CN114258006A

CN114258006A - 获取凭据的方法、装置及系统

Info

Publication number: CN114258006A
Application number: CN202011010134.3A
Authority: CN
Inventors: 杨旸; 王海光; 康鑫; 罗伯特·H·邓
Original assignee: SINGAPORE MANAGEMENT UNIVERSITY; Huawei Technologies Co Ltd
Current assignee: SINGAPORE MANAGEMENT UNIVERSITY; Huawei Technologies Co Ltd
Priority date: 2020-09-23
Filing date: 2020-09-23
Publication date: 2022-03-29
Anticipated expiration: 2040-09-23
Also published as: CN114258006B

Abstract

本申请公开了一种获取凭据的方法、装置及系统，属于通信技术领域。终端向身份管理平台发送请求消息，该请求消息用于请求获取终端用于访问目标对象的凭据，该请求消息中包括终端的标识，目标对象包括终端的服务提供商和/或网络运营商。终端接收身份管理平台发送的针对请求消息的响应消息，该响应消息中包括用于访问目标对象的凭据。然后，终端根据该响应消息获取用于访问目标对象的凭据。本申请中，终端不依赖于实体的SIM卡即可获取用于访问网络运营商的凭据，也无需输入用户名和密码即可获取用于访问服务提供商的凭据，因此提高了终端获取凭据的灵活性。

Description

获取凭据的方法、装置及系统

技术领域

本申请涉及通信技术领域，特别涉及一种获取凭据的方法、装置及系统。

背景技术

接入控制在蜂窝网络中扮演着非常重要的角色，起到了保护频谱资源和通信资源的作用，是蜂窝网络为终端提供移动通信服务的前提。终端要想接入移动网络运营商(mobile network operator，MNO)(以下简称网络运营商)的蜂窝网络，需要获取访问网络运营商的凭据。目前，通常采用在实体的客户识别模块(subscriber identity model，SIM)卡中内置访问网络运营商的凭据的方式，使终端接入网络运营商的网络。

如果用户想要更改网络运营商，则需要更换SIM卡。在物联网(internet ofthings，IoT)场景下，物联网终端的数量巨大，如果更换SIM卡，工作量巨大，且物联网终端通常为传感器等小型设备，使用SIM卡将限制物联网终端的空间和设计。并且部分物联网终端由于其自身的特点，在很多情况下，无法使用SIM卡。例如工业物联网终端需要工作在极端的环境里，高温，潮湿，灰尘，剧烈震动等都会使SIM卡接触不良，或极易损坏。

并且终端访问服务提供商时，也需要先获取到访问服务提供商的凭据。在物联网场景下，访问服务提供商的凭据一般为用户名和密码，用户名和密钥无法在终端出厂时配置到终端中，需要用户在终端中输入。在物联网场景下，物联网终端的数量较大，如果人工输入用户名和密钥，人工成本太大。

因此，目前终端获取凭据的方式的局限性较高。

发明内容

本申请提供了一种获取凭据的方法、装置及系统，可以解决目前终端获取凭据的方式的局限性较高的问题。

第一方面，提供了一种获取凭据的方法。该方法包括：终端向身份管理平台发送请求消息，该请求消息用于请求获取终端用于访问目标对象的凭据，该请求消息中包括终端的标识，目标对象包括终端的服务提供商和/或网络运营商。终端接收身份管理平台发送的针对请求消息的响应消息，该响应消息中包括用于访问目标对象的凭据。然后，终端根据该响应消息获取用于访问目标对象的凭据。

可选地，终端的标识用于唯一标识该终端的身份，终端的标识可以是终端的证书公钥或证书公钥的哈希值或终端的证书。终端的标识还可以是采用数字、字母、字符串或其组合表示的身份序列号。

本申请中，终端开箱(第一次开机或激活)后，就可以直接从身份管理平台处获取到该终端用于访问目标对象的凭据。也即是，终端在不插入SIM卡的前提下，就可以获取到该终端用于访问网络运营商的凭据，而非必须购买SIM卡才能接入网络运营商的网络。并且，终端在不输入用户名和密码的前提下，就可以自动获取用于访问服务提供商的凭据，自动接入服务提供商平台，使用服务提供商的服务。终端获取凭据的过程高效快捷，且终端不依赖于实体的SIM卡，可以通过身份管理平台这个桥梁自动获取凭据，从而可以适应于物联网场景，以及其他场景，应用范围大。

可选地，终端中预置有私钥。响应消息中用于访问目标对象的凭据采用终端的公钥加密。则终端根据该响应消息获取用于访问目标对象的凭据的实现过程，包括：终端采用终端的私钥对响应消息中采用终端的公钥加密的用于访问目标对象的凭据进行解密，以获取用于访问目标对象的凭据。

本申请中，身份管理平台存储的以及响应消息中携带的用于访问目标对象的凭据采用终端的公钥加密，可以提高数据存储和传输安全，减小被他人盗用的风险。

可选地，请求消息中还包括终端用于访问目标对象的凭据在身份管理平台中的存储地址，该存储地址供身份管理平台获取该终端用于访问目标对象的凭据。

可选地，终端的公钥和终端的私钥为ABE属性密钥。

可选地，终端根据用于访问目标对象的凭据，与目标对象进行双向身份认证。

可选地，终端用于访问目标对象的凭据包括终端的标识、目标对象的证书、终端的归属方与目标对象之间的服务合同信息以及终端的归属方的签名中的一个或多个。其中，服务合同信息包括合同编号。终端的标识可以是终端的证书。

可选地，终端用于访问目标对象的凭据还包括归属方的标识。服务合同信息还可以包括终端的证书公钥、合同起始日期、合同终止日期和目标对象的地址(URL)等。

第二方面，提供了一种获取凭据的方法。该方法包括：身份管理平台接收终端发送的第一请求消息，该第一请求消息用于请求获取终端用于访问目标对象的凭据，该第一请求消息中包括终端的标识，目标对象包括终端的服务提供商和/或网络运营商。身份管理平台基于该第一请求消息获取终端用于访问目标对象的凭据。身份管理平台向终端发送针对第一请求消息的第一响应消息，该第一响应消息中包括用于访问目标对象的凭据。

本申请中，身份管理平台中存储有终端用于访问服务提供商和/或网络运营商的凭据，当身份管理平台接收到终端发送的用于请求获取凭据的请求消息，该身份管理平台可以根据该终端的标识获取对应的用于访问服务提供商和/或网络运营商的凭据，并将其发送给终端，提高了终端获取凭据的灵活性。

可选地，身份管理平台向区块链发送第一请求消息所包含信息的第一哈希值。然后，身份管理平台接收区块链发送的第一哈希值的区块存储地址。

本申请中，身份管理平台利用区块链技术对终端获取凭据的操作进行存证，便于溯源。

可选地，身份管理平台中存储有终端用于访问目标对象的凭据，该终端用于访问目标对象的凭据由终端的归属方发送给身份管理平台。身份管理平台存储的以及响应消息携带的用于访问目标对象的凭据均采用终端的公钥加密。

本申请中，身份管理平台存储的以及第一响应消息中携带的用于访问目标对象的凭据采用终端的公钥加密，可以提高数据存储和传输安全，减小被他人盗用的风险。

可选地，身份管理平台还接收归属方发送的第二请求消息，该第二请求消息中包括终端的标识以及用于访问目标对象的凭据。身份管理平台建立终端与用于访问目标对象的凭据之间的关联关系。

本申请中，终端的归属方可以向网络运营商订购网络，并为终端生成用于访问网络运营商的凭据，然后将该用于访问网络运营商的凭据存储至身份管理平台。终端的归属方还可以向服务提供商订购服务，并为终端生成用于访问服务提供商的凭据，然后将该用于访问服务提供商的凭据存储至身份管理平台。身份管理平台中可以为每个终端创建一个身份管理信息模块，用于存储该终端用于访问网络运营商的凭据和用于访问服务提供商的凭据等。

可选地，身份管理平台向区块链发送第二请求消息所包含信息的第二哈希值。身份管理平台接收区块链发送的第二哈希值的区块存储地址。身份管理平台向归属方发送针对第二请求消息的第二响应消息，该第二响应消息中包括第二哈希值的区块存储地址。该第二哈希值用于供归属方验证身份管理平台对第二请求消息的执行结果。

本申请中，身份管理平台利用区块链技术对终端与用于访问服务提供商和/或网络运营商的凭据的关联操作进行存证，实现了对终端的入网信息的管理和可追踪功能。

可选地，第一请求消息中还包括终端用于访问目标对象的凭据在身份管理平台中的存储地址。身份管理平台基于第一请求消息获取终端用于访问目标对象的凭据的实现过程，包括：身份管理平台根据该存储地址获取终端用于访问目标对象的凭据。

可选地，终端用于访问目标对象的凭据包括终端的标识、目标对象的证书、终端的归属方与目标对象之间的服务合同信息以及终端的归属方的签名中的一个或多个。其中，服务合同信息包括合同编号。

第三方面，提供了一种获取凭据的方法。该方法包括：终端的归属方获取目标对象的服务合同信息，目标对象包括终端的服务提供商和/或网络运营商。归属方根据目标对象的服务合同信息，生成用于访问目标对象的凭据。归属方向身份管理平台发送第一请求消息，该第一请求消息中包括终端的标识以及用于访问目标对象的凭据，该第一请求消息用于请求建立终端与用于访问目标对象的凭据之间的关联关系。

本申请中，终端的归属方可自行向服务提供商订购服务和/或向网络运营商订购网络，并将用于访问服务提供商和/或网络运营商的凭据存储至身份管理平台，以供终端获取，从而提高终端获取凭据的灵活性。

第四方面，提供了一种终端。所述终端包括多个功能模块，所述多个功能模块相互作用，实现上述第一方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第五方面，提供了一种身份管理平台。所述身份管理平台包括多个功能模块，所述多个功能模块相互作用，实现上述第二方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第六方面，提供了一种终端的归属方。所述归属方包括多个功能模块，所述多个功能模块相互作用，实现上述第三方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第七方面，提供了一种获取身份文档的方法。该方法包括：终端向身份管理平台发送请求消息，该请求消息用于请求获取终端的身份文档，该请求消息中包括终端的标识。终端接收身份管理平台发送的针对请求消息的响应消息，该响应消息中包括终端的身份文档。然后，终端根据该响应消息获取终端的身份文档。其中，终端的身份文档包括终端的标识、终端的身份文档的版本号、终端的身份文档的创建日期、归属方的标识、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期中的一个或多个。

本申请中，终端的身份文档存储在身份管理平台中，便于在终端被销售或转卖时，在身份管理平台中对终端的归属方的信息进行变更，然后终端可以从身份管理平台中获取新的身份文档并更新自身的身份文档，实现端到端对终端的身份文档进行更新。

可选地，终端中预置有私钥。响应消息中身份文档的创建日期、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期采用终端的公钥加密。则终端根据响应消息获取终端的身份文档的实现过程，包括：终端采用终端的私钥对终端的身份文档中采用终端的公钥加密的信息进行解密，以获取终端的身份文档。

本申请中，身份管理平台存储的以及响应消息中携带的身份文档中的设备重要信息采用终端的公钥加密，可以提高数据存储和传输安全，减小被他人盗用的风险。

第八方面，提供了一种获取身份文档的方法。该方法包括：身份管理平台接收终端发送的第一请求消息，该第一请求消息用于请求获取终端的身份文档，该第一请求消息中包括终端的标识。身份管理平台基于第一请求消息获取终端的身份文档。身份管理平台向终端发送针对第一请求消息的第一响应消息，该第一响应消息中包括终端的身份文档。其中，终端的身份文档包括终端的标识、终端的身份文档的版本号、终端的身份文档的创建日期、归属方的标识、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期中的一个或多个。

本申请中，身份管理平台中存储有终端的身份文档，便于在终端被销售或转卖时，在身份管理平台中对终端的归属方的信息进行变更，然后终端可以从身份管理平台中获取新的身份文档并更新自身的身份文档，实现端到端对终端的身份文档进行更新。

可选地，身份管理平台中存储有终端的身份文档，身份管理平台存储的以及第一响应消息中携带的终端的身份文档中，身份文档的创建日期、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期采用终端的公钥加密。

可选地，归属方为终端的生产商。身份管理平台接收归属方发送的第二请求消息，第二请求消息中包括终端的身份文档。身份管理平台将终端的身份文档存储在身份管理平台中。即，终端的生产商可以在身份管理平台中创建该终端的身份文档。

