WO2019093963A1

WO2019093963A1 - 基于异构身份的交互系统及方法

Info

Publication number: WO2019093963A1
Application number: PCT/SG2017/050566
Authority: WO
Inventors: 吴双; 阮子瀚; 雷浩
Original assignee: 华为国际有限公司
Priority date: 2017-11-10
Filing date: 2017-11-10
Publication date: 2019-05-16
Also published as: CN111264045A; CN111264045B

Abstract

本申请提供一种基于异构身份的交互系统及方法，该系统包括 M 个区块链共识节点和 M 个异构身份系统；异构身份系统包括异构身份子系统，异构身份子系统包括终端设备。第一异构身份子系统和第二异构身份子系统分别获取各自包括的终端设备的统一身份，将获取的统一身份发送给各自所属的异构身份系统对应的区块链共识节点，以使统一身份在 M 个区块链共识节点之间共享；第一异构身份子系统和第二异构身份子系统基于第一终端设备的统一身份和第二终端设备的统一身份进行交互。从而提高交互系统的可靠性。

Description

说明书

基于异构身份的交互系统及方法技术领域

本申请涉及通信技术领域，尤其涉及一种基于异构身份的交互系统及方法。

背景技术

随着物联网技术的不断发展，物联网设备呈现出了多样性的特点，它们可以是不同身份系统中的设备。例如：有些物联网设备在所属的身份系统中的身份是它的账号和密码；有些物联网设备在所属的身份系统中的身份是它的（International Mobile Subscriber Identification Number, IMSI) ；还有些物联网设备在所属的身份系统中的身份是它的证书或者是基于身份的数字签名（Identity Based Signature, IBS ) 等。

由于不同身份系统的物联网设备没有统一的标准接口，也没有统一的身份，因此不同身份系统的物联网设备之间不能实现两两身份认证、通信、交易等交互行为。现有技术采用建立物联网平台的方式以解决这一问题。即所有异构身份系统中的物联网设备都信任该物联网平台，通过物联网平台为各个物联网设备提供的统一身份进行交互。

然而，随着物联网技术的不断发展，物联网设备的规模也在不断壮大，目前物联网设备的规模已经上升到百亿、千亿级别。基于此，这将给物联网平台的处理能力和存储能力带来极大的挑战，并且该方式易造成物联网平台的单点故障，进而造成整个交互系统的可靠性较低的问题。发明内容

本申请提供一种基于异构身份的交互系统及方法，使得异构身份系统下的不同设备可以不需要依赖统一的物联网平台就可以实现交互，一方面可以提高交互系统的可靠性，更重要的是当未来全球范围内的智能设备产生两两交互的需求时，很可能因为地域的限制，不存在单一的物联网平台可以供全球所有设备使用。本发明为这种场景提供了一种解决方案。

第一方面，本申请提供一种基于异构身份的交互系统，包括： M个区块链共识节点和 M个异构身份系统， M为大于 1的正整数；异构身份系统包括异构身份子系统，异构身份子系统包括终端设备。其中，第一异构身份子系统获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份，并将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享；第二异构身份子系统获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份，并将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享；第一异构身份子系统和第二异构身份子系统基于第一终端设备的统一身份和第二终端设备的统一身份进行交互；其中，第一异构身份子系统和第二异构身份子系统属于 M个异构身份系统中的两个不同的异构身份系统。

本申请的有益效果包括：由于异构身份子系统可以获取包括的终端设备的统一身份，并将该统一身份发送给对应的区块链共识节点，以使统一身份在 M个区块链共识节点之间，从而实现异构身份子系统之间的交互。本申请中，无需设置独立的物联网平台。而是设置 M个区块链共识节点，这些区块链共识节点之间可以共享信息，从而避免现有技术中物联网平台的单点故障，进而提高整个交互系统的可靠性。

可选地，系统还包括：处理模块。基于此，第一异构身份子系统根据第一终端设备的统一身份生成第一终端设备的物理身份证明，并生成物理身份证明的摘要，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系；处理模块获取并存储物理身份证明，并生成物理身份证明的链接；将物理身份证明的链接发送给第一异构身份子系统；第一异构身份子系统将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使摘要和链接在 M个区块链共识节点之间共享；第二异构身份子系统获取摘要和链接，根据摘要和链接验证物理身份证明，并在对物理身份证明验证成功时，向第一异构身份子系统发送消息。

本申请的有益效果包括：异构身份子系统可以自己生成其包括的终端设备的物理身份证明，其他异构身份子系统可以验证该物理身份证明，当验证成功时，异构身份子系统之间可以进行交互，当验证失败时，异构身份子系统之间不可以进行交互，从而提高整个交互系统的可靠性。

可选地，第一终端设备的统一身份为一公私钥对中的公钥；第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥；相应的，第二异构身份子系统在处理模块中检测并获取链接对应的物理身份证明；第二异构身份子系统计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则第二异构身份子系统根据第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥验证物理身份证明。

