身份认证方法、装置、系统和电子设备与流程

1.本发明涉及区块链技术领域，尤其是涉及一种身份认证方法、装置、系统和电子设备。


背景技术：

2.在现实世界中，人、物、集团等均可以看做实体；现实世界中存在着各种各样用于描述实体身份、或实体间关系的凭证数据，如身份证、行驶证、存款证明、处方、毕业证、房产证等。在对实体的身份进行验证时，需要提供实体的这些凭证数据；实体每验证一次身份，就需要提供一次原始身份数据，不仅操作繁琐，还易造成数据泄露的风险。


技术实现要素：

3.有鉴于此，本发明的目的在于提供一种身份认证方法、装置、系统和电子设备，以简化身份认证过程，同时保护数据安全。
4.第一方面，本发明实施例提供了一种身份认证方法，包括：获取待认证实体对象的身份标识；根据所述身份标识，向身份认证服务发送身份认证请求，其中，所述身份认证请求用于请求对所述待认证实体对象的身份进行认证，所述身份认证服务用于根据所述身份标识获取第一区块链和/或第二区块链上记载的对所述待认证实体对象的认证结果，所述第一区块链和所述第二区块链所属的对象不同；接收所述身份认证服务响应所述身份认证请求发送的所述认证结果。
5.第二方面,本发明实施例提供了一种身份认证方法，包括：获取终端设备发送的身份认证请求，其中，所述身份认证请求用于请求对待认证实体对象的身份进行认证；根据所述身份认证请求，获取所述待认证实体对象的身份标识；根据所述身份标识，获取第一区块链和/或第二区块链上记载的对所述待认证实体对象的认证结果，所述第一区块链和所述第二区块链所属的对象不同；将所述认证结果发送至所述终端设备。
6.第三方面，本发明实施例提供了一种身份认证装置，包括：第一获取模块，用于获取待认证实体对象的身份标识；第一发送模块，用于根据所述身份标识，向身份认证服务发送身份认证请求，其中，所述身份认证请求用于请求对所述待认证实体对象的身份进行认证，所述身份认证服务用于根据所述身份标识获取第一区块链和/或第二区块链上记载的对所述待认证实体对象的认证结果，所述第一区块链和所述第二区块链所属的对象不同；接收模块，用于接收所述身份认证服务响应所述身份认证请求发送的所述认证结果。
7.第四方面，本发明实施例提供了一种身份认证装置，包括：第二获取模块，用于获取终端设备发送的身份认证请求，其中，所述身份认证请求用于请求对待认证实体对象的身份进行认证；第三获取模块，用于根据所述身份认证请求，获取所述待认证实体对象的身份标识；第四获取模块，用于根据所述身份标识，获取第一区块链和/或第二区块链上记载的对所述待认证实体对象的认证结果，所述第一区块链和所述第二区块链所属的对象不同；第二发送模块，用于将所述认证结果发送至所述终端设备。
8.第五方面，本发明实施例提供了一种身份认证系统，所述系统包括终端设备、身份认证服务、第一区块链和第二区块链；所述终端设备用于：获取待认证实体对象的身份标识；根据所述身份标识，向身份认证服务发送身份认证请求，其中，所述身份认证请求用于请求对所述待认证实体对象的身份进行认证；所述身份认证服务用于：获取终端设备发送的身份认证请求；根据所述身份认证请求，获取所述待认证实体对象的身份标识；根据所述身份标识，获取第一区块链和/或第二区块链上记载的对所述待认证实体对象的认证结果，所述第一区块链和所述第二区块链所属的对象不同；将所述认证结果发送至所述终端设备。
9.第六方面，本发明实施例提供了一种电子设备，包括处理器和存储器，所述存储器存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令以实现上述任一项所述的身份认证方法。
10.第七方面，本发明实施例提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，该机器可执行指令在被处理器调用和执行时，机器可执行指令促使处理器实现第一方面或第二方面任一项所述的身份认证方法。
11.本发明提供的身份认证方法、装置、系统和电子设备，首先根据获取到的待认证实体对象的身份标识，向身份认证服务发送身份认证请求，其中，该身份认证请求用于请求对待认证实体对象的身份进行认证，该身份认证服务用于根据该身份标识获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，然后接收该身份认证服务响应该身份认证请求发送的认证结果。该方法中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率。
12.本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
13.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
14.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
15.图1为本发明实施例提供的一种身份认证方法的流程图；
16.图2为本发明实施例提供的另一种身份认证方法的流程图；
17.图3为本发明实施例提供的另一种身份认证方法的流程图；
18.图4为本发明实施例提供的另一种身份认证方法的流程图；
19.图5为本发明实施例提供的另一种身份认证方法的流程图；
20.图6为本发明实施例提供的另一种身份认证方法的流程图；
21.图7为本发明实施例提供的一种身份认证的系统架构示意图；
22.图8为本发明实施例提供的一种身份数据的关系示意图；
23.图9为本发明实施例提供的一种身份认证装置的结构示意图；
24.图10为本发明实施例提供的另一种身份认证装置的结构示意图；
25.图11为本发明实施例提供的一种身份认证系统的架构示意图；
26.图12为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
27.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
28.在相关技术中，在对实体的身份进行验证时，通常需要提供该实体的多个相关凭证数据；在对这些凭证数据进行采集、保存、授权使用、传输或认证过程中，存在数据隐私保护风险，以及各个集团或联盟内数据孤岛问题。相关技术中的实体身份标识与可信数据解决方案，可承载人或物等实体的现实身份与链上身份的可信映射，以及实现实体之间安全的访问授权与数据交换。该解决方案目前主要包含两大模块，分别为did(decentralized identifier，去中心化身份标识)模块和credential(身份凭证)模块；其中，did也可以理解为一种分布式身份标识，did模块在fisco-bcos区块链底层平台上实现了一套符合w3c(world wide web consortium，万维网联盟)did规范的分布式多中心的身份标识协议，使人或物等实体的现实身份实现了链上的身份标识；同时，did还给予人或物等实体直接拥有和控制自己身份标识的能力；上述fisco bcos可以理解为一种完全开源的联盟区块链底层技术平台，是bcos(be credible,open&secure，一种企业级应用服务的区块链技术开源平台)开源平台的金融分支。