可选地，身份管理平台向区块链发送第二请求消息所包含信息的第一哈希值。身份管理平台接收区块链发送的第一哈希值的区块存储地址。身份管理平台向归属方发送针对第二请求消息的第二响应消息，第二响应消息中包括第一哈希值的区块存储地址。该第一哈希值用于供归属方验证身份管理平台对第二请求消息的执行结果。

本申请中，身份管理平台利用区块链技术对存储的终端的身份文档进行存证，使得生产商能够对存证值进行验证，提高终端的身份文档的存储可靠性。

可选地，身份管理平台接收归属方发送的第三请求消息，第三请求消息用于请求身份管理平台更新终端的归属方信息，第三请求消息中包括终端的标识、目标归属方的标识和目标归属方的证书。身份管理平台将存储的终端的身份文档中，归属方的标识更新为目标归属方的标识，归属方的证书更新为目标归属方的证书，得到更新后的终端的身份文档。

本申请中，基于身份管理平台实现端到端的对终端的归属权限的变更。

可选地，身份管理平台向区块链发送第三请求消息所包含信息的第二哈希值。身份管理平台接收区块链发送的第二哈希值的区块存储地址。身份管理平台向归属方发送针对第三请求消息的第三响应消息，第三响应消息中包括第二哈希值的区块存储地址。该第二哈希值用于供目标归属方验证身份管理平台对第三请求消息的执行结果，即供目标归属方验证终端的归属信息是否更新。

本申请中，身份管理平台利用区块链技术对更新终端的归属信息的操作进行存证，使得能够溯源，例如可追溯终端的流通、交易等信息。

可选地，身份管理平台接收目标归属方发送的第四请求消息，第四请求消息用于请求获取终端的身份文档，第四请求消息中包括目标归属方的标识和终端的标识。身份管理平台向目标归属方发送针对第四请求消息的第四响应消息，第四响应消息中包括终端的身份文档。

可选地，身份管理平台向区块链发送第四请求消息所包含信息的第三哈希值。身份管理平台接收区块链发送的第三哈希值的区块存储地址。

第九方面，提供了一种获取身份文档的方法。该方法包括：终端的生产商生成终端的身份文档。生产商向身份管理平台发送第一请求消息，该第一请求消息中包括终端的身份文档，该第一请求消息用于请求在身份管理平台中创建终端的身份文档。其中，终端的身份文档包括终端的标识、终端的身份文档的版本号、终端的身份文档的创建日期、归属方的标识、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期中的一个或多个，归属方为生产商。

本申请中，终端的生产商将终端的身份文档存储在身份管理平台中，便于在终端被销售或转卖时，在身份管理平台中对终端的归属方的信息进行变更，然后终端可以从身份管理平台中获取新的身份文档并更新自身的身份文档，实现端到端对终端的身份文档进行更新。

可选地，生产商接收身份管理平台发送的针对第一请求消息的第一响应消息，第一响应消息中包括第一哈希值的区块存储地址，第一哈希值为第一请求消息所包含信息的哈希值。生产商根据第一哈希值的区块存储地址，从区块链获取第一哈希值。生产商基于第一哈希值验证身份管理平台对第一请求消息的执行结果。

可选地，生产商向身份管理平台发送第二请求消息，该第二请求消息用于请求身份管理平台更新终端的归属方信息，第二请求消息中包括终端的标识、目标归属方的标识和目标归属方的证书。

本申请中，生产商通过身份管理平台实现端到端的对终端的归属权限的变更。

可选地，生产商接收身份管理平台发送的针对第二请求消息的第二响应消息，第二响应消息中包括第二哈希值的区块存储地址，第二哈希值为第二请求消息所包含信息的哈希值。生产商向目标归属方发送第二哈希值的区块存储地址，供目标归属方验证身份管理平台对第二请求消息的执行结果。

第十方面，提供了一种终端。所述终端包括多个功能模块，所述多个功能模块相互作用，实现上述第七方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第十一方面，提供了一种身份管理平台。所述身份管理平台包括多个功能模块，所述多个功能模块相互作用，实现上述第八方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第十二方面，提供了一种终端的生产商。所述生产商包括多个功能模块，所述多个功能模块相互作用，实现上述第九方面及其各实施方式中的方法。所述多个功能模块可以基于软件、硬件或软件和硬件的结合实现，且所述多个功能模块可以基于具体实现进行任意组合或分割。

第十三方面，提供了一种终端，包括：处理器、存储器和收发器；

所述存储器，用于存储计算机程序，所述计算机程序包括程序指令；

所述处理器，用于调用所述计算机程序，协同所述收发器实现如第一方面及其各实施方式中的方法和/或第七方面及其各实施方式中的方法。

第十四方面，提供了一种身份管理平台，包括：处理器、存储器和收发器；

所述处理器，用于调用所述计算机程序，协同所述收发器实现如第二方面及其各实施方式中的方法和/或第八方面及其各实施方式中的方法。

第十五方面，提供了一种终端的归属方，包括：处理器、存储器和收发器；

所述处理器，用于调用所述计算机程序，协同所述收发器实现如第三方面及其各实施方式中的方法。

第十六方面，提供了一种终端的生产商，包括：处理器、存储器和收发器；

所述处理器，用于调用所述计算机程序，协同所述收发器实现如第九方面及其各实施方式中的方法。

第十七方面，提供了一种获取凭据的系统，包括：终端和身份管理平台，所述终端为如第四方面或第十三方面所述的终端，所述身份管理平台为如第五方面或第十四方面所述的身份管理平台。

可选地，所述系统还包括所述终端的归属方，所述归属方为如第六方面或第十五方面所述的归属方。

第十八方面，提供了一种获取身份文档的系统，包括：终端、身份管理平台和终端的生产商，所述终端为如第十方面或第十三方面所述的终端，所述身份管理平台为如第十一方面或第十四方面所述的身份管理平台，所述生产商为如第十二方面或第十六方面所述的生产商。

第十九方面，提供了一种计算机存储介质，所述计算机存储介质上存储有指令，当所述指令被计算机设备的处理器执行时，实现如第一方面及其各实施方式、第二方面及其各实施方式或第三方面及其各实施方式中获取凭据的方法。

第二十方面，提供了一种计算机存储介质，所述计算机存储介质上存储有指令，当所述指令被计算机设备的处理器执行时，实现如第七方面及其各实施方式、第八方面及其各实施方式或第九方面及其各实施方式中获取身份文档的方法。

第二十一方面，提供了一种芯片，芯片包括可编程逻辑电路和/或程序指令，当芯片运行时，实现第一方面及其各实施方式、第二方面及其各实施方式或第三方面及其各实施方式中获取凭据的方法。

第二十二方面，提供了一种芯片，芯片包括可编程逻辑电路和/或程序指令，当芯片运行时，实现第七方面及其各实施方式、第八方面及其各实施方式或第九方面及其各实施方式中获取身份文档的方法。

附图说明

图1为本申请实施例提供的一种应用场景示意图；

图2为本申请实施例提供的一种系统架构示意图；

图3是本申请实施例提供的一种生产商对终端进行出厂设置的实现过程示意图；

图4是本申请实施例提供的一种归属方变更终端归属权限的实现过程示意图；

图5是本申请实施例提供的一种在身份管理平台中存放用于访问网络运营商的凭据的实现过程示意图；

图6是本申请实施例提供的一种在身份管理平台中存放用于访问服务提供商的凭据的实现过程示意图；

图7是本申请实施例提供的一种获取凭据的方法的流程示意图；

图8是本申请实施例提供的一种获取身份文档的方法的流程示意图；

图9是本申请实施例提供的另一种获取凭据的方法的流程示意图；

图10是本申请实施例提供的又一种获取凭据的方法的流程示意图；

图11是本申请实施例提供的再一种获取凭据的方法的流程示意图；

图12是本申请实施例提供的一种终端的结构示意图；

图13是本申请实施例提供的另一种终端的结构示意图；

图14是本申请实施例提供的一种身份管理平台的结构示意图；

图15是本申请实施例提供的另一种身份管理平台的结构示意图；

图16是本申请实施例提供的一种获取凭据的装置的框图；

图17是本申请另一实施例提供的一种终端的结构示意图；

图18是本申请另一实施例提供的一种身份管理平台的结构示意图；

图19是本申请另一实施例提供的另一种身份管理平台的结构示意图；

图20是本申请另一实施例提供的又一种身份管理平台的结构示意图；

图21是本申请另一实施例提供的一种终端的生产商的结构示意图；

图22是本申请实施例提供的一种获取身份文档的装置的框图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

为便于理解本申请实施例，接下来以图1所示的应用场景进行介绍，用户购买终端，例如购买的终端为手机，用户可以在手机上安装一个或多个应用(application，APP)，例如即时通讯应用，视频播放应用等。用户要想使用手机上安装的APP，例如通过即时通讯应用向好友发送消息，或者通过视频播放应用观看视频，终端需要接入网络，终端通过网络访问服务提供商(service provider，SP)(例如即时通讯应用的服务提供商或视频播放应用的服务提供商)，请求服务，以便于用户使用APP。

再例如，用户购买的终端为V2X终端，例如，电表。电表可以检测用电量，并自动向电网的服务平台上报用电量，以避免人工抄写用电量。电表要想向电网的服务平台上报用电量，电表也需要接入网络。向电网的服务平台上报用电量即访问服务提供商。

终端在接入网络时，可以是采用无线局域网接入网络，也可以是终端上安装网络运营商提供的实体的SIM卡，终端与实体的SIM卡的网络运营商进行双向身份认证后，接入网络运营商提供的蜂窝网络。

以下介绍目前终端与实体SIM卡的网络运营商进行双向身份认证的过程。SIM卡和网络运营商保存相同的根密钥，终端可以将根密钥作为认证的凭据与网络运营商进行双向身份认证。以下介绍基于SIM卡的凭据配置(credential provisioning)过程：网络运营商向SIM卡的生产商提供国际移动用户识别码(international mobile subscriberidentification number，IMSI)，用户的档案(profile)和网络运营商档案(profile)等信息，其中用户的档案可以是用户的类型，例如个人用户，集体用户，电厂物联网用户等。网络运营商的档案可以是网络运营商的代码、公钥等信息。SIM卡的生产商在收到这些信息后，为每个IMSI生成一个对应的根密钥，并将IMSI和根密钥写入到实体的SIM卡中。SIM卡的生产商将IMSI、根密钥、及其对应关系告知网络运营商。网络运营商将获取到的IMSI、根密钥、及其对应关系进行保存。用户从网络运营商处购买SIM卡，用户将SIM卡插入终端后，终端便可以利用SIM中储存的IMSI和根密钥与网络运营商进行双向身份认证，从而接入和使用网络运营商提供的网络。

上述介绍的基于SIM卡的凭据配置方式的整个过程都是线下进行的，链条长，环节多，周期长，运输和维护成本高，且双向身份认证的凭据是通过实体的SIM卡发放给用户的。如果用户想要更改网络运营商，则需要更换SIM卡。在物联网场景下，物联网终端的数量巨大，如果更换SIM卡，工作量巨大，且物联网终端通常为传感器等小型设备，使用SIM卡将限制物联网终端的空间和设计。并且部分物联网终端由于其自身的特点，在很多情况下，无法使用SIM卡。例如工业物联网终端需要工作在极端的环境里，高温，潮湿，灰尘，剧烈震动等都会使SIM卡接触不良，或极易损坏。

基于此，本申请实施例提供了一种获取凭据的方法，该方法可以实现在终端开箱(第一次开机或激活)后，在不插入SIM卡的前提下，就可以自动获取用于访问网络运营商的凭据，自动接入网络运营商的网络，而非必须购买SIM卡才能接入网络运营商的网络。该方法也可以实现在终端开箱后，在不输入用户名和密码的前提下，就可以自动获取用于访问服务提供商的凭据，自动接入服务提供商平台，使用服务提供商的服务。

为便于理解本申请实施例，以下对本申请实施例的部分用语进行解释说明，以便于本领域技术人员理解。

1、终端：又称为用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等，是一种向用户提供语音和/或数据连通性的设备。例如，终端包括具有无线连接功能的手持式设备、车载设备、物联网设备、V2X(vehicle-to-everything)系统中的设备等。终端具体可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端或智慧家庭(smart home)中的无线终端等。

2、区块链(blockchain)：本质上是一个去中心化的数据库。狭义来讲，区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。广义来讲，区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。

