專利名稱:用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法及移動終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實施例涉及無線通信技術(shù)領(lǐng)域�,尤其涉及一種用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法及移動終端。
背景技術(shù):
用戶識別卡鎖(SubscriberIdentity Module lock, SIML0CK)功能是手機(jī)運營商為限制其他運營商的用戶識別卡(Subscriber Identity Module,以下簡稱SIM)卡或全球用戶識別(Universal Subscriber Identity Module,以下簡稱USIM)卡在它運營的手機(jī)上使用的一種功能���,是一種將手機(jī)與運營商進(jìn)行綁定的方式�,即寫有SMLOCK信息的手機(jī)只能使用SMLOCK中指定的運營商的SIM卡�����,否則需要輸入密碼才能使用,從而保護(hù)運營商進(jìn)行特定的業(yè)務(wù)�����。 SIML0CK信息存儲的是手機(jī)用戶的移動國家號碼MCC和移動網(wǎng)號MNC����,其中MCC由3位數(shù)字組成����,用于唯一地識別移動用戶所屬的國家,如中國的MCC為460�。MNC由兩位數(shù)字組成,用于識別移動用戶所歸屬的移動網(wǎng)��。如果SIML0CK為鎖定狀態(tài)���,手機(jī)插入不被允許的SIM/USIM卡時���,卡就會被鎖住。具體地�,當(dāng)手機(jī)開機(jī)時,先比對SM卡的MCC和MNC是否和手機(jī)預(yù)存SIML0CK數(shù)據(jù)匹配�,如果匹配成功���,就會進(jìn)入正常開機(jī)流程,搜索到網(wǎng)絡(luò)���;如果數(shù)據(jù)匹配失敗��,會進(jìn)入受限模式���,可限制其他運營商的SM/USM卡在手機(jī)上使用。在實現(xiàn)本發(fā)明實施例的過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中運營商的SIML0CK數(shù)據(jù)是預(yù)存在手機(jī)制造商自定義的手機(jī)內(nèi)存的某個分區(qū)中�;并且該分區(qū)中SIML0CK數(shù)據(jù)�����,是手機(jī)出廠時����,通過后臺安全工具加密寫入的。現(xiàn)有的SIML0CK信息的這種保存方法����,內(nèi)存分區(qū)中的運營商的SMLOCK數(shù)據(jù)容易遭到惡意攻擊����,被人破解和篡改�����,安全性比較低��。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)的上述缺陷����,本發(fā)明實施例提供一種用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法及移動終端����,用以將運營商的SIML0CK數(shù)據(jù)和移動終端代碼進(jìn)行綁定存儲并同時進(jìn)行安全認(rèn)證,以提高SMLOCK數(shù)據(jù)的安全性����。本發(fā)明一實施例一方面提供一種用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法,包括對存儲于移動終端代碼存儲區(qū)內(nèi)至少一個運商營各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)在熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲����,使得所述用戶識別卡鎖數(shù)據(jù)所對應(yīng)的寄存器位使能;若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的用戶識別卡鎖數(shù)據(jù)一致��,則對所述代碼存儲區(qū)內(nèi)的用戶識別卡鎖數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證。本發(fā)明一實施例另一方面提供一種移動終端����,包括CPU、代碼存儲區(qū)和熔絲寄存器�����,其中所述代碼存儲區(qū)���,用于存儲至少一個運營商各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)和移動終端代碼����;所述CPU��,用于對存儲于移動終端代碼存儲區(qū)內(nèi)至少一個運商營各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)在熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲����,使得所述用戶識別卡鎖數(shù)據(jù)所對應(yīng)的寄存器位使能;若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的用戶識別卡鎖數(shù)據(jù)一致�,則對所述代碼存儲區(qū)內(nèi)的用戶識別卡鎖數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證。