WO2017054110A1

WO2017054110A1 - 用户身份认证的方法及设备

Info

Publication number: WO2017054110A1
Application number: PCT/CN2015/090943
Authority: WO
Inventors: 曾元清; 唐海
Original assignee: 广东欧珀移动通信有限公司
Priority date: 2015-09-28
Filing date: 2015-09-28
Publication date: 2017-04-06
Also published as: US10412585B2; CN107710673A8; EP3316512A4; CN107710673B; CN107710673A; US20180270658A1; EP3316512B1; EP3316512A1

Abstract

本发明提供了一种用户身份认证的方法，包括：服务提供商（SP）设备接收终端发送的用户请求，所述用户请求包括所述用户的身份凭据；所述SP设备根据所述用户请求，确定所述用户的身份标识（ID）和所述身份凭据的优先级；所述SP设备根据所述优先级为所述终端开启相应的服务。本发明实施例中，SP设备根据用户的身份凭据，提供相应的服务。这样能够实现统一安全的身份认证方式，提高了易用性，并且能够实现资源的更优利用。

Description

用户身份认证的方法及设备

技术领域

本发明实施例涉及通信领域，并且更具体地，涉及一种用户身份认证的方法及设备。

背景技术

在现有的移动通信系统中，运营商为用户提供SIM卡，蜂窝系统使用运营商提供的SIM卡进行身份认证。用户需要向不同的运营商分别申请SIM卡才能使用多个运营商提供的服务。并且，当SIM卡丢失或损坏时，用户无法接入运营商网络而导致无法使用服务。

另外，由于一个号码在同一时间只能使用一个终端设备，因此当用户想要更换终端设备时，必须同时转移SIM卡。然而目前不同的终端设备对于SIM卡的规格要求是不同的，因此，用户在更换终端设备时，可能需要到运营商更换SIM卡或者使用转接器。这样容易给用户带来不便，造成用户开销大甚至可能会由于转接器的故障导致SIM卡或者终端设备损坏。

可见，现有的方式对用户使用运营商的服务造成了很多限制，给用户带来诸多不便，甚至还可能造成用户开销大。

发明内容

本发明实施例提供一种用户身份认证的方法，能够实现统一安全的身份认证方式，提高易用性，并且能够实现资源的更优利用。

第一方面，提供了一种用户身份认证的方法，包括：

服务提供商SP设备接收终端发送的用户请求，所述用户请求包括所述用户的身份凭据；

所述SP设备根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级；

所述SP设备根据所述优先级为所述终端开启相应的服务。

第二方面，提供了一种用户身份认证的方法，包括：

身份认证服务器从服务提供商SP设备获取用户请求，所述用户请求包括所述用户的身份凭据；

所述身份认证服务器根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级；

所述身份认证服务器将所述用户的ID和所述身份凭据的优先级发送至所述SP设备，以便所述SP设备为所述用户开启相应的服务。

第三方面，提供了一种用户身份认证的方法，包括：

终端接收用户输入的身份凭据；

所述终端根据所述身份凭据确定所述用户的标识ID和所述身份凭据的优先级；

所述终端根据所述用户的ID，获取所述用户的签约信息；

所述终端根据所述签约信息，确定与所述身份凭据的优先级对应的服务。

第四方面，提供了一种终端，包括：

接收单元，用于接收用户输入的身份凭据；

确定单元，用于根据所述身份凭据确定所述用户的标识ID和所述身份凭据的优先级；

获取单元，用于所述用户的ID，获取所述用户的签约信息；

确定单元，还用于根据所述签约信息，确定与所述身份凭据的优先级对应的服务。

第五方面，提供了一种服务提供商设备，包括：

接收单元，用于接收终端发送的用户请求，所述用户请求包括所述用户的身份凭据；

确定单元，用于根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级；

处理单元，用于根据所述优先级为所述终端开启相应的服务。

第六方面，提供了一种用于用户身份认证的设备，包括：

接收单元，用于从服务提供商SP设备获取用户请求，所述用户请求包括所述用户的身份凭据；

发送单元，用于将所述用户的ID和所述身份凭据的优先级发送至所述SP设备，以便所述SP设备为所述用户开启相应的服务。

本发明实施例中，SP设备根据用户的身份凭据，提供相应的服务。这样能够实现统一安全的身份认证方式，提高了易用性，并且能够实现资源的更优利用。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一个实施例的用户身份认证的方法的流程图。

图2是本发明一个实施例的终端呈现的选择界面的示意图。

图3是本发明另一个实施例的用户身份认证的方法的流程图。

图4是本发明另一个实施例的用户身份认证的方法的流程图。

图5是本发明另一个实施例的用户身份认证的方法的流程图。

图6是本发明另一个实施例的用户身份认证的方法的流程图。

图7是本发明另一个实施例的用户身份认证的方法的流程图。

图8是本发明一个实施例的终端的结构框图。

图9是本发明另一个实施例的终端的结构框图。

图10是本发明一个实施例的SP设备的结构框图。

图11是本发明另一个实施例的SP设备的结构框图。

图12是本发明一个实施例的用于用户身份认证的设备的结构框图。

图13是本发明另一个实施例的用于用户身份认证的设备的结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意，本发明实施例中，终端也可以称为用户设备(User Equipment，UE)，包括但不限于具有无线通信功能的设备。例如，终端可以为手持终端、车载设备、可穿戴设备、家用智能设备、传感器等能够使用通信服务的设备。举例来说，可以为蜂窝电话，如智能手机等。

本发明实施例中，运营商可以通过服务提供商(Service Provider，SP)设备向用户提供服务。其中，所提供的服务包括但不限于：话音、视频、数据等传统通信服务，车联网、物联网、智能交通、智能家居、医疗监控、传感器网络等未来可能出现的服务。

图1是本发明一个实施例的用户身份认证的方法的流程图。图1中示出了终端11、SP设备12和身份认证服务器13。

本发明实施例中，假设终端11在初始状态未处于使用状态，即没有任一用户使用终端11接入移动网络。或者，可以是该终端11处于出厂设置的状态，或者可以是第一用户初次使用该终端11。

S101，在第一用户准备使用终端11时，终端11呈现选择界面，用于第一用户选择运营商。

例如，终端11的界面可以显示第一列表(如图2所示为其中一例)，第一列表列出了多个运营商(如图2中示出了运营商A、运营商B和运营商C)。

S102，终端11接收第一用户输入的选择信息，该选择信息指示第一用户所选择的运营商。

具体地，第一用户可以在S101所呈现的选择界面中选择至少一个运营商。

举例来说，该选择信息可以是第一用户选择图2所示的运营商A，并点击“确定”按钮。

举例来说，该选择信息也可以是第一用户选择图2所示的运营商A和运营商C，并点击“确定”按钮。

S103，终端11呈现可支持的身份凭据列表。

本发明实施例中，身份凭据是一种用户的身份的表征。身份凭据可以包括首要(primary)凭据和次级(secondary)凭据。其中，首要凭据可以包括如下的至少一种：DNA、指纹、虹膜、声纹等。次级凭据可以包括如下的至少一种：数字证书、数字签名、用户卡、口令等。并且，身份凭据可以与其他证明进行身份捆绑认证。其中，其他证明例如可以为权威机构颁发的证明。举例来说，权威机构颁发的证明可以是身份证号码或者护照号码等。本发明实施例中，该其他证明可以作为第一用户的标识(Identifier，ID)。

本发明实施例中，不同的身份凭据可以具有不同的优先级。首要凭据的优先级可以高于次级凭据的优先级。并且，具体地可以将DNA作为最高优先级，将指纹作为第二优先级，将虹膜作为第三优先级，将声纹作为第四优先级，…将口令作为最低优先级。