3、智能合约(smart contract)：智能合约是以区块链技术为基础，能够自我执行的条约；一旦满足条件，就可以自动触发行为。智能合约是一段自动化脚本代码，可以部署在区块链上运行。智能合约有自己的账户，在时间或事件的驱动下能自动执行一些功能，如可以在相互之间传递信息，修改区块链的状态比如账户信息等。智能合约的工作流程主要包含三部分：合约生成，合约部署和合约执行。

(1)合约生成：首先合约参与方相互协商定义合约的具体内容，并设计使用代码生成合约程序。例如以太坊中允许使用solidity语言构建使用以太坊虚拟机可执行的计算程序。合约的构建过程中，还需要检测合约的相关规范确定合约的有效性，同时也需要验证智能合约的可执行性并检测合约的安全威胁，因为通常合约部署之后无法修改，所以必须预先保证检测程序完整性和安全性。

(2)合约部署：构建智能合约代码之后，需要将其部署在区块链中才能执行。合约部署方式类似交易发布，需要经过签名广播到区块链网络，打包节点验证合约后，将该合约包含在区块中发布到区块链，节点对该区块达成共识后，智能合约就被正式部署在区块链中。

(3)合约执行：部署在区块链上的合约可以被有权限的用户调用。合约执行基于“事件触发”机制，通常采用节点中的合约虚拟机或者docker环境执行合约。

4、联盟链：区块链被划分为公有链，私有链和联盟链。联盟链仅针对联盟成员开放全部或部分功能，联盟链上的读写权限、记账规则等，都按联盟规则来“私人定制”。联盟链上的共识过程由预先选好的节点控制，一般来说，联盟链适用于机构间的交易、结算、或清算等企业对企业(business-to-business，B2B)场景。

5、统一资源定位符(uniform resource locator，URL)：表示从网络中上获得的资源的位置和访问方法，是网络中标准资源的地址。网络中每个文件有一个唯一的URL。

6、在非对称加密技术中，有一对密钥，分别为私钥和公钥，私钥由密钥对所有者持有，不可公布；公钥由密钥对持有者公布给他人的。用公钥加密的数据只能使用对应的私钥解密，用私钥加密的数据也只能使用对应的公钥解密。

7、摘要：对需要传输的数据，进行哈希(HASH)运算得到。

8、签名：使用私钥对需要传输的数据的摘要进行加密，得到的密文被称为该次传输过程的签名。

9、签名验证：接收端接收到数据后，采用公钥对签名进行解密，得到摘要；然后使用与发送端同样的HASH算法计算摘要值；再将计算出的摘要值与解密得到的摘要进行对比，如果二者一致，则说明数据没有被篡改，如果不一致，则说明数据被篡改。

10、证书：在签名的过程中，每一个发送端有一个公钥，接收端则需要保存大量的公钥，以便进行签名验证。接收端管理大量的公钥会耗费非常多资源，且公钥有可能被篡改。基于此，可以由证书管理机构(certificate authority，CA)来管理发送端的公钥，对发送端的公钥进行认证和加密，认证加密后的公钥，即是证书。证书中包含很多信息，最重要的是申请者的公钥，其次还可以包括用户的身份序列号等身份相关信息。这样，申请者拿到证书后，在发送数据时，使用私钥生成签名，将签名、证书和数据一起发给接收端。接收端可以使用证书管理机构的“统一密钥对”中的公钥(也称为CA根证书)对证书解密，以获取证书中的公钥。然后采用证书中的公钥解密发送方发过来的签名，得到摘要。并使用与发送端同样的HASH算法计算摘要值；再将计算出的摘要值与解密得到的摘要进行对比，以验证数据内容的完整性。

其中，CA根证书可以是接收端到CA证书管理机构下载并安装到相应的收取数据的客户端上的，例如浏览器。CA根证书只需要安装一次。

11、基于属性加密(attribute based encryption，ABE)：主要分为基于密文策略的属性加密(ciphertext-policy ABE，CP-ABE)和基于密钥策略的属性加密(key-policyABE，KP-ABE)这两种。在基于密文策略的属性加密算法中，密文与访问控制策略相关，密钥与用户的属性集合(包括能够反映用户身份的至少一个属性)相关，当用户的属性满足密文的访问控制策略时，用户可以解密密文。CP-ABE方案包含如下四个算法：

(1)

(pub,msk)：输入系统参数λ，密钥生成中心生成公共参数pub(即用户的公钥)和主密钥(pub,msk)。

(2)

CT：使用用户的属性集合ATTR和公共参数pub对明文进行加密，生成密文CT。

(3)

sk：输入公共参数pub、主密钥msk和访问控制策略A，密钥生成中心运行密钥生成算法为用户生成私钥sk。

(4)

m：使用用户的属性与访问控制策略进行匹配，若满足，则用户使用私钥sk对密文CT进行解密，输出密文m。否则，停止操作。

12、分布式的基于属性加密(也可称为分布式属性基加密)(distributedattribute based encryption，DABE)：在DABE系统中，属性被相互独立的属性中心管理，一个或多个属性中心合谋也不能破坏整个系统的安全性。大多数情况下不同的组织具有不同的策略来共享信息，因此也需要多个密钥生成中心管控不同用户的属性。

可选地，图2是本申请实施例涉及的系统架构示意图。如图2所示，该系统中包括：生产商(manufacture，MRF)101、终端102、用户(customer，CTM)103、网络运营商104、服务提供商(service provider，SP)105和身份管理(identity hub，IDH)平台106。

生产商101用于生产终端并提供设备身份。用户103可以向生产商101购买终端，向网络运营商104订购网络(例如订购2个G的流量)，向服务提供商105订购服务(例如注册即时通讯应用，同意哪个条款，或者电表检测用电量)。网络运营商104用于向终端102提供网络。服务提供商105用于向终端102提供服务。终端102可以通过身份管理平台106完成初始化认证。生产商101、用户103、网络运营商104和服务提供商105均可以通过身份管理平台106进行设备归属查询。

可选地，如图2所示，该系统中还包括区块链107。区块链107可以是多方所建立的联盟链。区块链107用于对身份管理平台106执行的存取操作进行存证，以供查询和追溯。区块链107上可以部署智能合约，以保证不同实体间对实物或服务在没有可信第三方前提下的公平交易。

本申请实施例可以适用于多生产商、多网络运营商和/或多服务提供商的分布式系统。

本申请实施例中，设备的标识用于唯一标识设备身份，设备的标识可以是设备的证书、证书公钥或证书公钥的哈希值或，设备的标识还可以是采用数字、字母、字符串或其组合表示的身份序列号。设备例如可以是终端、归属方或生产商等。

生产商可以为终端在出厂前预置终端的证书、终端的属性信息以及终端的私钥，并将终端的身份文档存储在身份管理平台中。终端的身份文档包括终端的标识、身份文档的版本号、身份文档的创建日期、归属方的标识、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期中的一个或多个。终端的出厂序列号携带在该终端的出厂证书中。终端的标识用于唯一标识该终端的身份，终端的标识可以是终端的证书公钥或证书公钥的哈希值，终端的标识还可以是采用数字、字母、字符串或其组合表示的身份序列号。归属方的标识可以是归属方的证书公钥或证书公钥的哈希值。例如，终端的身份文档可以包括终端的出厂证书以及归属方的证书(或归属方的证书公钥)。需要说明的是，终端在出厂前的归属方为生产商。

可选地，身份文档的创建日期、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期等设备重要信息采用终端的公钥加密。前述终端的公钥和终端的私钥可以为ABE属性密钥。本申请实施例中，该终端的公钥和该终端的私钥可以是DABE属性密钥，则终端的私钥包括一个或多个密钥生成中心(即分布式中心)分发的私钥。为了便于与证书密钥进行区分，本申请以下实施例中将前述终端的公钥称为DABE属性公钥，将前述终端的私钥称为终端的DABE属性私钥，对采用DABE体制中的加密算法加密后的信息称为该信息的DABE密文。当然，前述设备重要信息也可以采用对称密钥加密，则生产商为终端在出厂前预置对称密钥，本申请实施例对终端的设备重要信息的加密方式不做限定。

在本申请的第一个可选实施例中，提供了一种生产商对终端进行出厂设置的方式。图3是本申请实施例提供的一种生产商对终端进行出厂设置的实现过程示意图。如图3所示，该实现过程包括：

步骤301、生产商生成终端的身份文档。

可选地，终端的身份文档包括终端的标识、身份文档的版本号、身份文档的创建日期、生产商的标识、生产商的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期中的一个或多个。其中，生产商可以对终端的身份文档中的设备重要信息采用DABE属性公钥加密。生产商的标识可以是生产商的证书公钥或证书公钥的哈希值。

步骤302、生产商向身份管理平台发送请求消息1，该请求消息1中包括终端的身份文档。

该请求消息1用于请求在身份管理平台中存储该终端的身份文档。可选地，终端的身份文档中的设备重要信息以DABE密文的形式发送。

可选地，该请求消息1中还包括生产商的证书以及生产商的签名。其中，生产商的签名采用生产商的证书公钥对应的私钥生成。

步骤303、身份管理平台将终端的身份文档存储在身份管理平台中。

可选地，身份管理平台在接收到生产商发送的请求消息1后，根据生产商的签名，验证生产商的访问权限。身份管理平台还可以验证终端的身份文档中终端的标识是否唯一，以避免为同一终端存储多个不同的身份文档。身份管理平台在确定生产商具有访问权限，且终端的身份文档中终端的标识唯一后，存储该终端的身份文档。

本申请实施例中，生产商利用签名向身份管理平台进行身份认证，实现访问权限管理；利用DABE技术实现数据隐私保护，减小请求消息传输和存储中遭受他人攻击或篡改的风险。

可选地，身份管理平台存储该终端的身份文档后，还可以利用区块链技术对存储信息进行存证，使得生产商能够对存证值进行验证。该实现过程包括下述步骤304至步骤308。

步骤304、身份管理平台向区块链发送请求消息1所包含信息的哈希值H1。

可选地，哈希值H1还与时刻t1相关，该时刻t1可以是身份管理平台接收到请求消息1的时刻、身份管理平台确定生产商具有访问权限的时刻或身份管理平台存储终端的身份文档的时刻。身份管理平台根据时刻t1以及请求消息1所包含的信息计算得到的哈希值H1，表示为：H1＝hash(请求消息1，t1)。

可选地，身份管理平台还向区块链发送终端的身份文档。也即是，身份管理平台向区块链发送的内容包括终端的身份文档以及哈希值H1，记为：(终端的身份文档，H1)。

步骤305、区块链向身份管理平台发送哈希值H1的区块存储地址。

可选地，区块链在接收到身份管理平台发送的(终端的身份文档，H1)后，在区块链中存证(终端的身份文档，H1)，然后将(终端的身份文档，H1)的区块存储地址block_addr1返回给身份管理平台。身份管理平台将请求消息1，t1和block_addr1存储在一起，即身份管理平台上存储(请求消息1，t1，block_addr1)，以记录身份管理平台的存储操作。

步骤306、身份管理平台向生产商发送针对请求消息1的响应消息1，该响应消息1中包括哈希值H1的区块存储地址。

当哈希值H1与时刻t1相关，响应消息1包含的内容为(block_addr1，t1)。

步骤307、生产商根据哈希值H1的区块存储地址，从区块链中获取哈希值H1。

可选地，生产商从区块链中读取block_addr1对应的区块信息，以从该区块信息中获取哈希值H1。

步骤308、生产商基于哈希值H1验证身份管理平台对请求消息1的执行结果。

可选地，生产商向身份管理平台发送请求消息1后，自身存储该请求消息1。生产商通过验证等式hash(请求消息1，t1)＝H1是否成立，以确认身份管理平台是否执行完成请求消息1，还可以确认终端的身份文档是否未经篡改地存证在区块链上。

可选地，当确认身份管理平台执行完成请求消息1且终端的身份文档未经篡改地存证在区块链上，即验证通过，生产商向身份管理平台发送确认消息。生产商在终端中内置终端的证书、终端的DABE属性私钥、身份管理平台的地址(URL)以及终端的身份文档在身份管理平台中的存储地址。生产商还可以在终端中内置终端的属性信息，包括生产商、终端的类型、终端的尺寸和/或终端的型号等。

综上所述，在本实施例中，生产商利用签名向身份管理平台进行身份认证，实现访问权限管理；利用DABE技术实现数据隐私保护，减小请求消息传输和存储中遭受他人攻击或篡改的风险。另外，身份管理平台利用区块链技术对存储信息进行存证，使得生产商能够对存证值进行验证，提高终端的身份文档的存储可靠性。