本發(fā)明實施例提供的用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法及移動終端����,通過將運營商的用戶識別卡鎖數(shù)據(jù)與移動終端代碼一同存儲在移動終端的代碼存儲區(qū)內(nèi)�,并配合安全啟動機(jī)制進(jìn)行安全認(rèn)證�����,能夠保護(hù)運營商的用戶識別卡鎖數(shù)據(jù)在采用安全啟動機(jī)制下不被惡意攻擊和篡改�,提高了用戶識別卡鎖數(shù)據(jù)的安全性。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹��,顯而易見地�����,下面描述中的附圖是本發(fā)明的一些實施例�,對于本領(lǐng)域普通技術(shù)人員來講�,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖��。圖I為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法一實施例的流程示意圖����; 圖2為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又一實施例的流程示意圖�;圖3為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又一實施例的熔絲芯片連線示意圖���;圖4為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又一實施例的CA認(rèn)證的流程圖�����;圖5為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又一實施例的安全啟動軟件運行的流程圖�;圖6為本發(fā)明移動終端一實施例的結(jié)構(gòu)示意圖�����。圖7為本發(fā)明移動終端又一實施例的結(jié)構(gòu)示意圖���。
具體實施例方式為使本發(fā)明實施例的目的���、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然�����,所描述的實施例是本發(fā)明一部分實施例���,而不是全部的實施例���。基于本發(fā)明中的實施例��,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護(hù)的范圍����。本發(fā)明各實施例提供的方法�����,可以應(yīng)用于各種移動通信系統(tǒng)���。圖I為發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法一實施例的流程示意圖���,如圖I所示�����,該方法包括步驟100���,對存儲于移動終端代碼存儲區(qū)內(nèi)至少一個運商營各自對應(yīng)的SMLOCK數(shù)據(jù)在熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲,使得所述SMLOCK數(shù)據(jù)所對應(yīng)的寄存器位使能�����;其中�����,上述移動終端指手機(jī)等可移動的通信終端����;熔絲寄存器為擴(kuò)展的與移動終端CPU內(nèi)部的熔絲寄存器的作用相同的擴(kuò)展寄存器芯片;所述代碼存儲區(qū)���,用于存儲至少一個運營商各自對應(yīng)的SIML0CK數(shù)據(jù)和移動終端代碼形成的綁定的代碼��,該代碼存儲區(qū)設(shè)置在移動終端內(nèi)部的FLASH等存儲介質(zhì)中�����。而移動終端代碼為手機(jī)等通信終端所要運行的系統(tǒng)軟件代碼��。
具體地��,在代碼存儲區(qū)內(nèi)中建立運營商與運營商SMLOCK信息結(jié)構(gòu)數(shù)組��,該數(shù)組為包含至少一個運營商各自對應(yīng)的多個SMLOCK數(shù)據(jù)組成的SMLOCK信息結(jié)構(gòu)數(shù)組��,保存
數(shù)據(jù)�,數(shù)據(jù)結(jié)構(gòu)為
imsi_p[][MAX_LEN]={
(運營商1,數(shù)據(jù)����,數(shù)據(jù)) (運營商2,數(shù)據(jù)����,數(shù)據(jù)……),