29.credential是一种可验证数字凭证，现实世界中存在着各种各样用于描述实体身份、实体间关系的数据，如身份证、行驶证、存款证明、处方、毕业证、房产证等。credential提供了一整套基于w3c vc(vc是一种软件开发工具)规范的解决方案，旨在对这一类数据进行标准化、电子化，生成可验证、可交换的凭证(credential)。但该系统是一种框架类的技术方案，对客户身份凭证出示、验证环节，对用户的身份凭证的获取、保管等方面没有提供具体的解决方式。基于此，本发明实施例提供了一种身份认证方法、装置、系统和电子设备，该技术可以应用于需要对人、物或集团等实体进行身份认证的应用中。
30.为便于对本实施例进行理解，首先对本发明实施例所公开的一种身份认证方法进行详细介绍，如图1所示，该方法包括如下步骤：
31.步骤s102，获取待认证实体对象的身份标识。
32.上述实体对象可以包括人、物或集团等；上述身份标识可以理解为能够证明人、物或集团等实体对象身份的标识，对于每个实体对象来说，其身份标识通常具有唯一性，也可以理解为，该身份标识与实体对象之间通常为一一对应关系；该身份标识可以是二维码或条形码等多种形式；在实际实现时，需要首先获取到该待认证实体对象的身份标识，该身份标识可以以上述did表示。
33.步骤s104，根据身份标识，向身份认证服务发送身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证，身份认证服务用于根据身份标识获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，第一区块链和第二区块链所属的对象不同。
34.上述身份认证服务可以运行在服务器上；上述区块链可以理解为是一种共享数据库，存储于其中的数据或信息，通常具有不可伪造、全程留痕、可以追溯、公开透明、集体维护等特征；上述第一区块链中通常可以包括多台节点设备；上述第二区块链中通常也可以包括多台节点设备；上述身份认证服务可以与第一区块链和第二区块链通信连接；在实际实现时，第一区块链或者第二区块链，或者，第一区块链和第二区块链中通常记载有对待认证实体对象的认证结果，当获取到待认证实体对象的身份标识后，根据该身份标识，向身份认证服务发送身份认证请求，以使身份认证服务根据身份标识获取第一区块链或者第二区块链、或者第一区块链和第二区块链上记载的对待认证实体对象的认证结果。可以理解的，本发明实施例中的第一区块链和第二区块链的数量均可以是多个，例如，第一区块链为获取待认证实体对象的身份标识的获取方所属的区块链，属于该获取方的区块链可以有一个或者多个，第二区块链为该获取方以外的其他人或集团所属的区块链，这里获取方以外的其他人或集团可以有多个，每个获取方以外的其他人或集团所属的区块链也可以有一个或多个。对于第一区块链和第二区块链的具体数量本发明并不作限定。
35.步骤s106，接收身份认证服务响应身份认证请求发送的认证结果。
36.上述认证结果可以包括待认证实体对象的身份认证通过，或者待认证实体对象的身份认证未通过；当认证通过时，该认证结果中通常还包括待认证实体对象的一些相关数据信息，比如，该待认证实体对象的真实身份信息或身份档案等。当向身份认证服务发送身份认证请求后，接收身份认证服务响应身份认证请求发送的认证结果，该认证结果的数量可能为一个或多个，比如，如果第一区块链和第二区块链上均记载有对待认证实体对象的认证结果，则接收到的认证结果的数量为多个。又例如，第一区块链为1个，其上未记载对待认证实体对象的认证结果，第二区块链有k个，其中l个区块链上记载有对待认证实体对象的认证结果，则会接收到l个认证结果，其中，k大于等于2，l小于等于k，k和l均为正整数。
37.本发明实施例提供的一种身份认证方法，首先根据获取到的待认证实体对象的身份标识，向身份认证服务发送身份认证请求，其中，该身份认证请求用于请求对待认证实体对象的身份进行认证，该身份认证服务用于根据该身份标识获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，然后接收该身份认证服务响应该身份认证请求发送的认证结果。该方法中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
38.本发明实施例还提供了另一种身份认证方法，该方法在上述实施例方法的基础上实现；该方法中，在第一区块链中存储有待认证实体对象的身份标识的情况下，第一区块链中存储的待认证实体对象的身份标识用于指示对待认证实体对象认证通过的认证结果，其中，第一区块链中还存储有待认证实体对象的身份标识对应的身份档案。
39.在第二区块链中存储有待认证实体对象的身份标识的情况下，第二区块链中存储的待认证实体对象的身份标识用于指示对待认证实体对象认证通过的认证结果，其中，第二区块链中还存储有待认证实体对象的身份标识对应的身份档案；其中，身份档案用于提供待认证实体对象的真实身份信息的访问方式；认证结果通常包括：待认证实体对象的真实身份信息和/或身份档案。
40.上述身份档案可以理解为用于描述所对应的身份标识特征的一组符合预设标准的数据集，比如，该身份档案中可以包括待认证实体对象的真实身份信息的访问地址等，但并不包含待认证实体对象的真实身份信息；在实际实现时，该身份档案通常存储在分布式存储系统中；上述真实身份信息可以理解为待认证实体对象的具体属性或特征数据，也可以理解为数字身份关键数据和原始数据，如待认证实体对象的姓名、证件编号、联系电话、图片或原始文件等；在实际实现时，如果第一区块链中存储有待认证实体对象的身份标识，表示第一区块链记载了对待认证实体对象认证通过的认证结果；如果第二区块链中存储有待认证实体对象的身份标识，表示第二区块链记载了对待认证实体对象认证通过的认证结果；该认证结果通常还包括：待认证实体对象的真实身份信息，或者身份档案，或者同时包含待认证实体对象的真实身份信息和身份档案。
41.如图2所示，该方法包括如下步骤：
42.步骤s202，获取待认证实体对象的身份标识。
43.步骤s204，根据身份标识，向身份认证服务发送身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证，身份认证服务用于根据身份标识获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，第一区块链和第二区块链所属的对象不同。
44.步骤s206，接收身份认证服务响应身份认证请求发送的认证结果。