这里，DNA可以通过采集血液或者唾液等确定。指纹可以是多个手指的指纹信息，或者一个手指的指纹信息，或者可以是一个手指的部分指纹信息；并且，多个手指的指纹的优先级可以高于一个手指的指纹的优先级。虹膜可以是双眼或单眼的虹膜。

举例来说，用户卡可以是SIM卡。口令可以是长字符串或短字符串，或者也可以是在图形上运动的顺序。

可理解，由于不同的终端的硬件差异，所能够支持输入的用户凭据也会有所不同。例如，有的终端可以通过摄像头采集用户的虹膜信息；有的终端可以通过特定区域采集用户的指纹信息；等等。未来有的终端也可以通过特定的方式收集血液或唾液等进行DNA识别。

因此，S103中终端11呈现的用户凭据列表与该终端11的硬件属性等有关。

应注意，本发明实施例中，该步骤S103是可选的，非必须的。例如，终端11为该第一用户所有，其他用户只能在第一用户的同意或授权之后才能使用，并且第一用户对该终端11的属性(和对应的服务)已经很熟悉，那么第一用户可以设置该终端11不再呈现支持的身份凭据列表。

S104，终端11接收第一用户输入的身份凭据。

举例来说，第一用户可以通过终端11的键盘或者触摸屏输入口令。或者，第一用户可以通过终端11的指纹采集模块输入指纹。或者，第一用户可以通过终端11的摄像头输入虹膜。或者，第一用户可以通过麦克输入声纹。等等。

本发明实施例中，终端11不限定只由一个用户使用，即可以有多个用户通过该终端11接入移动网络。那么，终端11可以为不同的用户分配各自独立的存储区域。例如，终端11内部可以具有多个物理上或者逻辑上独立的存储区域，分别用于存储不同用户的信息。

具体地，终端11可以为第一用户分配第一存储区域，用于存储该第一用户的身份凭据。并在通过认证之后，用于存储第一用户的用户数据(包括用户界面)和服务信息等。

S105，终端11将第一用户的身份凭据发送至SP设备12。

可理解，SP设备12为S102中第一用户所选择的运营商的SP设备。

举例来说，如果第一用户在S102选择的运营商为运营商A，那么SP设备12即为运营商A的SP设备。举例来说，如果第一用户在S102选择的运营商为运营商A和运营商B，那么SP设备12包括运营商A的SP设备和运营商B的SP设备。

可选地，如果第一用户的身份凭据的优先级比较高，例如为DNA或虹膜等，那么终端11可以先采用生成方法对第一用户的身份凭据进行处理，然后再将处理后的身份凭据发送至SP设备12。也就是说，终端11不直接传输DNA、指纹、虹膜、声纹等用户身份凭据的原始数据，而是传输经过某种产生方法(例如使用某种单向映射的算法)进行处理后的数据。这样，用户可以保护自己的隐私不被运营商或者其他截获传输数据的第三方(如黑客)非法获取。

这里的产生方法可以理解为一种加密的方法。并且，采用产生方法之后生成的可以为较低优先级的形式。例如，针对DNA，采用生成方法处理后的可以为长度为30的字符串。针对指纹，采用生成方法处理后的可以为长度为25的字符串。

S106，SP设备12将第一用户的身份凭据发送至身份认证服务器13。

可选地，作为一例，身份认证服务器13可以是由服务提供者(如运营商)搭建并维护的。也就是说，不同的运营商分别搭建并维护各自的身份认证服务器。

可选地，作为另一例，身份认证服务器13可以是用户、运营商之外的第三方搭建的；例如，第三方可以为其他商定的第三方机构。例如，第三方可以为政府主管部门，也就是说，身份认证服务器13可以为政府主管部门进行搭建并维护的。这样，能够保证用户的身份凭据的安全性。

若身份认证服务器13是由第三方搭建的，那么，该身份认证服务器13可以由至少一个运营商进行访问。这里，为了保证用户的身份凭据的安全性，可以设置运营商访问身份认证服务器13的权限。

可选地，在S106中，SP设备12可以将第一用户的身份凭据进行再次处理后发送至身份认证服务器13，例如，可以增加自身的数字签名或加密。这样，不仅可以向身份认证服务器13表明消息的来源，还可以保证SP设备 12与身份认证服务器13之间的安全通信。可理解，SP设备12所使用的数字签名或加密的方法等是SP设备12与身份认证服务器13预先约定的。

可理解，若在S105中，SP设备12从终端11接收到的是采用产生方法处理后的身份凭据，那么，在S106中，SP设备12也将采用产生方法处理后的身份凭据发送至身份认证服务器13。或者，在S106中，SP设备可以将采用产生方法处理后的身份凭据进行再次处理(增加自身的数字签名或加密)后再发送至身份认证服务器13。由于SP设备12不知道终端11所采用的产生方法，或者，即使SP设备12知道产生方法却不知道用于加密的密钥，因此SP设备12无法进行解密操作，从而SP设备12无法获取第一用户的优先级较高的身份凭据，这样能够提高身份凭据的安全性。

例如，第一用户输入终端11的身份凭据为DNA特征信息，SP设备12从终端11获取的处理后的身份凭据为长度为30的字符串。相应地，SP设备12将长度为30的字符串发送至身份认证服务器13，或者SP设备12将长度为30的字符串再次处理后发送至身份认证服务器13。

S107，身份认证服务器13根据第一用户的身份凭据，确定与该身份凭据对应的第一用户的标识(Identifier，ID)以及该身份凭据的优先级。

其中，第一用户的ID可以为权威机构颁发的证明，例如可以为第一用户的身份证号码或者护照号码等。

本发明实施例中，身份认证服务器13中存储有用户的ID与用户身份凭据以及身份凭据的优先级之间的对应关系。也就是说，身份凭据与其他证明之间的身份捆绑认证的信息存储在身份认证服务器13中。

举例来说，如表一所示，假设身份认证服务器13在S106中收到的身份凭据为DNA1，那么，用户认证服务器13可以确定对应的标识为ID1，对应的优先级为P1。

表一

优先级	P1	P2	P3	P4	……	P9
ID1	DNA1	指纹1	虹膜1	声纹1	……	口令

如果身份认证服务器13接收到的处理后的身份凭据(终端11采用产生方法处理后的身份凭据)，那么，在S107中，身份认证服务器13可以先采用验证方法恢复出身份凭据，然后再确定对应的优先级和用户的ID。可理解，验证方法为一种解密的方法。并且，SP设备12无法获取该验证方法。

可理解，本发明实施例中，产生方法和验证方法是终端11与身份认证服务器13事先约定的。例如，产生方法可以是终端11出厂设置所包括的。

可选地，在另一实施例中，如果身份认证服务器13接收到的不是DNA、指纹、声纹、虹膜等身份凭据的原始数据，而是终端11经产生方法处理后的序列，那么身份认证服务器13可以根据经产生方法处理后的特征序列确定用户的ID已经身份凭据的优先级。例如，身份认证服务器13中也可以存储产生方法。身份认证服务器13可以将DNA、指纹、声纹、虹膜等原始数据采用产生方法生成特征序列。这样，身份认证服务器13可以将该特征序列与接收到的序列进行比对，从而能够确定接收到的身份凭据的优先级以及对应的用户的ID。

另外，本发明实施例中，身份认证服务器13可以从特定部分获取用户的身份凭据，或者，也可以由用户主动上传身份凭据。假设身份认证服务器13是由政府主管部门进行搭建并维护的，那么，政府主管部门可以从公安部门获取用户的指纹与身份证号码/护照号码之间的对应关系等，可以从特定的医院获取用户的DNA和虹膜特征信息与身份证号码/护照号码之间的对应关系等，可以由用户自己上传用户卡和口令等。