}選擇熔絲芯片寄存器其中一位��,作為對應(yīng)的熔絲SMLOCK數(shù)據(jù)的標(biāo)志位�����,其中��,標(biāo)志位為“0”�,SIML0CK數(shù)據(jù)所對應(yīng)的寄存器位不使能;標(biāo)志位為“1”�����,SIML0CK數(shù)據(jù)所對應(yīng)的寄存器位使能�。步驟200,若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的SIML0CK數(shù)據(jù)一致���,則對所述代碼存儲區(qū)內(nèi)的SMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證�����。具體的�����,是通過選擇與所述移動終端進(jìn)行綁定存儲的運營商的SIML0CK數(shù)據(jù)��,對所述熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲��,使得SMLOCK數(shù)據(jù)所對應(yīng)的寄存器位使能�����,以供所述移動終端在開機(jī)的過程中�����,若SIM卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的SMLOCK數(shù)據(jù)一致�,則對所述代碼存儲區(qū)內(nèi)的SMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證。本發(fā)明實施例用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法中�,通過對熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲,即將對應(yīng)的熔絲SMLOCK數(shù)據(jù)的標(biāo)志位由“0”轉(zhuǎn)為“1”�,使得SIML0CK數(shù)據(jù)所對應(yīng)的寄存器位使能,選擇出相應(yīng)的運營商的SIML0CK數(shù)據(jù)�����,在移動終端啟動時����,可選擇出的運營商的SMLOCK數(shù)據(jù)與SIM卡的運營商的數(shù)據(jù)進(jìn)行比對,當(dāng)匹配成功時�,則對代碼存儲區(qū)內(nèi)的SMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證,其中該安全認(rèn)證包括CA (Certificate authority)認(rèn)證流程和安全啟動軟件運行流程���。進(jìn)一步的��,上述實施例中若SM卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的SIML0CK數(shù)據(jù)不一致��,則不識別所述SIM卡���。
更進(jìn)一步的,當(dāng)寄存器位不使能時�����,運營商的SMLOCK數(shù)據(jù)存儲在內(nèi)存中���,該內(nèi)存是指手機(jī)廣義內(nèi)存中自定義的存儲運營商的SIML0CK數(shù)據(jù)的內(nèi)存分區(qū)����。該內(nèi)存分區(qū)可設(shè)置在移動終端內(nèi)部的FLASH等存儲介質(zhì)中�,可與上述代碼存儲區(qū)共同設(shè)置在同一片F(xiàn)LASH芯片中。在寄存器位不使能時����,移動終端的啟動過程不會對該內(nèi)存中的SIML0CK數(shù)據(jù)進(jìn)行校驗認(rèn)證,這時上述實施例的方法還包括將所述至少一個運營商各自對應(yīng)的SIML0CK數(shù)據(jù)�����,同時存儲在所述移動終端的內(nèi)存中。所述同時存儲是指與在代碼存儲區(qū)存儲運營商各自對應(yīng)的SIML0CK數(shù)據(jù)和移動終端代碼形成的綁定的代碼時����,也并列地將運營商各自對應(yīng)的SIML0CK數(shù)據(jù)同時存儲在內(nèi)存分區(qū)中。當(dāng)所述熔絲寄存器內(nèi)沒有經(jīng)過使能的寄存器位時����,則根據(jù)所述移動終端的內(nèi)存中的SMLOCK數(shù)據(jù)對所述SM卡進(jìn)行認(rèn)證。本發(fā)明實施例提供的用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法���,通過將運營商的SIML0CK數(shù)據(jù)與移動終端代碼一同存儲在移動終端的代碼存儲區(qū)內(nèi)���,并配合安全啟動機(jī)制進(jìn)行安全認(rèn)證,能夠保護(hù)運營商的SIML0CK數(shù)據(jù)在采用安全啟動機(jī)制下不被惡意攻擊和篡改�����,提高SMLOCK數(shù)據(jù)的安全性�����。圖2為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又一實施例的流程示意圖����,如圖2所示,本實施例的方法包括步驟201����,對SMLOCK數(shù)據(jù)與移動終端代碼進(jìn)行綁定存儲���。將至少一個運營商各自對應(yīng)的SIML0CK數(shù)據(jù)與移動終端代碼一同存儲在移動終端的代碼存儲區(qū)內(nèi)。在代碼中建立運營商與運營商SIML0CK信息結(jié)構(gòu)數(shù)組��,并保存數(shù)據(jù)��。
