获取设备证书的系统、方法、装置及存储介质与流程

本申请涉及获取设备证书的系统、方法、装置及存储介质，属于通信技术领域。

背景技术

为了提高嵌入式终端产品的网络安全和产品使用安全，通常会在终端产品中植入加密芯片。终端在提供某一业务之前，需要将设备证书导入加密芯片，该设备证书用于对该业务进行认证和/或加密。

目前，获取设备证书的过程一般为：由生产人员控制终端相配套的控制软件向该终端发送控制信令，终端触发内部安装的加密芯片生成用户请求证书，并将该用户请求证书发送至控制软件；生产人员通过控制软件导出用户请求证书，并将该用户请求证书通过证书签名服务器的配套软件发送至证书签名服务器，由证书签名服务器对该用户请求证书进行签名，得到设备证书。

然而，用户请求证书的导出、用户请求证书的签名都需要生产人员执行，设备证书的获取过程效率较低。

技术实现要素：

本申请提供了一种获取设备证书的系统、方法、装置及存储介质，可以解决人工导出用户请求证书，并人工将用户请求证书发送至证书签名服务器进行签名，再将签名得到的设备证书人工导入终端的加密芯片中，导致设备证书的获取效率较低的问题。本申请提供如下技术方案：

第一方面，提供了一种获取设备证书的系统，所述系统包括：

客户端生产工具，用于向终端发送证书生成指令；

所述终端，用于获取所述证书生成指令；根据所述证书生成指令生成用户请求证书；并将所述用户请求证书通过所述客户端生产工具发送至证书签名服务器；

所述证书签名服务器，用于获取通过所述客户端生产工具转发的所述用户请求证书；对所述用户请求证书进行签名，得到设备证书；将所述设备证书通过所述客户端生产工具发送至所述终端；

所述终端，还用于获取所述客户端生产工具转发的所述设备证书；并将所述设备证书导入所述终端中的加密芯片，所述设备证书用于供所述终端对目标业务进行认证和/或加密。

可选地，所述系统还包括生产管理服务器；

所述终端，用于在生成所述用户请求证书之后，将所述用户请求证书发送至所述客户端生产工具；

所述客户端生产工具，还用于接收所述用户请求证书；并将所述用户请求证书发送至所述生产管理服务器；

所述生产管理服务器，用于接收所述用户请求证书；并将所述用户请求证书发送至所述证书签名服务器。

可选地，所述客户端生产工具，还用于通过用户界面接收第一身份信息；将所述第一身份信息发送至所述生产管理服务器；

所述生产管理服务器，还用于对所述第一身份信息进行验证；在验证通过后，向所述客户端生产工具发送第一验证通过通知；所述第一验证通过通知用于指示具有所述第一身份信息的生产人员具有登录所述生产管理服务器的权限。

可选地，所述生产管理服务器，还用于向所述证书签名服务器发送第二身份信息；

所述证书签名服务器，还用于对所述第二身份信息进行验证；在验证通过后，开启对所述生产管理服务器发送的所述用户请求证书进行签名的权限。

可选地，所述终端，还用于向所述客户端生产工具发送第三身份信息；

所述客户端生产工具，还用于对所述第三身份信息进行验证；在验证通过后，控制所述终端获取所述设备证书。

可选地，所述客户端生产工具，还用于：

显示证书获取控件；

在接收到作用于所述证书获取控件上的触发操作时，生成所述证书生成指令，并触发执行所述向终端发送证书生成指令的步骤。

可选地，所述客户端生产工具，还用于：

向所述终端和所述证书签名服务器发送待签名的用户请求证书的证书类型。

可选地，所述证书类型为以下类型中的至少一种：标准安全传输层协议tls加密签名证书、国密tls加密签名证书和网页web使用的基于安全套接字层的超文本传输协议https认证ca站点证书。