45.步骤s208，向身份认证服务发送认证结果选择指令；认证结果选择指令用于从认证结果中选择目标认证结果。
46.上述目标认证结果可以理解为，从一个或多个认证结果中选择一个作为目标认证结果。在实际实现时，对于同一个待认证实体对象，当根据获取到的该待认证实体对象的身份标识，向身份认证服务发送身份认证请求后，可能会接收到多个认证结果，比如，第一区块链和第二区块链中同时存储有待认证实体对象的身份标识，身份认证服务根据该身份标识，可以获取到第一区块链和第二区块链中记载的对待认证实体对象的多个认证结果，这时通常需要向身份认证服务发送认证结果选择指令，以从多个认证结果中选取一个目标认证结果。
47.步骤s210，接收身份认证服务基于目标认证结果发送的待认证实体对象的身份档案和/或真实身份信息。
48.在实际实现时，由于目标认证结果中通常包括待认证实体对象的真实身份信息，或者身份档案，或者同时包含待认证实体对象的真实身份信息和身份档案，当从多个认证结果中确定目标认证结果后，可以接收到身份认证服务基于该目标认证结果发送的待认证实体对象的真实身份信息，或者身份档案，或者同时接收到待认证实体对象的真实身份信息和身份档案。
49.需要说明的是，第一区块链和第二区块链可以分别对应不同的集团，该集团内包
括多个实体对象；该集团也可以称为一个联盟，在实际实现时，该集团可以为一个银行，该集团中包含该银行的各个分行；该集团对应的第一区块链或第二区块链保存有该银行的各个分行的注册用户的身份标识；上述第一区块链和第二区块链所属的对象通常不同，例如，第一区块链对应银行a，其对象是银行a的用户，第二区块链对应银行b，其对象是银行b的用户等。
50.下面以第一区块链对应银行a为例进行说明，由于第一区块链中保存有该银行a的各个分行的注册用户的身份标识，如果用户是在该银行a的其中一个分行完成了注册，当该用户需要在该银行a的其他分行办理业务时，无需重新注册，根据第一区块链中所保存的该用户的身份标识，直接进行身份认证，即可得到认证结果。
51.以第一区块链对应银行a，第二区块链对应银行b，第一区块链和第二区块链均与身份认证服务通信连接为例；如果用户在银行a完成了注册，则第一区块链中保存有该用户的身份标识，当该用户在银行b办理业务时，无需重新注册，通过身份认证服务，从第一区块链中获取该用户的身份标识，根据该身份标识，直接进行身份认证，即可得到认证结果。
52.通过上述身份认证方式，用户不需要多次提供原始身份数据，如身份证、学位证、驾驶证等，因而可以有效保护用户的原始身份数据，如果用户多次出示原始身份数据，原始身份数据容易被泄露，本发明采用的方式是用户只需要进行一次身份验证或注册，将所生成的对应的身份标识保存在相应的第一区块链或第二区块链中，身份认证服务根据该身份标识，获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，就可以实现同一集团内部的身份认证数据共存共享，或者通过跨集团间身份认证数据的互认互通，无需用户重新进行身份验证或注册，即可完成身份认证，可以避免用户多次出示原始身份数据，从而达到保护原始身份数据的目的。
53.本发明实施例提供的另一种身份认证方法，首先根据获取到的待认证实体对象的身份标识，向身份认证服务发送身份认证请求，然后接收该身份认证服务响应该身份认证请求发送的认证结果，最后向身份认证服务发送认证结果选择指令，以从认证结果中选择目标认证结果，接收身份认证服务基于目标认证结果发送的待认证实体对象的身份档案和/或真实身份信息。该方法中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
54.本发明实施例还提供了另一种身份认证方法，如图3所示，该方法包括如下步骤：
55.步骤s302，获取终端设备发送的身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证。
56.上述终端设备可以是计算机或手机等终端；在实际实现时，当需要进行身份认证时，首先需要获取到计算机或手机等终端所发送的，请求对待认证实体对象的身份进行认证的身份认证请求。
57.步骤s304，根据身份认证请求，获取待认证实体对象的身份标识。
58.上述身份认证请求中通常包含进行身份认证所需要的认证材料；比如，当待认证实体对象是人时，考虑到每个人具有与其对应的唯一的身份证号，可以根据身份认证请求
中所包含的身份证号获取对应的身份标识；在实际实现时，当获取到终端设备发送的身份认证请求后，通常会基于该身份认证请求所包含的认证材料，获取该待认证实体对象对应的身份标识。
59.步骤s306，根据身份标识，获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，第一区块链和第二区块链所属的对象不同。
60.步骤s308，将认证结果发送至终端设备。
61.本发明实施例提供的另一种身份认证方法，首先根据获取到的终端设备发送的身份认证请求，获取待认证实体对象的身份标识；然后根据该身份标识，获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，最后将该认证结果发送至终端设备。该方法中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
62.本发明实施例还提供了另一种身份认证方法，该方法在上述实施例方法的基础上实现；该方法重点描述根据身份标识，获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果的具体过程，具体对应下述步骤s406至步骤s414；如图4所示，该方法包括如下步骤：
63.步骤s402，获取终端设备发送的身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证。
64.步骤s404，根据身份认证请求，获取待认证实体对象的身份标识。
65.步骤s406，获取身份标识的存储结果，其中，存储结果用于指示第一区块链和第二区块链中是否存储有待认证实体对象的身份标识。
66.在实际实现时，当获取到待认证实体对象的身份标识后，需要确认第一区块链和第二区块链中是否存储有该待认证实体对象的身份标识；比如，以第一区块链对应银行a，第二区块链对应银行b为例，如果用户是第一次在银行开户，则银行a对应的第一区块链和银行b对应的第二区块链中并没有存储有该待认证实体对象的身份标识；如果用户在银行a或银行b开过户，则在第一区块链或第二区块链中存储有该待认证实体对象的身份标识。