時���,將熔絲芯片使能�����,以得到需要進(jìn)行安全認(rèn)證的對應(yīng)的運營商的SMLOCK數(shù)據(jù)�;當(dāng)需要獲取內(nèi)存分區(qū)中的運營商的SMLOCK數(shù)據(jù)時�����,熔絲芯片不使能�����。SMLOCK數(shù)據(jù)在熔絲寄存器中具有對應(yīng)的寄存器位,通過熔絲寄存器的物理值決定熔絲芯片是否使能�。選擇熔絲芯片寄存器其中一位,作為決定熔絲SMLOCK數(shù)據(jù)的標(biāo)志位�����,標(biāo)志位為“O”�,SIML0CK數(shù)據(jù)所對應(yīng)的寄存器位不使能;標(biāo)志位為“1”�,SIML0CK數(shù)據(jù)所對應(yīng)的寄存器位使能。如果熔絲芯片使能����,則執(zhí)行下述步驟203 ;如果熔絲芯片不使能,則執(zhí)行下述步驟207���。步驟203���,通過熔絲寄存器的物理值,從綁定的代碼中獲得對應(yīng)運營商的SMLOCK數(shù)據(jù)��。通過選擇與移動終端進(jìn)行綁定的運營商的SMLOCK數(shù)據(jù),對熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲��,使得SMLOCK數(shù)據(jù)所對應(yīng)的寄存器位使能���,以獲得的運營商的SIML0CK 數(shù)據(jù)��。步驟204�,比對獲得的運營商的SMLOCK數(shù)據(jù)和SM卡信息是否匹配�,如果匹配,則執(zhí)行下述步驟205 ;如果不匹配則執(zhí)行下述步驟206�。步驟205���,移動終端正常啟動搜網(wǎng)�。移動終端在開機(jī)的過程中���,若SM卡的運營商的數(shù)據(jù)與經(jīng)過使能的寄存器位對應(yīng)的SMLOCK數(shù)據(jù)一致�,則對代碼存儲區(qū)內(nèi)的SMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證�����,安全認(rèn)證通過����,移動終端進(jìn)入正常啟動搜網(wǎng)狀態(tài)�����,移動終端所有功能正常��。步驟206���,移動終端啟動,設(shè)置無卡狀態(tài)��,不啟動搜網(wǎng)��。移動終端在開機(jī)的過程中��,若SM卡的運營商的數(shù)據(jù)與經(jīng)過使能的寄存器位對應(yīng)的SMLOCK數(shù)據(jù)不匹配����,設(shè)置成無卡狀態(tài),移動終端雖能啟動�,但這時只能撥打緊急電話,如119�、110等,其他服務(wù)不生效���。當(dāng)寄存器位不使能時�����,運營商的SMLOCK數(shù)據(jù)存儲在內(nèi)存中��,移動終端啟動過程不會對SMLOCK數(shù)據(jù)進(jìn)行校驗認(rèn)證����。本實施例的方法在寄存器位不便能的啟動過程還包括步驟207,從內(nèi)存中獲得SMLOCK數(shù)據(jù)���。內(nèi)存中同樣并列地存儲有和綁定存儲模式一樣的運營商的SIML0CK數(shù)據(jù)��。這里的內(nèi)存是指手機(jī)廣義內(nèi)存中自定義的存儲運營商的SIML0CK數(shù)據(jù)的內(nèi)存分區(qū)。步驟208�,比對從內(nèi)存獲得的運營商的SMLOCK數(shù)據(jù)和SM卡信息是否匹配。如果匹配����,則執(zhí)行上述步驟205 ;如果不匹配則執(zhí)行下述步驟209。步驟209���,不識別SM卡����,進(jìn)入受限模式。移動終端在開機(jī)的過程中��,若SM卡的運營商的數(shù)據(jù)與從內(nèi)存中獲得SIMLOCK數(shù)據(jù)不匹配�,則不識別SIM卡,移動終端進(jìn)入受限模式����,并返回步驟208循環(huán)執(zhí)行比對過程。移動終端在開機(jī)的過程中����,若SM卡的運營商的數(shù)據(jù)與從內(nèi)存中獲得SMLOCK數(shù)據(jù)匹配,則執(zhí)行步驟205的移動終端的正常啟動搜網(wǎng)�����。圖3為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又ー實施例的熔絲芯片連線示意圖�,本實施例用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法的熔絲芯片通過與移動終端CPU連線,可實現(xiàn)對移動終端CPU的熔絲寄存器的擴(kuò)展以及通過熔絲值對相應(yīng)運營商SIMLOCK數(shù)據(jù)的選擇��。具體地�,熔絲是高通安全啟動機(jī)制的一部分。高通的手機(jī)CPU芯片內(nèi)部具有一次性可寫寄存器���,將需要熔斷的熔絲位寄存器物理熔絲����,熔絲結(jié)果就將寄存器的值由“ O”轉(zhuǎn)為“I”。熔絲寄存器不可逆��,只能燒寫一次���。通過熔絲CPU內(nèi)部的熔絲寄存器設(shè)置手機(jī)安全啟動模式�����,保存系統(tǒng)的ー些硬件特性和代碼簽名所用的安全數(shù)據(jù)�����,例如本實施例的運營商的 SIMLOCK數(shù)據(jù)���。這些熔絲值參與代碼驗證,確保高通安全啟動機(jī)制物理級安全�。然而由于高通CPU芯片內(nèi)部熔絲寄存器位有限,沒有多余的保留位給制造商使用�。