CN114237642A

CN114237642A - 安全数据部署方法、装置、终端、服务器以及存储介质

Info

Publication number: CN114237642A
Application number: CN202111541623.6A
Authority: CN
Inventors: 宋志伟; 任仕玖; 董奇文
Original assignee: Spreadtrum Communications Tianjin Co Ltd
Current assignee: Spreadtrum Communications Tianjin Co Ltd
Priority date: 2021-12-16
Filing date: 2021-12-16
Publication date: 2022-03-25

Abstract

本发明实施例提出了一种安全数据部署方法、装置、终端、服务器以及存储介质，涉及计算机技术领域；将SIMLock安全数据插入Modem镜像文件，利用终端系统安全启动的签名验签机制保障SIMLock安全数据安全性和完整性。方法包括：在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件；将所述系统安装包发送给目标移动终端，以使所述目标移动终端通过启动本地系统程序后，读取所述插入有所述SIMLock安全数据的Modem镜像文件到本地运行内存中运行。

Description

安全数据部署方法、装置、终端、服务器以及存储介质

【技术领域】

本发明实施例涉及计算机技术领域，尤其涉及一种安全数据部署方法、装置、终端、服务器以及存储介质。

【背景技术】

SIMLock锁卡功能是指将加密后的配置信息(例如允许接入的公共陆地移动网络、允许接入的用户身份识别模块等)预先存储在终端，当终端插入用户身份识别模块(Subscriber Identity Module，SIM)时，将预先存储在终端的配置信息与SIM卡的数据进行比对，SIM卡中的数据与配置信息一致，则允许终端连接网络。

运营商通过SIMLock功能，禁止竞争运营商的SIM卡在自己发放的终端上使用，达到限制竞争对手的目的。因此，预先存储在终端上的SIMLock配置信息的安全性十分重要，如果终端预先存储的配置信息被篡改，则无法限制SIM卡在终端上的使用。

【发明内容】

本发明实施例提供了一种安全数据部署方法、装置、终端、服务器以及存储介质，将SIMLock安全数据插入Modem镜像文件，利用终端系统安全启动的签名验签机制保障SIMLock安全数据安全性和完整性。

第一方面，本发明实施例提供一种安全数据部署方法，应用于服务器，所述方法包括：在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件；将所述系统安装包发送给目标移动终端，以使所述目标移动终端启动本地系统程序后，读取所述插入有所述SIMLock安全数据的Modem镜像文件到本地运行内存中运行。

上述安全数据部署方法中，在编译系统安装包的过程中，将SIMLock安全数据插入系统安装包的Modem镜像文件，完成系统安装的目标移动终端每次启动系统时，会对Modem镜像文件进行安全性和完整性的验证，并在本地系统启动完成后，将通过验证的Modem镜像文件存储在运行内存，借助移动终端本身对Modem镜像文件的签名验签机制，保证了插入Modem镜像文件的SIMLock安全数据的安全性和完整性。

其中一种可能的实现方式中，所述将SIMLock安全数据插入所述系统安装包的Modem镜像文件，包括：

将所述SIMLock安全数据写入实现将数据插入所述Modem镜像文件功能的脚本文件；

运行所述脚本文件，将读取到的所述SIMLock安全数据插入所述系统安装包的Modem镜像文件。

其中一种可能的实现方式中，所述方法还包括：

在所述Modem镜像文件中的第一区域设置标识字段；所述第一区域在所述Modem镜像文件中与预先分配给所述SIMLock安全数据的目标存储区域相邻；

所述将读取到的所述SIMLock安全数据插入所述系统安装包的Modem镜像文件，包括：

查找所述标识字段，根据所述标识字段在所述Modem镜像文件定位所述目标存储区域；

将SIMLock安全数据插入所述目标存储区域。

其中一种可能的实现方式中，所述SIMLock安全数据所属的SIMLock软件设置有当前版本号，所述方法还包括：

预先分配与所述第一区域相邻的第二位置区域，或与所述目标存储区域相邻的第三位置区域存储所述SIMLock安全数据所属的SIMlock软件的版本号；

将所述SIMLock安全数据所属的SIMlock软件的当前版本号插入所述第三位置区域。

其中一种可能的实现方式中，所述SIMLock安全数据所属的SIMlock软件设置有当前版本号，所述目标移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段，所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本信息，所述方法还包括：

读取所述EFUSE的填充字段已填充的位数；

所述将SIMLock安全数据插入所述系统安装包的Modem镜像文件，包括：

当所述SIMLock安全数据所属的SIMlock软件的当前版本号大于所述EFUSE的填充字段已填充的位数时，将SIMLock安全数据插入所述系统安装包的Modem镜像文件。

其中一种可能的实现方式中，所述SIMLock安全数据包括以下任一要素或其组合：SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述目标移动终端IMEI的公钥、用于验证将SIMLock数据写入所述目标移动终端的工具的公钥。

第二方面，本发明实施例提供一种安全数据部署方法，应用于移动终端，所述方法包括：

接收服务器发送的系统安装包；其中，所述服务器在编译系统安装包的过程中，将锁卡SIMLock安全数据插入所述系统安装包的Modem镜像文件；

通过运行所述系统安装包安装本地系统程序；

在启动所述本地系统程序的过程中，对插入有所述SIMLock安全数据的Modem镜像文件进行安全性和完整性的数据验证；

在所述本地系统程序启动完成后，读取所述插入有所述SIMLock安全数据的Modem镜像文件在本地运行。

其中一种可能的实现方式中，所述移动终端设置有一次性可编程存储器EFUSE，通过运行所述系统安装包安装本地系统程序，包括：

运行所述Modem镜像文件对应的签名脚本文件，在所述脚本文件中读取对应所述Modem镜像文件的私钥、对应所述Modem镜像文件的公钥和对应所述Modem镜像文件的公钥杂凑值；