本申请的有益效果包括：当第一终端设备的统一身份为一公私钥对中的公钥时，第二异构身份子系统通过该可选方式可以有效的验证物理身份证明，从而提高整个交互系统的可靠性。

可选地，若第一终端设备对应的异构身份系统是基于公钥基础设施 PKI的系统，则第一异构身份子系统获取第一终端设备在对应的异构身份系统的 PKI证书以及 PKI证书的签名；第一异构身份子系统获取通过一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；第一异构身份子系统获取通过该第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名；第一异构身份子系统将 PKI证书、 PKI证书的签名、第一签名和第二签名生成第一终端设备的物理身份证明。

本申请的有益效果包括：当第一终端设备对应的异构身份系统是基于 PKI 的系统时，第一异构身份子系统通过该可选方式可以有效的生成第一终端设备的物理身份证明。可选地，第二异构身份子系统根据第一终端设备对应的异构身份系统的公钥和 PKI证书验证 PKI证书签名、根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对 PKI签名、第一签名和第二签名均验证成功，则第二异构身份子系统确定对物理身份证明验证成功。

本申请的有益效果包括：基于上述第一异构身份子系统生成第一终端设备的物理身份证明的方式，第二异构身份子系统通过该可选方式可以有效的验证物理身份证明，从而提高整个交互系统的可靠性。

可选地，若第一终端设备对应的异构身份系统是基于 IBC的系统，则第一异构身份子系统获取通过一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；第一异构身份子系统获取通过第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名；第一异构身份子系统将第一终端设备在对应的异构身份系统的身份标识、第一签名和第二签名生成第一终端设备的物理身份证明。

本申请的有益效果包括：当第一终端设备对应的异构身份系统是基于 IBC的系统时，第一异构身份子系统通过该可选方式可以有效的生成第一终端设备的物理身份证明。

可选地，第二异构身份子系统根据第一终端设备对应的异构身份系统的公钥和第一终端设备在对应的异构身份系统的身份标识确定第一终端设备在对应的异构身份系统的公钥；第二异构身份子系统根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对第一签名和第二签名均验证成功，则第二异构身份子系统确定对物理身份证明验证成功。

可选地，第二异构身份子系统获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则第二异构身份子系统在处理模块中检测并获取链接对应的物理身份证明。

本申请的有益效果包括：若状态指示信息指示终端设备的统一身份的状态为非启用状态，则无需检测终端设备的物理身份证明。从而降低交互系统的资源消耗。

可选地，系统还包括：处理模块和物理身份生成设备；物理身份生成设备获取第一终端设备的统一身份，并根据第一终端设备的统一身份生成第一终端设备的物理身份证明，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系；第一异构身份子系统获取物理身份证明，并生成物理身份证明的摘要；处理模块获取并存储物理身份证明，并生成物理身份证明的链接；将物理身份证明的链接发送给第一异构身份子系统；第一异构身份子系统将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使摘要和链接在 M个区块链共识节点之间共享；第二异构身份子系统获取摘要和链接，根据摘要和链接验证物理身份证明，并在对物理身份证明验证成功时，向第一异构身份子系统发送消息。

本申请的有益效果包括：物理身份生成设备可以生成异构身份子系统包括的终端设备的物理身份证明，其他异构身份子系统可以验证该物理身份证明，当验证成功时，异构身份子系统之间可以进行交互，当验证失败时，异构身份子系统之间不可以进行交互，从而提高整个交互系统的可靠性。

可选地，第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥；相应的，第二异构身份子系统在处理模块中检测并获取链接对应的物理身份证明；第二异构身份子系统计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则第二异构身份子系统根据第一终端设备对应的异构身份系统的公钥验证物理身份证明。

本申请的有益效果包括：第二异构身份子系统通过该可选方式可以有效的验证物理身份证明，从而提高整个交互系统的可靠性。

可选地，第一终端设备的统一身份为一公私钥对中的公钥；物理身份生成设备获取第一终端设备在对应的异构身份系统的身份标识以及一公私钥对中的公钥；物理身份生成设备根据物理身份生成设备的私钥对第一终端设备在对应的异构身份系统的身份标识以及一公私钥对中的公钥进行签名，得到第一签名；物理身份生成设备将第一终端设备在对应的异构身份系统的身份标识、一公私钥对中的公钥和第一签名生成物理身份证明。

本申请的有益效果包括：第一异构身份子系统通过该可选方式可以有效的生成第一终端设备的物理身份证明。

可选地，第一异构身份子系统仅包括第一终端设备；或者，第一异构身份子系统包括第一终端设备、第一终端设备的第一代理服务器和第一密钥托管中心；第二异构身份子系统仅包括第二终端设备；或者，第二异构身份子系统包括第二终端设备、第二终端设备的第一代理服务器和第一密钥托管中心。

下面介绍基于异构身份的交互方法，其实现原理和技术效果与第一方面涉及的系统以及第一方面的可选方式的原理和技术效果类似，此处不再赘述。

第二方面，本申请提供一种基于异构身份的交互方法，该方法应用于基于异构身份的交互系统，系统包括： M个区块链共识节点和 M个异构身份系统， M为大于 1的正整数；异构身份系统包括异构身份子系统，异构身份子系统包括终端设备；相应的，方法包括: 第一异构身份子系统获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份，并将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享；第二异构身份子系统获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份，并将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享；第一异构身份子系统和第二异构身份子系统基于第一终端设备的统一身份和第二终端设备的统一身份进行交互；其中，第一异构身份子系统和第二异构身份子系统属于 M个异构身份系统中的两个不同的异构身份系统。