不同運營商的SIMLOCK數(shù)據(jù)不一樣,如果綁定的代碼中僅保存某一運營商的數(shù)據(jù)���,那不同運營商需要不同軟件版本���,増加了維護(hù)成本�����。本實施例為了手機(jī)制造商生產(chǎn)方便���,不同運營商的手機(jī)軟件版本使用同一套代碼,并通過增加一片可一次性燒寫的熔絲芯片來實現(xiàn)�����。熔絲芯片與CPU芯片內(nèi)部熔絲寄存器功能一祥�����,但價格便宜����。熔絲芯片與手機(jī)CPU相連,CPU可以讀取熔絲寄存器值����。本實施例通過把不同運營商的SMLOCK數(shù)據(jù)和手機(jī)代碼進(jìn)行綁定存儲�,將綁定的代碼都保存在手機(jī)代碼存儲區(qū)�����,保存在代碼存儲區(qū)的SIMLOCK數(shù)據(jù)按規(guī)律保存��,并和熔絲值有對應(yīng)關(guān)系����,通過熔絲值編碼來選擇運營商SMLOCK數(shù)據(jù),熔絲值只能燒寫一次�,不能被改寫。如圖3所示�,CPU與熔絲芯片連線方法為通過I2C(Inter-Integrated Circuit)總線的兩線式串行總線,通過I2C接ロ�,連接CPU及其外圍的熔絲芯片,其中SDA是雙向串行數(shù)據(jù)線�����,SCL是串行時鐘線SCL�����。在I2C總線上傳送數(shù)據(jù)時�����,首先送最高位���,由主機(jī)發(fā)出啟動信號�,SDA在SCL高電平期間由高電平跳變?yōu)榈碗娖?���,然后由主機(jī)發(fā)送ー個字節(jié)的數(shù)據(jù);數(shù)據(jù)傳送完畢���,由主機(jī)發(fā)出停止信號�,SDA在SCL高電平期間由低電平跳變?yōu)楦唠娖?����。通過上述I2C總線上的傳送數(shù)據(jù)模式即可實現(xiàn)將熔絲芯片的熔絲值與代碼存儲區(qū)內(nèi)的SMLOCK數(shù)據(jù)對應(yīng)����,從而實現(xiàn)對移動終端CPU的熔絲寄存器的擴(kuò)展以及通過熔絲值對相應(yīng)運營商SIMLOCK數(shù)據(jù)的選擇。因此��,由于代碼存儲區(qū)的SMLOCK數(shù)據(jù)也和代碼ー樣利用了高通的安全啟動機(jī)制����,代碼存儲區(qū)的SIMLOCK數(shù)據(jù)不易被人破解���,也不易被改寫,通過這種方式實現(xiàn)了對運營商SIMLOCK數(shù)據(jù)的保護(hù)�。圖4為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又一實施例的CA認(rèn)證的流程圖;圖5為本發(fā)明用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法又一實施例的安全啟動軟件運行的流程圖�。本發(fā)明又一實施例用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法中,對所述代碼存儲區(qū)內(nèi)的SIMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證包括CA (Certificate authority)認(rèn)證流程和安全啟動軟件運行流程����。所述CA認(rèn)證流程用于對代碼存儲區(qū)綁定的代碼所述安全啟動軟件運行流程用于對代碼存儲區(qū)綁定的代碼在每一階段進(jìn)行鑒權(quán)。所述采用安全啟動機(jī)制進(jìn)行安全認(rèn)證的過程是CPU讀取并驗證代碼存儲區(qū)中的代碼�,認(rèn)證正確,移動終端才能啟動下一段代碼��,直到所有需要驗證的代碼認(rèn)證完畢����,移動終端才能正常啟動,否則移動終端將無法啟動��。當(dāng)寄存器位不使能時�,運營商的SIMLOCK數(shù)據(jù)存儲在內(nèi)存中,SIMLOCK數(shù)據(jù)不在安全啟動模式下啟動,移動終端啟動過程不會對SMLOCK數(shù)據(jù)進(jìn)行校驗認(rèn)證�。以下結(jié)合圖4和圖5具體說明其過程。如圖4所示�����,CA認(rèn)證是由權(quán)威的第三方機(jī)構(gòu)����,即數(shù)字證書頒發(fā)機(jī)構(gòu)CA簽發(fā)��,通過數(shù)字證書驗證實現(xiàn)對證書持有者身份的認(rèn)證���。數(shù)字證書是一種權(quán)威性的電子文檔���,使用數(shù)字證書實現(xiàn)身份識別和電子信息加密,是為實現(xiàn)雙方安全通信提供的電子認(rèn)證����,數(shù)字證書中含有密鑰對,即用戶的私鑰信息和他的公鑰信息�,同時還附有認(rèn)證中心的簽名信息,通過驗證識別信息的真?zhèn)螌崿F(xiàn)對證書持有者身份的認(rèn)證�。手機(jī)在安全啟動模式下,運行的代碼必須到高通網(wǎng)站代碼簽名管理系統(tǒng)(Code Signing Management System, CSMS)進(jìn)行代碼簽名,通俗的講�����,是對代碼加密����,獲得數(shù)字證書頒發(fā)機(jī)構(gòu)(CA)頒發(fā)的數(shù)字證書和簽名,代碼簽名證書可以證明代碼的真實性�����、安全性和完整性���。