S108，身份认证服务器13将身份凭据的优先级和第一用户的ID发送至SP设备12。

这样，SP设备12可以根据第一用户的ID获取用户的注册信息。其中，注册信息也称为签约信息。

可理解，第一用户需要在运营商进行注册之后才可以使用运营商提供的服务。在本发明实施例之前，第一用户已经在运营商进行了签约服务。例如，第一用户可以在签约的时候，选择运营商提供的至少一种服务，并可以设置至少一种服务分别所需的用户凭据。例如，第一用户可以选择或不选择国际漫游服务。第一用户可以与运营商约定国际漫游服务所需的用户凭据为指纹。

S109，SP设备12为终端11开启相应的服务。

SP设备12中存储有身份凭据的优先级与可用服务之间的对应关系。其中，该对应关系也可以理解为签约信息。

例如，该对应关系可以包括：口令对应的服务包括部分通话；用户卡对应的服务包括短信和全部通话；……，指纹对应的服务包括短信、全部通话和一定阈值下的网络流量；……，DNA对应的服务包括所有可用的服务；等等。这里不再一一罗列。

也就是说，用户只有输入了相应的或者更高优先级的身份凭据才能使用对应的服务。如果用户输入的身份凭据的优先级低于服务对应的身份凭据的优先级，那么，终端11可以拒绝用户使用服务。

具体地，S108之后，SP设备12可以根据第一用户的ID获取第一用户的签约信息，进一步地，可以根据签约信息确定与身份凭据的优先级对应的服务。从而可以在S109中为第一用户所使用的终端11开启对应的服务。

具体地，运营商所支持的服务可以分为不同的等级，例如，服务的等级可以根据服务的重要性或者服务的资费等进行划分。

运营商可以设置不同等级的服务所需的身份凭据。举例来说，运营商可以设置如下规则：1.用户需要最高优先级的身份凭据(例如，DNA)才可以修改注册时选择的服务；2.用户需要第二优先级的身份凭据(例如，指纹)才可以使用国际漫游通话服务。

该规则可以通过身份凭据的优先级与可用服务之间的对应关系来表示。并且，运营商可以将该对应关系预先存储在SP设备12中，这样，在S109中，SP设备12可以根据该对应关系确定相应的服务，并为终端11开启该相应的服务。

可选地，在S108之后，SP设备12也可以将身份凭据的优先级与第一用户的ID发送至终端11(图1中未示出)，这样，终端11可以将身份凭据，身份凭据的优先级与第一用户的ID之间的对应关系进行存储，具体地，可以存储在第一存储区域。

在S109之后，第一用户便可以通过终端11接入运营商的网络，并且能够使用与第一用户输入的身份凭据对应的服务。

可理解，在此过程中，第一用户可以使用S109中所开启的服务。如果第一用户想要使用该所开启的服务之外的其他服务，那么，终端11可以显示拒绝告警或者提示第一用户需要输入高优先级的身份凭据。

举例来说，假设第一用户在S104中输入的身份凭据为口令，且在S109中所开启的服务包括本地通话。如果第一用户想要使用国际漫游通话，那么终端11可以呈现告警界面，拒绝第一用户的国际漫游通话的服务请求；或者，终端11可以呈现指示信息界面，指示第一用户需要高优先级的身份凭据“指纹”才可以使用该服务。

可选地，作为一个实施例，SP设备12中可以预存储一部分用户凭据的优先级的信息，例如，可以预存储用户ID与用户身份凭据(优先级较低的部分用户凭据)以及身份凭据的优先级之间的部分对应关系。

这样，在S105之后，SP设备12可以首先判断该SP设备12上是否有预存储的部分对应关系。如果SP设备12没有存储部分对应关系，或者，如果SP设备12无法根据该部分对应关系确定身份凭据的优先级以及用户的ID，那么，在S105之后，继续执行S106。

如果SP设备12可以根据该部分对应关系确定身份凭据的优先级以及用户的ID，那么，在S105之后，SP设备12可以根据该部分对应关系进行认证，且在认证之后直接执行S109(即，无需执行S106至S108)。这样，能够提高用户进行认证的效率。

本发明实施例中，假设SP设备12所在的运营商为运营商A。在S109之后，第一用户通过终端11接入到运营商A的网络，并且可以通过终端11使用运营商A提供的服务。

在该过程中，还可以进一步包括：SP设备12根据第一用户的服务使用情况，进行计费。具体地，不同的服务类型可以采用不同的计费方式，例如，可以按次(session based)计费，可以按时长计费，可以按所使用的网络资源(如流量)计费，可以按使用资源的类型计费等，本发明对此不作限定。

其中，按照使用资源的类型计费可以包括：优先级资源(如紧急通话)费用较高；广播类型的资源计费方式不同于单播(unicast)类型的资源计费方式，等等。

可选地，SP设备12可以通过计费控制装置、策略与计费执行功能(Policy and Charging Enforcement Function，PCEF)、策略与计费规则功能(Policy and Charging Rules Function，PCRF)等进行计费。

可选地，用户可以在统一计费服务器设置与该用户的ID对应的计费账户。其中，用户的ID与计费账户一一对应。这样，不同的运营商均可以使用该计费账户，从而能够节省用户开销，减轻了用户缴费的压力，避免了用户由于忘记缴费导致停机带来的麻烦。

具体地，SP设备12可以向该统一计费服务器发送计费请求，该计费请求包括所述ID，并由所述统一计费服务器从用户的计费账户进行计费。

进一步地，在该过程中，如果第一用户想要使用其他运营商的服务(例如运营商B)，此时，在图1所示的方法之后还可以包括(图1中未示出)：

S110，终端11接收第一用户的特定指令，该特定指令指示需要重新选择运营商。

具体地，第一用户可以通过终端11的特定按钮重新选择运营商，例如，第一用户可以通过终端11的特定菜单使得终端11显示如图2所示的界面。即在S110之后，可以执行S101和S102。假设在该S102中，第一用户再次选择的运营商为运营商B。

举例来说，假设某种服务S1只由运营商B提供，或者第一用户只在与运营商B进行签约时包括服务S1。则在S109之后，若第一用户想要使用服务S1，终端11会提示拒绝的告警信息。此时，可以执行S110，即第一用户可以通过终端11重新选择运营商。

本发明实施例中，在S109之后，第一用户在服务使用过程中，可以在终端11的“服务设置”菜单中设置某些服务所连接的运营商。并且，该信息可以存储在终端11的第一存储区域中，这样，第一用户可以在后续利用该设置使用某些服务。例如，第一用户可以设置服务S1使用的运营商的顺序为：运营商B、运营商A、运营商C。这样，服务S1优先使用运营商B，只有在运营商B连接失败(如无信号)时才使用运营商A，在运营商B和运营商A都连接失败时才使用运营商C。例如，第一用户可以设置服务S2使用的运营商的顺序为：运营商A、运营商C。

可见，第一用户在使用终端11的过程中，不同的服务可以是不同的运营商所提供的。也就是说，第一用户可以同时使用多个运营商提供的服务。

S111，终端11将第一用户的身份凭据发送至运营商B的SP设备。

可理解，第一用户的身份凭据是终端11在S104中所获取的，且存储在终端11的第一存储区域中的。或者，该第一用户的身份凭据可以是第一用户在S110之后重新输入的。例如，如果只由运营商B提供的服务S1所需的身份凭据为DNA，那么，在S111之前，第一用户可以输入DNA。

在此之后，运营商B的SP设备可以执行与SP设备12类似的过程，这里不再赘述。

可选地，作为一例，在上述所示的方法之后，还可以包括：终端11接收第一用户的临时退出指令。该临时退出指令指示第一用户暂时不再使用该终端11，并需临时冻结(suspend)该第一用户的相关信息。随后，终端11可以根据该临时退出指令，将第一用户的用户数据进行冻结。也就是说，该第一用户的用户数据处于不活动状态。其中，用户数据可以包括用户的profile、用户的应用程序(Application，APP)以及用户的用户界面等。

