物联网证书分发方法及装置、系统、存储介质、电子装置与流程

本发明涉及物联网制造领域，具体而言，涉及一种物联网证书分发方法及装置、系统、存储介质、电子装置。

背景技术：

物联网数字证书是通过特定的算法以为物联网设备生成的可信身份标识，物联网数字证书具备不可篡改、不可伪造、全球唯一等安全属性，故可对物联网设备实现安全的身份验证，提供设备间的互信能力，保证设备间连接的安全、可信。相关技术中，在未连接网络、云端的状态下，物联网设备之间的身份互信、互联以及连接安全性的保证均依赖于物联网数字证书的实现，因此，物联网数字证书是目前实现万物互联、服务流转的关键基础设施。

上述物联网数字证书的分发是从数字证书证书注册子系统(certificateauthority，ca)获取证书，然后在产线逐个烧写至物联网终端，并保证物联网证书在此过程中不被泄露，不被滥用，不被重用。通常而言，相关技术中会在物联网设备的生产场所建设生产证书注册子系统，并在生产过程中，由物联网设备生成公私钥对，物联网设备保存私钥，在线提交内容安全策略(contentsecuritypolicy，csp)至证书注册子系统签发数字证书，以令物联网终端接收到数字证书后进行保存。然而，由于现有的物联网设备生产线信息安全等级较低，不能满足建设证书注册子系统要求；其次，对已有的物联网设备生产线的改造难度大，成本较高。因此，目前在已有的物联网设备生产现场建设证书注册子系统难以满足实际需求。

针对上述相关技术中，在物联网设备生产现场建设证书注册子系统以签发数字证书的成本过大的问题，相关技术中尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供一种物联网证书分发方法及装置、系统、存储介质、电子装置，以至少解决相关技术中在物联网设备生产现场建设证书注册子系统以签发数字证书的成本过大的问题。

根据本发明的一个实施例，提供了一种物联网证书分发方法，应用于证书注册子系统；所述方法包括：

接收证书分发子系统上传的证书生成请求信息，其中，所述证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；

根据所述证书生成请求信息生成所述物联网设备对应的物联网证书，并根据预设的第一加密信息对所述物联网证书进行加密；

将加密后的所述物联网证书发送至所述证书分发子系统，以指示所述证书分发子系统根据所述第一加密信息对加密后的所述物联网证书进行解密以得到所述物联网证书，并将所述物联网证书分发至所述物联网设备。

根据本发明的另一个实施例，还提供了一种物联网证书分发方法，应用于证书分发子系统；所述方法包括：

上传证书生成请求信息至证书注册子系统，以指示所述证书注册子系统根据所述证书生成请求信息生成所述物联网设备对应的物联网证书；其中，所述证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；

接收所述证书注册子系统根据预设的第一加密信息对所述物联网证书进行加密后的物联网证书，并根据所述第一加密信息对加密后的所述物联网证书进行解密以得到所述物联网证书；

将所述物联网证书分发至所述物联网设备。

根据本发明的另一个实施例，还提供了一种物联网证书分发系统，包括：

证书注册子系统，配置为接收证书分发子系统上传的证书生成请求信息，并根据所述证书生成请求信息生成所述物联网设备对应的物联网证书；其中，所述证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；所述证书注册子系统还配置为，根据预设的第一加密信息对所述物联网证书进行加密，并将加密后的所述物联网证书发送至所述证书分发子系统；

所述证书分发子系统，配置为根据所述第一加密信息对加密后的所述物联网证书进行解密以得到所述物联网证书，并将所述物联网证书分发至所述物联网设备。

根据本发明的另一个实施例，还提供了一种物联网证书分发装置，设置于证书注册子系统；所述装置包括：

第一接收模块，用于接收证书分发子系统上传的证书生成请求信息，其中，所述证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；