终端的归属方可能是终端的生产商、批发商、个人或企业等。例如，终端在出厂前，终端的归属方为生产商；生产商将终端卖给批发商之后，终端的归属方为批发商；批发商将终端卖给个人或企业后，终端的归属方为个人或企业。本申请中将终端所有可能的归属方中除终端的生产商以外的归属方统称为用户。

用户可以向终端的归属方购买终端。可选地，用户通过智能合约技术向终端的归属方购买终端，并完成无可信第三方前提下的公平支付。用户在购买终端后，终端的原归属方需要将终端的归属权变更给目标归属方(即购买终端的用户)。

在本申请的第二个可选实施例中，提供了一种归属方变更终端归属权限的方式。图4是本申请实施例提供的一种归属方变更终端归属权限的实现过程示意图。如图4所示，该实现过程包括：

步骤401、归属方向身份管理平台发送请求消息2，该请求消息2中包括终端的标识、目标归属方的标识和目标归属方的证书。

该请求消息2用于请求更新终端的归属方信息。目标归属方的标识可以是目标归属方的证书公钥或证书公钥的哈希值。

可选地，归属方向目标归属方出售终端后，获取目标归属方的证书及其用户属性集合。该请求消息2中还可以包括DABE属性公钥和/或归属方的签名。其中，归属方的签名采用归属方的证书公钥对应的私钥生成。

步骤402、身份管理平台将存储的终端的身份文档中，归属方的标识更新为目标归属方的标识，归属方的证书更新为目标归属方的证书，得到更新后的终端的身份文档。

可选地，身份管理平台在接收到归属方发送的请求消息2后，根据归属方的签名，验证归属方的访问权限。身份管理平台在确定归属方具有访问权限后，更新终端的身份文档中的归属方信息。

可选地，身份管理平台更新终端的身份文档后，还可以利用区块链技术对身份文档的更新操作进行存证，使得目标归属方能够对存证值进行验证。该实现过程包括下述步骤403至步骤408。

步骤403、身份管理平台向区块链发送请求消息2所包含信息的哈希值H2。

可选地，哈希值H2还与时刻t2相关，该时刻t2可以是身份管理平台接收到请求消息2的时刻、身份管理平台确定归属方具有访问权限的时刻或身份管理平台更新终端的身份文档的时刻。身份管理平台根据时刻t2以及请求消息2所包含的信息计算得到的哈希值H2，表示为：H2＝hash(请求消息2，t2)。

可选地，身份管理平台还向区块链发送终端的标识。也即是，身份管理平台向区块链发送的内容包括终端的标识以及哈希值H2，记为：(终端的标识，H2)。

步骤404、区块链向身份管理平台发送哈希值H2的区块存储地址。

可选地，区块链在接收到身份管理平台发送的(终端的标识，H2)后，在区块链中存证(终端的标识，H2)，然后将(终端的标识，H2)的区块存储地址block_addr2返回给身份管理平台。身份管理平台将请求消息2，t2和block_addr2存储在一起，即身份管理平台上存储(请求消息2，t2，block_addr2)，以记录身份管理平台对终端的身份文档的更新操作。

可选地，步骤402也可以在步骤403和步骤404之后执行，也即是，身份管理平台在接收到区块链发送的哈希值H2的区块存储地址后，再更新终端的身份文档。

步骤405、身份管理平台向归属方发送针对请求消息2的响应消息2，该响应消息2中包括哈希值H2的区块存储地址。

该响应消息2中还可以包括终端的标识。当哈希值H2与时刻t2相关，响应消息2包含的内容为(终端的标识，block_addr2，t2)。

步骤406、归属方向目标归属方发送哈希值H2的区块存储地址。

可选地，归属方向目标归属方发送的内容为(终端的标识，block_addr2，t2)。哈希值H2和时刻t2用于供目标归属方验证身份管理平台对请求消息2的执行结果，也即是确认身份管理平台是否更新终端的归属信息。

步骤407、目标归属方根据哈希值H2的区块存储地址，从区块链中获取哈希值H2。

可选地，目标归属方从区块链中读取block_addr2对应的区块信息，以从该区块信息中获取哈希值H2。

步骤408、目标归属方基于哈希值H2验证身份管理平台对请求消息2的执行结果。

可选地，归属方也可以向目标归属方发送请求消息2，然后目标归属方存储该请求消息2。目标归属方通过验证等式hash(请求消息2，t2)＝H2是否成立，以确认身份管理平台是否执行完成请求消息2，也即是确认身份管理平台是否更新终端的归属信息。

本申请实施例中，身份管理平台利用区块链技术对终端的身份文档中归属信息的更新操作进行存证，一方面使得目标归属方能够对存证值进行验证，另一方面实现了对终端的身份文档的管理和可追踪功能。

目标归属方在确认身份管理平台中终端的归属信息已更新后，可以从身份管理平台获取更新后的终端的身份文档。该实现过程包括下述步骤409至步骤410。

步骤409、目标归属方向身份管理平台发送请求消息3，该请求消息3中包括目标归属方的标识和终端的标识。

该请求消息3用于请求获取终端的身份文档。可选地，该请求消息3中还包括目标归属方的签名。其中，目标归属方的签名采用目标归属方的证书公钥对应的私钥生成。

步骤410、身份管理平台向目标归属方发送针对请求消息3的响应消息3，该响应消息3中包括终端的身份文档。

可选地，身份管理平台在接收到目标归属方发送的请求消息3后，根据目标归属方的签名和/或目标归属方的标识，验证归属方的访问权限。由于身份管理平台中存储的终端的身份文档中，归属方的标识已变更为目标归属方的标识，归属方的证书已变更为目标归属方的证书(对应步骤402)，因此身份管理平台确定目标归属方具有对该终端的访问权限。然后身份管理平台向目标归属方发送包含终端的身份文档的响应消息3。

可选地，响应消息3中包括终端的身份文档的DABE密文，也即是，身份管理平台采用目标归属方的用户属性信息和DABE属性公钥对终端的身份文档进行加密后传输，提高了信息传输安全性。目标归属方在接收到响应消息3后，采用该目标归属方的DABE属性私钥对响应消息3中的DABE密文进行解密，以获取终端的身份文档。目标归属方还可以根据终端的身份文档中的归属方信息，验证终端的归属权是否变更至目标归属方。目标归属方在确认终端的归属权变更至该目标归属方后，目标归属方还可以向归属方发送确认消息，以确定完成对终端的归属权限的变更。

可选地，身份管理平台在确定目标归属方具有对终端的访问权限后，还可以利用区块链技术对身份文档的获取操作进行存证。该实现过程包括下述步骤411至步骤412。

步骤411、身份管理平台向区块链发送请求消息3所包含信息的哈希值H3。

可选地，哈希值H3还与时刻t3相关，该时刻t3可以是身份管理平台接收到请求消息3的时刻、身份管理平台确定目标归属方具有访问权限的时刻或身份管理平台向目标归属方发送终端的身份文档的时刻。身份管理平台根据时刻t3以及请求消息3所包含的信息计算得到的哈希值H3，表示为：H3＝hash(请求消息3，t3)。

可选地，身份管理平台还向区块链发送终端的身份文档。也即是，身份管理平台向区块链发送的内容包括终端的身份文档以及哈希值H3，记为：(终端的身份文档，H3)。

步骤412、区块链向身份管理平台发送哈希值H3的区块存储地址。

可选地，区块链在接收到身份管理平台发送的(终端的身份文档，H3)后，在区块链中存证(终端的身份文档，H3)，然后将(终端的身份文档，H3)的区块存储地址block_addr3返回给身份管理平台。身份管理平台将请求消息3，t3和block_addr3存储在一起，即身份管理平台上存储(请求消息3，t3，block_addr3)，以记录目标归属方对终端的身份文档的获取操作。

可选地，步骤410也可以在步骤411和步骤412之后执行，也即是，身份管理平台在接收到区块链发送的哈希值H3的区块存储地址后，再向目标归属方发送包含终端的身份文档的响应消息3。

综上所述，在本实施例中，通过终端的原归属方与身份管理平台的交互，实现了终端归属权限的变更。另外，身份管理平台利用区块链技术对终端的身份文档中归属信息的更新操作和获取操作进行存证，实现了对终端的身份文档的管理和可追踪功能。

本申请实施例中，用户还可以向网络运营商订购网络。可选地，用户通过智能合约技术向网络运营商订购网络，并完成无可信第三方前提下的公平支付。由于用户可能同时拥有多个终端，用户可以一次性为多个终端订购网络，然后再把入网权限分发给已购买的终端和/或后续购买的终端，以简化用户操作。

用户需要将用于访问网络运营商的凭据存放在身份管理平台中，以便于终端获取用于访问网络运营商的凭据，从而获取入网权限。

在本申请的第三个可选实施例中，提供了一种在身份管理平台中存放用于访问网络运营商的凭据的方式。图5是本申请实施例提供的一种在身份管理平台中存放用于访问网络运营商的凭据的实现过程示意图。如图5所示，该实现过程包括：

步骤501、归属方获取网络运营商的服务合同信息。

可选地，归属方在向网络运营商订购网络并完成支付后，向网络运营商发送服务信息获取请求。网络运营商可以向归属方发送该归属方对应的服务信息。该服务信息包括服务合同信息和网络运营商的证书。该服务信息还可以包括服务质量(quality ofservice，QoS)参数，网络运营商的签名和最大接入的终端数量等。其中，服务合同信息包括合同编号。服务合同信息还可以包括合同起始日期和合同终止日期。

步骤502、归属方根据网络运营商的服务合同信息，生成用于访问网络运营商的凭据。

本申请实施例中，用于访问网络运营商的凭据也称为网络服务配置文档，包括终端的标识、归属方的标识、网络运营商的标识和服务合同信息。该用于访问网络运营商的凭据具体可以包括文档版本号、文档创建日期、DABE属性公钥、终端的证书公钥、合同编号、合同起始日期、合同终止日期、网络运营商的地址(URL)、网络运营商的证书以及归属方的证书中的一个或多个。

可选地。步骤501和步骤502可以在用户购买该终端之前执行，或者也可以在用户购买该终端之后执行，本申请实施例对用户购买终端和订购网络的先后顺序不做限定。用户在购买终端和订购网络后，可以将终端用于访问网络运营商的凭据存放在身份管理平台中，以便终端获取。该实现过程包括下述步骤503至步骤504。

步骤503、归属方向身份管理平台发送请求消息4，该请求消息4中包括终端的标识以及用于访问网络运营商的凭据。

该请求消息4用于请求建立终端与用于访问网络运营商的凭据之间的关联关系。

可选地，用于访问网络运营商的凭据中的DABE属性公钥、终端的证书公钥、合同编号、合同起始日期、合同终止日期、网络运营商的地址、网络运营商的证书以及归属方的证书等重要信息可以采用DABE属性公钥加密，即该部分信息以DABE密文的形式发送。

可选地，该请求消息4中还包括归属方的签名。归属方的签名采用归属方的证书公钥对应的私钥生成。

步骤504、身份管理平台建立终端与用于访问网络运营商的凭据之间的关联关系。

可选地，身份管理平台在接收到归属方发送的请求消息4后，根据归属方的签名，验证归属方的身份权限。身份管理平台在确定归属方具有访问权限后，存储该用于访问网络运营商的凭据并建立终端与该用于访问网络运营商的凭据之间的关联关系。

可选地，身份管理平台建立终端与用于访问网络运营商的凭据之间的关联关系后，还可以利用区块链技术对该关联操作进行存证，使得归属方能够对存证值进行验证。该实现过程包括下述步骤505至步骤509。

步骤505、身份管理平台向区块链发送请求消息4所包含信息的哈希值H4。

可选地，哈希值H4还与时刻t4相关，该时刻t4可以是身份管理平台接收到请求消息4的时刻、身份管理平台确定归属方具有访问权限的时刻或身份管理平台建立终端与用于访问网络运营商的凭据之间的关联关系的时刻。身份管理平台根据时刻t4以及请求消息4所包含的信息计算得到的哈希值H4，表示为：H4＝hash(请求消息4，t4)。

可选地，身份管理平台还向区块链发送终端的标识。也即是，身份管理平台向区块链发送的内容包括终端的标识以及哈希值H4，记为：(终端的标识，H4)。

步骤506、区块链向身份管理平台发送哈希值H4的区块存储地址。

可选地，区块链在接收到身份管理平台发送的(终端的标识，H4)后，在区块链中存证(终端的标识，H4)，然后将(终端的标识，H4)的区块存储地址block_addr4返回给身份管理平台。身份管理平台将请求消息4，t4和block_addr4存储在一起，即身份管理平台上存储(请求消息4，t4，block_addr4)，以记录身份管理平台对终端和用于访问网络运营商的凭据的关联操作。