下面分别介绍第一异构身份子系统、第二异构身份子系统和物理身份生成设备，其实现原理和技术效果可参照第一方面涉及的系统以及第一方面的可选方式的原理和技术效果，此处不再赘述。

第三方面，本申请提供一种第一异构身份子系统，其中，第一异构身份子系统包括：获取模块、发送模块和接收模块。

获取模块用于获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份，该发送模块用于将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享；该获取模块还用于获取第二终端设备的统一身份，所述发送模块用于基于第一终端设备的统一身份和第二终端设备的统一身份向第二终端设备所属的第二异构身份子系统发送消息，或者所述接收模块用于接收第二异构身份子系统发送的消息。

第四方面，本申请提供一种第二异构身份子系统，其中，第二异构身份子系统包括获取模块、发送模块和接收模块；

该获取模块用于获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份，该发送模块用于将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享；该获取模块还用于获取第一终端设备的统一身份，该发送模块还用于基于第一终端设备的统一身份和第二终端设备的统一身份向第一终端设备所属的第一异构身份子系统发送消息，或者该接收模块用于接收第一异构身份子系统发送的消息。

第五方面，本申请提供一种物理身份生成设备，包括：获取模块和生成模块；该获取模块用于获取第一终端设备的统一身份；生成模块用于根据第一终端设备的统一身份生成第一终端设备的物理身份证明，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。

第六方面，本申请提供一种第一异构身份子系统，其中，第一异构身份子系统包括：处理器、发送器和接收器。

处理器用于获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份，该发送器用于将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享; 该处理器还用于获取第二终端设备的统一身份，所述发送器用于基于第一终端设备的统一身份和第二终端设备的统一身份向第二终端设备所属的第二异构身份子系统发送消息，或者所述接收器用于接收第二异构身份子系统发送的消息。

第七方面，本申请提供一种第二异构身份子系统，其中，第二异构身份子系统包括处理器、发送器和接收器；

该处理器用于获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份，该发送器用于将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享；该处理器还用于获取第一终端设备的统一身份，该发送器还用于基于第一终端设备的统一身份和第二终端设备的统一身份向第一终端设备所属的第一异构身份子系统发送消息，或者该接收器用于接收第一异构身份子系统发送的消息。

第八方面，本申请提供一种物理身份生成设备，包括：处理器和用于存储所述处理器的执行代码的存储器，以使处理器实现如下功能；获取第一终端设备的统一身份，并根据第一终端设备的统一身份生成第一终端设备的物理身份证明，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。

第九方面，本申请提供一种计算机存储介质，用于储存为上述第三方面或第六方面涉及的第一异构身份子系统所用的计算机软件指令，其包含用于执行上述第三方面或第六方面所涉及的程序。

第十方面，本申请提供一种计算机程序产品，其包含指令，当计算机程序被计算机所执行时，该指令使得计算机执行第三方面或第六方面中第一异构身份子系统所执行的功能。

第十一方面，本申请提供一种计算机存储介质，用于储存为上述第四方面或第七方面涉及的第二异构身份子系统所用的计算机软件指令，其包含用于执行上述第四方面或第七方面所涉及的程序。

第十二方面，本申请提供一种计算机程序产品，其包含指令，当计算机程序被计算机所执行时，该指令使得计算机执行第四方面或第七方面中第二异构身份子系统所执行的功能。

第十三方面，本申请提供一种计算机存储介质，用于储存为上述第五方面或第八方面涉及的物理身份生成设备所用的计算机软件指令，其包含用于执行上述第五方面或第八方面所涉及的程序。

第十四方面，本申请提供一种计算机程序产品，其包含指令，当计算机程序被计算机所执行时，该指令使得计算机执行第五方面或第八方面中物理身份生成设备所执行的功能。

本申请提供一种基于异构身份的交互系统及方法，包括： M个区块链共识节点和 M个异构身份系统， M为大于 1的正整数；异构身份系统包括异构身份子系统，异构身份子系统包括终端设备。其中，第一异构身份子系统获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份，并将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享；第二异构身份子系统获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份，并将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享；第一异构身份子系统和第二异构身份子系统基于第一终端设备的统一身份和第二终端设备的统一身份进行交互；其中，第一异构身份子系统和第二异构身份子系统属于 M个异构身份系统中的两个不同的异构身份系统。在本申请中，无需设置独立的物联网平台。而是设置 M个区块链共识节点，这些区块链共识节点之间可以共享信息，从而避免现有技术中物联网平台的单点故障，进而提高整个交互系统的可靠性。附图说明

图 1为本申请一实施例提供的一种基于异构身份的交互系统 10的示意图；

图 2为本申请一实施例提供的一种基于异构身份的交互系统的局部示意图；图 3为本申请另一实施例提供的一种基于异构身份的交互系统的局部示意图;

图 4为本申请一实施例提供的一种基于异构身份的交互方法的交互流程图；图 5为本申请另一实施例提供的一种基于异构身份的交互方法的交互流程图图 6为本申请再一实施例提供的一种基于异构身份的交互方法的交互流程图图 7为本申请又一实施例提供的一种基于异构身份的交互方法的交互流程图图 8为本申请一实施例提供的第一异构身份子系统 80的结构示意图