第二方面，提供了一种获取设备证书的方法，所述方法包括：

获取客户端生产工具发送的证书生成指令；

根据所述证书生成指令生成用户请求证书；

将所述用户请求证书通过所述客户端生产工具发送至证书签名服务器，所述用户请求证书用于供所述证书签名服务器进行签名，得到设备证书；

获取所述客户端生产工具转发的所述设备证书；

将所述设备证书导入加密芯片，所述设备证书用于供所述终端对目标业务进行认证和/或加密。

第三方面，提供了一种获取设备证书的方法，所述方法包括：

向终端发送证书生成指令；

获取所述终端根据所述证书生成指令生成的用户请求证书；

将所述用户请求证书发送至证书签名服务器，所述用户请求证书用于供所述证书签名服务器进行签名，得到设备证书；

获取所述设备证书；

将所述设备证书转发至所述终端，所述设备证书用于供所述终端对目标业务进行认证和/或加密。

第四方面，提供了一种获取设备证书的装置，所述装置包括：

指令获取模块，用于获取客户端生产工具发送的证书生成指令；

证书生成模块，用于根据所述证书生成指令生成用户请求证书；

证书发送模块，用于将所述用户请求证书通过所述客户端生产工具发送至证书签名服务器，所述用户请求证书用于供所述证书签名服务器进行签名，得到设备证书；

证书获取模块，用于获取所述客户端生产工具转发的所述设备证书；

证书导入模块，用于将所述设备证书导入加密芯片，所述设备证书用于供所述终端对目标业务进行认证和/或加密。

第五方面，提供了一种获取设备证书的装置，所述装置包括：

指令发送模块，用于向终端发送证书生成指令；

第一获取模块，用于获取所述终端根据所述证书生成指令生成的用户请求证书；

第一发送模块，用于将所述用户请求证书发送至证书签名服务器，所述用户请求证书用于供所述证书签名服务器进行签名，得到设备证书；

第二获取模块，用于获取所述设备证书；

第二发送模块，用于将所述设备证书转发至所述终端，所述设备证书用于供所述终端对目标业务进行认证和/或加密。

第六方面，提供一种终端，所述终端包括处理器和存储器；所述存储器中存储有程序，所述程序由所述处理器加载并执行以实现第二方面所述的获取设备证书的方法。

第七方面，提供一种计算机设备。所述计算机设备包括处理器和存储器；所述存储器中存储有程序，所述程序由所述处理器加载并执行以实现第三方面所述的获取设备证书的方法。

第八方面，提供一种计算机可读存储介质，所述存储介质中存储有程序，所述程序由所述处理器加载并执行以实现第二方面或第三方面所述的获取设备证书的方法。

本申请的有益效果在于：在需要获取终端的设备证书时，通过客户端生产工具自动向终端发送证书生成指令，以触发终端根据该证书生成指令生成用户请求证书；并将该用户请求证书通过客户端生产工具发送至证书签名服务器，以触发证书签名服务器对该用户请求证书签名得到设备证书，然后通过客户端生产工具将设备证书发送至终端，由终端将该设备证书导入内部安装的加密芯片；可以解决人工从终端中导出用户请求证书，且人工将设备证书的导入终端的加密芯片中时，设备证书获取效率较低的问题；由于仅需要通过控制客户端生产工具发送证书生成指令，即可实现设备证书的自动签发且自动导入至终端，因此，可以提高设备证书的获取效率。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，并可依照说明书的内容予以实施，以下以本申请的较佳实施例并配合附图详细说明如后。

附图说明

图1是本申请一个实施例提供的获取设备证书的系统的结构示意图；

图2是本申请一个实施例提供的获取设备证书的方法的流程图；

图3是本申请一个实施例提供的客户端生产工具的用户界面的示意图；

图4是本申请另一个实施例提供的获取设备证书的方法的流程图；

图5是本申请另一个实施例提供的获取设备证书的方法的流程图；

图6是本申请一个实施例提供的获取设备证书的装置的框图；

图7是本申请一个实施例提供的获取设备证书的装置的框图；

图8是本申请一个实施例提供的终端的框图；

图9是本申请一个实施例提供的计算机设备的框图。

具体实施方式

下面结合附图和实施例，对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请，但不用来限制本申请的范围。

首先，对本申请涉及的若干名词进行介绍。

认证机构(certificationauthority，ca)：是负责签发证书、认证证书、管理已颁发证书的机构，是pki(publickeyinfrastructure，公钥基础设施)的核心。ca用于制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。ca拥有一个证书(内含公钥)和私钥。用户通过验证ca的签字从而信任ca，任何人都可以得到ca的证书(含公钥)，用以验证它所签发的证书。可选地，本申请中，ca设置有证书签名服务器，ca通过该证书签名服务器来签发证书。

