[发明专利]防篡改方法、装置、系统以及终端

权利要求书

1.一种防篡改方法，应用于终端系统，所述终端系统包括第一终端以及第二终端，所述第一终端包括预定部件以及通信模块，所述第一终端通过所述通信模块与所述第二终端进行通信，其特征在于，所述方法包括以下步骤：

所述通信模块与所述第二终端进行双向认证；

认证通过后，所述第一终端向所述第二终端发送获取合法预定部件对应的身份信息的请求；

所述第二终端基于所述请求加密所述合法预定部件对应的身份信息并发送至所述第一终端；

所述第一终端解密得到所述合法预定部件对应的身份信息并与所述第一终端上的预定部件对应的身份信息进行比对；

若比对不通过，则确认所述第一终端的预定部件被篡改并执行安全控制策略。

2.根据权利要求1所述的防篡改方法，其特征在于，所述通信模块与所述第二终端进行双向认证，包括：

所述第二终端将签名的数字证书和随机生成的第一随机数发送至所述通信模块；

所述通信模块通过公钥进行验签并保存所述第一随机数；

所述通信模块将与所述通信模块对应的第一身份信息以及所述第一随机数进行哈希计算得到哈希值；

所述通信模块将通过公钥加密的所述哈希值发送至所述第二终端；

所述第二终端通过私钥解密得到所述哈希值并验证所述哈希值是否相等，若相等，则双向认证通过。

3.根据权利要求2所述的防篡改方法，其特征在于，在所述第二终端将签名的数字证书和随机生成的第一随机数发送至所述通信模块之前，所述方法还包括：

所述第一终端将所述通信模块对应的第二身份信息发送至所述第二终端；

所述第二终端根据所述第二身份信息初步判断所述通信模块是否合法；

若合法，则所述第二终端将签名的数字证书以及第一随机数发送至所述第一终端。

4.根据权利要求3所述的防篡改方法，其特征在于，所述第二身份信息包括终端号和所述通信模块的设备ID。

5.根据权利要求2-4任一项所述的防篡改方法，其特征在于，所述第一身份信息包括：所述通信模块的设备ID和芯片ID按照预设算法得到的计算值和终端号。

6.根据权利要求2所述的防篡改方法，其特征在于，所述通信模块将通过公钥加密的所述哈希值发送至所述第二终端，包括：

所述第一终端通过公钥加密所述哈希值和随机生成的第二随机数并发送至所述第二终端；

在所述第一终端向所述第二终端发送获取合法预定部件对应的身份信息的请求之前，所述方法还包括：

所述第二终端采用所述第二随机数作为密钥对生成的终端证书进行对称加密并发送至所述第一终端，所述终端证书包括非对称加密的私钥；

所述通信模块通过所述第二随机数进行解密得到所述终端证书；

所述通信模块请求查询所述预定部件对应的身份信息；

所述预定部件基于所述请求采用非对称加密的公钥加密所述预定部件对应的身份信息并发送至所述通信模块；

所述通信模块使用所述非对称加密的私钥解密得到所述预定部件对应的身份信息。

7.根据权利要求6所述的防篡改方法，其特征在于，所述终端证书还包括对称加密的密钥，所述对称加密的密钥为所述第二终端随机生成的第三随机数；

所述第二终端在加密所述合法预定部件对应的身份信息时，所述第二终端采用的是对称加密的密钥加密；

所述第一终端在解密得到所述合法预定部件对应的身份信息时，所述第一终端采用的是对称加密的密钥解密。