图 9为本申请一实施例提供的第二异构身份子系统 90的结构示意图

图 10为本申请一实施例提供的物理身份生成设备 100的结构示意图

图 11为本申请一实施例提供的第一异构身份子系统 110的结构示意图；

图 12为本申请一实施例提供的第二异构身份子系统 120的结构示意图；

图 13为本申请一实施例提供的物理身份生成设备 130的结构示意图。具体实施方式

以下，对本申请中的部分专业用语进行解释说明，以便于本领域技术人员理解。公钥密码 (Public Key Cryptography): 也称为非对称密码，是一类密码算法，需要两个单独的密钥，其中之一是保密的私有密钥（私钥），另一个是公开密钥（公钥）。公私钥这两个部分在数学上是联系在一起的。公钥用于加密明文或验证数字签名；而私钥用于解密密文或创建数字签名。

数字签名 (Digital Signature): 用于演示数字消息或文档的真实性的数学方案。有效的数字签名可以让接收者判定该消息是由已知的发送者（认证）创建的，发送方不能否认对消息签过名（不可否认性）。同时验证数字签名还可以确认消息在传输（完整性）中未被更改。

证书 (Certificate)和证书授权 (Certificate Authority, CA): 在密码学中，证书授权 CA中心是颁发数字证书的实体。数字证书通过证书的指定主题证明公钥的所有权。这允许其他 (依赖方）依赖签名或关于对应于认证公钥的私钥的断言。在这种信任关系模型中， CA 是受信任的第三方，由证书的主体（所有者）和依赖证书的一方信任。许多公钥基础设施 (Public Key Infrastructure, PKI) 方案都采用 CA。

传输层安全协议（Transport Layer Security, TLS ) 是一种安全协议，目的是为互联网通信，提供安全及数据完整性保障。它主要应用于浏览器、电子邮件、即时通信、和网络传真等应用程序中。 TLS支持通信双方通过证书完成身份认证、密钥协商、加密通信等功能。

PKI证书工作原理

假设 Alice和 Bob用数字签名（非对称算法的用途之一）进行认证时， Bob需要确保所使用的确实是 Alice的公钥。由于公钥是由随机选取的私钥导出的无意义字符串，无任何可辨认的现实特征。因此需要一种机制来保证 Bob及所有人确信该公钥确实是 Alice的。

PKI证书体系：建立可信任的第三方 CA，用户需向一个或多个 CA为其公钥申请证书， CA为该用户的公钥颁发证书，担保用户对公钥的拥有。而验证公钥证书实际是验证 CA 对该证书的签名。

其中，用户申请证书的大致流程是：用户生成公私钥对，并将自己的公钥及身份信息发送给 CA，做必要的验证后， CA为用户的公钥产生一个证书，以绑定该公钥与用户身份信息。其中，证书是 CA通过自己的公钥对用户的公钥和身份信息的签名。而 CA的公钥是公认的，无需进一步担保，因此用户的证书及公钥可被其他方验证。

IBS身份认证工作原理

基于身份的密码机制（Identity-Based Cryptography, IBC) 包括基于身份的签名技术

(Identity Based Signature, IBS )和基于身份的加密技术（Identity Based Encryption, IBE)。

IBS是特殊的公钥密码技术，它利用用户的身份标识（Identity, ID)作为自己的公钥，因而不需要数字证书来绑定公钥和用户的 ID。但需要可信任的密钥生成中心（Key Generation Center, KGC)生成用户的私钥。

区块链 (Block Chain): 是一个分布式数据库，它保持不断增长的名为区块的有序记录列表。每个块包含一个时间戳和指向前一个区块的链接。区块链天然具有防篡改数据的功能，数据一旦被记录到区块链中，该数据则不能被单方面修改。通过使用对等网络（Peer to Peer, P2P)和分布式时间戳服务器，区块链上的数据可以实现自动管理。区块链是 "一个开放的分布式分类帐，可以有效地记录双方之间的交易以及其它各种信息，并以可验证的方式永久记录。

区块链共识节点 (Peer)、共识算法 (Consensus Algorithm): 区块链由若干区块链共识节点组成，每个区块链共识节点可以是一台物理机器，也可以是云端的虚拟机、容器等逻辑节点。每一个区块链共识节点都会保存区块链中的完整数据和代码。区块链共识节点之间通过共识算法实现区块链数据的一致性。

本申请涉及到的终端设备可以被称为物联网 (Internet of thing, IoT)设备，该终端设备可以为电脑、手机、打印机、冰箱、机器人、传感器、电表、水表等等可以接入到 IoT中的终端设备。

本申请基于上述相关技术来解决现有技术中交互系统可靠性低的问题。

具体地，图 1为本申请一实施例提供的一种基于异构身份的交互系统 10的示意图，其中，该系统的应用场景是：当两种异构身份的终端设备需要进行身份认证、通信、交易等交互行为时，需要基于该交互系统实现。具体地，如图 1所示，该交互系统 10包括： M 个区块链共识节点 11和 M个异构身份系统 12; M个异构身份系统 12与 M个区块链共识节点 11一一对应， M为大于 1的正整数；异构身份系统包括异构身份子系统 13，异构身份子系统 13包括终端设备。其中，每个区块链共识节点 11可以是一台物理机器，也可以是云端的虚拟机、容器等逻辑节点，本申请对此不做限制。