電子狗�,身份確認(rèn)等措施來保障代碼簽名的合法和安全��。 本發(fā)明實施例CA認(rèn)證的流程包括登陸高通網(wǎng)站CSMS系統(tǒng)401 ;設(shè)置選擇簽名的代碼402���,該簽名的代碼為代碼存儲區(qū)綁定的代碼���,包括移動終端代碼以及與移動終端代碼綁定存儲的至少ー個運商營各自對應(yīng)的SMLOCK數(shù)據(jù);數(shù)字證書頒發(fā)機(jī)構(gòu)驗證身份證后���,用私鑰對代碼進(jìn)行簽名403 ;下載數(shù)字證書404 ;數(shù)字證書和代碼連接產(chǎn)生新的代碼文件405 ;私鑰對應(yīng)的公鑰對包含代碼文件的軟件解密后���,移動終端正常啟動406���。如圖5所示,在高通安全啟動模式下�����,通過運行安全啟動軟件�,使得代碼存儲區(qū)綁定的代碼每ー階段都需要被鑒權(quán)����,以實現(xiàn)其安全啟動的目的。安全啟動軟件運行的具體流程如下引導(dǎo)裝載程序PBL (Primary Boot Loader)啟動后����,載入并鑒權(quán)引導(dǎo)裝載程序QCSBL(Device Bootloader) 501 ;鑒權(quán)通過后,運行引導(dǎo)裝載程序QCSBL�����,讀取SMLOCK數(shù)據(jù)對應(yīng)的寄存器位502 ;引導(dǎo)裝載程序QCSBL執(zhí)行并載入引導(dǎo)裝載程序0EMSBL��,對引導(dǎo)裝載程序OEMSBL進(jìn)行鑒權(quán)503 ;然后是引導(dǎo)裝載程序QCSBL鑒權(quán)AMSS (Advanced MobileSubscriber Software)的HASH文件504 ;引導(dǎo)裝載程序OEMSBL執(zhí)行并載入鑒權(quán)引導(dǎo)裝載程序APPSBoot 505 ;最后是載入鑒權(quán)AMSS 506 ;鑒權(quán)通過,運行AMSS 507�����。后面的軟件流程與非安全啟動相同�����,運行AMSS階段�,獲得移動終端SMLOCK信息,并處理SMLOCK開機(jī)流程�����。以上每ー步鑒權(quán)失敗時,則執(zhí)行出錯處理程序,移動終端停止啟動508��。本發(fā)明實施例用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法是運營商SMLOCK的MCC/MNC數(shù)據(jù)����,在代碼中固定設(shè)置,和代碼綁定存儲���,通過熔絲寄存器的物理值���,選擇運營商SMLOCK數(shù)據(jù)�,而不是與代碼分離設(shè)置�����,也不是通過后臺安全工具放入內(nèi)存中��;這樣SIMLOCK數(shù)據(jù)也需要代碼簽名�����,提高了運營商SMLOCK數(shù)據(jù)的安全性���。圖6為本發(fā)明移動終端一實施例的結(jié)構(gòu)示意圖,如圖6所示,本發(fā)明實施例移動終端包括CPU 601、代碼存儲區(qū)602和熔絲寄存器603�,其中代碼存儲區(qū)602,用于存儲至少一個運營商各自對應(yīng)的SIMLOCK數(shù)據(jù)和移動終端代碼��;CPU 602��,用于對存儲于移動終端代碼存儲區(qū)602內(nèi)至少ー個運商營各自對應(yīng)的SMLOCK數(shù)據(jù)在熔絲寄存器603中對應(yīng)的寄存器位進(jìn)行物理熔絲����,使得所述SMLOCK數(shù)據(jù)所對應(yīng)的寄存器位使能;若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的SMLOCK數(shù)據(jù)一致�����,則對所述代碼存儲區(qū)602內(nèi)的SIMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證。具體的�����,是通過選擇與移動終端進(jìn)行綁定存儲的運營商的SMLOCK數(shù)據(jù)���,對熔絲寄存器603中對應(yīng)的寄存器位進(jìn)行物理熔絲�,使得SMLOCK數(shù)據(jù)所對應(yīng)的寄存器位使能���,以供移動終端在開機(jī)的過程中�����,若SIM卡的運營商的數(shù)據(jù)與經(jīng)過使能的寄存器位對應(yīng)的SIMLOCK數(shù)據(jù)一致�����,則對代碼存儲區(qū)602內(nèi)的SMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證���。圖7為本發(fā)明移動終端又一實施例的結(jié)構(gòu)示意圖,該又一實施例移動終端與圖6 一實施例移動終端的區(qū)別在于還包括內(nèi)存604,用于同時存儲所述至少一個運營商各自對應(yīng)的SIMLOCK數(shù)據(jù)��,這里的內(nèi)存604同樣是指手機(jī)廣義內(nèi)存中自定義的存儲運營商的SMLOCK數(shù)據(jù)的內(nèi)存分區(qū)。同時所述移動終端還包括當(dāng)所述熔絲寄存器603內(nèi)沒有經(jīng)過使能的寄存器位吋���,則根據(jù)所述移動終端的內(nèi)存604中的SIMLOCK數(shù)據(jù)對所述用戶識別卡進(jìn)行認(rèn)證���。