当后续第一用户需要继续使用终端11时，第一用户可以输入激活指令。也就是说，终端11可以接收第一用户的激活指令，并将冻结的该第一用户的用户数据激活。具体地，终端11可以根据激活的用户数据，加载该第一用户的profile，并呈现第一用户的用户界面。其中，该用户界面可以呈现第一用户的APP信息。

对于第一用户通过临时退出指令冻结的终端11，第一用户再次使用时，如图3所示，可以包括如下步骤：

S201，终端11接收第一用户输入的激活指令。

其中，该激活指令可以是第一用户的身份凭据，例如为身份凭据P1。

S202，终端11获取第一用户的ID以及身份凭据P1的优先级。

可选地，如果终端11中存储有第一用户的身份凭据P1的信息，那么，S202中，终端11可以根据存储的信息确定该第一用户的ID以及输入的身份凭据P1的优先级。

举例来说，若终端11的第一存储区域存储有相关的信息，那么，终端11可以自行确定第一用户的ID以及输入的身份凭据P1的优先级。

可选地，如果终端11中没有存储第一用户的身份凭据P1的信息(例如终端11只存储有身份凭据P2的信息)，那么，终端11在S201之后可执行S105的步骤并从SP设备获取该第一用户的ID以及身份凭据P1的优先级。具体的描述如前所述，这里不再赘述。

S203，终端11根据第一用户的ID，获取第一存储区域中的用户信息。

这里，第一存储区域如前所述，为终端11为第一用户分配的独立的存储区域。

具体的，S203中，终端11呈现第一存储区域所存储的第一用户的用户界面(User Interface，UI)，并且UI可显示第一用户的APP等。

S204，第一用户通过终端11再次进行数据通信。

另外，如果第一用户在前述的S109之后通过“服务设置”菜单设置了服务所使用的供应商(或运营商的顺序)，那么，在S204中第一用户可以直接根据先前的设置使用服务。

可选地，假设第一用户想要使用服务S2，而服务S2所需的身份凭据为P2。如果第一用户在S201输入的身份凭据S1的优先级低于身份凭据P2的优先级，那么，终端11可以拒绝第一用户使用服务S2。或者，终端11可以呈现通知消息以便第一用户输入身份凭据P2。或者，终端11可以呈现选择界面以便用户决定是否将第一存储区域中所存储的身份凭据P2(如果存储的话)发送至提供服务S2的运营商的SP设备。本发明对此不作限定。

可选地，作为另一例，在上述所示的方法之后(S109之后或者S204之后)，还可以包括：终端11接收第一用户的永久停用指令。随后，终端11可以根据该永久停用指令，删除第一用户的用户数据。也就是说，终端11可以根据永久停用指令，将第一存储区域中的信息全部删除。

可理解，在此之后，如果第一用户再次使用该终端11，其过程与第一用户首次使用该终端11的流程相同，这里不再赘述。

举例来说，如果第一用户在某公共场所(如图书馆、网吧等地)使用公共设备，那么可以在使用之后输入永久停用指令以及时清除个人数据，这样能够保证用户数据的安全性。

可理解，在第一用户临时退出或者永久停用该终端11之后，另一用户(例如第二用户)可以使用该终端11接入数据通信网络。其中，第二用户使用该终端11的过程与第一用户的过程类似，这里不再赘述。

可选地，在第一用户使用终端11的过程中，第二用户也可以通过类似的方式使用该终端11。并且第一用户的用户数据存储在第一存储区域，第二用户的用户数据存储在第二存储区域。也就是说，终端11可以同时由多个用户使用。

举例来说，终端11可以将显示屏(如触摸屏)划分为两部分，分别呈现第一用户的UI和第二用户的UI。第一用户和第二用户分别通过各自的UI使用该终端。

举例来说，终端11可以将显示屏呈现第一用户的UI，第二用户的UI在后台运行。第一用户可以通过其UI使用该终端，第二用户可以通过蓝牙使用该终端进行通话等。

应注意，本发明实施例中，终端11可以由多个用户使用，并且，多个用户的用户数据分别存储在终端11中的各自独立的存储区域中。也就是说，不同用户的用户数据是分别进行存储的，一般地，某个用户无法访问其他用户的用户数据。但是，经过授权的用户数据可以由其他的用户进行访问。

举例来说，第一用户可以授权将其用户数据中的一部分(如用户数据块DATA1)的权限设置为公开，这样，其他的用户可以访问该授权的用户数据块DATA1。

举例来说，第一用户可以设置附条件的授权，例如，将用户数据中的一部分(如用户数据块DATA2)的权限设置为半公开，在设置过程中只允许部分用户(如可以通过限定用户的ID的方式)访问该用户数据块DATA2。这样，只有第一用户所限定的用户可以访问该用户数据块DATA2。

本发明实施例中，运营商将其提供的服务分成不同的等级，并且需要用户使用相应的身份凭据才能使用对应的服务。这样，用户可以使用身份凭据通过任何可用的终端接入运营商的网络，能够提高用户使用相应的服务的灵活性。

图4是本发明一个实施例的用户身份认证的方法的流程图。图4所示的方法由SP设备执行，包括：

S301，SP设备接收终端发送的用户请求，所述用户请求包括所述用户的身份凭据。

S302，SP设备根据所述用户请求，确定所述用户的ID和所述身份凭据的优先级。

S303，SP设备根据所述优先级为所述终端开启相应的服务。

本发明实施例中，用户的身份凭据可以包括首要凭据和次级凭据。所述首要凭据的优先级高于所述次级凭据的优先级。

其中，所述首要凭据包括如下的至少一种：DNA、指纹、虹膜、声纹。其中，所述次级凭据包括如下的至少一种：数字证书、数字签名、用户卡、口令。

并且，身份凭据可以与其他证明进行身份捆绑认证。其中，其他证明例如可以为权威机构颁发的证明。举例来说，权威机构颁发的证明可以是身份证号码或者护照号码等。本发明实施例中，该其他证明可以作为第一用户的ID。

本发明实施例中，各个不同的身份凭据可以设定优先级顺序，具体地可以参见前述图1的实施例中关于优先级的描述，这里不再赘述。

可选地，S302中，SP设备可以根据预存储的对应关系，确定与所述身份凭据对应的所述ID和所述优先级。

可选地，作为另一个实施例，在S302中，SP设备可以将所述用户请求发送至身份认证服务器，并接收所述身份认证服务器发送的所述ID和所述优先级。

其中，用户请求中的身份凭据可以是终端采用产生方法处理之后的身份凭据。

可选地，作为一个实施例，在S303中，SP设备可以确定与所述优先级对应的服务，其中，不同的优先级对应的服务不同，且高优先级所对应的服务包括低优先级所对应的服务；并为所述终端开启与所述优先级对应的服务。

可理解，SP设备中可以存储优先级与服务之间的对应关系。具体地，S303可以参见图1的实施例中S109的描述，为避免重复，这里不再赘述。

进一步地，在S303之后，SP设备可以根据用户的服务使用情况，进行计费。

具体地，SP设备可以向统一计费服务器发送计费请求，以便于所述统一计费服务器从所述用户的计费账户进行计费。其中，所述计费请求包括所述ID，且所述计费账户与所述ID一一对应。

这里，计费账户可以是用户预先设置在统一计费服务器中的，并且该计费账户可以由至少一个运营商的SP设备进行访问。

图5是本发明另一个实施例的用户身份认证的方法的流程图。图5所示的方法由身份认证服务器执行，包括：

S401，身份认证服务器从SP设备获取用户请求，所述用户请求包括所述用户的身份凭据。

S402，身份认证服务器根据所述用户请求，确定所述用户的ID和所述身份凭据的优先级。

S403，身份认证服务器将所述用户的ID和所述身份凭据的优先级发送至所述SP设备，以便所述SP设备为所述用户开启相应的服务。

本发明实施例中，身份认证服务器从SP设备获取用户的身份凭据，并将与身份凭据对应的用户的ID以及身份凭据的优先级发给SP设备。这样能够实现统一安全的身份认证方式，提高了易用性，并且能够实现资源的更优利用。

