本發明提供一種驗證終端根證書的方法、裝置、設備和介質，方法包括：將與固化程序中根證書一致的廠商根證書的公鑰對應的第一哈希值燒寫到OTP區域中；在終端運行程序時，獲取廠商根證書，解析廠商根證書獲取對應的公鑰，使用哈希算法計算出公鑰對應的第二哈希值；從所述OTP區域中獲取所述第一哈希值，比較所述第一哈希值與所述第二哈希值是否相等，如果相等，則認定固化程序中根證書合法；如果不相等，則認定固化程序中根證書不合法。本發明優點：能夠保證整個證書鏈是可靠的，進而可提高終端的安全性能。

技術領域

本發明涉及計算機技術領域，特別涉及一種驗證終端根證書的方法、裝置、設備和介質。

背景技術

為了保證終端和服務器之間數據傳輸的安全可靠，就需要對傳輸的數據進行加密和隱藏，因此，必須在終端上安裝根證書。在現有技術中，終端的根證書都會固化在程序中，在運行程序時無需驗證根證書。但是，由于運行程序時沒有驗證根證書，導致在實際使用時存在有以下缺陷：當根證書被篡改時，將導致整個證書鏈不可靠，即無法保證根證書的合法性，進而也降低了終端的安全性能。

發明內容

本發明要解決的技術問題，在于提供一種驗證終端根證書的方法、裝置、設備和介質，解決現有終端存在的當根證書被篡改時，將導致整個證書鏈不可靠的問題。

第一方面，本發明提供了一種驗證終端根證書的方法，所述方法應用于終端，所述方法包括：

將與固化程序中根證書一致的廠商根證書的公鑰對應的第一哈希值燒寫到OTP區域中；

在終端運行程序時，獲取廠商根證書，解析廠商根證書獲取對應的公鑰，使用哈希算法計算出公鑰對應的第二哈希值；

從所述OTP區域中獲取所述第一哈希值，比較所述第一哈希值與所述第二哈希值是否相等，如果相等，則認定固化程序中根證書合法；如果不相等，則認定固化程序中根證書不合法。

進一步地，所述的將與固化程序中根證書一致的廠商根證書的公鑰對應的第一哈希值燒寫到OTP區域中具體包括：

在進入OTP燒寫界面后，接收服務器端發送的獲取終端信息指令，依據所述獲取終端信息指令上傳終端信息給服務器端，以供服務器端基于所述終端信息下發廠商根證書和密文；

獲取服務器端下發的廠商根證書和密文，將廠商根證書與固化程序中根證書進行比對，如果根證書不一致，則認定固化程序中根證書不合法，并結束程序運行流程；如果根證書一致，則解析廠商根證書獲取對應的公鑰；

使用哈希算法計算出公鑰對應的第二哈希值；利用自身的終端信息生成臨時解密密鑰，使用臨時解密密鑰對密文進行解密獲得明文；獲取明文中的第一哈希值，比較第一哈希值與第二哈希值是否相等，如果相等，則將第一哈希值燒寫到OTP區域中；如果不相等，則不將第一哈希值燒寫到OTP區域中，并結束程序運行流程。

進一步地，所述的終端信息包括終端序列號以及芯片CPU ID；

所述的服務器端基于所述終端信息下發廠商根證書和密文具體為：

服務器端獲取終端序列號以及芯片CPU ID，將終端序列號與芯片CPU ID進行異或運算生成臨時加密密鑰；同時，從后臺獲取廠商根證書，解析廠商根證書獲取對應的公鑰，使用哈希算法計算出公鑰對應的第一哈希值；服務器端使用臨時加密密鑰對第一哈希值進行加密生成密文，并將廠商根證書和密文下發給終端；

所述的利用自身的終端信息生成臨時解密密鑰具體為：將自身的終端序列號與芯片CPU ID進行異或運算生成臨時解密密鑰。

第二方面，本發明提供了一種驗證終端根證書的裝置，所述裝置為終端，所述裝置包括燒寫模塊、計算模塊以及驗證模塊；

所述燒寫模塊，用于將與固化程序中根證書一致的廠商根證書的公鑰對應的第一哈希值燒寫到OTP區域中；