采用所述对应所述Modem镜像文件的私钥对所述Modem镜像文件进行签名，得到镜像文件签名数据；

将所述镜像文件签名数据、所述Modem镜像文件的公钥添加到所述Modem镜像文件后；将所述对应所述Modem镜像文件的公钥杂凑值写入EFUSE；

对插入有所述SIMLock安全数据的Modem镜像文件进行安全性和完整性的数据验证，包括：

从所述Modem镜像文件中读取所述Modem镜像文件的公钥，并计算公钥杂凑值，与从所述EFUSE中读取所述对应所述Modem镜像文件的公钥杂凑值进行比较，判断所述Modem镜像文件的公钥的有效性；

利用所述对应所述Modem镜像文件的公钥对所述Modem镜像文件签名数据进行验签；

根据验签结果确定所述Modem镜像文件和插入所述Modem镜像文件的所述SIMLock安全数据通过验证。

其中一种可能的实现方式中，所述移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段；所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件号；所述Modem镜像文件中存储所述SIMLock安全数据的目标存储区域的相邻位置区域存储有所述SIMLock安全数据所属的SIMlock软件的当前版本号；所述方法还包括：

从所述相邻位置区域读取所述SIMLock安全数据所属的SIMlock软件的当前版本号；

当所述当前版本号大于EFUSE的填充字段已填充的位数时，定位所述EFUSE最高非零位；

向填充字段高位方向移动定位的所述EFUSE最高非零位而得到目标位，填充所述目标位。

第三方面，本发明实施例提供一种数据安全部署装置，设置于服务器，所述装置包括：

第一插入模块，用于在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件；

存储模块，用于将所述系统安装包发送给目标移动终端，以使所述目标移动终端通过启动本地系统程序后，读取所述插入有所述SIMLock安全数据的Modem镜像文件到本地运行内存中运行。

其中一种可能的实现方式中，所述第一插入模块包括：

写入子模块，用于将所述SIMLock安全数据写入实现将数据插入所述Modem镜像文件功能的脚本文件；

运行子模块，用于运行所述脚本文件，将读取到的所述SIMLock安全数据插入所述系统安装包的Modem镜像文件。

其中一种可能的实现方式中，所述装置还包括：

标识设置模块，用于在所述Modem镜像文件中的第一区域设置标识字段；所述第一区域在所述Modem镜像文件中与预先分配给所述SIMLock安全数据的目标存储区域相邻；

所述第一插入模块包括：

查找子模块，用于查找所述标识字段，根据所述标识字段在所述Modem镜像文件定位所述目标存储区域；

插入子模块，用于将SIMLock安全数据插入所述目标存储区域。

其中一种可能的实现方式中，所述SIMLock安全数据所属的SIMLock软件设置有当前版本号，所述装置还包括：

第二插入模块，用于将所述SIMLock安全数据所属的SIMlock软件的当前版本号插入所述第三位置区域。

其中一种可能的实现方式中，所述SIMLock安全数据所属的SIMlock软件设置有当前版本号，所述目标移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段，所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本信息，所述装置还包括：

读取模块，用于读取所述EFUSE的填充字段已填充的位数；

所述第一插入模块具体用于，当所述SIMLock安全数据所属的SIMlock软件的当前版本号大于所述EFUSE的填充字段已填充的位数时，将SIMLock安全数据插入所述系统安装包的Modem镜像文件。

第四方面，本发明实施例提供一种数据安全部署装置，设置于移动终端，所述装置包括：

接收模块，用于接收服务器发送的系统安装包；其中，所述服务器在编译系统安装包的过程中，将锁卡SIMLock安全数据插入所述系统安装包的Modem镜像文件；

安装模块，用于通过运行所述系统安装包安装本地系统程序；

验证模块，用于在启动所述本地系统程序的过程中，对插入有所述SIMLock安全数据的Modem镜像文件进行安全性和完整性的数据验证；

启动模块，用于在所述本地系统程序启动完成后，读取所述插入有所述SIMLock安全数据的Modem镜像文件在本地运行内存运行。

其中一种可能的实现方式中，所述移动终端设置有一次性可编程存储器EFUSE，所述安装模块包括：

第一读取子模块，用于运行所述Modem镜像文件对应的签名脚本文件，在所述脚本文件中读取对应所述Modem镜像文件的私钥、对应所述Modem镜像文件的公钥和对应所述Modem镜像文件的公钥杂凑值；

签名子模块，用于采用所述对应所述Modem镜像文件的私钥对所述Modem镜像文件进行签名，得到镜像文件签名数据；

添加子模块，用于将所述镜像文件签名数据、对应所述Modem镜像文件的公钥添加到所述Modem镜像文件后，将所述对应所述Modem镜像文件的公钥杂凑值写入EFUSE；

所述验证模块包括：

第二读取子模块，用于从对应所述Modem镜像文件中对应所述Modem镜像文件的公钥，并计算公钥杂凑值，与从所述EFUSE中读取所述对应所述Modem镜像文件的公钥杂凑值进行比较，判断所述Modem镜像文件的公钥的有效性；

验证子模块，用于利用所述对应所述Modem镜像文件的公钥对所述Modem镜像文件签名数据进行验签；

确定子模块，用于根据验签结果确定所述Modem镜像文件和插入所述Modem镜像文件的所述SIMLock安全数据通过验证。

其中一种可能的实现方式中，所述移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段；所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本信息；所述Modem镜像文件中存储所述SIMLock安全数据的目标存储区域的相邻位置区域存储有所述SIMLock安全数据所属的SIMlock软件的当前版本号；所述装置还包括：

版本号读取模块，用于从所述相邻位置区域读取所述SIMLock安全数据所属的SIMlock软件的当前版本号；

定位模块，用于当所述当前版本号大于EFUSE的填充字段已填充的位数时，定位所述EFUSE最高非零位；

填充模块，用于向填充字段高位方向移动所述定位模块定位的所述EFUSE最高非零位而得到目标位，填充所述目标位。

第五方面，本发明实施例提供一种服务器，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面提供的方法。

第六方面，本发明实施例提供一种移动终端，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第二方面提供的方法。

第七方面，本发明实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面提供的方法。

第八方面，本发明实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第二方面提供的方法

应当理解的是，本发明实施例的第二～八方面与本发明实施例的第一方面的技术方案一致，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明实施例中安全数据部署方法实施环境示意图；