可选地，步骤504也可以在步骤505和步骤506之后执行，也即是，身份管理平台在接收到区块链发送的哈希值H4的区块存储地址后，再建立终端与用于访问网络运营商的凭据之间的关联关系。

步骤507、身份管理平台向归属方发送针对请求消息4的响应消息4，该响应消息4中包括哈希值H4的区块存储地址。

当哈希值H4与时刻t4相关，响应消息4包含的内容为(block_addr4，t4)。

步骤508、归属方根据哈希值H4的区块存储地址，从区块链获取哈希值H4。

可选地，目标归属方从区块链中读取block_addr4对应的区块信息，以从该区块信息中获取哈希值H4。

步骤509、归属方基于哈希值H4验证身份管理平台对请求消息4的执行结果。

可选地，归属方向身份管理平台发送请求消息4后，自身存储该请求消息4。归属方通过验证等式hash(请求消息4，t4)＝H4是否成立，以确认身份管理平台是否执行完成请求消息4。

综上所述，在本实施例中，终端的归属方可以向网络运营商订购网络，并为终端生成用于访问网络运营商的凭据，然后将该用于访问网络运营商的凭据存储至身份管理平台。终端的归属方利用DABE技术实现数据隐私保护，减小用于访问网络运营商的凭据在传输和存储中遭受他人攻击或篡改的风险。另外，身份管理平台利用区块链技术对终端与用于访问网络运营商的凭据的关联操作进行存证，实现了对终端的入网信息的管理和可追踪功能。

本申请实施例中，用户还可以向服务提供商订购服务。可选地，用户通过智能合约技术向服务提供商订购服务，并完成无可信第三方前提下的公平支付。由于用户可能同时拥有多个终端，用户可以一次性为多个终端订购服务，然后再把服务权限分发给已购买的终端和/或后续购买的终端，以简化用户操作。

用户需要将用于访问服务提供商的凭据存放在身份管理平台中，以便于终端获取用于访问服务提供商的凭据，从而获取服务权限。

在本申请的第四个可选实施例中，提供了一种在身份管理平台中存放用于访问服务提供商的凭据的方式。图6是本申请实施例提供的一种在身份管理平台中存放用于访问服务提供商的凭据的实现过程示意图。如图6所示，该实现过程包括：

步骤601、归属方获取服务提供商的服务合同信息。

可选地，归属方在向服务提供商订购服务并完成支付后，向服务提供商发送服务信息获取请求。服务提供商可以向归属方发送该归属方对应的服务信息。该服务信息包括服务合同信息和服务提供商的证书。该服务信息还可以包括QoS参数，服务提供商的签名和最大接入的终端数量等。其中，服务合同信息包括合同编号。服务合同信息还可以包括合同起始日期和合同终止日期。

步骤602、归属方根据服务提供商的服务合同信息，生成用于访问服务提供商的凭据。

本申请实施例中，用于访问服务提供商的凭据也称为服务配置文档，包括终端的标识、归属方的标识、服务提供商的标识和服务合同信息。该用于访问服务提供商的凭据具体可以包括文档版本号、文档创建日期、DABE属性公钥、终端的证书公钥、合同编号、合同起始日期、合同终止日期、服务提供商的地址(URL)、服务提供商的证书以及归属方的证书中的一个或多个。

可选地。步骤601和步骤602可以在用户购买该终端之前执行，或者也可以在用户购买该终端之后执行，本申请实施例对用户购买终端和订购服务的先后顺序不做限定。用户在购买终端和订购服务后，可以将终端用于访问服务提供商的凭据存放在身份管理平台中，以便终端获取。该实现过程包括下述步骤603至步骤604。

步骤603、归属方向身份管理平台发送请求消息5，该请求消息5中包括终端的标识以及用于访问服务提供商的凭据。

该请求消息5用于请求建立终端与用于访问服务提供商的凭据之间的关联关系。

可选地，用于访问服务提供商的凭据中的DABE属性公钥、终端的证书公钥、合同编号、合同起始日期、合同终止日期、服务提供商的地址、服务提供商的证书以及归属方的证书等重要信息可以采用DABE属性公钥加密，即该部分信息以DABE密文的形式发送。

可选地，该请求消息5中还包括归属方的签名。归属方的签名采用归属方的证书公钥对应的私钥生成。

步骤604、身份管理平台建立终端与用于访问服务提供商的凭据之间的关联关系。

可选地，身份管理平台在接收到归属方发送的请求消息5后，根据归属方的签名，验证归属方的身份权限。身份管理平台在确定归属方具有访问权限后，存储该用于访问服务提供商的凭据并建立终端与该用于访问服务提供商的凭据之间的关联关系。

可选地，身份管理平台建立终端与用于访问服务提供商的凭据之间的关联关系后，还可以利用区块链技术对该关联操作进行存证，使得归属方能够对存证值进行验证。该实现过程包括下述步骤605至步骤609。

步骤605、身份管理平台向区块链发送请求消息5所包含信息的哈希值H5。

可选地，哈希值H5还与时刻t5相关，该时刻t5可以是身份管理平台接收到请求消息5的时刻、身份管理平台确定归属方具有访问权限的时刻或身份管理平台建立终端与用于访问服务提供商的凭据之间的关联关系的时刻。身份管理平台根据时刻t5以及请求消息5所包含的信息计算得到的哈希值H5，表示为：H5＝hash(请求消息5，t5)。

可选地，身份管理平台还向区块链发送终端的标识。也即是，身份管理平台向区块链发送的内容包括终端的标识以及哈希值H5，记为：(终端的标识，H5)。

步骤606、区块链向身份管理平台发送哈希值H5的区块存储地址。

可选地，区块链在接收到身份管理平台发送的(终端的标识，H5)后，在区块链中存证(终端的标识，H5)，然后将(终端的标识，H5)的区块存储地址block_addr5返回给身份管理平台。身份管理平台将请求消息5，t5和block_addr5存储在一起，即身份管理平台上存储(请求消息5，t5，block_addr5)，以记录身份管理平台对终端和用于访问服务提供商的凭据的关联操作。

可选地，步骤604也可以在步骤605和步骤606之后执行，也即是，身份管理平台在接收到区块链发送的哈希值H5的区块存储地址后，再建立终端与用于访问服务提供商的凭据之间的关联关系。

步骤607、身份管理平台向归属方发送针对请求消息5的响应消息5，该响应消息5中包括哈希值H5的区块存储地址。

当哈希值H5与时刻t5相关，响应消息5包含的内容为(block_addr5，t5)。

步骤608、归属方根据哈希值H5的区块存储地址，从区块链获取哈希值H5。

可选地，目标归属方从区块链中读取block_addr5对应的区块信息，以从该区块信息中获取哈希值H5。

步骤609、归属方基于哈希值H5验证身份管理平台对请求消息5的执行结果。

可选地，归属方向身份管理平台发送请求消息5后，自身存储该请求消息5。归属方通过验证等式hash(请求消息5，t5)＝H5是否成立，以确认身份管理平台是否执行完成请求消息5。

综上所述，在本实施例中，终端的归属方可以向服务提供商订购服务，并为终端生成用于访问服务提供商的凭据，然后将该用于访问服务提供商的凭据存储至身份管理平台。终端的归属方利用DABE技术实现数据隐私保护，减小用于访问服务提供商的凭据在传输和存储中遭受他人攻击或篡改的风险。另外，身份管理平台利用区块链技术对终端与用于访问服务提供商的凭据的关联操作进行存证，实现了对终端的入网信息的管理和可追踪功能。

本申请实施例中，终端在身份管理平台中可以有专属于自己的身份管理信息模块，该身份管理信息模块中可以存储有终端的标识、终端的身份文档、生产商的标识、归属方的标识、网络运营商的信息(包含用于访问网络运营商的凭据)和/或服务提供商的信息(包含用于访问服务提供商的凭据)、是否被激活等信息。该身份管理信息模块中还可以设置各类信息的存取权限，该存取权限可以由终端的归属方设定，并通过身份管理平台提供的接口进行读写或者更新。示例地，表1示出了终端的身份信息模块中的信息。

表1

基于如表1所示的终端的身份管理信息模块中包含的信息可知，终端可以从身份管理平台获取用于访问网络运营商和/或服务提供商的凭据。

在本申请的第五个可选实施例中，提供了一种终端获取凭据的方法。图7是本申请实施例提供的一种获取凭据的方法的流程示意图。如图7所示，该方法包括：

步骤701、终端向身份管理平台发送请求消息6，该请求消息6中包括该终端的标识。

该请求消息6用于请求获取终端用于访问目标对象的凭据。目标对象包括终端的服务提供商和/或网络运营商。当然目标对象可以包括但不限于服务提供商和网络运营商。

终端在初次使用(开机或激活)时，可以获取内置的身份管理平台的地址，并向身份管理平台发起查询操作，例如可以查询购买该终端的用户订购的网络运营商和/或服务提供商。终端发起的查询操作具体可以是：终端基于身份管理平台的地址，向身份管理平台发送请求获取访问目标对象的凭据的请求消息。

可选地，该请求消息6还用于请求获取终端的身份文档。终端的身份文档中包含的信息可以参考上述第一个可选实施例中的相关描述，本申请实施例在此不再赘述。

本申请实施例中，终端在初次使用时，还可以获取内置的该终端的身份管理信息在身份管理平台中的存储地址，终端的身份管理信息包括该终端用于访问网络运营商的凭据和/或该终端用于访问服务提供商的凭据。该请求消息6中还可以包括终端的身份管理信息在身份管理平台中的存储地址。

可选地，该请求消息6中还包括终端的签名。其中，终端的签名采用终端的证书公钥对应的私钥生成。

步骤702、身份管理平台根据该请求消息6获取该终端用于访问目标对象的凭据。

身份管理平台中存储有终端用于访问目标对象的凭据。可选地，身份管理平台存储的用于访问目标对象的凭据采用终端的公钥(DABE属性公钥)加密。

可选地，身份管理平台接收到终端发送的请求消息6后，根据该终端的签名和/或该终端的标识，验证该终端的访问权限。身份管理平台在确定该终端具有访问权限后，获取该终端用于访问目标对象的凭据。

当请求消息6中包括终端的身份管理信息在身份管理平台中的存储地址，身份管理平台可以根据该终端的身份管理信息在身份管理平台中的存储地址，获取该终端的身份管理信息。

步骤703、身份管理平台向终端发送针对请求消息6的响应消息6，该响应消息6中包括用于访问目标对象的凭据。

可选地，响应消息6携带的用于访问目标对象的凭据采用终端的公钥(DABE属性公钥)加密，也即是，该响应消息6中包括用于访问目标对象的凭据的DABE密文。

步骤704、终端根据响应消息6获取用于访问目标对象的凭据。

可选地，当该响应消息6中包括用于访问目标对象的凭据的DABE密文，终端采用终端的私钥(终端的DABE属性私钥)对响应消息6中用于访问目标对象的凭据的DABE密文进行解密，以得到用于访问目标对象的凭据。

可选地，当该响应消息6中包括终端的身份文档，终端还可以解析该响应消息6，获取该终端的身份文档。

步骤705、终端根据用于访问目标对象的凭据，与目标对象进行双向身份认证。

可选地，目标对象包括网络运营商。终端向网络运营商发送入网注册信息，该入网注册信息中包括终端的证书、用于访问网络运营商的凭据以及终端的签名。网络运营商验证终端的签名的真实性以及用于访问网络运营商的凭据的有效性，然后与终端之间进行双向身份认证。例如，终端用于访问网络运营商的凭据包括终端的归属方与网络运营商之间的服务合同信息，网络运营商根据存放在本地的服务合同信息验证凭据中的服务合同信息，以确定是否给该终端授权网络服务。终端向网络运营商进行认证和注册完成(即终端完成入网配置并激活网络)后，网络运营商为终端提供网络。

可选地，目标对象包括服务提供商。终端向服务提供商发送服务注册信息，该服务注册信息中包括终端的证书、用于访问服务提供商的凭据以及终端的签名。服务提供商验证终端的签名的真实性以及用于访问服务提供商的凭据的有效性，然后与终端之间进行双向身份认证。例如，终端用于访问服务提供商的凭据包括终端的归属方与服务提供商之间的服务合同信息，服务提供商根据存放在本地的服务合同信息验证凭据中的服务合同信息，以确定是否给该终端授权服务。终端向服务提供商进行认证和注册完成(即终端完成服务配置并激活服务)后，服务提供商为终端提供服务。