生成模块，用于根据所述证书生成请求信息生成所述物联网设备对应的物联网证书，并根据预设的第一加密信息对所述物联网证书进行加密；

发送模块，用于将加密后的所述物联网证书发送至所述证书分发子系统，以指示所述证书分发子系统根据所述第一加密信息对加密后的所述物联网证书进行解密以得到所述物联网证书，并将所述物联网证书分发至所述物联网设备。

根据本发明的另一个实施例，还提供了一种物联网证书分发装置，设置于证书分发子系统；所述装置包括：

请求模块，用于上传证书生成请求信息至证书注册子系统，以指示所述证书注册子系统根据所述证书生成请求信息生成所述物联网设备对应的物联网证书；其中，所述证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；

第二接收模块，用于接收所述证书注册子系统根据预设的第一加密信息对所述物联网证书进行加密后的物联网证书，并根据所述第一加密信息对加密后的所述物联网证书进行解密以得到所述物联网证书；

分发模块，用于将所述物联网证书分发至所述物联网设备。

根据本发明的另一个实施例，还提供了一种计算机可读的存储介质，所述计算机可读的存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本发明的另一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

通过本发明实施例，由于可通过证书注册子系统接收证书分发子系统上传的携带有需要请求物联网证书的物联网设备的标识的证书生成请求信息，以进一步根据证书生成请求信息生成物联网设备对应的物联网证书，并根据预设的第一加密信息对物联网证书进行加密，进而将加密后的物联网证书发送至证书分发子系统，以指示证书分发子系统根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，并将物联网证书分发至物联网设备。

以此，通过证书注册子系统与证书分发子系统之间的交互，证书注册子系统可不再局限于建设在物联网设备的生产现场，而是可建设在任意区域，例如，云端等。因此，本发明实施例可以解决相关技术中在物联网设备生产现场建设证书注册子系统以签发数字证书的成本过大的问题，以达到可便捷的建设证书注册子系统进而实现数字证书签发的效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例提供的物联网证书分发方法的流程图(一)；

图2是根据本发明示例性实施例提供的物联网证书分发方法的交互示意图；

图3是根据本发明实施例提供的物联网证书分发方法的流程图(二)；

图4是根据本发明实施例提供的物联网证书分发系统的系统示意图；

图5是根据本发明实施例提供的物联网证书分发装置的结构框图(一)；

图6是根据本发明实施例提供的物联网证书分发装置的结构框图(二)。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

一方面，本发明实施例提供了一种物联网证书分发方法，应用于证书注册子系统；图1是根据本发明实施例提供的物联网证书分发方法的流程图(一)，如图1所示，本发明实施例中的物联网证书分发方法包括：

s102，证书注册子系统接收证书分发子系统上传的证书生成请求信息，其中，证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识。

本发明实施例中，证书注册子系统可实现物联网证书的批审、注册、生成、发放、归档、撤销等功能，证书注册子系统即可构成认证中心。证书注册子系统包括证书注册子系统实体，例如，用于进行证书注册以及相关服务的服务器等，以及相应的管理系统。在一示例中，证书注册子系统可部署于云端，即将证书注册子系统部署于云服务器中，以对任意一生产现场对应的物联网设备进行物联网证书的批审、发放、归档、撤销等；在另一示例中，证书注册子系统可部署于生产现场所在的区域，例如，在多个生产现场所在区域部署一个证书注册子系统，以对该多个生产现场对应的物联网设备进行物联网证书的批审、注册、生成、发放、归档、撤销等。

证书分发子系统设置于生产现场，通常而言，证书分发子系统搭载于生产现场的笔记本电脑、台式电脑等具有计算与交互功能的智能终端中。证书分发子系统一方面可通过有线通信或无线通信的方式连接生产现场的物联网设备，另一方面可通过网络连接证书注册子系统，以此实现对生产现场的物联网设备对应的物联网证书的管理。