67.步骤s408，根据存储结果，确定第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，其中，在第一区块链中存储有待认证实体对象的身份标识的情况下，第一区块链中存储的待认证实体对象的身份标识用于指示第一区块链记载了对待认证实体对象认证通过的认证结果，在第二区块链中存储有待认证实体对象的身份标识的情况下，第二区块链中存储的待认证实体对象的身份标识用于指示第二区块链记载了对待认证实体对象认证通过的认证结果。
68.当获取到上述存储结果后，根据该存储结果，确定第一区块链或者第二区块链，或者，第一区块链和第二区块链中所记载的对待认证实体对象的认证结果，如果第一区块链中存储有待认证实体对象的身份标识，表示该第一区块链记载了对待认证实体对象认证通过的认证结果；如果第二区块链中存储有待认证实体对象的身份标识，表示该第二区块链记载了对待认证实体对象认证通过的认证结果；如果第一区块链和第二区块链中同时存储
有待认证实体对象的身份标识，表示该第一区块链和第二区块链同时记载了对待认证实体对象认证通过的认证结果。
69.步骤s410，获取终端设备发送的认证结果选择指令；认证结果选择指令用于从认证结果中选择目标认证结果。
70.在实际实现时，对于同一个待认证实体对象，可能会得到第一区块链和第二区块链上记载的对待认证实体对象的多个认证结果，这时通常需要获取终端设备发送的认证结果选择指令，以从多个认证结果中选取一个目标认证结果。
71.步骤s412，基于认证结果选择指令，确定目标认证结果。
72.根据获取到的认证结果选择指令，从多个认证结果中确定目标认证结果；比如，在第一区块链和第二区块链同时记载有对待认证实体对象的认证结果的情况下，如果认证结果选择指令指示选取第一区块链中记载的对待认证实体对象的认证结果，则根据该认证结果选择指令，确定第一区块链中记载的对待认证实体对象的认证结果为目标认证结果。
73.步骤s414，基于目标认证结果，对待认证实体对象的真实身份信息进行认证。具体的，该步骤s414可以通过以下步骤一或步骤二实现：
74.步骤一，在目标认证结果由第一区块链记载的情况下，第一区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式。从第一区块链中查询待认证实体对象的身份标识对应的身份档案；通过查询到的身份档案，得到待认证实体对象的认证结果。
75.在实际实现时，如果将第一区块链记载的对待认证实体对象的认证结果确定为目标认证结果，从第一区块链中查询该待认证实体对象的身份标识对应的身份档案，该身份档案中通常会提供待认证实体对象的真实身份信息的访问方式，如，待认证实体对象的真实身份信息的访问地址等信息，根据查询到的身份档案，得到该待认证实体对象的认证结果。
76.步骤二，在目标认证结果由第二区块链记载的情况下，第二区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式。从第二区块链中查询待认证实体对象的身份标识对应的身份档案；通过查询到的身份档案，得到待认证实体对象的认证结果。
77.在实际实现时，如果将第二区块链记载的对待认证实体对象的认证结果确定为目标认证结果，从第二区块链中查询该待认证实体对象的身份标识对应的身份档案，该身份档案中通常会提供待认证实体对象的真实身份信息的访问方式，如，待认证实体对象的真实身份信息的访问地址等信息，根据查询到的身份档案，得到该待认证实体对象的认证结果。
78.步骤s416，将认证结果发送至终端设备。
79.本发明实施例提供的另一种身份认证方法，首先根据获取到的终端设备发送的身份认证请求，获取待认证实体对象的身份标识；然后获取该身份标识的存储结果，根据该存储结果，确定第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，最后将该认证结果发送至终端设备。该方法中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认
证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
80.本发明实施例还提供了另一种身份认证方法，该方法在上述实施例方法的基础上实现；该方法重点描述根据身份标识，获取第一区块链上记载的对待认证实体对象的认证结果的具体过程，具体对应下述步骤s506至步骤s508，该方法中，在第一区块链中存储有待认证实体对象的身份标识的情况下，第一区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式；如图5所示，该方法包括如下步骤：
81.步骤s502，获取终端设备发送的身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证。
82.步骤s504，根据身份认证请求，获取待认证实体对象的身份标识。
83.步骤s506，在第一区块链中存储有待认证实体对象的身份标识的情况下，从第一区块链中查询待认证实体对象的身份标识对应的身份档案。
84.步骤s508，通过查询到的身份档案，得到待认证实体对象的认证结果。
85.步骤s510，将认证结果发送至终端设备。
86.本发明实施例提供的另一种身份认证方法，首先根据获取到的终端设备发送的身份认证请求，获取待认证实体对象的身份标识；在第一区块链中存储有待认证实体对象的身份标识的情况下，从第一区块链中查询待认证实体对象的身份标识对应的身份档案，然后通过查询到的身份档案，得到待认证实体对象的认证结果，最后将认证结果发送至终端设备。该方法中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
87.本发明实施例还提供了另一种身份认证方法，该方法在上述实施例方法的基础上实现；该方法重点描述根据身份标识，获取第二区块链上记载的对待认证实体对象的认证结果的具体过程，具体对应下述步骤s606至步骤s608，该方法中，在第二区块链中存储有待认证实体对象的身份标识的情况下，第二区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式；该身份档案通常包括实体对象的真实身份信息的哈希值，以及实体对象的真实身份信息的访问地址，但并不包含实体对象的真实身份信息；在实际实现时，该身份档案通常存储在分布式存储系统中；该哈希值可以理解为通过一定的哈希算法，如md5(message digest algorithm 5，消息摘要算法第五版)，sha-1(secure hash algorithm 1，安全散列算法1)等算法，将实体对象的真实身份信息映射为较短小的数据，这段小数据就是实体对象的真实身份信息的哈希值，一旦实体对象的真实身份信息发生变化，其所对应的哈希值也会发生变化，即，实体对象的真实身份信息与哈希值之间是一一对应关系；上述访问地址可以理解为存储实体对象的真实身份信息的地址，在实际实现时，该访问地址可以通过uri(uniform resource identifier，统一资源标志符)表示；该身份档案中通常还包括与身份标识对应的公钥、认证、服务等数据信息。