其中，如图 1所示，有些异构身份子系统 13仅包括终端设备。这种情况的应用场景是：当终端设备不是轻量级设备时，即该终端设备具有足够的存储空间以及通信能力，则异构身份子系统 13 仅包括终端设备。例如：手机、计算机和平板设备等可以被理解为非轻量级设备。有些异构身份子系统 13包括终端设备 14、终端设备 14对应的代理服务器 15以及代理服务器 15对应的密钥托管中心 16。这种情况的应用场景是：当终端设备是轻量级设备时，即该终端设备不具有足够的存储空间以及通信能力，则异构身份子系统 13 通过代理服务器 15和密钥托管中心 16实现与其他终端设备之间的交互。例如：电表、水表、冰箱和打印机等可以被理解为轻量级设备。该密钥托管中心 16可以是一个物理设备，也可以是一个逻辑节点。需要说明的是，交互系统 10 中包括的所有异构身份子系统中的每个异构身份子系统可以仅包括终端设备，也可以是所有异构身份子系统中的每个异构身份子系统均包括终端设备、代理服务器和密钥托管中心。还可以是所有异构身份子系统中的部分异构身份子系统仅包括终端设备，其他部分异构身份子系统包括终端设备、代理服务器和密钥托管中心。本申请对此不做限制。

进一步地，第一异构身份子系统获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份，并将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享。第二异构身份子系统获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份，并将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享; 第一异构身份子系统和第二异构身份子系统基于第一终端设备的统一身份和第二终端设备的统一身份进行交互；其中，第一异构身份子系统和第二异构身份子系统属于 M个异构身份系统中的两个不同的异构身份系统。

即第一异构身份子系统和第二异构身份子系统属于 M个异构身份系统中的任意两个不同的异构身份系统。为了实现两个不同异构身份子系统的交互，异构身份子系统需要获取其包括的终端设备的统一身份。以使异构身份子系统可以基于终端设备的统一身份进行交互。

可选地，终端设备在交互系统中的统一身份可以是一公私钥对中的公钥。或者，可以是一对称密钥，比如：是终端设备的账号、 ID等。其中，终端设备在交互系统中的统一身份可能和在其对应的异构身份系统中身份不同，也可能相同，例如：当终端设备在对应的异构身份系统中的身份是其公钥。而规定终端设备在交互系统中的统一身份也是一公私钥对中的公钥，基于此，终端设备可以将自己在异构身份系统中的公钥作为它的统一身份。不过大多数情况下，终端设备在交互系统中的统一身份和其在异构身份系统中的身份不同，例如：当终端设备在对应的异构身份系统中的身份是其账号。而规定终端设备在交互系统中的统一身份也是一公私钥对中的公钥，基于此，终端设备不可以将自己在异构身份系统中的账号作为它的统一身份。这种情况下，该终端设备所在的异构身份子系统需要为该终端设备生成统一身份。

异构身份子系统各自获取了包括的终端设备的统一身份之后，需要将终端设备的统一身份发送给异构身份子系统所属的异构身份系统对应的区块链共识节点，基于上述专业术语的介绍可知，区块链共识节点之间可以共享信息，具体地，图 2为本申请一实施例提供的一种基于异构身份的交互系统的局部示意图，在区块链上还存储有多个智能合约（Smart Contract) ，该智能合约还被称为分布式应用（Distributed Application) ，可选的，智能合约与区块链共识节点一一对应，其中，该智能合约可以和区块链共识节点位于同一物理设备或者同一逻辑节点上，也可以位于不同的物理设备，或者不同的逻辑节点上，本申请对此不做限制。智能合约包括：终端设备的统一身份；可选地，智能合约还包括：该统一身份的状态指示信息、以及下面将要提到的终端设备的物理身份证明的摘要以及该物理身份证明对应的存储链接等。其中，统一身份的状态指示信息用于指示终端设备的统一身份是启用状态或者是非启用状态等。终端设备的统一身份在 M个区块链共识节点之间共享之后，包括这些终端设备的异构身份子系统之间可以进行交互。可选地，本申请中异构身份子系统中的交互可以是通信、身份认证以及交易都能交互行为。

若该交互指的是异构身份子系统之间的通信行为，则异构身份子系统可以基于包括的终端设备的统一身份采用现有的 TLS进行通信，本申请对此不做限制。

综上，本申请提供一种基于异构身份的交互系统，包括： M个区块链共识节点和 M个异构身份系统，异构身份系统包括异构身份子系统，异构身份子系统包括终端设备，其中，异构身份子系统可以获取包括的终端设备的统一身份，并将该统一身份发送给异构身份子系统所属的异构身份系统对应的区块链共识节点，终端设备的统一身份在 M个区块链共识节点之间共享，从而实现异构身份子系统之间的交互。本申请中，无需设置独立的物联网平台。而是设置 M个区块链共识节点，这些区块链共识节点之间可以共享信息，从而避免现有技术中物联网平台的单点故障，进而提高整个交互系统的可靠性。