图2是本发明实施例提出的安全数据部署方法的步骤流程图；

图3是本发明实施例将数据写入脚本文件的示意图；

图4是本发明一种示例中标识字段在Modem镜像文件中存储位置示意图；

图5是本发明一种示例中SIMLock安全数据所属的SIMlock软件的当前版本号在Modem镜像文件中的存储位置示意图；

图6是本发明一种示例中SIMLock安全数据所属的SIMlock软件的当前版本号在Modem镜像文件中的另一种存储位置示意图；

图7是本发明实施例提出的另一种安全数据部署方法的步骤流程图；

图8是本发明一种示例中一次性可编程存储器设置有填充字段的示意图；

图9是本发明实施例提出的再一种安全数据部署方法的步骤流程图；

图10是本发明实施例提出的安全数据部署装置的功能模块图；

图11是本发明实施例提出的另一种安全数据部署装置的功能模块图；

图12为本发明实施例提供的一种电子终端设备的结构示意图；

图13为本说明书一个实施例提供的终端设备的结构示意图。

【具体实施方式】

为了更好的理解本说明书的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本说明书保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

现有技术保证SIMLock配置数据的机制包括，将SIMLock配置数据，例如允许接入的公共陆地移动网络、允许接入的用户身份识别模块等，以及验证SIMLock配置数据的签名的验证公钥、SIMLock配置数据的签名等存储在非易失性存储器(non-volatile memory，NV)，将对验证SIMLock配置数据的签名的验证公钥进行哈希值计算后，得到的公钥摘要存储在一次性可编程存储器(EFUSE)，由于EFUSE的熔断机制，EFUSE中已填充的位置不能擦除，因此写入EFUSE的公钥摘要不能被修改。

移动终端插入SIM卡，对存储在NV的验证公钥进行哈希值计算，读取EFUSE中存储的公钥摘要进行比对，以验证公钥的安全性。再利用通过验证的公钥对存储在NV的SIMLock配置数据的签名进行验签，存储在NV的SIMLock配置数据的签名是设置终端SIMLock功能模块之前，验证公钥对应的私钥对SIMLock配置数据进行签名得到的，根据验签结果确保SIMLock配置数据的安全性和完整性。通过验证的SIMLock配置数据才能进一步与SIM卡的数据进行比较，例如将SIMLock配置数据是否匹配SIM卡本地公共陆地移动网络。

EFUSE属于稀缺资源，SIMLock功能模块仅分配有一个EFUSE Block可以使用，只能写入一次数据，对SIMLock软件功能造成限制，例如初代的验证公钥无法兼容版本更新后的SIMLock功能模块，EFUSE Block的填充位有限，只能写入32位，无法将公钥摘要的杂凑值全部存储在EFUSE Block，存在较高的碰撞概率。

鉴于上述问题，本发明实施例提出一种安全数据部署方法、装置、终端、服务器以及存储介质，实现了重要数据可配置的SIMLOCK安全部署，其中，重要数据可以包括：SIMLock配置数据(五种网络锁配置数据、SIMLock模块版本控制开关、版本信息数据等)，以及用于工具鉴权和数据验签及加密所用的公钥等，保证SIMLock配置数据的安全性，灵活更新对SIMLock配置数据的签名进行验签的验证公钥。

图1是本发明实施例中安全数据部署方法实施环境示意图，如1所示，该实施环境可以包括服务器110和至少一个移动终端120，服务器110可以是一台计算机或编译器等。移动终端120可以为智能手机、电脑、可穿戴式设备等。

服务器110和移动终端120之间可以通过无线网络或有限网络建立连接，服务器110可以通过接口调用的方式将系统软件、应用程序软件等写入移动终端120。

图2是本发明实施例提出的安全数据部署方法的步骤流程图，应用于服务器，服务器是设置有对写入移动终端的数据进行编译装置的计算机设备，写入移动终端的数据包括系统安装包、软件安装包等。服务器可以与移动终端连接，或通信连接。在编写源码时通常采用高级语言进行编写，如C语言、C++等，但是，计算机能够运行的只有二进制机器语言，服务器利用编译装置对源码进行编译，生成能够被计算机运行的二进制机器语言。

如图1所示，步骤包括：

步骤S11：在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件。

源码经过编译器编译链接产生的目标文件称之为镜像(Image)文件。Modem镜像文件是指，将一系列负责处理相关通信协议的文件按照一定格式进行编译，生成的单一文件。在本发明实施例中Modem不易与调制解调器混同。

SIMLock安全数据包括对SIMLock配置数据的签名进行验签的验证公钥。

服务器编译系统安装包完成后，得到的系统安装包中的Modem镜像文件插入了SIMLock安全数据，服务器将系统安装包发送给目标移动终端，目标移动终端运行包含插入了SIMLock安全数据的Modem镜像文件的系统安装包，安装本地系统程序；目标移动终端完成本地系统程序安装后，借助移动终端原本具有的对Modem镜像文件进行签名验签的机制，在每一次启动本地系统程序都会对Modem镜像文件进行签名验签，SIMLock安全数据在Modem镜像文件中，所以Modem镜像文件通过安全性和完整性的验证，确定Modem镜像文件未被篡改，SIMLock安全数据也是未被篡改的。

目标移动终端的本地系统程序启动后，读取Modem镜像文件在本地的运行内存运行，依靠系统本身设置有的运行内存防火墙，对Modem镜像文件以及Modem镜像文件中的SIMLock安全数据进行保护。

步骤S12：将所述系统安装包发送给目标移动终端，以使所述目标移动终端启动本地系统程序后，读取所述插入有所述SIMLock安全数据的Modem镜像文件到本地运行内存运行。

本发明实施例的一种实现方式中，可以将SIMLock配置数据，例如允许接入的公共陆地移动网络、允许接入的用户身份识别模块，允许接入的公共陆地移动网络的签名、允许接入的用户身份识别模块的签名等存储在NV，插入SIM时，从Modem镜像文件中提取对SIMLock配置数据进行签名验签的验证公钥，对允许接入的公共陆地移动网络的签名、允许接入的用户身份识别模块的签名进行解密，比对解密结果和允许接入的公共陆地移动网络的哈希值是否一致，或/和对比解密结果和允许接入的用户身份识别模块的哈希值是否一致，实现对SIMLock配置数据的验证。