88.上述真实身份信息中通常包括实体对象的身份凭证；该身份凭证用于证明实体对象具有指定的身份属性；该身份凭证可以理解为由实体对象所提供的用于证明实体对象身份的、可验证的电子凭证；身份凭证的数量可以是多个，比如，可以是实体对象的驾驶证、社保卡或相关资质证书等；该身份属性可以理解为一种具体的身份，比如，如果身份凭证是驾驶证，通过该驾驶证可以证明实体对象具有驾驶资格，其具备对应的驾驶员这个身份属性。
89.如图6所示，该方法包括如下步骤：
90.步骤s602，获取终端设备发送的身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证。
91.步骤s604，根据身份认证请求，获取待认证实体对象的身份标识。
92.步骤s606，在第二区块链中存储有待认证实体对象的身份标识的情况下，从第二区块链中查询待认证实体对象的身份标识对应的身份档案。
93.步骤s608，通过查询到的身份档案，得到待认证实体对象的认证结果。
94.具体的，该步骤s608具体可以通过以下步骤三至步骤六实现：
95.步骤三，通过查询到的身份档案中的访问地址，获取待认证实体对象的真实身份信息；通过查询到的身份档案中的哈希值，验证待认证实体对象的真实身份信息是否被篡改。
96.在实际实现时，待认证实体对象的真实身份信息通常存储在分布式存储系统中，并不会直接存储在区块链上，而是将待认证实体对象的真实身份信息的访问地址和哈希值存储在区块链上；当需要对待认证实体对象进行身份认证时，可以通过访问地址获取到待认证实体对象的真实身份信息；由于哈希值和待认证实体对象的真实身份信息是一一对应关系，如果查询到的哈希值发生变化，可以确认待认证实体对象的真实身份信息被篡改；如果查询到的哈希值没有变化，可以确认待认证实体对象的真实身份信息没有被篡改。
97.步骤四，如果待认证实体对象的真实身份信息没有被篡改，从待认证实体对象的真实身份信息中，获取待认证实体对象的身份凭证。
98.如果查询到的身份档案中的哈希值没有变化，即表示待认证实体对象的真实身份信息没有被篡改，这时可以从待认证实体对象的真实身份信息中，获取待认证实体对象的身份凭证；在实际实现时，在一些特殊应用场景中，可能还需要进一步获取待认证实体对象的相关身份凭证，并验证该身份凭证，比如，在招聘场景中，招聘公司只获取应聘者的身份证号是不够的，还需要获取应聘者的学历证书、学位证书等相关身份凭证；在交管部门，还需要获取驾驶员的驾驶证等；这时，需要根据不同的应用场景，从待认证实体对象的真实身份信息中，获取所需要的相关身份凭证。
99.步骤五，验证获取到的身份凭证是否合法；如果身份凭证合法，确定待认证实体对象具有身份凭证对应的身份属性。
100.当获取到待认证实体对象的相关身份凭证后，通常需要先验证该身份凭证是否合法，比如，招聘公司获取到应聘者的学历证书、学位证书等身份凭证后，需要确认这些证书的真实性等；交管部门获取到驾驶员的驾驶证后，需要验证驾驶员所驾驶的车型是否超出了驾驶证核定的准驾车型的范围等，如果身份凭证合法，则可以确认待认证实体对象具有身份凭证对应的身份属性，比如，如果应聘者的学历证书、学位证书合法，表示应聘者具备相应的学历和学位；如果驾驶员的驾驶证合法，表示驾驶员被允许驾驶相应车辆。
101.步骤六，将待认证实体对象的真实身份信息和/或身份档案，确定为待认证实体对象的认证结果。
102.如果待认证实体对象的真实身份信息没有被篡改，将该待认证实体对象的真实身份信息，或者身份档案，或者真实身份信息及身份档案，确定为待认证实体对象的认证结果。
103.步骤s610，将认证结果发送至终端设备。
104.本发明实施例提供的另一种身份认证方法，首先根据获取到的终端设备发送的身份认证请求，获取待认证实体对象的身份标识；在第二区块链中存储有待认证实体对象的身份标识的情况下，从第二区块链中查询待认证实体对象的身份标识对应的身份档案，然后通过查询到的身份档案，得到待认证实体对象的认证结果，最后将认证结果发送至终端设备。该方法中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
105.在实际应用时，第一区块链可以包括第一联盟链；第二区块链可以包括第二联盟链；第一联盟链、第二联盟链与身份认证服务之间可以通过预设的中继服务引擎连接；上述联盟可以理解为由若干成员组成的区块链业务团体，联盟成员作为参与方共同参与到区块链网络的建设之中；联盟链可以理解为由若干个集团共同参与管理的许可性区块链，每个集团都运行着一个或多个节点，其中的数据只允许系统内不同的集团进行读写和发送交易，并且共同来记录交易数据；在实际实现时，上述第一联盟链和第二联盟链均可以是集团内联盟链，集团内联盟链可以理解为一种只部署于集团内部的联盟；上述身份认证服务可以实现在不同组织、集团或集团间进行授权数据交互；上述中继服务引擎可以为第一联盟链、第二联盟链与身份认证服务之间提供统一的数据中继桥接服务，在实际实现时，第一联盟链、第二联盟链和身份认证服务之间通常会通过统一的身份标识规范，如did规范进行互认互通。
106.为进一步理解上述实施例，下面以身份链为例进行说明，身份链提供了现实世界中的人、物、集团等实体属性特征与虚拟世界中的身份凭证标识之间进行关联、采集、保存、传输、认证的解决方案，身份链将实体对象的数字身份关键数据哈希值和原始数据哈希值存证在区块链上，数字身份关键数据和原始数据可以存储在分布式存储系统中。
107.根据不同场景下身份链功能的定位差异，将身份链区分为集团内身份链(对应上述第一区块链和/或第二区块链)和开放性身份链(对应上述身份认证服务)，其中，集团内身份链可以理解为在特定组织集团内部部署，统筹管理本集团内实体身份数据的集团内联盟链，它部署在不同行业集团内部，如银行、保险、企业集团等，数据的保管、使用需受相关行业监管部门的监管，在设计上需满足相关监管的要求。开放性身份链可以理解为不同组织集团间进行实体身份数据加密传输、授权使用、真实性认证的开放性联盟链，设计上需兼顾数据隐私保护、监管、数据授权使用等需求。集团内身份链和开放性身份链可作为独立产品，比如，开放性身份链可以理解为一种单独的服务，集团内身份链是一种具象的产品，开放性身份链可以通过接口对外提供服务，连接集团内身份链1、集团内身份链2或集团内身
份链3等；只需要集团内身份链的节点设备通过接口提供相关数据就可以。集团内身份链和开放性身份链也可以组合为同一产品。