身份认证服务器可以是由运营商搭建并维护的，也可以是由其他商定的第三方机构进行搭建并维护的，本发明对此不作限定。其中，第三方例如为政府主管部门。

本发明实施例中，在S401中，用户请求中的身份凭据可以是终端采用产生方法处理之后的身份凭据。相应地，S402可以包括：采用验证方法，对所述身份凭据进行处理；根据预存储的对应关系，获取与处理后的身份凭据对应的所述ID和所述优先级。

其中，预存储的对应关系可以是由身份认证服务器从特定的部门获取的，或者，预存储的对应关系可以是由用户上传的，本发明对此不作限定。

可理解，S401可以参见前述图1的实施例中S106的描述，S402可以参见前述图1的实施例中S107的描述，S403可以参见前述图1的实施例中S108的描述，为避免重复，这里不再赘述。

图6是本发明另一个实施例的用户身份认证的方法的流程图。图6所示的方法由终端执行，包括：

S501，终端接收用户输入的身份凭据。

S502，所述终端根据所述身份凭据确定所述用户的ID和所述身份凭据的优先级。

S503，所述终端根据所述用户的ID，获取所述用户的签约信息。

S504，所述终端根据所述签约信息，确定与所述身份凭据的优先级对应的服务。

本发明实施例中，终端根据用户输入的身份凭据确定该用户的ID，进一步使得该用户能够使用与该身份凭据对应的服务，这样，能够提高用户体验。

本发明实施例中，身份凭据可以包括首要凭据和次级凭据。所述首要凭据的优先级高于所述次级凭据的优先级。

应注意，本发明实施例中，S501可以参见图3的实施例中的S201，即可以将S501中的身份凭据理解为是S201中的激活指令。S502可以参见图3的实施例中的S202，即终端可以根据存储的身份凭据、用户的ID与身份凭据的优先级之间的对应关系执行S202。S503可以参见图3的实施例中的S203，即终端可以预先从SP设备获取的签约信息。S504可以参见图3的实施例中的S204，即用户可以通过该终端使用与身份凭据(假设为P1)对应的服务。

进一步地，如果用户想要使用其他的服务，那么，可包括：终端接收所述用户的服务请求；如果所述服务请求指示的服务(假设为第一服务)不属于与所述身份凭据的优先级对应的服务，那么终端可以拒绝所述用户对第一服务的服务请求。例如，终端可以呈现提示信息，所述提示信息用于指示所述用户输入与第一服务对应的另一身份凭据。

也就是说，用户只有输入了对应的身份凭据，才能使用相应的服务。一般地，优先级高的身份凭据对应的服务包括优先级低的身份凭据对应的服务。

可选地，该终端可以同时由至少两个用户使用。终端可以接收另一用户输入的身份凭据(假设为P2)，进一步地，终端可以确定与另一用户输入的身份凭据(P2)对应的另一服务(假设为第二服务)。这样，另一用户可以通过该终端使用该另一服务(第二服务)。

其中，另一用户使用该终端的过程与前述的用户使用该终端的过程类似，这里不再赘述。

举例来说，终端可以将显示屏(如触摸屏)划分为两部分，用于分别呈现两个用户的UI。这两个用户分别通过各自的UI使用该终端。

举例来说，终端可以将显示屏呈现一个用户的UI，另一用户的UI在后台运行。一个用户可以通过其UI使用该终端，另一用户可以通过蓝牙使用该终端进行通话等。

可理解，在图6所示的方法之前，还可以包括：终端获取身份凭据、用户的ID和身份凭据的优先级之间的第一对应关系。终端获取用户的ID与用户的签约信息之间的第二对应关系。终端获取身份凭据的优先级与服务之间的第三对应关系。

可选地，在图6所示的方法之前，还可以包括如下步骤，如图8所示：

S511，终端接收所述用户输入的第一选择信息，所述第一选择信息指示所述用户所选择的第一运营商。

S512，终端接收所述用户输入的用户请求，所述用户请求包括所述用户的身份凭据。

S513，终端将所述用户请求发送至所述第一运营商的第一SP设备。

这样，终端通过用户的身份凭据，经由SP设备进行身份认证，能够由SP设备为用户提供相应的服务。这样能够实现统一安全的身份认证方式，提高了易用性，并且能够实现资源的更优利用。

本发明实施例中，用户在初次使用终端时(即终端中未存储有该用户的用户信息)，终端可以为用户分配独立的存储区域，该独立的存储区域用于存储所述用户的身份凭据等。

也就是说，终端上可以包括多个物理上或逻辑上独立的存储区域，分别用于存储不同用户的信息。

可选地，在S513之后，可以包括：在所述第一SP设备指示所述终端通过认证之后，通过所述第一SP设备访问所述第一运营商的网络。也就是说，用户可以通过该终端使用由第一运营商提供的服务。

可选地，在通过认证之后，终端可以接收所述第一SP设备发送的第一对应关系，所述第一对应关系包括所述用户的ID、所述身份凭据与所述身份凭据的优先级之间的对应关系。其中，该第一对应关系可以存储在为用户分配的独立的存储区域中。

可选地，在通过认证之后，终端可以通过所述第一SP设备获取所述用户的所述签约信息。其中，该签约信息可以存储在为用户分配的独立的存储区域中。这里，可以理解为所存储的为用户的ID与签约信息之间的对应关系。

可选地，在通过认证之后，终端可以接收所述第一SP设备发送的第二对应关系，所述第二对应关系包括所述身份凭据的优先级与所述服务之间的对应关系。其中，该第二对应关系可以存储在为用户分配的独立的存储区域中。

可选地，作为一个实施例，S513可以包括：采用预定义的产生方法对所述身份凭据进行处理；将所述处理后的身份凭据发送至所述第一SP设备。其中，关于产生方法的描述可以参见前述图1的实施例中的相关描述，这里不再赘述。

可理解，S511可以参见前述图1的实施例中S102的描述，S512可以参见前述图1的实施例中S104的描述，S513可以参见前述图1的实施例中S105的描述，为避免重复，这里不再赘述。

可选地，作为一例，在S513之后，还可包括：终端接收所述用户的指令，所述指令指示所述用户需要重新选择运营商；终端接收所述用户的第二选择信息，所述第二选择信息指示所述用户所选择的第二运营商；终端将所述用户请求发送至所述第二运营商的第二SP设备；在所述第二SP设备指示所述终端通过认证之后，所述终端通过所述第二SP设备访问所述第二运营商的网络。该过程可以参见前述的S110和S111所述，这里不再赘述。

也就是说，用户在使用终端的过程中，可以根据需求随时切换运营商，或者，用户可以同时使用多个运营商接入网络，这样能够提高用户体验。

可选地，作为另一例，在S513之后，还可包括：终端接收所述用户的临时退出指令；终端根据所述临时退出指令，将所述用户的用户数据进行冻结。

也就是说，用户可以临时冻结某终端，这样一方面可以保证用户的用户数据的安全性，另一方面可以由其他的用户使用该终端，提高了终端的利用率，实现了资源的更优利用。

如果后续终端接收到所述用户的激活指令；终端可以将所述冻结的用户数据进行激活。具体地，终端可以根据所述激活的用户数据，加载所述用户的profile并呈现所述用户的用户界面。具体的，这里的激活指令可以理解为是图6中S501中的身份凭据。