上述步骤s102中，证书分发子系统可预先获取需要请求物联网证书的物联网设备的标识，并将上述标识携带于证书生成请求消息中发送至证书注册子系统。需要说明的是，证书生成请求消息中携带的标识可以为多个，即证书分发子系统可一次向证书注册子系统请求多个物联网设备对应的物联网证书，进而实现物联网证书的批量申请。上述标识可以为物联网设备的mac地址。

需要说明的是，证书分发子系统是预先通过证书注册子系统认证的证书分发子系统。证书注册子系统对证书分发子系统的认证，可在上述步骤s102之前，执行以下操作得以实现：

响应于用户发起的认证请求生成认证许可，并下发认证许可至证书分发子系统，以指示证书分发子系统根据认证许可进行认证；其中，认证许可用于指示证书注册子系统对证书分发子系统完成认证。

需要说明的是，上述认证请求可以由用户直接向证书注册子系统发起，例如，向证书注册子系统的管理系统或管理人员递交申请等。证书注册子系统在接收上述认证请求后，可对该认证请求对应的证书分发子系统进行审核，在证书分发子系统符合认证要求的情形下，即可生成认证许可并下发给证书分发子系统。上述认证许可可以采用usbkey的形式，即将生产许可证书携带于usbkey中并下发给证书分发子系统，证书分发子系统在获取到usbkey后，可通过插入usbkey的方式进行认证。

s104，证书注册子系统根据证书生成请求信息生成物联网设备对应的物联网证书，并根据预设的第一加密信息对物联网证书进行加密。

本发明实施例中，证书注册子系统在接收到上述证书生成请求信息后，即可根据证书生成请求信息，以生成该证书生成请求信息中的物联网设备的标识所对应的物联网证书；需要说明的是，在证书生成请求信息中的标识为多个的情形下，物联网证书也对应为多个。

上述第一加密信息可以由公钥与私钥构成，第一加密信息可以在证书注册子系统生成上述认证许可的同时生成。在一可选实施例中，上述响应于用户发起的认证请求生成认证许可，并下发认证许可至证书分发子系统，包括：

响应于认证请求生成认证许可与第一加密信息，并下发认证许可至证书分发子系统；其中，第一加密信息包括第一公钥与第一私钥，第一公钥保存于证书注册子系统，第一私钥携带于认证许可中。

上述可选实施例中，证书注册子系统生成第一公钥与第一私钥后，即可将第一私钥携带于认证许可下发至证书分发子系统，例如，将第一私钥携带于usbkey中下发至证书分发子系统，证书分发子系统插入usbkey的过程中，即可获得的第一私钥。

在上述证书注册子系统保存有第一公钥的情形下，证书注册子系统即可通过第一公钥对于物联网证书进行加密。

需要说明的是，上述第一公钥与第一私钥可基于非对称加密算法生成。

s106，证书注册子系统将加密后的物联网证书发送至证书分发子系统，以指示证书分发子系统根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，并将物联网证书分发至物联网设备。

本发明实施例中，证书注册子系统生成对应的物联网证书并进行加密后，即可通过网络发送至证书分发子系统。证书分发子系统接收到上述加密后的物联网证书，即可通过第一加密信息对于加密后的物联网证书进行解密，以得到物联网证书。在前述证书分发子系统获得第一私钥的情形下，上述证书分发子系统根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，则可包括：

证书分发子系统根据第一私钥对加密后的物联网证书进行解密以得到物联网证书。

通过本发明实施例，由于可通过证书注册子系统接收证书分发子系统上传的携带有需要请求物联网证书的物联网设备的标识的证书生成请求信息，以进一步根据证书生成请求信息生成物联网设备对应的物联网证书，并根据预设的第一加密信息对物联网证书进行加密，进而将加密后的物联网证书发送至证书分发子系统，以指示证书分发子系统根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，并将物联网证书分发至物联网设备。