可选地，当异构身份子系统仅包括终端设备时，上述异构身份子系统的执行动作全部由它所包括的终端设备执行。

可选地，当异构身份子系统包括终端设备、代理服务器和密钥托管中心时，上述异构身份子系统的执行动作由该子系统所包括的终端设备、代理服务器和密钥托管中心执行。其中，代理服务器为该终端设备申请该终端设备在交互系统中的统一身份，并将统一身份存储在密钥托管中心，当需要使用该统一身份时，可以从密钥托管中心中获取该统一身份。终端设备、代理服务器和密钥托管中心三者的功能具体如下：

终端设备向代理服务器发送统一身份请求消息，其中，该统一身份请求消息用于为终端设备申请统一身份。可选地，该统一身份请求消息包括终端设备的 ID。

代理服务器向密钥托管中心转发统一身份请求消息。

密钥托管中心为终端设备随机生成统一身份，并存储终端设备的 ID与该终端设备的统一身份的对应关系；并将该统一身份发送给代理服务器。

代理服务器向异构身份子系统所属的异构身份系统对应的区块链共识节点发送终端设备的统一身份，以使终端设备的统一身份在 M个区块链共识节点之间共享。基于此，各个异构身份系统中的终端设备或者异构身份子系统可以基于共享的终端设备的统一身份进行交互。

进一步地，异构身份子系统之间的交互可以仅基于统一身份进行，也可以基于统一身份和物理身份证明进行，例如：当两个异构身份子系统需要进行交易时，它们之间需要验证彼此包括的终端设备的物理身份。当验证方对对方包括的终端设备的物理身份验证成功时，才可以进行交易等交互行为。否则，不进行相应的交互行为。

基于此，需要为每个异构身份子系统生成物理身份证明，其中，物理身份证明用于证明异构身份子系统包括的终端设备的统一身份与该终端设备的关联关系，即用于证明统一身份是否属于该终端设备。而为每个异构身份子系统生成物理身份证明包括两个可选方式: 第一种可选方式：异构身份子系统自己生成它包括的终端设备的物理身份证明。

第二种可选方式：物理身份生成设备为终端设备生成物理身份证明。

例如：当终端设备的统一身份是一公私钥对中的公钥，该终端设备自己存储该一公私钥对中的私钥（而不是通过密钥托管中心存储私钥），且该终端设备在对应的异构身份系统中的密钥是非对称密钥时，异构身份子系统可以自己生成终端设备的物理身份证明。当然，这种情况下，也可以是物理身份生成设备生成终端设备的物理身份证明。

例如：当终端设备的统一身份是一公私钥对中的公钥，该终端设备自己存储该一公私钥对中的私钥（而不是通过密钥托管中心存储私钥），且该终端设备在对应的异构身份系统中的密钥是对称密钥时，物理身份生成设备为终端设备生成该终端设备的物理身份证明。

例如：当终端设备的统一身份是一公私钥对中的公钥，密钥托管中心存储该一公私钥对中的私钥时，物理身份生成设备为终端设备生成该终端设备的物理身份证明。

可选地，本申请提供的物理身份生成设备可以是 CA。

下面以上述第一种可选方式为例对交互系统进行进一步的说明：结合图 1和图 2所示，该交互系统还包括：处理模块 17。

其中，第一异构身份子系统根据第一终端设备的统一身份生成第一终端设备的物理身份证明，并生成物理身份证明的摘要，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。

处理模块 17 获取并存储物理身份证明，并生成物理身份证明的链接；将物理身份证明的链接发送给第一异构身份子系统。

第一异构身份子系统将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使摘要和所述链接在 M个区块链共识节点之间共享。

第二异构身份子系统获取摘要和链接验证物理身份证明，并根据摘要和链接验证物理身份证明，并在对物理身份证明验证成功时，向第一异构身份子系统发送消息。

可选地， M个异构身份子系统和 N个处理模块对应，其中， M和 N可以相等，也可以不相等，如果 M和 N相等，则 M个异构身份子系统和 N个处理模块是一一对应关系。需要说明的是，图 1 中仅示出的是处理模块 17和一个异构身份子系统连接的情况，实际上，该处理模块可以和多个异构身份子系统连接，本申请对此不做限制。

可选地，处理模块可以是一个物理存储设备，也可以是一个逻辑存储节点，本申请对此不做限制。

可选地，物理身份证明的摘要可以是物理身份证明的哈希值。

可选地，物理身份证明的链接用于査找物理身份证明。

可选地，第一异构身份子系统可以生成随机的对称密钥 K，并利用第二终端设备的统一身份，如一公私钥对中的公钥对该对称密钥 Κ进行加密，得到密文 KC。通过 K对物理身份证明进行加密，基于此，处理模块 17存储的物理身份证明为加密后的物理身份证明。相应的，第二异构身份子系统在验证物理身份证明之前，首先通过所述一公私钥对中的私钥解密 KC，得到对称密钥 K。然后通过对称密钥 Κ解密加密后的物理身份证明，得到物理身份证明。