108.在实际实现时，集团内身份链可以采用集团内联盟链，用于数字凭证数据共存共享，提供的是集团内各个节点设备之间的实名认证；开放性身份链可以采用开放性联盟链，用于数字凭证数据的生态互认互通，提供的是跨集团的集团内身份链的身份认证；两者架构在不同的联盟链上，即身份链系统采用集团内联盟链和开放性联盟链双链架构；两条链间通过统一的did规范和中继服务引擎进行交互。比如，如果一个集团对应一个银行，则开放性身份链可以用于多个不同银行之间，对待认证实体对象的身份认证。
109.下面对与身份链相关的部分术语进行解释说明，其中，集团可以理解为部署集团内身份链的主体，是集团内身份链平台的业主方，也是开放性身份链的参与方，集团did可以理解为集团内身份链的系统did，集团也属于管理机构，管理机构可以理解为参与平台运营的机构，可维护、使用其业务领域内的个人实体和集团实体身份信息，可进行身份凭证的发行和验证，管理机构还可维护其分支集团及集团用户权限，管理机构本身也是集团实体，其集团用户本身也是个人实体；其中，个人实体可以理解为以个人为did注册实体，可通过c端client维护个人身份信息，进行身份信息授权，这里的c端代表消费者个人用户consumer；集团实体是以集团为did注册实体，可通过b端client维护企业或组织身份信息、进行身份信息授权；这里的b端代表企业用户商家business。
110.在实际实现时，通常每个集团均有其特有的监管方，监管方拥有本集团的超级密钥；监管方是部署身份链的集团所属行业监管单位，对集团内身份链的运行和数据具有监管权限，可通过监督client(客户端)进行本集团体系内的数据无限制查询操作。
111.为进一步理解上述实施例，下面提供如图7所示的一种身份认证的系统架构示意图，该图中包括开放性身份链(对应于上述身份认证服务)、中继服务引擎和多个集团内身份链(对应于上述第一区块链或第二区块链)，其中，多个集团内身份链分别为集团内身份链1、集团内身份链2直至集团内身份链m，集团内身份链的数量可以根据实际应用场景或需求进行设置，每个集团内身份链中均包括多个节点，如节点1、节点2直至节点n，每个集团内身份链中所包含的节点的数量也可以根据实际应用场景或需求进行设置。
112.中继服务引擎可以为多个集团内身份链和开放性身份链提供统一的数据中继桥接服务，多个集团内身份链和开放性身份链之间通过统一的did规范进行互认互通。比如，集团内身份链1中存储有待认证实体对象的身份标识，当集团内身份链1中的该待认证实体对象通过终端设备向开放性身份链发送身份认证请求后，从该身份认证请求中提取该待认证实体对象的身份标识；根据该身份标识，从集团内身份链1中查询待认证实体对象的身份标识对应的身份档案，根据查询到的该身份档案，得到该待认证实体对象的认证结果，即实现了集团内身份链1中各个节点设备之间身份认证数据的共存共享。
113.以集团内身份链1和集团内身份链2均与开放性身份链通信连接，且，只有集团内身份链2中存储有待认证实体对象的身份标识为例，当集团内身份链1中的该待认证实体对象通过终端设备向开放性身份链发送身份认证请求后，从该身份认证请求中提取该待认证实体对象的身份标识；根据该身份标识，从集团内身份链2中查询待认证实体对象的身份标识对应的身份档案，根据查询到的该身份档案，得到该待认证实体对象的认证结果，即实现了集团内身份链1和集团内身份链2之间身份认证数据的互认互通。
114.现实世界中的实体的身份数据映射到身份链上，其属性通常包括did(对应上述身份标识)、did document(对应上述身份档案)、did data(对应上述身份信息)、did credentials(对应上述身份凭证)等元素。
115.在身份链系统中，did可以用于表示人、集团、物等实体(entity)的唯一标识。通过did，即可在身份链系统中找到其所代表实体的相关档案数据和验证方式。在本发明一个可选的实施例中，相关规范的制定可以参考w3c decentralized identifiers(dids)v1.0规范和w3c verifiable credentials data model 1.0规范；其中，w3c decentralized identifiers(dids)v1.0规范是w3c组织颁布的分布式id规范；w3c verifiable credentials data model 1.0规范是w3c组织颁布的可验证的凭证数据模型规范。可以理解的是，本发明实施例中的身份标识、身份档案、身份信息和身份凭证等的制定规范并不限于上述举例，本发明对于具体所使用的制定规范并不作限定，本发明实施例中对于制定规范、执行标准等均为举例说明。
116.did document也可以理解为did档案，通常包含用于描述did特征的，一组符合json-ld(javascript object notation for linked data的缩写，是一种基于json表示和传输互联数据的方法，其中json可以理解为一种轻量级的数据交换格式)标准的数据集，比如，包括与此did对应的公钥、认证、服务等数据信息，在did document中通常不包含did对应实体的具体属性或特征数据，如姓名、证件编号、联系电话等。如需获取实体的具体属性或特征数据等身份信息，或与did相关的其他服务，需通过did document中提供的对应实体的身份信息的访问地址中获取。did与did document是一对一的关系，did document通常保存在区块链上，而不是存在数据库，或中心化服务器等。
117.did data可以理解为表示did所对应实体的详细属性或特征的，符合json标准的数据集，如姓名、证件编号、联系电话等。did data不直接存在区块链上，而是由数据提供或保存集团存在自有的数据系统中，这种数据系统可以是区块链所属的集团自有的分布式存储系统。did document中定义了获取did data的uri(对应于上述访问地址)。did data数据结构需符合did data schema定义。
118.did data schema相当于did data数据模板，通常保存在区块链上并完全公开，其中定义了did data数据类型、属性定义、kyc(know your customer，了解你的客户)级别等信息。
119.did credentials相当于身份凭证，通常是由加入身份链系统的集团或个人，所提供的用于证明did实体身份的、可验证的电子凭证。基于每个did，可以发布任意多个credentials，一个credential中可能包含了did data中的若干数据项。did credential的发布者可以称之为issuer，由issuer按照did data schema定义所发布的，与did所对应实体相关的结构化数据可以称之为claim。验证did credential真实性的验证者可以称之为verifier；已发布did credential的持有者可以称之为holder，holder向issuer申请did credential的发布，并提供给verifier进行验证，一般是did credentials中did所表示的实体。did credentials中的数据结构通常需要符合did credential schema定义。