以此，本发明实施例中，通过证书注册子系统与证书分发子系统之间的交互，证书注册子系统可独立于生产现场进行部署，例如，部署于云端，以不再局限于建设在物联网设备的生产现场，进而令证书注册子系统建设过程中无需对生产现场进行改造，有效地降低了证书注册子系统的建设成本；与此同时，由于证书注册子系统可独立于生产现场进行建设，故在证书注册子系统建设过程中，也无需对于生产现场进行改造；并且，由于本发明实施例中，证书注册子系统与证书分发子系统之间的交互独立于物联网设备的生产工具进行，故后续也无需对生产现场的生产工艺进行更新，故对于物联网设备的生产效率不会造成影响，因而可有效避免证书注册子系统建设而导致的生产成本的增加。另一方面，证书注册子系统与证书分发子系统之间基于第一加密信息所进行的加密数据传输，有效保证了物联网证书传输的安全性。因此，本发明实施例可以解决相关技术中在物联网设备生产现场建设证书注册子系统以签发数字证书的成本过大的问题，以达到可便捷的建设证书注册子系统进而实现数字证书签发的效果。

在一可选实施例中，上述步骤s106中，证书分发子系统将物联网证书分发至物联网设备，包括：

证书分发子系统根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

上述可选实施例中，上述证书分发子系统向物联网设备分发物联网证书的过程中，可采用第二加密信息对物联网证书进行加密与解密，以进一步保证物联网证书传输的安全性。在一可选实施例中，上述第二加密信息由物联网设备响应于生产工具发起的烧写请求生成；其中，第二加密信息包括第二公钥与第二私钥，第二公钥由物联网设备上传至证书分发子系统，第二私钥保存于物联网设备。

上述可选实施例中，生产工具为用于生产物联网设备的生产工具实体以及对该生产工具实体进行管理的管理系统构成，烧写请求通常可由生产工具中的管理系统发起，并发送至相应的物联网设备；该烧写请求即用于指示生产工具请求向物联网设备烧写物联网证书。物联网设备根据上述烧写请求即可生成第二公钥与第二私钥。物联网设备生成上述第二公钥与第二私钥后，即可上传第二公钥与设备标识至证书分发子系统，该设备标识即指示该物联网设备。

证书分发子系统接收物联网设备上传的第二公钥与设备标识后，即可根据设备标识选取该设备标识所指示的物联网设备对应的物联网证书，并根据第二公钥对该物联网证书进行加密，以将完成加密后的物联网证书分发至物联网设备。上述设备标识可以为物联网设备的mac地址。

物联网设备则可根据第二私钥对加密后的物联网证书进行解密，并将解密后得到的物联网证书保存于物联网设备中，以此完成物联网证书的烧写。

为进一步描述本发明实施例中的物联网证书分发方法，以下通过一示例性实施例进行阐述：

图2是根据本发明示例性实施例提供的物联网证书分发方法的交互示意图，如图2所示，本示例性实施例中的物联网证书分发方法的工作流程如下：

s201，物联网设备的生产人员向证书注册子系统申请生产许可。

s202，证书注册子系统的管理员审核生产许可申请，通过审核后，为申请者账号配置生产许可授予权限，颁发生产许可，即内置生产许可数字证书的usbkey；需要说明的是，证书注册子系统对应生成有生产许可公私钥对pubkey1与prikey1，pubkey1保存于证书注册子系统，prikey1携带于上述usbkey中。