可选地，第一异构身份子系统向第一异构身份子系统所属的异构身份系统对应的区块链共识节点发送摘要和链接构成的消息的签名。基于此，第二异构身份子系统获取摘要和链接以及摘要和链接构成的消息的签名，第二异构身份子系统先验证该签名，若验证成功，则第一异构身份子系统所属的异构身份系统对应的区块链共识节点将该摘要和链接视为无效信息。

可选地，第二异构身份子系统获取摘要和链接的方式为：第一异构身份子系统向第二异构身份子系统发送存储摘要和链接的智能合约的地址以及该摘要，第一异构身份子系统通过该地址先査找到存储该摘要和该链接的智能合约，然后通过该摘要査找到该链接。

可选地，如图 1和图 2所示，区块链共识节点存储对应的终端设备的统一身份的状态指示信息，该状态指示信息用于指示终端设备的统一身份为启用状态或者非启用状态。

基于此，第二异构身份子系统获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则第二异构身份子系统在处理模块中检测并获取链接对应的物理身份证明。若状态指示信息指示第一终端设备的统一身份的状态为非启用状态，则第二异构身份子系统无需检测第一终端设备的物理身份证明。

本申请中，若状态指示信息指示终端设备的统一身份的状态为非启用状态，则无需检测终端设备的物理身份证明。从而降低交互系统的资源消耗。

进一步地，第一异构身份子系统生成第一终端设备的物理身份证明的具体方式为：第一异构身份子系统可以对第一终端设备的统一身份采用一定的算法得到第一终端设备的物理身份证明，只要该物理身份证明可以证明第一终端设备的统一身份与第一终端设备的关联关系即可。

或者，第一终端设备对应的异构身份系统可能是基于 PKI的系统或者是基于 IBC的系统等。由于第一终端设备对应的异构身份系统的不同，第一异构身份子系统生成物理身份证明的方式也不尽相同。

一种可选方式，若第一终端设备对应的异构身份系统是基于公钥 PKI的系统，则第一异构身份子系统获取第一终端设备在对应的异构身份系统的 PKI证书以及 PKI证书的签名; 获取通过所述一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；获取通过所述第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名；将 PKI证书、 PKI证书的签名、第一签名和第二签名生成第一终端设备的物理身份证明。

其中，第一签名由颁发所述一公私钥对的系统或者设备生成。第二签名由第一终端设备对应的异构身份系统生成。

具体地，第一异构身份子系统主动向其对应的异构身份系统的 CA发送请求消息，以请求获取第一终端设备的 PKI证书以及 PKI证书的签名，或者第一异构身份子系统无需向该 CA发送请求消息，而是该 CA主动向第一异构身份子系统发送 PKI证书以及 PKI证书的签名。可选地， CA对 PKI证书的签名过程包括： CA对于待签名的 PKI证书 M，计算得到 M 的哈希值 hl=Hash(M)，然后用 CA 的私钥 ski 和哈希值 hi 计算得到签名 sigl=Sign(skl,hl), 其中 Sign()是非对称算法的签名算法。本申请对该签名算法不做限制。

进一步地，颁发所述一公私钥对的系统或者设备生成第一签名的过程包括：该设备或者系统通过所述一公私钥对中的私钥 sk2，对第一终端设备在对应的异构身份系统中的公钥 pk2，计算得到 pk2的哈希值 h2=Hash(pk2)，然后用所述一公私钥对中的私钥和哈希值 h2计算得到第一签名 sig2=Sign(_Sk2,h2)，其中 Sign()是非对称算法的签名算法。本申请对该签名算法不做限制。

同样的，第一终端设备对应的异构身份系统生成第二签名的过程包括；通过第一终端设备在对应的异构身份系统中的私钥 sk3，对一公私钥对的公钥 pk3，计算得到 pk3的哈希值 h3=Hash(pk3)，然后用私钥 sk3和哈希值 h3计算得到第二签名 sig3=Sign(sk3,h3)，其中 Sign()是非对称算法的签名算法。

可选地，将 PKI证书、 PKI证书的签名、第一签名和第二签名生成第一终端设备的物理身份证明，包括：将 PKI证书、 PKI证书的签名、第一签名和第二签名组成第一终端设备的物理身份证明，即物理身份证明包括： PKI证书、 PKI证书的签名、第一签名和第二签名。

另一种可选方式：若第一终端设备对应的异构身份系统是基于 IBC的系统，则第一异构身份子系统获取通过一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到第一签名；获取通过第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到第二签名；将第一终端设备在对应的异构身份系统的 ID、第一签名和第二签名生成第一终端设备的物理身份证明。

具体地，颁发所述一公私钥对的系统或者设备生成第一签名的过程包括；通过所述一公私钥对中的私钥 sk2，对第一终端设备在对应的异构身份系统中的公钥 pkl，计算得到 pkl的哈希值 h2=Hash(pkl)，然后用所述一公私钥对中的私钥和哈希值 h2计算得到第一签名 sig2=Sign(sk2,h2)，其中 Sign()是非对称算法的签名算法。本申请对该签名算法不做限制。