由于Modem镜像文件是目标移动终端每次启动系统都会验证的，并且在系统启动后的运行阶段，Modem镜像文件在目标移动终端本地运行内存中运行，对SIMLock配置数据进行解密的验证公钥是安全和完整的，从而保证了SIMLock配置数据的安全。同时，Modem镜像文件存储资源相较于EFUSE更加充足，插入Modem镜像文件的SIMLock安全数据可以灵活设置，不会限制验证公钥的更新，Modem镜像文件能够存储除验证公钥之外的其他的SIMLock安全数据，保护除验证公钥之外的其他的SIMLock安全数据。

本发明一种实施例提出将SIMLock安全数据插入系统安装包的Modem镜像文件的方法，可以在Modem镜像文件预留一定节区(Section)，镜像文件由Section组成，Section是编译器链接的一种属性，用于对全局符号(变量)进行分组，实现符号存储地址指定。在编译链接过程中使用链接脚本，如linker script，LSP，控制镜像文件内各节区在内存地址空间内的布局。

在Modem镜像文件预留一定节区的实现方式可以是，增加8K字节的“SIMLOCK_PUBLIC_AREA”，预留实现对“对SIMLock配置数据进行解密的验证公钥”进行存储地址指定的节区。

步骤S21：将所述SIMLock安全数据写入实现将数据插入所述Modem镜像文件功能的脚本文件。

通过编写插入工具，实现将数据插入Modem镜像文件的功能。图3是本发明实施例将数据写入脚本文件的示意图，如图3所示，在本发明一种示例中，使用Python脚本语言实现公钥插入工具—InsertKey，插入工具—InsertKey的脚本文件是实现将数据插入Modem镜像文件功能的脚本文件。实现公钥插入工具—InsertKey后，创建与InsertKey同级文件夹：插入工具脚本文件夹Simlock_Keys，并在插入工具脚本文件夹Simlock_Keys下依次创建二级文件夹：第一鉴权公钥文件夹AuthStartKey、第二鉴权公钥文件夹AuthEndKey、IMEI数据处理公钥文件夹ImeiKey、SIMLock数据处理公钥文件夹SimlockKey、预留密钥文件夹ReservedKey等5个二级文件夹，AuthStartKey、AuthEndKey、ImeiKey、SimlockKey、ReservedKey5个二级文件夹分别存放第一鉴权公钥(如用于验证所述SIMLock数据的验证公钥)、第二鉴权公钥(如用于验证所述SIMLock数据的验证公钥)、IMEI数据处理公钥(如用于验证所述目标移动终端IMEI的公钥)、SIMLOCK数据处理公钥(如用于验证将SIMLock数据写入所述目标移动终端的工具的公钥)及预留密钥。

步骤S22：运行所述脚本文件，将读取到的所述SIMLock安全数据插入所述系统安装包的Modem镜像文件。

目标移动终端运行系统安装包的过程中，运行实现将数据插入Modem镜像文件功能的脚本文件，在安装系统程序的过程，自动完成将SIMLock安全数据插入Modem镜像文件。

服务器在编译系统安装包的过程中，运行脚本文件，读取到SIMLock安全数据，将SIMLock安全数据插入Modem镜像文件预留的Section。目标移动终端完成系统启动，会按照Section指定的存储地址指定，读取Modem镜像文件以及插入Modem镜像文件的SIMLock安全数据到对应本地运行内存运行。

相较于EFUSE Block存储资源有限，通过Modem镜像文件预留的Section，实现SIMLock安全数据存储地址指定，能够使用的存储地址更加宽裕。鉴于此，本发明实施例还提出，SIMLock安全数据可以包括：以下任一要素或其组合：SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述目标移动终端IMEI的公钥、用于验证将SIMLOCK数据写入所述目标移动终端的工具的公钥。

SIMLock配置数据包括SIMLock网络列表，SIMLock网络列表是允许接入的公共陆地移动网络的列表。在一种示例中，运营商A允许其投放的移动终端接入公共陆地移动网络46000、46002以及46007，SIMLock网络列表是：46000、46002、46007。

本发明实施例将SIMLock配置数据存储在Modem镜像文件中，利用目标移动终端系统安全启动的签名验签机制，保证存储在Modem镜像文件的SIMLock配置数据的安全性和完整性，解决了现有技术将SIMLock配置数据存储在NV存在的易被篡改的风险。

本发明实施例也可以将用于验证目标移动终端IMEI的公钥、用于验证将SIMLock数据写入目标移动终端的工具的公钥存储在Modem镜像文件，通过目标移动终端系统安全启动的签名验签机制，保证用于验证所述目标移动终端IMEI的公钥、用于验证将SIMLock数据写入所述目标移动终端的工具的公钥的安全性和完整性。

验证目标移动终端IMEI(International Mobile Equipment Identity，国际移动设备识别码)是指，SIM卡插入目标移动终端，从NV中读取部署时写入的IMEI数据签名和IMEI数据，利用验证目标移动终端IMEI的公钥对IMEI数据签名进行验签，完成对IMEI的安全性和完整性的验证。

将SIMLock数据写入所述目标移动终端的工具，是指现有技术中将SIMLock配置数据写入NV的工具。现有技术中，服务器在利用“将SIMLock数据写入所述目标移动终端的工具”写SIMLock数据之前，对工具于目前终端进行工具鉴权，即采用私钥对移动终端发送过来的数据(随机数或其他用于验证的数据)进行加密。在利用“将SIMLock数据写入所述目标移动终端的工具”写入SIMLock数据的过程中，目标移动终端利用其持有的公钥对加密数据进行解密验证，确认工具是安全的，允许写入数据。本发明实施例将用于验证将SIMLock数据写入所述目标移动终端的工具的公钥插入Modem镜像文件，为后续验证工具鉴权的合法性提供依据。

限制于EFUSE的存储资源，现有技术中用于验证所述SIMLock网络列表签名的验证公钥、用于验证所述目标移动终端IMEI的公钥以及用于验证将SIMLock数据写入所述目标移动终端的工具(工具鉴权)的公钥设置为一个公钥。