也就是说，用户可以随时再对终端解除冻结使其立即恢复使用。

可选地，作为另一例，在S503之后，还可包括：终端接收所述用户的永久停用指令；并且终端根据所述永久停用指令，删除所述用户的用户数据。

这样，如果用户只是临时使用某终端，可以在临时使用后永久停用，使得终端将用户数据进行删除，这样能够保证用户数据的安全性。

图8是本发明一个实施例的终端的结构框图。图8所示的终端700包括接收单元701、确定单元702和获取单元703。

接收单元701，用于接收用户输入的身份凭据。

确定单元702，用于根据所述身份凭据确定所述用户的标识ID和所述身份凭据的优先级。

获取单元703，用于所述用户的ID，获取所述用户的签约信息。

确定单元702，还用于根据所述签约信息，确定与所述身份凭据的优先级对应的服务。

本发明实施例中，终端700还可以包括发送单元和处理单元。

可选地，作为一个实施例，所述接收单元701，还可用于接收所述用户输入的第一选择信息，所述第一选择信息指示所述用户所选择的第一运营商、所述接收单元701，还可用于接收所述用户输入的用户请求，所述用户请求包括所述身份凭据。所述发送单元，可用于将所述用户请求发送至所述第一运营商的第一服务提供商SP设备。

可选地，作为另一个实施例，处理单元，可用于：在所述第一SP设备指示所述身份凭据通过认证之后，通过所述第一SP设备访问所述第一运营商的网络。

可选地，作为另一个实施例，所述接收单元701，还可用于：通过所述第一SP设备获取所述用户的所述签约信息。

可选地，作为另一个实施例，所述接收单元701，还可用于：接收所述第一SP设备发送的第一对应关系，所述第一对应关系包括所述用户的ID、所述身份凭据与所述身份凭据的优先级之间的对应关系。

可选地，作为另一个实施例，所述接收单元701，还可用于：接收所述第一SP设备发送的第二对应关系，所述第二对应关系包括所述身份凭据的优先级与所述服务之间的对应关系。

可选地，作为另一个实施例，所述发送单元，具体可用于：采用预定义的产生方法对所述身份凭据进行处理；将所述处理后的身份凭据发送至所述第一SP设备。

可选地，作为另一个实施例，所述接收单元701，还可用于接收所述用户的指令，所述指令指示所述用户需要重新选择运营商；还可用于接收所述用户的第二选择信息，所述第二选择信息指示所述用户所选择的第二运营商。所述发送单元，还可用于将所述用户请求发送至所述第二运营商的第二SP设备。所述处理单元，还可用于在所述第二SP设备指示所述终端通过认证之后，通过所述第二SP设备访问所述第二运营商的网络。

可选地，作为另一个实施例，处理单元，还可用于为所述用户分配独立的存储区域，所述独立的存储区域用于存储所述用户的身份凭据。

可选地，作为另一个实施例，所述接收单元701，还可用于接收所述用户的临时退出指令。所述处理单元，还可用于根据所述临时退出指令，将所述用户的用户数据进行冻结。

可选地，作为另一个实施例，所述处理单元，还可用于：根据所述身份凭据，加载所述用户的profile并呈现所述用户的用户界面。

可选地，作为另一个实施例，所述接收单元701，还可用于接收所述用户的服务请求。所述处理单元，可用于如果所述服务请求指示的服务不属于与所述身份凭据的优先级对应的服务，拒绝所述服务请求。

可选地，作为另一个实施例，所述处理单元，具体用于：呈现提示信息，所述提示信息用于指示所述用户输入与所述服务请求指示的服务对应的另一身份凭据。

可选地，作为另一个实施例，所述接收单元701，还可用于接收另一用户输入的用户凭据。所述确定单元702，还可用于确定与所述另一用户输入的身份凭据对应的另一服务，以使得所述另一用户通过所述终端使用所述另一服务。

可选地，作为另一个实施例，所述接收单元701，还可用于接收所述用户的永久停用指令。所述处理单元，还可用于根据所述永久停用指令，删除所述用户的用户数据。

应注意，本发明实施例中，接收单元701可以由接收器实现，发送单元可以由发送器实现，确定单元702、获取单元703和处理单元可以由处理器实现。如图9所示，终端800可以包括处理器801、接收器802、发送器803和存储器804。其中，存储器804可以用于存储用户信息，还可以用于存储处理器801执行的代码等。

具体的，可以是存储器804中的一个逻辑存储区域用于存储所述用户信息，包括用户的身份凭据、签约信息、用户界面等。

终端800中的各个组件通过总线系统805耦合在一起，其中总线系统805除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。

图8所示的终端700或图9所示的终端800能够实现前述图1、图3至图7的实施例中由终端所实现的各个过程，为避免重复，这里不再赘述。

应注意，本发明上述方法实施例可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

可以理解，本发明实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。应注意，本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

图10是本发明一个实施例的SP设备的结构框图。图10所示的SP设备 900包括接收单元901、确定单元902和处理单元903。

接收单元901，用于接收终端发送的用户请求，所述用户请求包括所述用户的身份凭据。

确定单元902，用于根据所述用户请求，确定所述用户的ID和所述身份凭据的优先级。

处理单元903，用于根据所述优先级为所述终端开启相应的服务。

本发明实施例中，SP设备900还可包括发送单元。

可选地，作为一个实施例，确定单元902，可具体用于：根据预存储的对应关系，确定与所述身份凭据对应的所述ID和所述优先级。

可选地，作为另一个实施例，确定单元902，可具体用于：将所述用户请求发送至身份认证服务器；接收所述身份认证服务器发送的所述ID和所述优先级。

可选地，作为另一个实施例，处理单元903，可具体用于：确定与所述优先级对应的服务，其中，不同的优先级对应的服务不同，且高优先级所对应的服务包括低优先级所对应的服务；为所述终端开启与所述优先级对应的服务。

可选地，作为另一个实施例，处理单元903，还可用于：根据所述用户的服务使用情况，进行计费。

可选地，作为另一个实施例，发送单元，可用于：向统一计费服务器发送计费请求，以便于所述统一计费服务器从所述用户的计费账户进行计费。其中，所述计费请求包括所述ID，且所述计费账户与所述ID一一对应。

应注意，本发明实施例中，接收单元901可以由接收器实现，发送单元可以由发送器实现，确定单元902和处理单元903可以由处理器实现。如图11所示，SP设备1000可以包括处理器1001、接收器1002、发送器1003和存储器1004。其中，存储器1004可以用于存储用户的签约信息，还可以用于存储处理器1001执行的代码等。

SP设备1000中的各个组件通过总线系统1005耦合在一起，其中总线系统1005除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。

图10所示的SP设备900或图11所示的SP设备1000能够实现前述图1、图3至图7的实施例中由SP设备所实现的各个过程，为避免重复，这里不再赘述。

图12是本发明一个实施例的用于用户身份认证的设备的结构框图。图12所示的设备1100包括：接收单元1101、确定单元1102和发送单元1103。

接收单元1101，用于从服务提供商SP设备获取用户请求，所述用户请求包括所述用户的身份凭据.