120.did credential schema相当于did身份凭证模板，通常是由加入身份链系统的集团或个人，所提供的用于证明did实体身份的、可验证的电子凭证。
121.为进一步理解上述实施例，下面提供如图8所示的一种身份数据的关系示意图，其
中，entity表示待认证实体对象，did是用于表示entity的身份标识，did document是用于解释did特征的did档案，其中包括entity的did data所对应的访问地址，该访问地址指向did data，did data用于具体描述entity的详细属性或特征，基于每个did，可以发布若干个did credentials，did credentials中所包含的数据项通常依赖于did data中的数据项，每个did credential中可以包含did data中的若干数据项。
122.下面以身份链应用于银行的kyc场景为例进行说明，例如客户张某在中国大陆某银行开户成功，在开户过程中，实名认证完成时，该银行就为张某生成了与其对应的唯一的did，在开户时只生成了基础的身份凭证，其他衍生出来的身份凭证可以根据后期需求再生成；比如，如果张某到交管部门，可能需要生成其对应的驾驶证。
123.若张某需要去新加坡的该行开户，现有模式下，张某需在新加坡该行重新提交一次实名认证材料。当该行部署了身份链系统后，张某就只需在该行提交一次实名认证材料，可在该行全球所有网点办理业务，这相当于是集团内身份链应用场景，该场景可延伸至开放性身份链应用场景，比如，该行联合其他银行或集团实现身份链互通，在客户授权的情况下可共享实名认证材料，实现身份链的跨集团或组织的应用。行驶证、毕业证跨域互认均可尝试应用身份链。
124.在实际实现时，客户在同一个银行的其他网点办理业务时，通常只需要客户提供did即可。如果客户需要从另一个不同的银行办理业务，通常需要基于did从存储有该客户的身份标识的身份链上查询did document，最后根据did document中所保存的did data的访问地址，获取did data。
125.本发明实施例提供了一种身份认证装置的结构示意图，如图9所示，装置包括：第一获取模块90，用于获取待认证实体对象的身份标识；第一发送模块91，用于根据身份标识，向身份认证服务发送身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证，身份认证服务用于根据身份标识获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，第一区块链和第二区块链所属的对象不同；接收模块92，用于接收身份认证服务响应身份认证请求发送的认证结果。
126.本发明实施例提供的一种身份认证装置，首先根据获取到的待认证实体对象的身份标识，向身份认证服务发送身份认证请求，其中，该身份认证请求用于请求对待认证实体对象的身份进行认证，该身份认证服务用于根据该身份标识获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，然后接收该身份认证服务响应该身份认证请求发送的认证结果。该装置中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
127.进一步的，在第一区块链中存储有待认证实体对象的身份标识的情况下，第一区块链中存储的待认证实体对象的身份标识用于指示对待认证实体对象认证通过的认证结果，其中，第一区块链中还存储有待认证实体对象的身份标识对应的身份档案；在第二区块链中存储有待认证实体对象的身份标识的情况下，第二区块链中存储的待认证实体对象的身份标识用于指示对待认证实体对象认证通过的认证结果，其中，第二区块链中还存储有
待认证实体对象的身份标识对应的身份档案；其中，身份档案用于提供待认证实体对象的真实身份信息的访问方式；装置还用于：向身份认证服务发送认证结果选择指令；认证结果选择指令用于从认证结果中选择目标认证结果；接收身份认证服务基于目标认证结果发送的待认证实体对象的身份档案和/或真实身份信息。
128.进一步的，在第一区块链中存储有待认证实体对象的身份标识的情况下，第一区块链中存储的待认证实体对象的身份标识用于指示对待认证实体对象认证通过的认证结果，其中，第一区块链中还存储有待认证实体对象的身份标识对应的身份档案；在第二区块链中存储有待认证实体对象的身份标识的情况下，第二区块链中存储的待认证实体对象的身份标识用于指示对待认证实体对象认证通过的认证结果，其中，第二区块链中还存储有待认证实体对象的身份标识对应的身份档案；其中，身份档案用于提供待认证实体对象的真实身份信息的访问方式；认证结果包括：待认证实体对象的真实身份信息和/或身份档案。
129.本发明实施例所提供的身份认证装置，其实现原理及产生的技术效果和前述身份认证方法实施例相同，为简要描述，身份认证装置实施例部分未提及之处，可参考前述身份认证方法实施例中相应内容。
130.本发明实施例提供了另一种身份认证装置的结构示意图，如图10所示，装置包括：第二获取模块100，用于获取终端设备发送的身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证；第三获取模块101，用于根据身份认证请求，获取待认证实体对象的身份标识；第四获取模块102，用于根据身份标识，获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，第一区块链和第二区块链所属的对象不同；第二发送模块103，用于将认证结果发送至终端设备。
131.本发明实施例提供的另一种身份认证装置，首先根据获取到的终端设备发送的身份认证请求，获取待认证实体对象的身份标识；然后根据该身份标识，获取第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，最后将该认证结果发送至终端设备。该装置中，待认证实体对象只需要进行一次身份验证，就可以根据身份标识，通过身份认证服务获取第一区块链和/或第二区块链上记载的对该待认证实体对象的认证结果，实现同一集团内部的身份认证数据共存共享，或者跨集团间身份认证数据的互认互通，提高了身份认证的效率，并且，不需要多次提供原始身份数据，因而提高了身份认证数据的安全性。
132.进一步的，第四获取模块102还用于：获取身份标识的存储结果，其中，存储结果用于指示第一区块链和第二区块链中是否存储有待认证实体对象的身份标识；根据存储结果，确定第一区块链和/或第二区块链上记载的对待认证实体对象的认证结果，其中，在第一区块链中存储有待认证实体对象的身份标识的情况下，第一区块链中存储的待认证实体对象的身份标识用于指示第一区块链记载了对待认证实体对象认证通过的认证结果，在第二区块链中存储有待认证实体对象的身份标识的情况下，第二区块链中存储的待认证实体对象的身份标识用于指示第二区块链记载了对待认证实体对象认证通过的认证结果。
