利要求书4页说明书17页附图4页(54)发明名称一种视频物联网大数据加密服务方法、系统及装置(57)摘要本申请提供了视频物联网大数据加密服务方法、系统及装置。本申请中，服务器集群在接收到物联网设备的服务请求后，并非直接盲目地响应该服务请求，而是先对该物联网设备进行认证，在认证通过后再通过判断服务请求带的物联网设备当前的运行环境参数是否与物联网设备已注册的合法运行环境参数是否匹配来验证物联网设备当前是否处于安全状态，一旦匹配才会借助于服务请求携带的物联网设备当前的运行环境参数以及已为物联网设备分配的数据加密区对应的根密钥进行响应，实现了物联网设备与服务器集群一起协同提供服务，比如物联网设备与服务器集群一起协同解密密钥密文得到数据加密密钥，避免了所有的加解密都集中固定在一端，提高了加密性能和安全性。CN113572791ACN113572791A权利要求书1/4页1.一种视频物联网大数据加密服务方法，其特征在于，该方法应用于物联网中新部署的服务器集群，服务器集群中的服务器包括至少一个FC光纤加密卡、以及虚拟出的至少一个虚拟设备；所述FC光纤加密卡至少由FC光纤网卡和密码卡组成，FC光纤加密卡在对数据加密得到加密数据后直接通过光纤发送加密数据至FC交换机以由FC交换机将加密数据存入至存储介质，每一FC光纤加密卡与至少一个虚拟设备绑定，所述服务器集群中的其中一个虚拟设备作为主设备Master，剩余的作为从设备Worker，该方法包括：所述Master接收物联网设备发送的服务请求，在确定所述物联网设备通过认证时，判断服务请求携带的所述物联网设备当前的运行环境参数是否与所述物联网设备已注册的合法运行环境参数匹配，若匹配，则依据各Worker的资源占用情况并按照负载均衡方式从各Worker中选择目标虚拟设备，并依据与目标虚拟设备绑定的FC光纤加密卡、以及与该FC光纤加密卡具有相互备份关系的其他FC光纤加密卡的当前负载状态，确定目标FC光纤加密卡；所述Master将目标FC光纤加密卡的标识和服务请求一起转发至目标虚拟设备；所述目标虚拟设备在服务请求还携带密钥密文时，则利用服务请求携带的所述运行环境参数、以及已为所述物联网设备分配的数据加密区对应的根密钥对密钥密文进行解密得到数据加密密钥，并调用目标FC光纤加密卡利用所述数据加密密钥加密所述物联网设备采集的数据得到加密数据以通过光纤将加密数据发送至FC交换机由FC交换机将加密数据存入存储介质。2.根据权利要求1所述的方法，其特征在于，所述确定物联网设备通过认证包括：当所述服务请求携带认证令牌Token、以及用于生成所述Token的指定属性所对应的当前参数时，若依据所述当前参数验证所述Token有效，则确定物联网设备通过认证；当所述服务请求未携带所述Token，或者当验证所述Token无效，则触发所述物联网设备发起安全加固双向身份认证和/或安全加固权限认证，在所述物联网设备和所述Master通过已部署的安全加固双向身份认证、和/或所述物联网设备通过已部署的安全加固权限认证，则确定物联网设备通过认证；其中，所述物联网设备通过已部署的安全加固权限认证是指：所述服务请求携带的密钥操作标识满足针对所述物联网设备配置的密钥操作权限，所述服务请求携带的数据加密区类型满足针对所述物联网设备配置的数据加密区操作权限。3.根据权利要求2所述的方法，其特征在于，所述物联网设备和所述Master通过已部署的安全加固双向身份认证是基于以下步骤确定：生成第一随机数并发送给所述物联网设备，以触发所述物联网设备生成第一凭据；所述第一凭据至少包括：所述物联网设备的身份标识和设备信息、第一时间、认证值、第一数据签名；第一时间为生成第一凭据的时间，认证值是通过对物联网设备的用户名、密码以及所述第一随机数进行指定密码算法运算得到的，第一数据签名是通过对物联网设备的身份标识和设备信息、第一时间、所述认证值以及物联网设备生成的第二随机数进行签名得到的；获得所述第一凭据并对所述第一凭据进行验证，在所述第一凭据通过验证后，生成第二凭据并返回给所述物联网设备以