确定单元1102，用于根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级。

发送单元1103，用于将所述用户的ID和所述身份凭据的优先级发送至所述SP设备，以便所述SP设备为所述用户开启相应的服务。

本发明实施例中的设备1100可以为身份认证服务器。

可选地，作为一个实施例，所述身份凭据是终端采用产生方法进行处理后生成的。确定单元1102，可具体用于：采用验证方法，对所述身份凭据进行处理；根据预存储的对应关系，获取与处理后的身份凭据对应的所述ID和所述优先级。

可选地，作为另一个实施例，所述预存储的对应关系是由所述用户上传的。

可选地，作为另一个实施例，所述设备是由政府主管部门进行搭建并维护的，或者，所述设备是由运营商进行搭建并维护的。

应注意，本发明实施例中，接收单元1101可以由接收器实现，发送单元1103可以由发送器实现，确定单元1102可以由处理器实现。如图13所示，设备1200可以包括处理器1201、接收器1202、发送器1203和存储器1204。其中，存储器1204可以用于存储用户的身份凭据、用户的ID与身份凭据的优先级之间的对应关系，还可以用于存储处理器1201执行的代码等。

设备1200中的各个组件通过总线系统1205耦合在一起，其中总线系统1205除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。

图12所示的设备1100或图13所示的设备1000能够实现前述图1、图3至图7的实施例中由身份认证服务器所实现的各个过程，为避免重复，这里不再赘述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

一种用户身份认证的方法，其特征在于，包括：

服务提供商SP设备接收终端发送的用户请求，所述用户请求包括所述用户的身份凭据；

所述SP设备根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级；

所述SP设备根据所述优先级为所述终端开启相应的服务。
根据权利要求1所述的方法，其特征在于，所述根据所述用户请求，确定所述用户的ID和所述身份凭据的优先级，包括：

根据预存储的对应关系，确定与所述身份凭据对应的所述ID和所述优先级。
根据权利要求1所述的方法，其特征在于，所述根据所述用户请求，确定所述用户的ID和所述身份凭据的优先级，包括：

将所述用户请求发送至身份认证服务器；

接收所述身份认证服务器发送的所述ID和所述优先级。
根据权利要求1至3任一项所述的方法，其特征在于，所述根据所述优先级为所述终端开启相应的服务，包括：

确定与所述优先级对应的服务，其中，不同的优先级对应的服务不同，且高优先级所对应的服务包括低优先级所对应的服务；

为所述终端开启与所述优先级对应的服务。
根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：

根据所述用户的服务使用情况，进行计费。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

向统一计费服务器发送计费请求，以便于所述统一计费服务器从所述用户的计费账户进行计费；

其中，所述计费请求包括所述ID，且所述计费账户与所述ID一一对应。
根据权利要求1至6任一项所述的方法，其特征在于，所述用户的身份凭据包括首要凭据和次级凭据；

其中，所述首要凭据包括如下的至少一种：DNA、指纹、虹膜、声纹；

其中，所述次级凭据包括如下的至少一种：数字证书、数字签名、用户卡、口令。
根据权利要求7所述的方法，其特征在于，所述首要凭据的优先级高于所述次级凭据的优先级。
一种用户身份认证的方法，其特征在于，包括：

身份认证服务器从服务提供商SP设备获取用户请求，所述用户请求包括所述用户的身份凭据；

所述身份认证服务器根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级；

所述身份认证服务器将所述用户的ID和所述身份凭据的优先级发送至所述SP设备，以便所述SP设备为所述用户开启相应的服务。
根据权利要求9所述的方法，其特征在于，所述身份凭据是终端采用产生方法进行处理后生成的，

所述根据所述用户请求，确定所述用户的ID和所述身份凭据的优先级，包括：

采用验证方法，对所述身份凭据进行处理；

根据预存储的对应关系，获取与处理后的身份凭据对应的所述ID和所述优先级。
根据权利要求10所述的方法，其特征在于，所述预存储的对应关系是由所述用户上传的。
根据权利要求9至11任一项所述的方法，其特征在于，所述身份认证服务器是由政府主管部门进行搭建并维护的。
根据权利要求9至11任一项所述的方法，其特征在于，所述身份认证服务器是由运营商进行搭建并维护的。
根据权利要求9至13任一项所述的方法，其特征在于，所述身份凭据包括首要凭据和次级凭据；

其中，所述首要凭据包括如下的至少一种：DNA、指纹、虹膜、声纹；

其中，所述次级凭据包括如下的至少一种：数字证书、数字签名、用户卡、口令。
根据权利要求14所述的方法，其特征在于，所述首要凭据的优先级高于所述次级凭据的优先级。
一种用户身份认证的方法，其特征在于，包括：

终端接收用户输入的身份凭据；

所述终端根据所述身份凭据确定所述用户的标识ID和所述身份凭据的优先级；

所述终端根据所述用户的ID，获取所述用户的签约信息；

所述终端根据所述签约信息，确定与所述身份凭据的优先级对应的服务。
根据权利要求16所述的方法，其特征在于，在所述终端接收用户输入的身份凭据之前，还包括：

所述终端接收所述用户输入的第一选择信息，所述第一选择信息指示所述用户所选择的第一运营商；

所述终端接收所述用户输入的用户请求，所述用户请求包括所述身份凭据；

所述终端将所述用户请求发送至所述第一运营商的第一服务提供商SP设备。
根据权利要求17所述的方法，其特征在于，还包括：

在所述第一SP设备指示所述终端的所述身份凭据通过认证之后，所述终端通过所述第一SP设备访问所述第一运营商的网络。
根据权利要求17或18所述的方法，其特征在于，还包括：

所述终端通过所述第一SP设备获取所述用户的所述签约信息。
根据权利要求17至19任一项所述的方法，其特征在于，还包括：

所述终端接收所述第一SP设备发送的第一对应关系，所述第一对应关系包括所述用户的ID、所述身份凭据与所述身份凭据的优先级之间的对应关系。
根据权利要求17至20任一项所述的方法，其特征在于，还包括：

所述终端接收所述第一SP设备发送的第二对应关系，所述第二对应关系包括所述身份凭据的优先级与所述服务之间的对应关系。
根据权利要求17至21任一项所述的方法，其特征在于，所述将所述用户请求发送至所述第一SP设备，包括：

采用预定义的产生方法对所述身份凭据进行处理；

将所述处理后的身份凭据发送至所述第一SP设备。
根据权利要求17至22任一项所述的方法，其特征在于，还包括：

所述终端接收所述用户的指令，所述指令指示所述用户需要重新选择运营商；

所述终端接收所述用户的第二选择信息，所述第二选择信息指示所述用户所选择的第二运营商；

所述终端将所述用户请求发送至所述第二运营商的第二SP设备；

在所述第二SP设备指示所述终端通过认证之后，所述终端通过所述第二SP设备访问所述第二运营商的网络。
根据权利要求17至23任一项所述的方法，其特征在于，所述终端为所述用户分配独立的存储区域，所述独立的存储区域用于存储所述用户的身份凭据。
根据权利要求17至24任一项所述的方法，其特征在于，还包括：

所述终端接收所述用户的临时退出指令；

所述终端根据所述临时退出指令，将所述用户的用户数据进行冻结。
根据权利要求16所述的方法，其特征在于，还包括：

所述终端根据所述身份凭据，加载所述用户的profile并呈现所述用户的用户界面。
根据权利要求16至26任一项所述的方法，其特征在于，还包括：

所述终端接收所述用户的服务请求；

如果所述服务请求指示的服务不属于与所述身份凭据的优先级对应的服务，所述终端拒绝所述服务请求。
根据权利要求27所述的方法，其特征在于，所述终端拒绝所述服务请求包括：

所述终端呈现提示信息，所述提示信息用于指示所述用户输入与所述服务请求指示的服务对应的另一身份凭据。
根据权利要求16至28任一项所述的方法，其特征在于，还包括：

所述终端接收另一用户输入的用户凭据；

所述终端确定与所述另一用户输入的身份凭据对应的另一服务，以使得所述另一用户通过所述终端使用所述另一服务。
根据权利要求16至29任一项所述的方法，其特征在于，还包括：

所述终端接收所述用户的永久停用指令；

所述终端根据所述永久停用指令，删除所述用户的用户数据。
根据权利要求16至30任一项所述的方法，其特征在于，所述身份凭据包括首要凭据和次级凭据；

其中，所述首要凭据包括如下的至少一种：DNA、指纹、虹膜、声纹；

其中，所述次级凭据包括如下的至少一种：数字证书、数字签名、用户卡、口令。
根据权利要求31所述的方法，其特征在于，所述首要凭据的优先级高于所述次级凭据的优先级。
一种终端，其特征在于，包括：