本申请实施例中，终端使用上述凭据接入网络运营商提供的网络或者使用服务提供商提供的服务平台，网络运营商或者服务提供商根据凭据中的合同编号，终端的证书或者终端的标识，归属方的证书，归属方签名等信息，以及存放在本地的服务合同信息对设备进行认证和授权，确定是否允许设备接入网络，或者使用服务平台。

上述双向身份认证的过程具体可以参见第三代伙伴项目(the third generationpartnership project，3GPP)中的认证与密钥协商协议(Authentication and KeyAgreement，AKA)的标准流程，此处不再详细赘述。在双向身份认证的过程中，终端与目标对象之间还可以推演安全密钥，例如加密保护密钥、完整性保护密钥。安全密钥可以便于保证后续终端与目标对象间信息传递的安全性。

可选地，身份管理平台在确定终端具有访问权限后，还可以利用区块链技术对终端的获取操作进行存证。该实现过程包括下述步骤706至步骤707。

步骤706、身份管理平台向区块链发送请求消息6所包含信息的哈希值H6。

可选地，哈希值H6还与时刻t6相关，该时刻t6可以是身份管理平台接收到请求消息6的时刻或身份管理平台确定终端具有访问权限的时刻。身份管理平台根据时刻t6以及请求消息6所包含的信息计算得到的哈希值H6，表示为：H6＝hash(请求消息6，t6)。

可选地，身份管理平台还向区块链发送终端的标识。也即是，身份管理平台向区块链发送的内容包括终端的标识以及哈希值H6，记为：(终端的标识，H6)。

步骤707、区块链向身份管理平台发送哈希值H6的区块存储地址。

可选地，区块链在接收到身份管理平台发送的(终端的标识，H6)后，在区块链中存证(终端的标识，H6)，然后将(终端的标识，H6)的区块存储地址block_addr6返回给身份管理平台。身份管理平台将请求消息6，t6和block_addr6存储在一起，即身份管理平台上存储(请求消息6，t6，block_addr6)，以记录终端对凭据的获取操作。

可选地，步骤703至步骤705也可以在步骤706和步骤707之后执行，也即是，身份管理平台在接收到区块链发送的哈希值H6的区块存储地址后，再向终端发送包含用于访问目标对象的凭据的响应消息6。

综上所述，在本申请实施例提供的获取凭据的方法中，终端开箱(第一次开机或激活)后，就可以直接从身份管理平台处获取到该终端用于访问目标对象的凭据。也即是，终端在不插入SIM卡的前提下，就可以获取到该终端用于访问网络运营商的凭据，而非必须购买SIM卡才能接入网络运营商的网络。并且，终端在不输入用户名和密码的前提下，就可以自动获取用于访问服务提供商的凭据，自动接入服务提供商平台，使用服务提供商的服务。终端获取凭据的过程高效快捷，且终端不依赖于实体的SIM卡，可以通过身份管理平台这个桥梁自动获取凭据，从而可以适应于物联网场景，以及其他场景，应用范围大。

在本申请的第六个可选实施例中，提供了一种终端获取身份文档的方法。图8是本申请实施例提供的一种获取身份文档的方法的流程示意图。如图8所示，该方法包括：

步骤801、终端向身份管理平台发送请求消息7，该请求消息7中包括该终端的标识。

该请求消息7用于请求获取终端的身份文档。

终端在初次使用(开机或激活)时，可以获取内置的身份管理平台的地址，并基于身份管理平台的地址，向身份管理平台发送请求获取身份文档的请求消息。终端的身份文档中包含的信息可以参考上述第一个可选实施例中的相关描述，本申请实施例在此不再赘述。

本申请实施例中，终端在初次使用时，还可以获取内置的该终端的身份管理信息在身份管理平台中的存储地址，终端的身份管理信息包括该终端的身份文档。该请求消息7中还可以包括终端的身份管理信息在身份管理平台中的存储地址。

可选地，该请求消息7中还包括终端的签名。其中，终端的签名采用终端的证书公钥对应的私钥生成。

步骤802、身份管理平台根据该请求消息7获取该终端的身份文档。

可选地，身份管理平台接收到终端发送的请求消息7后，根据该终端的签名和/或该终端的标识，验证该终端的访问权限。身份管理平台在确定该终端具有访问权限后，获取该终端的身份文档。

身份管理平台中存储有终端的身份文档。可选地，身份管理平台存储的终端的身份文档中的设备重要信息(包括身份文档的创建日期、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期等)采用终端的公钥(DABE属性公钥)加密。

当请求消息7中包括终端的身份管理信息在身份管理平台中的存储地址，身份管理平台可以根据该终端的身份管理信息在身份管理平台中的存储地址，获取该终端的身份管理信息。

步骤803、身份管理平台向终端发送针对请求消息7的响应消息7，该响应消息7中包括终端的身份文档。

可选地，响应消息7中携带的终端的身份文档中的设备重要信息采用终端的公钥(DABE属性公钥)加密，也即是，该响应消息7中包括终端的身份文档中的设备重要信息的DABE密文。

步骤804、终端根据响应消息7获取终端的身份文档。

可选地，当该响应消息7中包括终端的身份文档中的设备重要信息的DABE密文，终端采用终端的私钥(终端的DABE属性私钥)对响应消息7中对终端的身份文档中的DABE密文进行解密，以获取该终端的身份文档。

可选地，身份管理平台在确定终端具有访问权限后，还可以利用区块链技术对终端的获取操作进行存证。该实现过程包括下述步骤805至步骤806。

步骤805、身份管理平台向区块链发送请求消息7所包含信息的哈希值H7。

可选地，哈希值H7还与时刻t7相关，该时刻t7可以是身份管理平台接收到请求消息7的时刻或身份管理平台确定终端具有访问权限的时刻。身份管理平台根据时刻t7以及请求消息7所包含的信息计算得到的哈希值H7，表示为：H7＝hash(请求消息7，t7)。

可选地，身份管理平台还向区块链发送终端的标识。也即是，身份管理平台向区块链发送的内容包括终端的标识以及哈希值H7，记为：(终端的标识，H7)。

步骤806、区块链向身份管理平台发送哈希值7的区块存储地址。

可选地，区块链在接收到身份管理平台发送的(终端的标识，H7)后，在区块链中存证(终端的标识，H7)，然后将(终端的标识，H7)的区块存储地址blockaddr7返回给身份管理平台。身份管理平台将请求消息7，t7和blockaddr7存储在一起，即身份管理平台上存储(请求消息7，t7，blockaddr7)，以记录终端对身份文档的获取操作。

可选地，步骤803和步骤804也可以在步骤805和步骤806之后执行，也即是，身份管理平台在接收到区块链发送的哈希值H7的区块存储地址后，再向终端发送包含终端的身份文档的响应消息7。

综上所述，在本申请实施例提供的获取身份文档的方法中，终端可以从身份管理平台中获取该终端的身份文档。终端的身份文档存储在身份管理平台中，便于在终端被销售或转卖时，在身份管理平台中对终端的归属方的信息进行变更，然后终端可以从身份管理平台中获取新的身份文档并更新自身的身份文档，实现端到端对终端的身份文档进行更新。

此外，身份管理平台中存储的用于访问网络运营商的凭据、用于访问服务提供商的凭据和/或终端的身份文档中的设备重要信息可以采用终端的公钥进行加密，避免终端存放在身份管理平台上的关键身份信息泄露，同时对生产商、网络运营商、服务提供商、终端和归属方提供不同的访问权限。另外，可以采用区块链技术对身份管理平台对终端的身份管理信息的操作进行存证，使得能够进行溯源，例如可追溯终端生产、流通、交易信息等，保证身份管理平台上所存数据的可靠性。

另外，本申请实施例不仅可以应用于物联网终端的蜂窝网、服务网的接入。还可以应用任意终端自动获取凭据的场景和身份管理场景。此外，上述多个实施例中，均设定物联网终端出厂时，内置向身份管理平台进行身份验证的证书。上述多个实施例也同样适用于物联网终端中没有内置证书，而是使用了可信安全模块(trust platform module，TPM)的场景。其中，可信安全模块里内置公钥、私钥，可以替代证书。

图9是本申请实施例提供的另一种获取凭据的方法的流程示意图，应用该方法的网络架构至少包括终端和身份管理平台。举例来说，终端可以是如图2所示的系统中的终端102，身份管理平台可以是如图2所示的系统中的身份管理平台106。如图9所示，该方法包括：

步骤901、终端向身份管理平台发送请求消息，所述请求消息用于请求获取所述终端用于访问目标对象的凭据，所述请求消息中包括所述终端的标识，所述目标对象包括所述终端的服务提供商和/或网络运营商。

步骤902、所述终端接收所述身份管理平台发送的针对所述请求消息的响应消息，所述响应消息中包括用于访问所述目标对象的凭据。

步骤903、所述终端根据所述响应消息获取用于访问所述目标对象的凭据。

当该方法具体用于实现上述图7所示的方法实施例时，请求消息例如可以是请求消息6，响应消息例如可以是响应消息6。步骤901至步骤903的具体实现过程，可参考图7所示的实施例中的相关说明，此处不再赘述。

可选地，所述终端中预置有私钥，所述响应消息中用于访问所述目标对象的凭据采用所述终端的公钥加密，所述终端根据所述响应消息获取用于访问所述目标对象的凭据，包括：所述终端采用所述终端的私钥对所述响应消息中采用所述终端的公钥加密的用于访问所述目标对象的凭据进行解密，以获取用于访问所述目标对象的凭据。

可选地，所述请求消息还用于请求获取所述终端的身份文档，所述响应消息中还包括所述终端的身份文档；所述终端的身份文档包括所述终端的标识、所述身份文档的版本号、所述身份文档的创建日期、归属方的标识、归属方的证书、所述终端的公钥、所述终端的出厂序列号、所述终端的证书、所述终端的激活状态以及所述终端的激活日期中的一个或多个。

可选地，所述响应消息中所述身份文档的创建日期、所述归属方的证书、所述终端的公钥、所述终端的出厂序列号、所述终端的证书、所述终端的激活状态以及所述终端的激活日期采用所述终端的公钥加密。

可选地，所述请求消息中还包括所述终端的身份管理信息在所述身份管理平台中的存储地址，所述终端的身份管理信息包括所述终端用于访问目标对象的凭据和/或所述终端的身份文档。

可选地，所述终端的公钥和所述终端的私钥为基于属性加密ABE属性密钥。

可选地，所述方法还包括：所述终端根据用于访问所述目标对象的凭据，与所述目标对象进行双向身份认证。

所述终端用于访问所述目标对象的凭据包括所述终端的标识、所述目标对象的证书、所述终端的归属方与所述目标对象之间的服务合同信息以及所述终端的归属方的签名中的一个或多个；其中，所述服务合同信息包括合同编号。

图10是本申请实施例提供的又一种获取凭据的方法的流程示意图，应用该方法的网络架构至少包括终端和身份管理平台，还可以包括归属方和目标归属方。举例来说，终端可以是如图2所示的系统中的终端102，身份管理平台可以是如图2所示的系统中的身份管理平台106，归属方可以是如图2所示的系统中的生产商101或用户103，目标归属方可以是如图2所示的系统中的用户103。如图10所示，该方法包括：

步骤1001、身份管理平台接收终端发送的第一请求消息，所述第一请求消息用于请求获取所述终端用于访问目标对象的凭据，所述第一请求消息中包括所述终端的标识，所述目标对象包括所述终端的服务提供商和/或网络运营商。

步骤1002、所述身份管理平台基于所述第一请求消息获取所述终端用于访问所述目标对象的凭据。

步骤1003、所述身份管理平台向所述终端发送针对所述第一请求消息的第一响应消息，所述第一响应消息中包括用于访问所述目标对象的凭据。

当该方法具体用于实现上述图7所示的方法实施例时，第一请求消息例如可以是请求消息6，第一响应消息例如可以是响应消息6。步骤1001至步骤1003的具体实现过程，可参考图7所示的实施例中的相关说明，此处不再赘述。

可选地，所述方法还包括：所述身份管理平台向区块链发送所述第一请求消息所包含信息的第一哈希值；所述身份管理平台接收所述区块链发送的所述第一哈希值的区块存储地址。当该方法具体用于实现上述图7所示的方法实施例时，第一哈希值例如可以是哈希值H6。