本发明一种示例实现将上述数据“SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述目标移动终端IMEI的公钥、用于验证将SIMLock数据写入所述目标移动终端的工具的公钥”插入Modem镜像文件的方式可以是，在使用Python脚本语言实现公钥插入工具—InsertKey的脚本文件中创建对应SIMLock安全数据的文件夹，再在对应SIMLock安全数据的文件夹下依次创建多个子文件夹：AuthStartKey、AuthEndKey、ImeiKey、SIMLockKey、ReservedKey，以分别存储上述数据。

服务器在编译系统安装包的过程中，依次读取AuthStartKey、AuthEndKey、ImeiKey、SIMLockKey、ReservedKey子文件夹中的SIMLock安全数据，针对读取到的SIMLock安全数据对应标识字段，在Modem镜像文件定位读取的SIMLock安全数据的目标存储区域，将读取到的SIMLock安全数据存储在目标存储区域。

本发明实施例提出的安全数据部署方法，服务器在编译系统安装包的过程中，将：SIMLock配置数据、用于验证目标移动终端IMEI的公钥、用于验证将SIMLock数据写入目标移动终端的工具的公钥，插入Modem镜像文件，利用终端系统安全启动的签名验签机制保障插入Modem镜像文件的上述数据的安全性和完整性。由于不同功能使用不同的公钥，增加了不同功能公钥的安全性，公钥的使用也更加灵活。例如，验证目标移动终端IMEI和验证SIMLock配置数据分别使用不同公钥，保证目标移动终端IMEI和SIMLock配置数据的验证更加灵活和安全。

除SIMLock安全数据外，Modem镜像文件还存储有其他通信数据，因此为在编译系统安装包的过程中，快速准确地将SIMLock安全数据插入Modem镜像文件预留的Section中，可以在存储SIMLock安全数据的预留Section设置标识。本发明一种实施例提出一种将读取到的SIMLock安全数据插入系统安装包的Modem镜像文件的方法，步骤如下：

步骤S31：在所述Modem镜像文件中的第一区域设置标识字段；所述第一区域在所述Modem镜像文件中与预先分配给所述SIMLock安全数据的目标存储区域相邻。

第一区域和目标存储区域是Modem镜像文件中预留给SIMLock安全数据的Section中相邻的存储地址。

标识字段可以是Magic字段，在SIMLock安全数据包括SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述目标移动终端IMEI的公钥、用于验证将SIMLock数据写入所述目标移动终端的工具的公钥中的至少一者时，利用结构体解析数据位置，查询存储不同SIMLock安全数据的目标存储区域对应的标识字段不同，还可以用于区分不同的SIMLock安全数据存储位置。

步骤S32：查找所述标识字段，根据所述标识字段在所述Modem镜像文件定位所述目标存储区域。

图4是本发明一种示例中标识字段在Modem镜像文件中存储位置示意图，如图4所示，存储标识字段的第一区域与存储SIMLock安全数据的目标存储区域相邻，目标移动终端完成系统安装，将Modem镜像文件在本地运行内存运行时，Section指定存储标识字段的地址和指定存储SIMLock安全数据的地址相邻，可以理解的是，本发明实施例SIMLock安全数据的数据结构可以是：标识字段-SIMLock安全数据。

步骤S33：将SIMLock安全数据插入所述目标存储区域。

图5是本发明一种示例中SIMLock安全数据所属的SIMlock软件的当前版本号在Modem镜像文件中的存储位置示意图，图6是本发明一种示例中SIMLock安全数据所属的SIMlock软件的当前版本号在Modem镜像文件中的另一种存储位置示意图，如图5和图6所示，在本发明实施例中，还可以在Modem镜像文件预留给SIMLock安全数据的Section中分配地址给SIMLock安全数据所属的SIMlock软件的版本号，分配给SIMLock安全数据所属的SIMlock软件的版本号的地址与分配给SIMLock安全数据的地址相邻，或者分配给SIMLock安全数据所属的SIMlock软件的版本号的地址与分配给标识字段的地址相邻。可以理解的是，本发明实施例SIMLock安全数据的数据结构可以是：标识字段-SIMLock安全数据-SIMLock安全数据所属的SIMlock软件的版本号，或SIMLock安全数据所属的SIMlock软件的版本号-标识字段-SIMLock安全数据。

图7是本发明实施例提出的另一种安全数据部署方法的步骤流程图，如图7所示，本发明实施例提出的另一种安全数据部署方法包括步骤：

步骤S111：在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件。

步骤S112：预先分配与所述第一区域相邻的第二位置区域，或与所述目标存储区域相邻的第三位置区域存储所述SIMLock安全数据所属的SIMlock软件的版本号。

步骤S113：将所述SIMLock安全数据所属的SIMlock软件的当前版本号插入所述第三位置区域。

步骤S114：将所述系统安装包发送给目标移动终端，以使所述目标移动终端启动本地系统程序后，读取所述插入有所述SIMLock安全数据和SIMLock安全数据所属的SIMlock软件的当前版本号的Modem镜像文件到本地运行内存运行。

本发明实施例通过将SIMLock安全数据所属的SIMlock软件的当前版本号插入Modem镜像文件的方式，使目标移动终端中存储有SIMLock安全数据所属的SIMlock软件当前版本号，为提供SIMLock安全数据所属的SIMlock软件的后续更新提供依据。

SIMLock安全数据所属的SIMlock软件设置有当前版本号，目标移动终端设置有一次性可编程存储器EFUSE，一次性可编程存储器设置有填充字段，所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本信息。

目标移动终端完成系统启动后，将插入有SIMLock安全数据、SIMLock安全数据所属的SIMlock软件的当前版本号Modem镜像文件在本地运行内存中运行，目标移动终端从Modem镜像文件中的第三位置区域，读取当前版本号；可以理解的是，从Modem镜像文件中与目标存储位置相邻的位置区域读取当前版本号，或从Modem镜像文件中与第一区域相邻的位置区域读取当前版本号。