接收单元，用于接收用户输入的身份凭据；

确定单元，用于根据所述身份凭据确定所述用户的标识ID和所述身份凭据的优先级；

获取单元，用于所述用户的ID，获取所述用户的签约信息；

确定单元，还用于根据所述签约信息，确定与所述身份凭据的优先级对应的服务。
根据权利要求33所述的终端，其特征在于，还包括发送单元：

所述接收单元，还用于接收所述用户输入的第一选择信息，所述第一选择信息指示所述用户所选择的第一运营商；

所述接收单元，还用于接收所述用户输入的用户请求，所述用户请求包括所述身份凭据；

所述发送单元，用于将所述用户请求发送至所述第一运营商的第一服务提供商SP设备。
根据权利要求34所述的终端，其特征在于，还包括处理单元，用于：

在所述第一SP设备指示所述身份凭据通过认证之后，通过所述第一SP设备访问所述第一运营商的网络。
根据权利要求34或35所述的终端，其特征在于，所述接收单元，还用于：

通过所述第一SP设备获取所述用户的所述签约信息。
根据权利要求34至36任一项所述的终端，其特征在于，所述接收单元，还用于：

接收所述第一SP设备发送的第一对应关系，所述第一对应关系包括所述用户的ID、所述身份凭据与所述身份凭据的优先级之间的对应关系。
根据权利要求34至37任一项所述的终端，其特征在于，所述接收单元，还用于：

接收所述第一SP设备发送的第二对应关系，所述第二对应关系包括所述身份凭据的优先级与所述服务之间的对应关系。
根据权利要求34至38任一项所述的终端，其特征在于，所述发送单元，具体用于：

采用预定义的产生方法对所述身份凭据进行处理；

将所述处理后的身份凭据发送至所述第一SP设备。
根据权利要求34至39任一项所述的终端，其特征在于，还包括处理单元：

所述接收单元，还用于接收所述用户的指令，所述指令指示所述用户需要重新选择运营商；

所述接收单元，还用于接收所述用户的第二选择信息，所述第二选择信息指示所述用户所选择的第二运营商；

所述发送单元，还用于将所述用户请求发送至所述第二运营商的第二SP设备；

所述处理单元，用于在所述第二SP设备指示所述终端通过认证之后，通过所述第二SP设备访问所述第二运营商的网络。
根据权利要求34至40任一项所述的终端，其特征在于，还包括处理单元，用于为所述用户分配独立的存储区域，所述独立的存储区域用于存储所述用户的身份凭据。
根据权利要求34至41任一项所述的终端，其特征在于，还包括处理单元：

所述接收单元，还用于接收所述用户的临时退出指令；

所述处理单元，用于根据所述临时退出指令，将所述用户的用户数据进行冻结。
根据权利要求33所述的终端，其特征在于，还包括处理单元，用于：

根据所述身份凭据，加载所述用户的profile并呈现所述用户的用户界面。
根据权利要求33至43任一项所述的终端，其特征在于，还包括处理单元：

所述接收单元，还用于接收所述用户的服务请求；

所述处理单元，用于如果所述服务请求指示的服务不属于与所述身份凭据的优先级对应的服务，拒绝所述服务请求。
根据权利要求44所述的终端，其特征在于，所述处理单元，具体用于：

呈现提示信息，所述提示信息用于指示所述用户输入与所述服务请求指示的服务对应的另一身份凭据。
根据权利要求33至45任一项所述的终端，其特征在于：

所述接收单元，还用于接收另一用户输入的用户凭据；

所述确定单元，还用于确定与所述另一用户输入的身份凭据对应的另一服务，以使得所述另一用户通过所述终端使用所述另一服务。
根据权利要求33至46任一项所述的终端，其特征在于，还包括处理单元：

所述接收单元，还用于接收所述用户的永久停用指令；

所述处理单元，用于根据所述永久停用指令，删除所述用户的用户数据。
根据权利要求33至44任一项所述的终端，其特征在于，所述身份凭据包括首要凭据和次级凭据；

其中，所述首要凭据包括如下的至少一种：DNA、指纹、虹膜、声纹；

其中，所述次级凭据包括如下的至少一种：数字证书、数字签名、用户卡、口令。
根据权利要求47所述的终端，其特征在于，所述首要凭据的优先级高于所述次级凭据的优先级。
一种服务提供商设备，其特征在于，包括：

接收单元，用于接收终端发送的用户请求，所述用户请求包括所述用户的身份凭据；

确定单元，用于根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级；

处理单元，用于根据所述优先级为所述终端开启相应的服务。
根据权利要求49所述的服务提供商设备，其特征在于，所述确定单元，具体用于：

根据预存储的对应关系，确定与所述身份凭据对应的所述ID和所述优先级。
根据权利要求49所述的服务提供商设备，其特征在于，所述确定单元，具体用于：

将所述用户请求发送至身份认证服务器；

接收所述身份认证服务器发送的所述ID和所述优先级。
根据权利要求49至51任一项所述的服务提供商设备，其特征在于，所述处理单元，具体用于：

确定与所述优先级对应的服务，其中，不同的优先级对应的服务不同，且高优先级所对应的服务包括低优先级所对应的服务；

为所述终端开启与所述优先级对应的服务。
根据权利要求49至52任一项所述的服务提供商设备，其特征在于，所述处理单元，还用于：

根据所述用户的服务使用情况，进行计费。
根据权利要求53述的服务提供商设备，其特征在于，还包括发送单元，用于：

向统一计费服务器发送计费请求，以便于所述统一计费服务器从所述用户的计费账户进行计费；

其中，所述计费请求包括所述ID，且所述计费账户与所述ID一一对应。
根据权利要求49至54任一项所述的服务提供商设备，其特征在于，所述用户的身份凭据包括首要凭据和次级凭据；

其中，所述首要凭据包括如下的至少一种：DNA、指纹、虹膜、声纹；

其中，所述次级凭据包括如下的至少一种：数字证书、数字签名、用户卡、口令。
根据权利要求55所述的服务提供商设备，其特征在于，所述首要凭据的优先级高于所述次级凭据的优先级。
一种用于用户身份认证的设备，其特征在于，包括：

接收单元，用于从服务提供商SP设备获取用户请求，所述用户请求包括所述用户的身份凭据；

确定单元，用于根据所述用户请求，确定所述用户的标识ID和所述身份凭据的优先级；

发送单元，用于将所述用户的ID和所述身份凭据的优先级发送至所述SP设备，以便所述SP设备为所述用户开启相应的服务。
根据权利要求57所述的设备，其特征在于，所述身份凭据是终端采用产生方法进行处理后生成的，

所述确定单元，具体用于：

采用验证方法，对所述身份凭据进行处理；

根据预存储的对应关系，获取与处理后的身份凭据对应的所述ID和所述优先级。
根据权利要求58所述的设备，其特征在于，所述预存储的对应关系是由所述用户上传的。
根据权利要求57至59任一项所述的设备，其特征在于，所述设备是由政府主管部门进行搭建并维护的。
根据权利要求57至59任一项所述的设备，其特征在于，所述设备是由运营商进行搭建并维护的。
根据权利要求57至61任一项所述的设备，其特征在于，所述身份凭据包括首要凭据和次级凭据；

其中，所述首要凭据包括如下的至少一种：DNA、指纹、虹膜、声纹；

其中，所述次级凭据包括如下的至少一种：数字证书、数字签名、用户卡、口令。
根据权利要求62所述的设备，其特征在于，所述首要凭据的优先级高于所述次级凭据的优先级。
根据权利要求57至61任一项所述的设备，其特征在于，所述设备为身份认证服务器。