设备证书：用于标识终端的身份是经过认证机构认证的。可选地，获取到设备证书的终端才能通过其他终端的认证，从而与其他终端进行通信。示意性地，设备证书包括：序列号(证书的唯一标识)和ca的公钥。当然，设备证书还可以包括其他信息，比如：主题(用于表示被认证的实体)、签名算法、颁发机构、生效日期、过期日期、用途等。

可选地，设备证书也可以称为数字证书、加密证书等，本实施例不对设备证书的名称作限定。

用户请求证书：用于请求签名认证服务器颁发设备证书的文件。示意性地，用户请求证书包括公钥和申请人信息，比如：网站名、邮件地址、公司信息等。

可选地，用户请求证书也可以称为签名请求文件、用户证书等，本实施例不对设备证书的名称作限定。

图1是本申请一个实施例提供的获取设备证书的系统的结构示意图，如图1所示，该系统至少包括：客户端生产工具110、终端120和证书签名服务器130。

客户端生产工具110可以运行于台式计算机、个人计算机、手机、可穿戴式设备等具有通信功能的设备中。客户端生产工具110用于控制终端120进行设备证书的自动签发和/或安全导入控制。示意性地，客户端生产工具110用于向终端120发送证书生成指令，该证书生成指令用于触发终端120生成用户请求证书。

当然，客户端生产工具110还可以具有其他功能，比如：对终端120中运行的应用程序进行烧录加载、定义终端120的产品型号、对终端120中的硬件组件进行功能测试、以及终端120出厂时的初始化配置，比如：证书、初始化默认值等。

可选地，客户端生产工具110与终端120之间通过有线或无线网络建立通信连接。

终端120可以是台式计算机、个人计算机、手机、可穿戴式设备等电子设备。终端120中安装有第一加密芯片121，该第一加密芯片121用于生成私钥和用户请求证书、存储终端120的设备证书。其中，私钥可以用于对用户请求证书进行加密。

可选地，终端120在出厂前需要获取到设备证书，此时，终端120获取客户端生产工具110发送的证书生成指令；根据证书生成指令生成用户请求证书；并将用户请求证书通过客户端生产工具110发送至证书签名服务器130。

可选地，终端120将用户请求证书通过客户端生产工具110发送至证书签名服务器130的方式包括但不限于以下几种：

第一种方式：客户端生产工具110与证书签名服务器130之间建立有通信连接。终端120在生成用户请求证书之后，将用户请求证书发送至客户端生产工具110；客户端生产工具110接收该用户请求证书；并将用户请求证书发送至证书签名服务器130。

由于生产者(使用客户端生产工具110的用户)具有与证书签名服务器通信的权限，因此，终端120与证书签名服务器130之间的通信内容需要通过客户端生产工具110的转发。

可选地，客户端生产工具110与证书签名服务器130之间通过局域网相连。

第二种方式：系统中还设置有生产管理服务器140，客户端生产工具110与生产管理服务器140之间建立有通信连接、生产管理服务器140与证书签名服务器130之间建立有通信连接。终端120在生成用户请求证书之后，将用户请求证书发送至客户端生产工具110；客户端生产工具110接收用户请求证书；并将该用户请求证书发送至生产管理服务器140；生产管理服务器140接收用户请求证书，并将用户请求证书发送至证书签名服务器130。

可选地，生产管理服务器140可以是独立的服务器主机；或者，也可以是多个服务器构成的服务器集群，本实施对此不作限定。可选地，生产管理服务器140还具有记录设备证书的签发过程的功能。当然，生产管理服务器140还可以具有其他功能，比如：记录终端120的生产详细信息(如：生产人员的信息、生产时间、设备型号等)、终端120的功能测试结果、终端120是否为合格产品、终端120是否符合出厂标准等。

可选地，客户端生产工具110、生产管理服务器140与证书签名服务器130之间通过局域网相连。

可选地，终端120中运行有至少一种应用程序，该应用程序可以为用户提供至少一种业务。可选地，应用程序可以是终端120出厂时默认安装的；或者，也可以是用户在使用过程中安装的，本实施例对此不作限定。