133.进一步的，第四获取模块102还用于：获取终端设备发送的认证结果选择指令；认证结果选择指令用于从认证结果中选择目标认证结果；基于认证结果选择指令，确定目标认证结果；基于目标认证结果，对待认证实体对象的真实身份信息进行认证。
134.进一步的，第四获取模块102还用于：在目标认证结果由第一区块链记载的情况下，第一区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式；从第一区块链中查询待认证实体对象的身份标识对应的身份档案；通过查询到的身份档案，得到待认证实体对象的认证结果。
135.进一步的，第四获取模块102还用于：在目标认证结果由第二区块链记载的情况下，第二区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式；从第二区块链中查询待认证实体对象的身份标识对应的身份档案；通过查询到的身份档案，得到待认证实体对象的认证结果。
136.进一步的，在第一区块链中存储有待认证实体对象的身份标识的情况下，第一区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式；第四获取模块102还用于：在第一区块链中存储有待认证实体对象的身份标识的情况下，从第一区块链中查询待认证实体对象的身份标识对应的身份档案；通过查询到的身份档案，得到待认证实体对象的认证结果。
137.进一步的，在第二区块链中存储有待认证实体对象的身份标识的情况下，第二区块链中还存储有待认证实体对象的身份标识对应的身份档案；身份档案用于提供待认证实体对象的真实身份信息的访问方式；第四获取模块102还用于：在第二区块链中存储有待认证实体对象的身份标识的情况下，从第二区块链中查询待认证实体对象的身份标识对应的身份档案；通过查询到的身份档案，得到待认证实体对象的认证结果。
138.进一步的，身份档案包括实体对象的真实身份信息的哈希值，以及实体对象的真实身份信息的访问地址；第四获取模块102还用于：通过查询到的身份档案中的访问地址，获取待认证实体对象的真实身份信息；通过查询到的身份档案中的哈希值，验证待认证实体对象的真实身份信息是否被篡改；如果待认证实体对象的真实身份信息没有被篡改，将待认证实体对象的真实身份信息和/或身份档案，确定为待认证实体对象的认证结果。
139.进一步的，真实身份信息中包括实体对象的身份凭证；身份凭证用于证明实体对象具有指定的身份属性；第四获取模块102还用于：从待认证实体对象的真实身份信息中，获取待认证实体对象的身份凭证；验证获取到的身份凭证是否合法；如果身份凭证合法，确定待认证实体对象具有身份凭证对应的身份属性。
140.本发明实施例所提供的身份认证装置，其实现原理及产生的技术效果和前述身份认证方法实施例相同，为简要描述，身份认证装置实施例部分未提及之处，可参考前述身份认证方法实施例中相应内容。
141.本发明实施例提供了一种身份认证系统，如图11所示，该系统包括终端设备110、身份认证服务111、第一区块链112和第二区块链113；
142.终端设备110用于：获取待认证实体对象的身份标识；根据身份标识，向身份认证服务111发送身份认证请求，其中，身份认证请求用于请求对待认证实体对象的身份进行认证。
143.身份认证服务111用于：获取终端设备110发送的身份认证请求；根据身份认证请求，获取待认证实体对象的身份标识；根据身份标识，获取第一区块链112和/或第二区块链113上记载的对待认证实体对象的认证结果，第一区块链112和第二区块链113所属的对象不同；将认证结果发送至终端设备。
144.通过上述身份认证系统，可以兼顾同一集团内部“一次认证，多次使用”的kyc需求和跨集团间身份数据传递认证需求，即本技术所提供的数字凭证获取、保管的解决方案，兼顾集团内部数据共存共享，以及跨集团或组织的数字凭证互认互通的需求，能实现数据可控，并且，did和可验证凭证的方法可以确保实现kyc但不暴露隐私数据。
145.本发明实施例还提供了一种电子设备，参见图12所示，该电子设备包括处理器130和存储器131，该存储器131存储有能够被处理器130执行的机器可执行指令，该处理器130执行机器可执行指令以实现上述身份认证方法。
146.进一步地，图12所示的电子设备还包括总线132和通信接口133，处理器130、通信接口133和存储器131通过总线132连接。
147.其中，存储器131可能包含高速随机存取存储器(ram，random access memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口133(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。总线132可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。
148.处理器130可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器130中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器130可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processor，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field-programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器131，处理器130读取存储器131中的信息，结合其硬件完成前述实施例的方法的步骤。
149.本发明实施例还提供了一种机器可读存储介质，该机器可读存储介质存储有机器可执行指令，该机器可执行指令在被处理器调用和执行时，该机器可执行指令促使处理器实现上述身份认证方法，具体实现可参见方法实施例，在此不再赘述。
150.本发明实施例所提供的身份认证方法、装置、系统和电子设备的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。
151.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
152.最后应说明的是：以上实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。