当目标移动终端判断读取的SIMLock安全数据所属的SIMlock软件的当前版本号大于EFUSE的填充字段已填充的位数，确定本地系统当前安装的SIMLock软件的版本高于EFUSE的填充字段表示的版本号；示例地，EFUSE的填充字段已填充的位数表示目标移动终端在当前时间之前已经SIMLock安全数据所属SIMLock软件升级N次，从Modem镜像文件中的第三位置区域读取出的版本号是N+1，那么Modem镜像文件中插入的SIMLock安全数据所属SIMLock软件已进行了N+1次升级，对EFUSE进行填充。由于EFUSE填充的位数无法擦除，以EFUSE记录版本号，能够防止SIMLock软件的版本回退。

图8是本发明一种示例中一次性可编程存储器设置有填充字段的示意图，如图8所示，本发明一种示例中，EFUSE的填充字段有4位，服务器第一次编译系统安装包，将SIMLock安全数据所属SIMLock软件的版本号“0”插入系统安装包的Modem镜像文件，将安装包发送给目标移动终端，目标移动终端完成系统安装后，读取Modem镜像文件中的版本号“0”，EFUSE的填充字段已填充的位数为零，目标移动终端不填充EFUSE的填充字段，EFUSE的填充字段显示为“0000”。

在SIMLock安全数据所属SIMLock软件进行第一次升级后，将更新后的SIMLock安全数据所属SIMLock软件的版本号“1”插入系统安装包的Modem镜像文件，将安装包发送给目标移动终端，目标移动终端完成系统安装后，读取Modem镜像文件中的版本号“1”，EFUSE的填充字段已填充的位数为零，SIMLock安全数据所属SIMLock软件的版本号“1”大于EFUSE的填充字段已填充的位数，EFUSE的填充字段无最高填充位，目标移动终端填充字段的最低位，EFUSE的填充字段显示为“0001”。

在SIMLock安全数据所属SIMLock软件进行第二次升级后，将更新后的SIMLock安全数据所属SIMLock软件版本号“2”插入系统安装包的Modem镜像文件，将安装包发送给目标移动终端，目标移动终端完成系统安装后，读取Modem镜像文件中的版本号“2”，EFUSE的填充字段已填充的位数为1，SIMLock安全数据所属SIMLock软件版本号“2”大于EFUSE的填充字段已填充的位数，定位EFUSE的填充字段的最高非零位，左移最高非零位得到待填充位，目标移动终端填充待填充位，EFUSE的填充字段显示为“0011”。

服务器在每次编译系统安装包的过程中，可以比较待插入Modem镜像文件的SIMLock安全数据所属SIMLock软件版本与目标移动终端当前已安装的系统中Modem镜像文件存储的SIMLock安全数据版本，当待插入Modem镜像文件的SIMLock安全数据所属SIMLock软件版本高于目标移动终端当前已安装的系统中Modem镜像文件存储的SIMLock安全数据所属SIMLock软件版本，将待插入Modem镜像文件的SIMLock安全数据插入Modem镜像文件；当待插入Modem镜像文件的SIMLock安全数据所属SIMLock软件版本低于目标移动终端当前已安装的系统中Modem镜像文件存储的SIMLock安全数据所属SIMLock软件版本，不在Modem镜像文件插入SIMLock安全数据，防止SIMLock功能模块的版本回滚。

本发明实施例将SIMLock安全数据插入所述系统安装包的Modem镜像文件的步骤包括：

步骤S41：读取所述EFUSE的填充字段已填充的位数。

步骤S42：当所述SIMLock安全数据的当前版本号大于所述EFUSE的填充字段已填充的位数时，将SIMLock安全数据插入所述系统安装包的Modem镜像文件。

图9是本发明实施例提出的再一种安全数据部署方法的步骤流程图，应用于移动终端，如图9所示，步骤如下：

步骤S311：接收服务器发送的系统安装包；其中，所述服务器在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件。

步骤S312：通过运行所述系统安装包安装本地系统程序。

步骤S312包括子步骤：

步骤S312-1：运行所述Modem镜像文件对应的签名脚本文件，在所述脚本文件中读取对应所述Modem镜像文件的私钥、对应所述Modem镜像文件的公钥和对应所述Modem镜像文件的公钥杂凑值。

Modem镜像文件对应的脚本文件写入有对应Modem镜像文件的私钥、对应所述Modem镜像文件的公钥和对应Modem镜像文件的公钥杂凑值。

步骤S312-2：采用对应所述Modem镜像文件的私钥对所述Modem镜像文件进行签名，得到镜像文件签名数据。

步骤S312-3：将所述镜像文件签名数据、对应所述Modem镜像文件的公钥添加到所述Modem镜像文件后，将所述对应所述Modem镜像文件的公钥杂凑值写入EFUSE。

对应所述Modem镜像文件的公钥杂凑值写入分配给Modem镜像文件的EFUSEBlock，写入EFUSE Block的数据不可擦除，因此Modem镜像文件的公钥是安全可靠的。

步骤S313：在启动所述本地系统程序的过程中，对插入有所述SIMLock安全数据的Modem镜像文件进行安全性和完整性的数据验证。

步骤S313包括子步骤：

步骤S313-1：从所述Modem镜像文件中读取对应所述Modem镜像文件的公钥，并计算公钥杂凑值，与从所述EFUSE中读取所述对应所述Modem镜像文件的公钥杂凑值进行比较，判断所述Modem镜像文件的公钥的有效性。

步骤S313-2：利用所述对应所述Modem镜像文件的公钥对所述Modem镜像文件签名数据进行验签。

步骤S313-3：根据验签结果确定所述Modem镜像文件和插入所述Modem镜像文件的所述SIMLock安全数据通过验证。

步骤S314：在所述本地系统程序启动完成后，读取所述插入有所述SIMLock安全数据的Modem镜像文件在本地运行内存运行。

为防止版本回滚，移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段；所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件版本号；所述Modem镜像文件中存储所述SIMLock安全数据的目标存储区域的相邻位置区域存储有所述SIMLock安全数据所属的SIMlock当前软件版本号。

Modem镜像文件中预留给SIMLock安全数据的Section的存储地址可以指定内存能存储的数据大小大于SIMLock安全数据，因此可以将SIMLock安全数据所属SIMLock软件版本号存储在SIMLock安全数据存储地址的相邻地址。移动终端根据Modem镜像文件插入的版本号，对EFUSE的填充字段进行填充。