s203，生产人员收到生产许可数字证书usbkey。

s204，生产人员在证书分发子系统的主机插入usbkey，配置网络且启动服务。

s205，生产人员提交待生产的物联网设备id，并申请设备对应的物联网证书。

s206，证书注册子系统根据申请进行审核，审核通过后，使用预先生成的申请者生产许可证书的公钥pukkey1对物联网证书加密，以得到加密文件f1。

s207，生产人员通过生产工具从证书注册系统下载加密文件f1。

s208，生产人员将加密文件f1导入分发服务子系统，并启动证书的分发服务。

s209，生产工具向物联网设备发送烧写证书请求。

s210，物联网设备根据烧写证书请求生成设备证书传输公私钥对pubkey2与prikey2。

s211，物联网设备返回设备id和设备证书传输公钥pubkey2。

s212，证书分发子系统通过设备id查询设备证书，然后使用生产许可私钥prikey1解密加密文件f1，解密后的文件为设备id对应的物联网证书；

s213，证书分发子系统使用设备证书传输公钥pubkey2加密物联网证书，以得到加密文件f2；

s214，证书分发子系统返回加密文件f2至物联网设备；

s215，物联网设备使用设备证书传输私钥prikey2解密加密文件f2，解密后的文件即为物联网证书，物联网设备将物联网证书导入安全存储区域。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

另一方面，本发明实施例还提供了一种物联网证书分发方法，应用于证书分发子系统；图3是根据本发明实施例提供的物联网证书分发方法的流程图(二)，如图3所示，本发明实施例中的物联网证书分发方法包括：

s302，上传证书生成请求信息至证书注册子系统，以指示证书注册子系统根据证书生成请求信息生成物联网设备对应的物联网证书；其中，证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；

s304，接收证书注册子系统根据预设的第一加密信息对物联网证书进行加密后的物联网证书，并根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书；

s306，将物联网证书分发至物联网设备。

需要说明的是，本发明实施例中的物联网证书分发方法的其余可选实施例及技术效果均与前述应用于证书注册子系统的物联网证书分发方法相对应，故在此不再赘述。

在一可选实施例中，上述步骤s302中，上传证书生成请求信息至证书注册子系统之前，还包括：

根据证书注册子系统下发的认证许可进行认证；其中，认证许可由证书注册子系统响应于用户发起的认证请求生成，认证许可用于指示证书注册子系统对证书分发子系统完成认证。

在一可选实施例中，上述第一加密信息由证书注册子系统根据认证请求生成；其中，第一加密信息包括第一公钥与第一私钥，第一公钥保存于证书注册子系统，第一私钥携带于认证许可中以下发至证书分发子系统。

在一可选实施例中，上述步骤s304中，接收证书注册子系统根据预设的第一加密信息对物联网证书进行加密后的物联网证书，并根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，包括：

接收证书注册子系统根据第一公钥对物联网证书进行加密后的物联网证书，并根据第一私钥对加密后的物联网证书进行解密以得到物联网证书。

在一可选实施例中，上述步骤s306中，将物联网证书分发至物联网设备，包括：

根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

在一可选实施例中，上述根据预设的第二加密信息对物联网证书进行加密之前，还包括：

由物联网设备响应于生产工具发起的烧写请求生成第二加密信息；其中，第二加密信息包括第二公钥与第二私钥；第二私钥保存于物联网设备；

接收物联网设备上传的第二公钥，其中，设备标识用于指示物联网设备。

在一可选实施例中，上述根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存，包括：

根据设备标识选取对应的物联网证书，并根据第二公钥对物联网证书进行加密；

将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二私钥对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

在一可选实施例中，上述证书注册子系统设置在云服务器中。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

另一方面，本发明实施例还提供了一种物联网证书分发系统，图4是根据本发明实施例提供的物联网证书分发系统的系统示意图，如图4所示，本发明实施例中的物联网证书分发系统包括：

证书注册子系统402，配置为接收证书分发子系统上传的证书生成请求信息，并根据证书生成请求信息生成物联网设备406对应的物联网证书；其中，证书生成请求信息中携带有需要请求物联网证书的物联网设备406的标识；证书注册子系统402还配置为，根据预设的第一加密信息对物联网证书进行加密，并将加密后的物联网证书发送至证书分发子系统404；

证书分发子系统404，配置为根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，并将物联网证书分发至物联网设备406。