值得ー提的是,本發(fā)明各實施例用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法和移動終端雖然是基于高通的手機(jī)CPU芯片及其安全啟動機(jī)制���,但也不限于此����。利用其他手機(jī)芯片制造商的CPU芯片及其安全啟動機(jī)制����,如德州儀器TI�、三星電子等等,然后以同樣的方式也可實現(xiàn)本發(fā)明各實施例用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法和移動終端的替換方案����。綜上所述,本發(fā)明各實施例提供的如上所述的用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法及移動終端�,通過將運營商的SIMLOCK數(shù)據(jù)與移動終端代碼一同存儲在移動終端的代碼存儲區(qū)內(nèi),從而實現(xiàn)了 SMLOCK數(shù)據(jù)和移動終端代碼的綁定存儲�;同時在熔絲寄存器中具有對應(yīng)的寄存器位����,通過選擇與移動終端進(jìn)行綁定存儲的運營商的SIMLOCK數(shù)據(jù)��,對熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲��,使得SMLOCK數(shù)據(jù)所對應(yīng)的寄存器位使能�,從而選擇運營商的SMLOCK數(shù)據(jù),以供移動終端在開機(jī)的過程中���,若SM卡的運營商的數(shù)據(jù)與經(jīng)過使能的寄存器位對應(yīng)的SMLOCK數(shù)據(jù)一致�����,則對代碼存儲區(qū)內(nèi)的SMLOCK數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證�。本發(fā)明實施例技術(shù)方案能夠保護(hù)運營商的SIMLOCK數(shù)據(jù)在采用安全啟動機(jī)制下不被惡意攻擊和篡改�����,可以提高SIMLOCK數(shù)據(jù)的安全性����。最后應(yīng)說明的是以上各實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述各實施例對本發(fā)明進(jìn)行了詳細(xì)的說明����,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改,或者對其中部分或者全部技術(shù)特征進(jìn)行等同替換��;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍��。
權(quán)利要求
1.一種用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法����,其特征在于,包括 對存儲于移動終端代碼存儲區(qū)內(nèi)至少一個運商營各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)在熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲�����,使得所述用戶識別卡鎖數(shù)據(jù)所對應(yīng)的寄存器位使能����; 若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的用戶識別卡鎖數(shù)據(jù)一致�����,則對所述代碼存儲區(qū)內(nèi)的用戶識別卡鎖數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證。
2.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述對所述代碼存儲區(qū)內(nèi)的用戶識別卡鎖數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證包括CA認(rèn)證流程和安全啟動軟件運行流程�����。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述CA認(rèn)證流程包括 設(shè)置選擇簽名的代碼�;該簽名的代碼為代碼存儲區(qū)綁定的代碼,包括移動終端代碼以及與移動終端代碼綁定存儲的至少一個運商營各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)��; 數(shù)字證書頒發(fā)機(jī)構(gòu)驗證身份證后�����,用私鑰對代碼進(jìn)行簽名���; 下載數(shù)字證書�����,數(shù)字證書和代碼連接產(chǎn)生新的代碼文件���; 私鑰對應(yīng)的公鑰對包含代碼文件的軟件解密后���,移動終端正常啟動。