示意性地，终端120中运行有视频会议应用，该视频会议应用可以为用户提供视频会议业务，此时，终端120也可以称为视频会议终端、嵌入式的视频会议终端等，本实施例不对终端120的名称作限定。当然，终端120中也可以运行有其他应用程序，本实施例不对终端120中运行的应用程序的类型作限定。以终端120为视频会议终端为例，终端120主要用于将实时采集到的视频图像、语音和相关的数据信息进行采集、压缩编码、多路复用后发送到指定传输信道，并同时接收到对端的视频图像、语言和数据信息进行分解、解码，还原成为对端的图像、语音和数据，以及其他视频会议中的辅助功能，如会控，升级，维护管理等。

证书签名服务器130可以为独立的服务器主机；或者，是由多个服务器主机构成的服务器集群。证书签名服务器130用于对接收到的用户请求证书进行签名。示意性地，证书签名服务器130中安装有第二加密芯片131，证书签名服务器130调用第二加密芯片131中的ca私钥和ca根证书对用户请求证书进行签名，得到设备证书；并将该设备证书通过客户端生产工具110发送至终端120。

需要补充说明的是，本实施例仅以终端120的数量为一个为例进行说明，在实际实现时，终端120可以为多个，比如：成千上万个，本实施例不对终端120的数量作限定。

图2是本申请一个实施例提供的获取设备证书的方法的流程图，本实施例以该的方法应用于图1所示的获取设备证书的系统中为例进行说明。该方法至少包括以下几个步骤：

步骤201，客户端生产工具向终端发送证书生成指令。

可选地，显示证书获取控件；在接收到作用于证书获取控件上的触发操作时，生成证书生成指令，并向终端发送证书生成指令的步骤。这样，用户只需要在用户界面中点击证书获取控件，就可以一键获取终端的设备证书。

参考图3所示的客户端生产工具显示的用户界面300，该用户界面300中显示有证书获取控件301；接收到作用于证书获取控件301上的触发操作后，客户端生产工具生成证书生成指令，并将证书生成指令发送至终端。

步骤202，终端获取证书生成指令。

步骤203，终端根据证书生成指令生成用户请求证书。

可选地，终端根据证书生成指令触发第一加密芯片生成私钥和用户请求证书。

可选地，终端生成该用户请求证书之后，使用生成的私钥对该用户请求证书进行加密。

步骤204，终端将用户请求证书通过客户端生产工具发送至证书签名服务器。

可选地，若系统中还包括生产管理服务器，则终端在生成用户请求证书之后，将用户请求证书发送至客户端生产工具；客户端生产工具接收用户请求证书；并将用户请求证书发送至生产管理服务器；生产管理服务器接收用户请求证书；并将用户请求证书发送至证书签名服务器。

可选地，若客户端生产工具与证书签名服务器之间建立有通信连接，则终端在生成用户请求证书之后，将用户请求证书发送至客户端生产工具；客户端生产工具接收用户请求证书；并将用户请求证书发送至证书签名服务器。

客户端生产工具获取用户请求证书的方式包括但不限于以下几种：

第一种：终端在生成用户请求证书之后，向客户端生产工具发送获取指令；相应地，客户端生产工具接收获取指令；并根据获取指令从终端中获取用户请求证书。

第二种：客户端生产工具发送证书生成指令之后，每隔预设时长检测终端是否生成用户请求证书；在检测出终端生成用户请求证书时从终端中获取用户请求证书。

步骤205，证书签名服务器获取通过客户端生产工具转发的用户请求证书。

步骤206，证书签名服务器对用户请求证书进行签名，得到设备证书。

可选地，证书签名服务器调用安装的第二加密芯片中的ca私钥和ca根证书对用户请求证书进行签名，得到设备证书。

步骤207，证书签名服务器将设备证书通过客户端生产工具发送至终端。

可选地，若系统中还包括生产管理服务器，则证书签名服务器将设备证书发送至生产管理服务器；相应地，生产管理服务器接收该设备证书，并将该设备证书发送至客户端生产工具；客户端生产工具接收到设备证书，将该设备证书发送至终端。

可选地，若客户端生产工具与证书签名服务器之间建立有通信连接，则证书签名服务器将设备证书发送至客户端生产工具；该客户端生产工具接收到设备证书，将该设备证书发送至终端。

步骤208，终端获取客户端生产工具转发的设备证书，并将设备证书导入终端中的加密芯片。

该设备证书用于供终端对目标业务进行认证和/或加密。

可选地，在终端将设备证书导入终端中的加密芯片(即第一加密芯片)之后，向客户端生产工具发送签发结果。若系统中包括生产管理服务器，则客户端生产工具将签发结果发送至生产管理服务器；相应地，生产管理服务器存储该签发结果。