移动终端启动后，SIMLock功能模块会检测Modem镜像文件中存储的SIMLock软件当前版本号与EFUSE中填充字段表示的版本信息进行比对，如果Modem镜像文件中存储的SIMLock软件当前版本号小于EFUSE中填充字段表示的版本信息，则会报错，Modem镜像文件将被锁住，移动终端无法正常使用通讯功能；如果二者相同，则SIMLock软件正常运行；若Modem镜像文件中存储的SIMLock软件当前版本号大于EFUSE中填充字段表示的版本信息，则将Modem镜像文件中存储的SIMLock软件的当前版本号更新到EFUSE中。

移动终端在完成对Modem镜像文件的验证后，还执行以下步骤：

步骤S315：从所述相邻位置区域读取所述SIMLock安全数据所属SIMLock软件的当前版本号。

步骤S316：当所述当前版本号大于EFUSE的填充字段已填充的位数时，定位所述EFUSE最高非零位。

步骤S317：向填充字段高位方向移动所述定位所述EFUSE最高非零位而得到的目标位，填充所述目标位。

EFUSE可以利用电迁移效应(electromigration，EM)来实填充字段的写入。

本发明实施例实现安全数据部署方法的可选示例已在应用在服务器侧的实施例中说明，移动终端侧的实施例不再对重复内容赘述。

图10是本发明实施例提出的安全数据部署装置的功能模块图，安全数据部署装置设置于服务器，如图10所示，所述装置包括：

第一插入模块101，用于在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件；

存储模块102，用于将所述系统安装包发送给目标移动终端，以使所述目标移动终端通过启动本地系统程序，读取所述插入有所述SIMLock安全数据的Modem镜像文件到本地运行内存运行。

图10所示实施例提供的安全数据部署装置可用于执行本说明书图1所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述。

其中一种可能的实现方式中，所述第一插入模块包括：

其中一种可能的实现方式中，所述装置还包括：

所述第一插入模块包括：

插入子模块，用于将SIMLock安全数据插入所述目标存储区域。

读取模块，用于读取所述EFUSE的填充字段已填充的位数；

图11是本发明实施例提出的另一种安全数据部署装置的功能模块图，安全数据部署装置设置于移动终端，如图11所示，所述装置包括：

接收模块111，用于接收服务器发送的系统安装包；其中，所述服务器在编译系统安装包的过程中，将锁卡SIMLock安全数据插入所述系统安装包的Modem镜像文件；

安装模块112，用于通过运行所述系统安装包安装本地系统程序；

验证模块113，用于在启动所述本地系统程序的过程中，对插入有所述SIMLock安全数据的Modem镜像文件进行安全性和完整性的数据验证；

启动模块114，用于在所述本地系统程序启动完成后，将所述插入有所述SIMLock安全数据的Modem镜像文件存储在本地运行内存。

图11所示实施例提供的安全数据部署装置可用于执行本说明书图2所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述。

所述验证模块包括：

第二读取子模块，用于从所述Modem镜像文件中读取对应所述Modem镜像文件的公钥，并计算公钥杂凑值，与从所述EFUSE中读取所述对应所述Modem镜像文件的公钥杂凑值进行比较，判断所述Modem镜像文件的公钥的有效性；

验签子模块，用于利用所述对应所述Modem镜像文件的公钥对所述Modem镜像文件签名数据进行验签；

其中一种可能的实现方式中，所述移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段；所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本号；所述Modem镜像文件中存储所述SIMLock安全数据的目标存储区域的相邻位置区域存储有所述SIMLock安全数据所属的SIMlock软件的当前版本号；所述装置还包括：

上述所示实施例提供的装置用于执行上述所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述，在此不再赘述。

图12为本发明实施例提供的一种电子终端设备的结构示意图，该电子终端设备1200包括处理器1210，存储器1211，存储在存储器1211上并可在所述处理器1210上运行的计算机程序，所述处理器1210执行所述程序时实现前述方法实施例中的步骤，实施例提供的电子终端设备可用于执行本上述所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述，在此不再赘述。

图13为本说明书一个实施例提供的终端设备的结构示意图，如图13所示，上述终端设备可以包括至少一个处理器；以及与上述处理器通信连接的至少一个存储器，其中：存储器存储有可被处理器执行的程序指令，上述处理器调用上述程序指令能够执行本说明书图9所示实施例提供的安全数据部署方法。

其中，上述终端设备可以为智能手机、平板电脑或笔记本电脑等智能电子设备，本实施例对上述终端设备的形式不作限定。

可以理解的是，本发明实施例示意的结构并不构成对终端设备100的具体限定。在本发明另一些实施例中，终端设备100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

如图13所示，终端设备100可以包括处理器1110，外部存储器接口1120，内部存储器121，移动通信模块150，无线通信模块160。

处理器1110中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器1110中的存储器为高速缓冲存储器。该存储器可以保存处理器1110刚用过或循环使用的指令或数据。如果处理器1110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器1110的等待时间，因而提高了系统的效率。

处理器1110通过运行存储在内部存储器121中的程序，从而执行各种功能应用以及数据处理，例如实现本发明图6所示实施例提供的安全数据部署方法。

终端设备100的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。终端设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

内部存储器121可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。内部存储器121可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储终端设备100使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器121可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，UFS)等。处理器1110通过运行存储在内部存储器121的指令，和/或存储在设置于处理器1110中的存储器的指令，执行终端设备100的各种功能应用以及数据处理。

本发明实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行本说明书图1～图2所示实施例提供的安全数据部署方法。

上述非暂态计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(read only memory，ROM)、可擦式可编程只读存储器(erasable programmable read onlymemory，EPROM)或闪存、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、射频(radio frequency，RF)等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本说明书操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(localarea network，LAN)或广域网(wide area network，WAN)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本发明实施例的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本说明书的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本说明书的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本说明书的实施例所属技术领域的技术人员所理解。