需要说明的是，本发明实施例中的物联网证书分发系统的其余可选实施例及技术效果均与前述应用于证书注册子系统的物联网证书分发方法相对应，故在此不再赘述。

在一可选实施例中，上述证书注册子系统402还配置为：

响应于用户发起的认证请求生成认证许可，并下发认证许可至证书分发子系统，以指示证书分发子系统根据认证许可进行认证；其中，认证许可用于指示证书注册子系统对证书分发子系统完成认证。

在一可选实施例中，上述响应于用户发起的认证请求生成认证许可，并下发认证许可至证书分发子系统，包括：

响应于认证请求生成认证许可与第一加密信息，并下发认证许可至证书分发子系统；其中，第一加密信息包括第一公钥与第一私钥，第一公钥保存于证书注册子系统，第一私钥携带于认证许可中。

在一可选实施例中，上述根据预设的第一加密信息对物联网证书进行加密，包括：根据第一公钥对物联网证书进行加密；

上述证书分发子系统402还配置为：根据第一私钥对加密后的物联网证书进行解密以得到物联网证书。

在一可选实施例中，上述证书分发子系统404还配置为：

根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

在一可选实施例中，上述根据预设的第二加密信息对物联网证书进行加密之前，还包括：

由物联网设备响应于生产工具408发起的烧写请求生成第二加密信息；其中，第二加密信息包括第二公钥与第二私钥；第二私钥保存于物联网设备；

接收物联网设备406上传的第二公钥，其中，设备标识用于指示物联网设备。

在一可选实施例中，上述根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存，包括：

根据设备标识选取对应的物联网证书，并根据第二公钥对物联网证书进行加密；

将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二私钥对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

在一可选实施例中，上述证书注册子系统设置在云服务器中。

另一方面，本发明实施例还提供了一种物联网证书分发装置，设置于证书注册子系统；该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图5是根据本发明实施例提供的物联网证书分发装置的结构框图(一)，如图5所示，本发明实施例中的物联网证书分发装置包括：

第一接收模块502，用于接收证书分发子系统上传的证书生成请求信息，其中，证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；

生成模块504，用于根据证书生成请求信息生成物联网设备对应的物联网证书，并根据预设的第一加密信息对物联网证书进行加密；

发送模块506，用于将加密后的物联网证书发送至证书分发子系统，以指示证书分发子系统根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，并将物联网证书分发至物联网设备。

需要说明的是，本发明实施例中的物联网证书分发装置的其余可选实施例及技术效果均与前述应用于证书注册子系统的物联网证书分发方法相对应，故在此不再赘述。

在一可选实施例中，上述接收证书分发子系统上传的证书生成请求信息之前，还包括：

响应于用户发起的认证请求生成认证许可，并下发认证许可至证书分发子系统，以指示证书分发子系统根据认证许可进行认证；其中，认证许可用于指示证书注册子系统对证书分发子系统完成认证。

在一可选实施例中，上述响应于用户发起的认证请求生成认证许可，并下发认证许可至证书分发子系统，包括：

响应于认证请求生成认证许可与第一加密信息，并下发认证许可至证书分发子系统；其中，第一加密信息包括第一公钥与第一私钥，第一公钥保存于证书注册子系统，第一私钥携带于认证许可中。

在一可选实施例中，上述根据预设的第一加密信息对物联网证书进行加密，包括：根据第一公钥对物联网证书进行加密；

将加密后的物联网证书发送至证书分发子系统，以指示证书分发子系统根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，包括：

将加密后的物联网证书发送至证书分发子系统，以指示证书分发子系统根据第一私钥对加密后的物联网证书进行解密以得到物联网证书。

在一可选实施例中，上述证书分发子系统将物联网证书分发至物联网设备，包括：

证书分发子系统根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

在一可选实施例中，上述第二加密信息由物联网设备响应于生产工具发起的烧写请求生成；其中，第二加密信息包括第二公钥与第二私钥，第二公钥由物联网设备上传至证书分发子系统，第二私钥保存于物联网设备。