综上所述，本实施例提供的获取设备证书的方法，在需要获取终端的设备证书时，通过客户端生产工具自动向终端发送证书生成指令，以触发终端根据该证书生成指令生成用户请求证书；并将该用户请求证书通过客户端生产工具发送至证书签名服务器，以触发证书签名服务器对该用户请求证书签名得到设备证书，然后通过客户端生产工具将设备证书发送至终端，由终端将该设备证书导入内部安装的加密芯片；可以解决人工从终端中导出用户请求证书，且人工将设备证书的导入终端的加密芯片中时，设备证书获取效率较低的问题；由于仅需要通过控制客户端生产工具发送证书生成指令，即可实现设备证书的自动签发且自动导入至终端，因此，可以提高设备证书的获取效率。

可选地，上述步骤201、204和207可单独实现为客户端生产工具侧的方法实施例；步骤202、203、204和208可单独实现为终端侧的方法实施例；步骤205、206和207可单独实现为证书签名服务器侧的方法实施例。

可选地，基于上述实施例，在步骤201之前，还需要对生产人员的身份进行验证。对于不同类型的系统来说，身份验证的流程也有所不同。下面针对不同的获取设备证书的系统，对生产人员的身份验证的流程分别进行介绍。

第一种：获取设备证书的系统中包括生产管理服务器，且客户端生产工具与该生产管理服务器通过局域网通信相连。生产管理服务器具有验证在客户端生产工具中登录有用户帐号的用户的身份的功能。

示意性地，参考图4，在步骤201之前，还包括如下几个步骤：

步骤401，客户端生产工具通过用户界面接收第一身份信息。

可选地，第一身份信息为生产人员的用户帐号和登录密码；或者，第一身份信息为生产人员的身份证号码，本实施例不对第一身份信息的类型作限定。

步骤402，客户端生产工具将第一身份信息发送至生产管理服务器。

步骤403，生产管理服务器对第一身份信息进行验证。

可选地，生产管理服务器验证是否存储有与第一身份信息相匹配的已注册信息；在生产管理服务器存储有与第一身份信息相匹配的已注册信息时，确定对第一身份信息的验证通过，执行步骤404；在生产管理服务器未存储有与第一身份信息相匹配的已注册信息时，确定对第一身份信息的验证未通过，流程结束，或者，向客户端生产工具发送验证失败通知，以触发客户端生产工具再次执行步骤401。

步骤404，在验证通过后，生产管理服务器向客户端生产工具发送第一验证通过通知。

其中，第一验证通过通知用于指示具有第一身份信息的生产人员具有登录生产管理服务器的权限。

综上所述，本实施例中，通过对登录客户端生产工具的生产人员的身份进行验证，使得生产管理服务器仅转发登录有已注册信息的客户端生产工具发送的用户请求证书，可以防止其他恶意人员也登录生产管理服务器，造成证书获取过程不安全的问题；可以提高证书获取过程的安全性。

可选地，基于图4所述的实施例，客户端生产工具还可以对终端进行身份验证。此时，在步骤201之前还包括如下几个步骤：

步骤405，终端向客户端生产工具发送第三身份信息。

可选地，第三身份信息可以是终端的设备号、版本号或者终端的生产人员信息等，本实施例不对第三身份信息的类型作限定。

步骤406，客户端生产工具对第三身份信息进行验证；在验证通过后，控制终端获取设备证书。

可选地，客户端生产工具验证是否存储有第三身份信息；在客户端生产工具存储有第三身份信息时，确定对第三身份信息的验证通过；在客户端生产工具未存储有第三身份信息时，确定对第三身份信息的验证未通过，流程结束。

可选地，步骤405和406可以在步骤401-404之前执行；或者，也可以在步骤401-404之后执行；或者，还可以与步骤401和404同时执行，本实施例不对步骤405和406与步骤401-404之间的执行顺序作限定。

综上所述，本实施例中，通过由客户端生产工具对终端的身份进行验证，使得客户端生产工具只控制特定的终端(比如客户端生产工具生产的终端)获取设备证书，可以防止客户端生产工具控制恶意人员使用的终端获取设备证书，从而可以提高设备证书获取的安全性。