4.根據(jù)權(quán)利要求2所述的方法���,其特征在于�,所述安全啟動軟件運行流程用于對代碼存儲區(qū)綁定的代碼在每一階段進(jìn)行鑒權(quán)����,該流程包括 弓I導(dǎo)裝載程序PBL啟動后,載入并鑒權(quán)弓I導(dǎo)裝載程序QCSBL ��; 鑒權(quán)通過后���,運行引導(dǎo)裝載程序QCSBL����,讀取用戶識別卡鎖數(shù)據(jù)對應(yīng)的寄存器位��; 弓I導(dǎo)裝載程序QCSBL執(zhí)行并載入引導(dǎo)裝載程序OEMSBL����,對弓I導(dǎo)裝載程序OEMSBL進(jìn)行鑒權(quán); 弓I導(dǎo)裝載程序QCSBL鑒權(quán)AMSS的HASH文件��; 弓I導(dǎo)裝載程序OEMSBL執(zhí)行并載入鑒權(quán)弓I導(dǎo)裝載程序APPSBoot ��; 載入鑒權(quán)AMSS �����; 鑒權(quán)通過�,運行AMSS,運行AMSS階段�,獲得移動終端SMLOCK信息,并處理SMLOCK開機(jī)流程����。
5.根據(jù)權(quán)利要求I所述的方法,其特征在于����,所述方法還包括 若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的用戶識別卡鎖數(shù)據(jù)不一致,則不識別所述用戶識別卡�����。
6.根據(jù)權(quán)利要求I所述的方法,其特征在于���,所述方法還包括 將所述至少一個運營商各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)��,同時存儲在所述移動終端的內(nèi)存中�����。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于,所述方法還包括 當(dāng)所述熔絲寄存器內(nèi)沒有經(jīng)過使能的寄存器位時���,則根據(jù)所述移動終端的內(nèi)存中的用戶識別卡鎖數(shù)據(jù)對所述用戶識別卡進(jìn)行認(rèn)證��。
8.—種移動終端���,其特征在于,包括CPU�����、代碼存儲區(qū)和熔絲寄存器���, 其中 所述代碼存儲區(qū)��,用于存儲至少一個運營商各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)和移動終端代碼�����; 所述CPU��,用于對存儲于移動終端代碼存儲區(qū)內(nèi)至少一個運商營各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)在熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲����,使得所述用戶識別卡鎖數(shù)據(jù)所對應(yīng)的寄存器位使能�;若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的用戶識別卡鎖數(shù)據(jù)一致,則對所述代碼存儲區(qū)內(nèi)的用戶識別卡鎖數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證�。
9.根據(jù)權(quán)利要求8所述的移動終端,其特征在于����,還包括 內(nèi)存,用于同時存儲所述至少一個運營商各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)���。
10.根據(jù)權(quán)利要求9所述的移動終端��,其特征在于���,所述移動終端還包括 當(dāng)所述熔絲寄存器內(nèi)沒有經(jīng)過使能的寄存器位時���,則根據(jù)所述移動終端的內(nèi)存中的用戶識別卡鎖數(shù)據(jù)對所述用戶識別卡進(jìn)行認(rèn)證。
全文摘要
本發(fā)明實施例提供一種用戶識別卡鎖數(shù)據(jù)進(jìn)行安全認(rèn)證的方法及移動終端�。其中,該方法包括對存儲于移動終端代碼存儲區(qū)內(nèi)至少一個運商營各自對應(yīng)的用戶識別卡鎖數(shù)據(jù)在熔絲寄存器中對應(yīng)的寄存器位進(jìn)行物理熔絲�����,使得所述用戶識別卡鎖數(shù)據(jù)所對應(yīng)的寄存器位使能��;若用戶識別卡的運營商的數(shù)據(jù)與經(jīng)過使能的所述寄存器位對應(yīng)的用戶識別卡鎖數(shù)據(jù)一致��,則對所述代碼存儲區(qū)內(nèi)的用戶識別卡鎖數(shù)據(jù)采用安全啟動機(jī)制進(jìn)行安全認(rèn)證���。本發(fā)明實施例能夠保護(hù)運營商的用戶識別卡鎖數(shù)據(jù)不被破解和篡改����,提高用戶識別卡鎖數(shù)據(jù)的安全性�����。
文檔編號H04W12/06GK102752754SQ20121020788
公開日2012年10月24日 申請日期2012年6月21日 優(yōu)先權(quán)日2012年6月21日
發(fā)明者朱志英 申請人:華為終端有限公司