在一可选实施例中，上述证书分发子系统根据预设的第二加密信息对物联网证书进行加密，包括：证书分发子系统接收物联网设备上传的第二公钥与设备标识，根据设备标识选取对应的物联网证书，并根据第二公钥对物联网证书进行加密；其中，设备标识用于指示物联网设备；

物联网设备根据第二加密信息对加密后的物联网设备进行解密，包括：物联网设备根据第二私钥对加密后的物联网设备进行解密。

在一可选实施例中，上述证书注册子系统设置在云服务器中。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

另一方面，本发明实施例还提供了一种物联网证书分发装置，设置于证书分发子系统；该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本发明实施例提供的物联网证书分发装置的结构框图(二)，如图6所示，本发明实施例中的物联网证书分发装置包括：

请求模块602，用于上传证书生成请求信息至证书注册子系统，以指示证书注册子系统根据证书生成请求信息生成物联网设备对应的物联网证书；其中，证书生成请求信息中携带有需要请求物联网证书的物联网设备的标识；

第二接收模块604，用于接收证书注册子系统根据预设的第一加密信息对物联网证书进行加密后的物联网证书，并根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书；

分发模块606，用于将物联网证书分发至物联网设备。

需要说明的是，本发明实施例中的物联网证书分发装置的其余可选实施例及技术效果均与前述应用于证书分发子系统的物联网证书分发方法相对应，故在此不再赘述。

在一可选实施例中，上述上传证书生成请求信息至证书注册子系统之前，还包括：

根据证书注册子系统下发的认证许可进行认证；其中，认证许可由证书注册子系统响应于用户发起的认证请求生成，认证许可用于指示证书注册子系统对证书分发子系统完成认证。

在一可选实施例中，上述第一加密信息由证书注册子系统根据认证请求生成；其中，第一加密信息包括第一公钥与第一私钥，第一公钥保存于证书注册子系统，第一私钥携带于认证许可中以下发至证书分发子系统。

在一可选实施例中，上述接收证书注册子系统根据预设的第一加密信息对物联网证书进行加密后的物联网证书，并根据第一加密信息对加密后的物联网证书进行解密以得到物联网证书，包括：

接收证书注册子系统根据第一公钥对物联网证书进行加密后的物联网证书，并根据第一私钥对加密后的物联网证书进行解密以得到物联网证书。

在一可选实施例中，上述将物联网证书分发至物联网设备，包括：

根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

在一可选实施例中，上述根据预设的第二加密信息对物联网证书进行加密之前，还包括：

由物联网设备响应于生产工具发起的烧写请求生成第二加密信息；其中，第二加密信息包括第二公钥与第二私钥；第二私钥保存于物联网设备；

接收物联网设备上传的第二公钥，其中，设备标识用于指示物联网设备。

在一可选实施例中，上述根据预设的第二加密信息对物联网证书进行加密，并将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二加密信息对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存，包括：

根据设备标识选取对应的物联网证书，并根据第二公钥对物联网证书进行加密；

将加密后的物联网证书分发至物联网设备，以指示物联网设备根据第二私钥对加密后的物联网设备进行解密，并对解密后的物联网证书进行保存。

在一可选实施例中，上述证书注册子系统设置在云服务器中。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

另一方面，本发明实施例还提供了一种计算机可读的存储介质，该计算机可读的存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

可选地，在本发明实施例中，上述计算机可读的存储介质可以被设置为存储用于执行上述实施例中的计算机程序。

可选地，在本发明实施例中，上述计算机可读的存储介质可以包括但不限于：u盘、只读存储器(read-onlymemory，简称为rom)、随机存取存储器(randomaccessmemory，简称为ram)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

另一方面，本发明实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本发明实施例中，上述处理器可以被设置为通过计算机程序执行上述实施例中的步骤。

可选地，本发明实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。