可选地，基于图4所述的实施例，证书签名服务器还可以对生产管理服务器进行验证。此时，在步骤201之前还包括如下几个步骤：

步骤407，生产管理服务器向证书签名服务器发送第二身份信息。

可选地，第二身份信息可以是生产管理服务器的设备号、媒体访问控制(mediaaccesscontrol或者mediumaccesscontrol，mac)地址、网际协议地址(internetprotocoladdress，ip)、证书签名服务器分配的随机字符串等，本实施例不对第二身份信息的类型作限定。

步骤408，证书签名服务器对第二身份信息进行验证；在验证通过后，开启对生产管理服务器发送的用户请求证书进行签名的权限。

可选地，证书签名服务器验证是否存储有第二身份信息；在证书签名服务器存储有第二身份信息时，确定对第二身份信息的验证通过；在证书签名服务器未存储有第二身份信息时，确定对第二身份信息的验证未通过，流程结束。

可选地，步骤407和408可以在步骤401-406之后执行；或者，也可以在步骤401-406之前执行；或者，还可以与步骤401-406同时执行，本实施例不对步骤407和408的执行时机作限定。

综上所述，本实施例中，通过由证书签名服务器对生产管理服务器进行身份验证，使得证书签名服务器只对经过验证的生产管理服务器发送的用户请求证书进行签名，可以保证签名得到的设备证书的合法性。

可选地，上述步骤201、204、207、401、402和406可单独实现为客户端生产工具侧的方法实施例；步骤202、203、204、208和405可单独实现为终端侧的方法实施例；步骤205、206、207和408可单独实现为证书签名服务器侧的方法实施例；步骤403、404和407可单独实现为生产管理服务器侧的方法实施例。

第二种：获取设备证书的系统中不包括生产管理服务器，且客户端生产工具与证书签名服务器之间通过局域网通信相连。

示意性地，参考图5，在步骤201之前，还包括如下几个步骤：

步骤501，客户端生产工具向证书签名服务器发送第四身份信息。

可选地，第四身份信息可以与第一身份信息相同；或者，也可以与第一身份信息不同，本实施例对此不作限定。

步骤502，证书签名服务器对第四身份信息进行验证；在验证通过后，开启对客户端生产工具发送的用户请求证书进行签名的权限。

可选地，证书签名服务器验证是否存储有第四身份信息；在证书签名服务器存储有第四身份信息时，确定对第四身份信息的验证通过；在证书签名服务器未存储有第四身份信息时，确定对第四身份信息的验证未通过，流程结束。

综上所述，本实施例中，通过由证书签名服务器对客户端生产工具进行身份验证，使得证书签名服务器只对经过验证的客户端生产工具发送的用户请求证书进行签名，可以保证签名得到的设备证书的合法性。

当然，本实施例中，客户端生产工具也可以对终端进行身份验证，本步骤的相关内容可参考上述步骤405和406，本申请在此不再赘述。

可选地，上述步骤201、204、207和501可单独实现为客户端生产工具侧的方法实施例；步骤202、203、204和208可单独实现为终端侧的方法实施例；步骤205、206、207和502可单独实现为证书签名服务器侧的方法实施例。

可选地，基于上述实施例，客户端生产工具还可以向终端和证书签名服务器发送待签名的用户请求证书的证书类型。该证书类型包括但不限于以下几种中的至少一种：标准安全传输层协议(transportlayersecurity，tls)加密签名证书(如：标准tls的rsa证书)、国密tls加密签名证书(如：国密tls的sm2证书)和网页(web)使用的基于安全套接字层的超文本传输协议(hypertexttransferprotocoloversecuresocketlayer，https)认证ca站点证书。

可选地，客户端生产工具发送证书类型可以在步骤201之后执行；或者，也可以在步骤201之前执行；或者，还可以与步骤201同时执行，本实施例不对客户端生产工具发送证书类型的时机作限定。

图6是本申请一个实施例提供的获取设备证书的装置的框图，本实施例以该的装置应用于图1所示的获取设备证书的系统中的终端120为例进行说明。该装置至少包括以下几个模块：指令获取模块610、证书生成模块620、证书发送模块630、证书获取模块640和证书导入模块650。