取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

需要说明的是，本发明实施例中所涉及的终端可以包括但不限于个人计算机(personal computer，PC)、个人数字助理(personal digital assistant，PDA)、无线手持设备、平板电脑(tablet computer)、手机、MP3播放器、MP4播放器等。

在本说明书所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，在本说明书各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本说明书各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM)、随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本说明书的较佳实施例而已，并不用以限制本说明书，凡在本说明书的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书保护的范围之内。

Claims

1.一种安全数据部署方法，其特征在于，应用于服务器，所述方法包括：

在编译系统安装包的过程中，将SIMLock安全数据插入所述系统安装包的Modem镜像文件；

将所述系统安装包发送给目标移动终端，以使所述目标移动终端通过启动本地系统程序后，读取所述插入有所述SIMLock安全数据的Modem镜像文件到本地运行内存中运行。

2.根据权利要求1所述的方法，其特征在于，所述将SIMLock安全数据插入所述系统安装包的Modem镜像文件，包括：

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

将SIMLock安全数据插入所述目标存储区域。

4.根据权利要求1-3任一所述的方法，其特征在于，所述SIMLock安全数据所属的SIMLock软件设置有当前版本号，所述方法还包括：

5.根据权利要求1-3任一所述的方法，其特征在于，所述SIMLock安全数据所属的SIMlock软件设置有当前版本号，所述目标移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段，所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本信息，所述方法还包括：

读取所述EFUSE的填充字段已填充的位数；

6.根据权利要求1-3任一所述的方法，其特征在于，所述SIMLock安全数据包括以下任一要素或其组合：SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述目标移动终端IMEI的公钥、用于验证将SIMLock数据写入所述目标移动终端的工具的公钥。

7.一种安全数据部署方法，其特征在于，应用于移动终端，所述方法包括：

通过运行所述系统安装包安装本地系统程序；

在所述本地系统程序启动完成后，读取所述插入有所述SIMLock安全数据的Modem镜像文件在本地运行内存运行。

8.根据权利要求7所述的方法，其特征在于，所述移动终端设置有一次性可编程存储器EFUSE，通过运行所述系统安装包安装本地系统程序，包括：

将所述Modem镜像文件签名数据、对应所述Modem镜像文件的公钥添加到所述Modem镜像文件后，将所述对应所述Modem镜像文件的公钥杂凑值写入EFUSE；

从所述Modem镜像文件中读取对应所述Modem镜像文件的公钥，计算公钥杂凑值，与从所述EFUSE中读取所述对应所述Modem镜像文件的公钥杂凑值进行比较，判断所述Modem镜像文件的公钥的有效性；

9.根据权利要求7所述的方法，其特征在于，所述移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段；所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件版本信息；所述Modem镜像文件中存储所述SIMLock安全数据的目标存储区域的相邻位置区域存储有所述SIMLock安全数据所属的SIMlock软件的当前版本号；所述方法还包括：

10.根据权利要求7-9任一所述的方法，其特征在于，所述SIMLock安全数据包括以下任一要素或其组合：SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述移动终端IMEI的公钥、用于验证将SIMLock数据写入所述移动终端的工具的公钥。

11.一种数据安全部署装置，其特征在于，设置于服务器，所述装置包括：

存储模块，用于将所述系统安装包发送给目标移动终端，以使所述目标移动终端通过启动本地系统程序后，读取所述插入有所述SIMLock安全数据的Modem镜像文件到在本地运行内存中运行。

12.根据权利要求11所述的装置，其特征在于，所述第一插入模块包括：

13.根据权利要求11所述的装置，其特征在于，所述装置还包括：

标识设置模块，用于在所述Modem镜像文件中的第一区域设置标识字段，所述第一区域在所述Modem镜像文件中与预先分配给所述SIMLock安全数据的目标存储区域相邻；

所述第一插入模块包括：

插入子模块，用于将SIMLock安全数据插入所述目标存储区域。

14.根据权利要求11-13任一所述的装置，其特征在于，所述SIMLock安全数据所属的SIMLock软件设置有当前版本号，所述装置还包括：

分配模块，用于预先分配与所述第一区域相邻的第二位置区域，或与所述目标存储区域相邻的第三位置区域存储所述SIMLock安全数据所属的SIMlock软件的版本号；

15.根据权利要求11-13任一所述的装置，其特征在于，所述SIMLock安全数据所属的SIMlock软件设置有当前版本号，所述目标移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段，所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本信息，所述装置还包括：

读取模块，用于读取所述EFUSE的填充字段已填充的位数；

16.根据权利要求11-13任一所述的装置，其特征在于，所述SIMLock安全数据包括以下任一要素或其组合：SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述目标移动终端IMEI的公钥、用于验证将SIMLock数据写入所述目标移动终端的工具的公钥。

17.一种安全数据部署装置，其特征在于，设置于移动终端，所述装置包括：

18.根据权利要求17所述的装置，其特征在于，所述移动终端设置有一次性可编程存储器EFUSE，所述安装模块包括：

所述验证模块包括：

验签子模块，用于利用所述对应所述Modem镜像文件的公钥对所述镜像文件签名数据进行验签；

19.根据权利要求17所述的装置，其特征在于，所述移动终端设置有一次性可编程存储器EFUSE，所述一次性可编程存储器设置有填充字段；所述填充字段中已填充的位数用于表示所述SIMLock安全数据所属的SIMlock软件的版本号；所述Modem镜像文件中存储所述SIMLock安全数据的目标存储区域的相邻位置区域存储有所述SIMLock安全数据所属的SIMlock软件的当前版本号；所述装置还包括：

20.根据权利要求17-19任一所述的装置，其特征在于，所述SIMLock安全数据包括以下任一要素或其组合：SIMLock配置数据、用于验证所述SIMLock配置数据的验证公钥、用于验证所述移动终端IMEI的公钥、用于验证将SIMLock数据写入所述移动终端的工具的公钥。

21.一种服务器，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其特征在于，

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1至6任一所述的方法。

22.一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，其特征在于，所述计算机指令使所述计算机执行如权利要求1至6任一所述的方法。

23.一种移动终端，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其特征在于，

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求7至10任一所述的方法。

24.一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，其特征在于，所述计算机指令使所述计算机执行如权利要求7至10任一所述的方法。