可选地，所述身份管理平台中存储有所述终端用于访问所述目标对象的凭据，所述终端用于访问所述目标对象的凭据由所述终端的归属方发送给所述身份管理平台，所述身份管理平台存储的以及所述响应消息携带的用于访问所述目标对象的凭据均采用所述终端的公钥加密。

可选地，所述方法还包括：所述身份管理平台接收归属方发送的第二请求消息，所述第二请求消息中包括所述终端的标识以及用于访问所述目标对象的凭据；所述身份管理平台建立所述终端与用于访问所述目标对象的凭据之间的关联关系。当该方法具体用于实现上述图5所示的方法实施例时，第二请求消息例如可以是请求消息4，该具体实现过程可参考图5所示的实施例中的相关说明，此处不再赘述；当该方法具体用于实现上述图6所示的方法实施例时，第二请求消息例如可以是请求消息5，该具体实现过程可参考图6所示的实施例中的相关说明，此处不再赘述。

可选地，所述方法还包括：所述身份管理平台向区块链发送所述第二请求消息所包含信息的第二哈希值；所述身份管理平台接收所述区块链发送的所述第二哈希值的区块存储地址；所述身份管理平台向所述归属方发送针对所述第二请求消息的第二响应消息，所述第二响应消息中包括所述第二哈希值的区块存储地址。当该方法具体用于实现上述图5所示的方法实施例时，第二响应消息例如可以是请求消息4，第二哈希值例如可以是哈希值H4，该具体实现过程可参考图5所示的实施例中的相关说明，此处不再赘述；当该方法具体用于实现上述图6所示的方法实施例时，第二响应消息例如可以是响应消息5，第二哈希值例如可以是哈希值H5，该具体实现过程可参考图6所示的实施例中的相关说明，此处不再赘述。

可选地，所述第一请求消息中还包括所述终端用于访问目标对象的凭据在所述身份管理平台中的存储地址，所述身份管理平台基于所述第一请求消息获取所述终端用于访问所述目标对象的凭据，包括：所述身份管理平台根据所述存储地址获取所述终端用于访问所述目标对象的凭据。

可选地，所述终端用于访问所述目标对象的凭据包括所述终端的标识、所述目标对象的证书、所述终端的归属方与所述目标对象之间的服务合同信息以及所述终端的归属方的签名中的一个或多个；其中，所述服务合同信息包括合同编号。

图11是本申请实施例提供的再一种获取凭据的方法的流程示意图，应用该方法的网络架构至少包括归属方和身份管理平台，还可以包括区块链。举例来说，身份管理平台可以是如图2所示的系统中的身份管理平台106，归属方可以是如图2所示的系统中的生产商101或用户103，区块链可以是如图2所示的系统中的区块链107。如图11所示，该方法包括：

步骤1101、终端的归属方获取目标对象的服务合同信息，所述目标对象包括所述终端的服务提供商和/或网络运营商。

步骤1102、所述归属方根据所述目标对象的服务合同信息，生成用于访问所述目标对象的凭据。

步骤1103、所述归属方向身份管理平台发送第一请求消息，所述第一请求消息中包括所述终端的标识以及用于访问所述目标对象的凭据，所述第一请求消息用于请求建立所述终端与用于访问所述目标对象的凭据之间的关联关系。

当该方法具体用于实现上述图4所示的方法实施例时，第一请求消息例如可以是请求消息4。步骤1101至步骤1103的具体实现过程，可参考图4所示的实施例中的相关说明，此处不再赘述。

可选地，所述方法还包括：所述归属方接收所述身份管理平台发送的针对所述第一请求消息的第一响应消息，所述第一响应消息中包括第一哈希值的区块存储地址，所述第一哈希值为所述第一请求消息所包含信息的哈希值；所述归属方根据所述第一哈希值的区块存储地址，从所述区块链获取所述第一哈希值；所述归属方基于所述第一哈希值验证所述身份管理平台对所述第一请求消息的执行结果。当该方法具体用于实现上述图4所示的方法实施例时，第一响应消息例如可以是响应消息4，第一哈希值例如可以是哈希值H4，该具体实现过程可参考图4所示的实施例中的相关说明，此处不再赘述。

可选地，所述归属方为所述终端的生产商，所述方法还包括：所述归属方向所述身份管理平台发送第二请求消息，所述第二请求消息中包括所述终端的身份文档，所述第二请求消息用于请求在所述身份管理平台中存储所述终端的身份文档。当该方法具体用于实现上述图3所示的方法实施例时，第二请求消息例如可以是请求消息1，该具体实现过程可参考图3所示的实施例中的相关说明，此处不再赘述。

可选地，所述方法还包括：所述归属方接收所述身份管理平台发送的针对所述第二请求消息的第二响应消息，所述第二响应消息中包括第二哈希值的区块存储地址，所述第二哈希值为所述第二请求消息所包含信息的哈希值；所述归属方根据所述第二哈希值的区块存储地址，从所述区块链获取所述第二哈希值；所述归属方基于所述第二哈希值验证所述身份管理平台对所述第二请求消息的执行结果。当该方法具体用于实现上述图3所示的方法实施例时，第二响应消息例如可以是请求消息1，第二哈希值例如可以是哈希值H1，该具体实现过程可参考图3所示的实施例中的相关说明，此处不再赘述。

可选地，所述方法还包括：所述归属方向所述身份管理平台发送第三请求消息，所述第三请求消息用于请求更新所述终端的归属方信息，所述第三请求消息中包括所述终端的标识、目标归属方的标识和目标归属方的证书。当该方法具体用于实现上述图4所示的方法实施例时，第三请求消息例如可以是请求消息2，该具体实现过程可参考图4所示的实施例中的相关说明，此处不再赘述。

可选地，所述方法还包括：所述归属方接收所述身份管理平台发送的针对所述第三请求消息的第三响应消息，所述第三响应消息中包括第三哈希值的区块存储地址，所述第三哈希值为所述第三请求消息所包含信息的哈希值；所述归属方向所述目标归属方发送所述第三哈希值的区块存储地址，供所述目标归属方验证所述身份管理平台对所述第三请求消息的执行结果。当该方法具体用于实现上述图4所示的方法实施例时，第三响应消息例如可以是响应消息2，第三哈希值例如可以是哈希值H2，该具体实现过程可参考图4所示的实施例中的相关说明，此处不再赘述。

图12是本申请实施例提供的一种终端的结构示意图。如图12所示，该终端120包括：

发送模块1201，用于向身份管理平台发送请求消息，请求消息用于请求获取终端用于访问目标对象的凭据，该请求消息中包括终端的标识，目标对象包括终端的服务提供商和/或网络运营商。

接收模块1202，用于接收身份管理平台发送的针对请求消息的响应消息，响应消息中包括用于访问目标对象的凭据。

获取模块1203，用于根据该响应消息获取用于访问目标对象的凭据。

可选地，终端中预置有私钥，响应消息中用于访问目标对象的凭据采用终端的公钥加密，获取模块1203，用于：采用终端的私钥对响应消息中采用终端的公钥加密的用于访问目标对象的凭据进行解密，以获取用于访问目标对象的凭据。

可选地，请求消息中还包括终端用于访问目标对象的凭据在身份管理平台中的存储地址，该存储地址供身份管理平台获取终端用于访问目标对象的凭据。

可选地，终端的公钥和终端的私钥为ABE属性密钥。

可选地，如图13所示，终端120还包括：

认证模块1204，用于根据用于访问目标对象的凭据，与目标对象进行双向身份认证。

可选地，终端用于访问所述目标对象的凭据包括终端的标识、目标对象的证书、终端的归属方与目标对象之间的服务合同信息以及终端的归属方的签名中的一个或多个；其中，服务合同信息包括合同编号。

图14是本申请实施例提供的一种身份管理平台的结构示意图。该身份管理平台可以是服务器或云平台等。如图14所示，装置140包括：

第一接收模块1401，用于接收终端发送的第一请求消息，第一请求消息用于请求获取终端用于访问目标对象的凭据，第一请求消息中包括终端的标识，目标对象包括终端的服务提供商和/或网络运营商。

获取模块1402，用于基于第一请求消息获取终端用于访问目标对象的凭据。

发送模块1403，用于向终端发送针对第一请求消息的第一响应消息，第一响应消息中包括用于访问目标对象的凭据。

可选地，身份管理平台中存储有终端用于访问目标对象的凭据，该终端用于访问目标对象的凭据由终端的归属方发送给身份管理平台，身份管理平台存储的以及第一响应消息携带的用于访问目标对象的凭据均采用终端的公钥加密。

可选地，如图15所示，身份管理平台130还包括：第二接收模块1404，用于接收归属方发送的第二请求消息，第二请求消息中包括终端的标识以及用于访问目标对象的凭据；建立模块1405，用于建立终端与用于访问目标对象的凭据之间的关联关系。

可选地，第一请求消息中还包括终端用于访问目标对象的凭据在身份管理平台中的存储地址，获取模块1402，用于：根据存储地址获取终端用于访问目标对象的凭据。

关于上述实施例中的装置，其中各个模块执行操作的具体方式和达到的效果已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本申请实施例还提供了一种终端，包括：处理器、存储器和收发器；

存储器，用于存储计算机程序，计算机程序包括程序指令；

处理器，用于调用计算机程序，协同收发器实现如图7所示实施例中终端执行的动作。

本申请实施例还提供了一种身份管理平台，包括：处理器、存储器和收发器；

存储器，用于存储计算机程序，计算机程序包括程序指令；

处理器，用于调用计算机程序，协同收发器实现如图3至图7任一所示实施例中身份管理平台执行的动作。

本申请实施例还提供了一种终端的归属方，包括：处理器、存储器和收发器；

存储器，用于存储计算机程序，计算机程序包括程序指令；

处理器，用于调用计算机程序，协同收发器实现如图3所示实施例中生产商执行的动作或如图4至图6任一所示实施例中归属方执行的动作。

示例地，图16是本申请实施例提供的一种获取凭据的装置的框图。该装置可以是终端、身份管理平台或终端的归属方。如图16所示，装置160包括：处理器1601、存储器1602和收发器1603。

存储器1602，用于存储计算机程序，所述计算机程序包括程序指令；

处理器1601，用于调用所述计算机程序，协同收发器1603实现上述方法实施例中终端、身份管理平台或终端的归属方执行的动作。

可选地，该装置160还包括通信总线1604和通信接口1605。

其中，处理器1601包括一个或者一个以上处理核心，处理器1601通过运行计算机程序，执行各种功能应用以及数据处理。

存储器1602可用于存储计算机程序。可选地，存储器可存储操作系统和至少一个功能所需的应用程序单元。操作系统可以是实时操作系统(Real Time eXecutive，RTX)、LINUX、UNIX、WINDOWS或OS X之类的操作系统。

通信接口1605可以为多个，通信接口1605用于与其它设备进行通信。例如在本申请实施例中，AP的通信接口可以用于向STA发送调度帧。

存储器1602、收发器1603与通信接口1605分别通过通信总线1604与处理器1601连接。

本申请实施例还提供了一种获取凭据的系统，包括：终端和身份管理平台，所述终端包括如图12、图13或图16所示的装置，所述身份管理平台包括如图14、图15或图16所示的装置。

可选地，所述系统还包括终端的归属方，该归属方包括如图16所示的装置。

图17是本申请另一实施例提供的一种终端的结构示意图。如图17所示，终端170包括：

发送模块1701，用于向身份管理平台发送请求消息，请求消息用于请求获取终端的身份文档，请求消息中包括终端的标识。

接收模块1702，用于接收身份管理平台发送的针对请求消息的响应消息，响应消息中包括终端的身份文档。

获取模块1703，用于根据响应消息获取终端的身份文档；

其中，终端的身份文档包括终端的标识、终端的身份文档的版本号、终端的身份文档的创建日期、归属方的标识、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期中的一个或多个。

可选地，终端中预置有私钥，响应消息中身份文档的创建日期、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期采用终端的公钥加密，获取模块1703，用于：采用终端的私钥对终端的身份文档中采用终端的公钥加密的信息进行解密，以获取终端的身份文档。