指令获取模块610，用于获取客户端生产工具发送的证书生成指令；

证书生成模块620，用于根据所述证书生成指令生成用户请求证书；

证书发送模块630，用于将所述用户请求证书通过所述客户端生产工具发送至证书签名服务器，所述用户请求证书用于供所述证书签名服务器进行签名，得到设备证书；

证书获取模块640，用于获取所述客户端生产工具转发的所述设备证书；

证书导入模块650，用于将所述设备证书导入加密芯片，所述设备证书用于供所述终端对目标业务进行认证和/或加密。

相关细节参考上述方法实施例。

图7是本申请一个实施例提供的获取设备证书的装置的框图，本实施例以该的装置应用于图1所示的获取设备证书的系统中的客户端生产工具110为例进行说明。该装置至少包括以下几个模块：

指令发送模块710，用于向终端发送证书生成指令；

第一获取模块720，用于获取所述终端根据所述证书生成指令生成的用户请求证书；

第一发送模块730，用于将所述用户请求证书发送至证书签名服务器，所述用户请求证书用于供所述证书签名服务器进行签名，得到设备证书；

第二获取模块740，用于获取所述设备证书；

第二发送模块750，用于将所述设备证书转发至所述终端，所述设备证书用于供所述终端对目标业务进行认证和/或加密。

相关细节参考上述方法实施例。

需要说明的是：上述实施例中提供的获取设备证书的装置在获取设备证书时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将获取设备证书的装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的获取设备证书的装置与获取设备证书的方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图8是本申请一个实施例提供的终端的框图，该终端可以是图1所示的终端120。终端还可能被称为视频会议终端、用户设备、便携式终端、膝上型终端、台式终端、控制终端等，本实施例对此不作限定。终端至少包括处理器810和存储器820。

处理器801可以包括一个或多个处理核心，比如：4核心处理器、8核心处理器等。处理器801可以采用dsp(digitalsignalprocessing，数字信号处理)、fpga(field－programmablegatearray，现场可编程门阵列)、pla

(programmablelogicarray，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器801也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(centralprocessingunit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器801可以在集成有gpu(graphicsprocessingunit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器801还可以包括ai(artificialintelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。

存储器802可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器802还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器802中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器801所执行以实现本申请中方法实施例提供的终端侧的获取设备证书的方法。

在一些实施例中，终端还可选包括有：外围设备接口和至少一个外围设备。处理器801、存储器802和外围设备接口之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口相连。示意性地，外围设备包括但不限于：射频电路、触摸显示屏、音频电路、和电源等。

当然，终端还可以包括更少或更多的组件，比如：通信组件、图像采集组件等，本实施例对此不作限定。

图9是本申请一个实施例提供的计算机设备的框图，该计算机设备可以运行有图1所示的客户端生产工具110。计算机设备可以为便携式计算机设备、膝上型计算机设备、台式计算机设备、控制计算机设备等，本实施例对此不作限定。计算机设备至少包括处理器910和存储器920。

处理器901可以包括一个或多个处理核心，比如：4核心处理器、9核心处理器等。处理器901可以采用dsp(digitalsignalprocessing，数字信号处理)、fpga(field－programmablegatearray，现场可编程门阵列)、pla

(programmablelogicarray，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器901也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(centralprocessingunit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器901可以在集成有gpu(graphicsprocessingunit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器901还可以包括ai(artificialintelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。

存储器902可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器902还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器902中的非暂态的计算机可读存储介质用于存储至少一个指令，该至少一个指令用于被处理器901所执行以实现本申请中方法实施例提供的客户端生产工具侧的获取设备证书的方法。

在一些实施例中，计算机设备还可选包括有：外围设备接口和至少一个外围设备。处理器901、存储器902和外围设备接口之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口相连。示意性地，外围设备包括但不限于：射频电路、触摸显示屏、音频电路、和电源等。

当然，计算机设备还可以包括更少或更多的组件，比如：通信组件、显示屏等，本实施例对此不作限定。

可选地，本申请还提供有一种计算机可读存储介质，所述计算机可读存储介质中存储有程序，所述程序由处理器加载并执行以实现上述方法实施例的获取设备证书的方法。

可选地，本申请还提供有一种计算机产品，该计算机产品包括计算机可读存储介质，所述计算机可读存储介质中存储有程序，所述程序由处理器加载并执行以实现上述方法实施例的获取设备证书的方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。