图18是本申请另一实施例提供的一种身份管理平台的结构示意图。如图18所示，身份管理平台180包括：

第一接收模块1801，用于接收终端发送的第一请求消息，第一请求消息用于请求获取终端的身份文档，第一请求消息中包括终端的标识。

获取模块1802，用于身份管理平台基于第一请求消息获取终端的身份文档。

第一发送模块1803，用于向终端发送针对第一请求消息的第一响应消息，第一响应消息中包括终端的身份文档。

可选地，归属方为终端的生产商，如图19所示，身份管理平台180还包括：第二接收模块1804，用于接收归属方发送的第二请求消息，第二请求消息中包括终端的身份文档；存储模块1805，用于将终端的身份文档存储在身份管理平台中。

可选地，如图20所示，身份管理平台180还包括：更新模块1806、第三接收模块1807和第二发送模块1808。

可选地，第二接收模块1804，还用于接收归属方发送的第三请求消息，第三请求消息用于请求身份管理平台更新终端的归属方信息，第三请求消息中包括终端的标识、目标归属方的标识和目标归属方的证书；更新模块1806，用于将存储的终端的身份文档中，归属方的标识更新为目标归属方的标识，归属方的证书更新为目标归属方的证书，得到更新后的终端的身份文档。

可选地，第三接收模块1807，用于接收目标归属方发送的第四请求消息，第四请求消息用于请求获取终端的身份文档，第四请求消息中包括目标归属方的标识和终端的标识；第二发送模块1808，用于向目标归属方发送针对第四请求消息的第四响应消息，第四响应消息中包括终端的身份文档。

图21是本申请另一实施例提供的一种终端的生产商的结构示意图。如图21所示，该生产商210包括：

生成模块2101，用于生成终端的身份文档。

发送模块2102，用于向身份管理平台发送第一请求消息，第一请求消息中包括终端的身份文档，第一请求消息用于请求在身份管理平台中创建终端的身份文档。

其中，终端的身份文档包括终端的标识、终端的身份文档的版本号、终端的身份文档的创建日期、归属方的标识、归属方的证书、终端的公钥、终端的出厂序列号、终端的证书、终端的激活状态以及终端的激活日期中的一个或多个，归属方为生产商。

可选地，发送模块2102，还用于向身份管理平台发送第二请求消息，第二请求消息用于请求身份管理平台更新终端的归属方信息，第二请求消息中包括终端的标识、目标归属方的标识和目标归属方的证书。

存储器，用于存储计算机程序，计算机程序包括程序指令；

处理器，用于调用计算机程序，协同收发器实现如图8所示实施例中终端执行的动作。

存储器，用于存储计算机程序，计算机程序包括程序指令；

处理器，用于调用计算机程序，协同收发器实现如图3至图6、图8任一所示实施例中身份管理平台执行的动作。

本申请实施例还提供了一种终端的生产商，包括：处理器、存储器和收发器；

存储器，用于存储计算机程序，计算机程序包括程序指令；

处理器，用于调用计算机程序，协同收发器实现如图3所示实施例中生产商执行的动作。

示例地，图22是本申请实施例提供的一种获取身份文档的装置的框图。该装置可以是终端、身份管理平台或终端的生产商。如图22所示，装置220包括：处理器2201、存储器2202和收发器2203。

存储器2202，用于存储计算机程序，所述计算机程序包括程序指令；

处理器2201，用于调用所述计算机程序，协同收发器2203实现上述方法实施例中终端、身份管理平台或终端的归属方执行的动作。

可选地，该装置220还包括通信总线2204和通信接口2205。

其中，处理器2201包括一个或者一个以上处理核心，处理器2201通过运行计算机程序，执行各种功能应用以及数据处理。

存储器2202可用于存储计算机程序。可选地，存储器可存储操作系统和至少一个功能所需的应用程序单元。操作系统可以是实时操作系统(Real Time eXecutive，RTX)、LINUX、UNIX、WINDOWS或OS X之类的操作系统。

通信接口2205可以为多个，通信接口2205用于与其它设备进行通信。例如在本申请实施例中，AP的通信接口可以用于向STA发送调度帧。

存储器2202、收发器2203与通信接口2205分别通过通信总线2204与处理器2201连接。

本申请实施例还提供了一种获取身份文档的系统，包括：终端、身份管理平台和终端的生产商，所述终端包括如图17或图22所示的装置，所述身份管理平台包括如图18至图20、图22任一所示的装置，所述生产商包括如图21或图22所示的装置。

本申请实施例还提供了一种计算机存储介质，计算机存储介质上存储有指令，当指令被处理器执行时，实现方法实施例中终端、身份管理平台或归属方执行的动作。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本申请实施例中，术语“第一”、“第二”和“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

以上所述仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的构思和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

1.一种获取凭据的方法，其特征在于，所述方法包括：

终端向身份管理平台发送请求消息，所述请求消息用于请求获取所述终端用于访问目标对象的凭据，所述请求消息中包括所述终端的标识，所述目标对象包括所述终端的服务提供商和/或网络运营商；

所述终端接收所述身份管理平台发送的针对所述请求消息的响应消息，所述响应消息中包括用于访问所述目标对象的凭据；

所述终端根据所述响应消息获取用于访问所述目标对象的凭据。

2.根据权利要求1所述的方法，其特征在于，所述终端中预置有私钥，所述响应消息中用于访问所述目标对象的凭据采用所述终端的公钥加密，所述终端根据所述响应消息获取用于访问所述目标对象的凭据，包括：

所述终端采用所述终端的私钥对所述响应消息中采用所述终端的公钥加密的用于访问所述目标对象的凭据进行解密，以获取用于访问所述目标对象的凭据。

3.根据权利要求1或2所述的方法，其特征在于，所述请求消息中还包括所述终端用于访问目标对象的凭据在所述身份管理平台中的存储地址，所述存储地址供所述身份管理平台获取所述终端用于访问目标对象的凭据。

4.根据权利要求2所述的方法，其特征在于，所述终端的公钥和所述终端的私钥为基于属性加密ABE属性密钥。

5.根据权利要求1至4任一所述的方法，其特征在于，所述方法还包括：

所述终端根据用于访问所述目标对象的凭据，与所述目标对象进行双向身份认证。

6.根据权利要求1至5任一所述的方法，其特征在于，所述终端用于访问所述目标对象的凭据包括所述终端的标识、所述目标对象的证书、所述终端的归属方与所述目标对象之间的服务合同信息以及所述终端的归属方的签名中的一个或多个；

其中，所述服务合同信息包括合同编号。

7.一种获取凭据的方法，其特征在于，所述方法包括：

身份管理平台接收终端发送的第一请求消息，所述第一请求消息用于请求获取所述终端用于访问目标对象的凭据，所述第一请求消息中包括所述终端的标识，所述目标对象包括所述终端的服务提供商和/或网络运营商；

所述身份管理平台基于所述第一请求消息获取所述终端用于访问所述目标对象的凭据；

所述身份管理平台向所述终端发送针对所述第一请求消息的第一响应消息，所述第一响应消息中包括用于访问所述目标对象的凭据。

8.根据权利要求7所述的方法，其特征在于，所述身份管理平台中存储有所述终端用于访问所述目标对象的凭据，所述终端用于访问所述目标对象的凭据由所述终端的归属方发送给所述身份管理平台，所述身份管理平台存储的以及所述第一响应消息携带的用于访问所述目标对象的凭据均采用所述终端的公钥加密。

9.根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

所述身份管理平台接收归属方发送的第二请求消息，所述第二请求消息中包括所述终端的标识以及用于访问所述目标对象的凭据；

所述身份管理平台建立所述终端与用于访问所述目标对象的凭据之间的关联关系。

10.根据权利要求7至9任一所述的方法，其特征在于，所述第一请求消息中还包括所述终端用于访问目标对象的凭据在所述身份管理平台中的存储地址，所述身份管理平台基于所述第一请求消息获取所述终端用于访问所述目标对象的凭据，包括：

所述身份管理平台根据所述存储地址获取所述终端用于访问所述目标对象的凭据。

11.根据权利要求7至10任一所述的方法，其特征在于，所述终端用于访问所述目标对象的凭据包括所述终端的标识、所述目标对象的证书、所述终端的归属方与所述目标对象之间的服务合同信息以及所述终端的归属方的签名中的一个或多个；

其中，所述服务合同信息包括合同编号。

12.一种终端，其特征在于，所述终端包括：

发送模块，用于向身份管理平台发送请求消息，所述请求消息用于请求获取所述终端用于访问目标对象的凭据，所述请求消息中包括所述终端的标识，所述目标对象包括所述终端的服务提供商和/或网络运营商；

接收模块，用于接收所述身份管理平台发送的针对所述请求消息的响应消息，所述响应消息中包括用于访问所述目标对象的凭据；

获取模块，用于根据所述响应消息获取用于访问所述目标对象的凭据。

13.根据权利要求12所述的终端，其特征在于，所述终端中预置有私钥，所述响应消息中用于访问所述目标对象的凭据采用所述终端的公钥加密，所述获取模块，用于：

采用所述终端的私钥对所述响应消息中采用所述终端的公钥加密的用于访问所述目标对象的凭据进行解密，以获取用于访问所述目标对象的凭据。

14.根据权利要求12或13所述的终端，其特征在于，所述请求消息中还包括所述终端用于访问目标对象的凭据在所述身份管理平台中的存储地址，所述存储地址供所述身份管理平台获取所述终端用于访问目标对象的凭据。

15.根据权利要求13所述的终端，其特征在于，所述终端的公钥和所述终端的私钥为基于属性加密ABE属性密钥。

16.根据权利要求12至15任一所述的终端，其特征在于，所述终端还包括：

认证模块，用于根据用于访问所述目标对象的凭据，与所述目标对象进行双向身份认证。

17.根据权利要求12至16任一所述的终端，其特征在于，所述终端用于访问所述目标对象的凭据包括所述终端的标识、所述目标对象的证书、所述终端的归属方与所述目标对象之间的服务合同信息以及所述终端的归属方的签名中的一个或多个；

其中，所述服务合同信息包括合同编号。

18.一种身份管理平台，其特征在于，所述身份管理平台包括：

第一接收模块，用于接收终端发送的第一请求消息，所述第一请求消息用于请求获取所述终端用于访问目标对象的凭据，所述第一请求消息中包括所述终端的标识，所述目标对象包括所述终端的服务提供商和/或网络运营商；

获取模块，用于基于所述第一请求消息获取所述终端用于访问所述目标对象的凭据；

发送模块，用于向所述终端发送针对所述第一请求消息的第一响应消息，所述第一响应消息中包括用于访问所述目标对象的凭据。

19.根据权利要求18所述的身份管理平台，其特征在于，所述身份管理平台中存储有所述终端用于访问所述目标对象的凭据，所述终端用于访问所述目标对象的凭据由所述终端的归属方发送给所述身份管理平台，所述身份管理平台存储的以及所述第一响应消息携带的用于访问所述目标对象的凭据均采用所述终端的公钥加密。

20.根据权利要求18或19所述的身份管理平台，其特征在于，所述身份管理平台还包括：

第二接收模块，用于接收归属方发送的第二请求消息，所述第二请求消息中包括所述终端的标识以及用于访问所述目标对象的凭据；

建立模块，用于建立所述终端与用于访问所述目标对象的凭据之间的关联关系。

21.根据权利要求18至20任一所述的身份管理平台，其特征在于，所述第一请求消息中还包括所述终端用于访问目标对象的凭据在所述身份管理平台中的存储地址，所述获取模块，用于：

根据所述存储地址获取所述终端用于访问所述目标对象的凭据。

22.根据权利要求18至21任一所述的身份管理平台，其特征在于，所述终端用于访问所述目标对象的凭据包括所述终端的标识、所述目标对象的证书、所述终端的归属方与所述目标对象之间的服务合同信息以及所述终端的归属方的签名中的一个或多个；

其中，所述服务合同信息包括合同编号。

23.一种终端，其特征在于，包括：处理器、存储器和收发器；

所述处理器，用于调用所述计算机程序，协同所述收发器实现如权利要求1至6任一所述的获取凭据的方法。

24.一种身份管理平台，其特征在于，包括：处理器、存储器和收发器；

所述处理器，用于调用所述计算机程序，协同所述收发器实现如权利要求7至11任一所述的获取凭据的方法。

25.一种获取凭据的系统，其特征在于，包括：终端和身份管理平台，所述终端为如权利要求12至17、23任一所述的终端，所述身份管理平台为如权利要求18至22、24任一所述的身份管理平台。

26.一种计算机存储介质，其特征在于，所述计算机存储介质上存储有指令，当所述指令被计算机设备的处理器执行时，实现如权利要求1至6任一所述的获取凭据的方法或者如权利要求7至11任一所述的获取凭据的方法。