同样的，通过第一终端设备对应的异构身份系统生成第二签名的过程包括；通过第一终端设备在对应的异构身份系统中的私钥 sk3，对一公私钥对的公钥 pk2，计算得到 pk2 的哈希值 h3=Hash(pk2)，然后用私钥 sk3和哈希值 h3计算得到第二签名 sig3=Sign(sk3,h3)，其中 Sign()是非对称算法的签名算法。

可选地，将第一终端设备在对应的异构身份系统的 ID、第一签名和第二签名生成第一终端设备的物理身份证明，包括：将第一终端设备在对应的异构身份系统的 ID、第一签名和第二签名组成第一终端设备的物理身份证明，即物理身份证明包括：第一终端设备在对应的异构身份系统的 ID、第一签名和第二签名。

进一步地，基于上述第一异构身份子系统生成第一终端设备的物理身份证明的方式，第二异构身份子系统具有对应的验证物理身份证明的功能，具体如下：

可选地，第一终端设备的统一身份为一公私钥对中的公钥；第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥。相应的，第二异构身份子系统在处理模块中检测并获取链接对应的物理身份证明；计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则根据第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥验证物理身份证明。

其中，若第一终端设备对应的异构身份系统为基于 PKI的系统，则异构身份系统的公钥指的是该异构身份系统中的 CA的公钥。若异构身份系统为基于 IBC的系统，则异构身份系统的公钥指的是该异构身份系统中的全局公钥。

进一步地，针对第一终端设备对应的异构身份系统为基于 PKI的系统或者是基于 IBC 的系统，则第二异构身份子系统验证物理身份证明具体分为如下两种情况：

1、第二异构身份子系统根据第一终端设备对应的异构身份系统的公钥和 PKI证书验证 PKI证书签名、根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对 PKI签名、第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

具体地，假设第二异构身份子系统收到带签名的消息 (M,sigl)，其中， M表示 PKI证书， sigl表示对 PKI证书的签名，同时第二异构身份子系统可以获取到 CA的公钥 pkl。基于此，第二异构身份子系统首先计算 M的哈希值 hl=Hash(M)，然后调用非对称算法的验证算法 Verify(pkl,hl， sigl)。 VerifyO算法会返回一个布尔值，如果值为真，则 PKI证书签名验证成功；如果值为假，则 PKI证书签名验证失败。

同样的，对第一签名的验证过程为：第二异构身份子系统首先计算第一终端设备在对应的异构身份系统中的公钥的哈希值 h2，获取所述一公私钥对的公钥 pk2。然后调用非对称算法的验证算法 Verify(pk2,h2， sig2)。 sig2为第一签名。 VerifyO算法会返回一个布尔值，如果值为真，则第一签名验证成功；如果值为假，则第一签名验证失败。

对第二签名的验证过程为：第二异构身份子系统首先计算所述一公私钥对的公钥的哈希值 h3，获取第一终端设备在对应的异构身份系统中的公钥 pk3。然后调用非对称算法的验证算法 Verify(pk3,h3， sig3)。 Sig3为第二签名。 VerifyO算法会返回一个布尔值，如果值为真，则第二签名验证成功；如果值为假，则第二签名验证失败。

最后，若对 PKI签名、第一签名和第二签名均验证成功，则确定对第一终端设备的物理身份证明验证成功。

2、第二异构身份子系统根据第一终端设备对应的异构身份系统的公钥和第一终端设备在对应的异构身份系统的 ID确定第一终端设备在对应的异构身份系统的公钥；根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名，并根据第一终端设备在对应的异构身份系统中的公钥验证第二签名；若对第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

具体地，可以采用现有技术根据第一终端设备对应的异构身份系统的公钥和第一终端设备在对应的异构身份系统的身份标识确定第一终端设备在对应的异构身份系统的公钥，本申请对此不做限制。

对第一签名的验证过程为：第二异构身份子系统首先计算第一终端设备在对应的异构身份系统中的公钥的哈希值 h2，获取所述一公私钥对的公钥 pk2。然后调用非对称算法的验证算法 Verify(pk2,h2， sig2)。 sig2为第一签名。 VerifyO算法会返回一个布尔值，如果值为真，则第一签名验证成功；如果值为假，则第一签名验证失败。

对第二签名的验证过程为：第二异构身份子系统首先计算所述一公私钥对的公钥的哈希值 h3，获取第一终端设备在对应的异构身份系统中的公钥 pk3。然后调用非对称算法的验证算法 Verify(pk3,h3， sig2)。 Sig3为第二签名。 VerifyO算法会返回一个布尔值，如果值为真，则第二签名验证成功；如果值为假，则第二签名验证失败。

进一步地，第二异构身份子系统也可以生成第二终端设备的物理身份证明，相应的，第一异构身份子系统也可以验证第二终端设备的物理身份证明。其中，第二异构身份子系统生成第二终端设备的物理身份证明的方法与第一异构身份子系统生成第一终端设备的物理身份证明的方法类似，第一异构身份子系统验证第二终端设备的物理身份证明与第二异构身份子系统验证第一终端设备的物理身份证明的方法类似，本申请对此不再赘述。

可选地，当异构身份子系统包括终端设备、代理服务器和密钥托管中心时，上述异构身份子系统的执行动作由该子系统所包括的终端设备、代理服务器和密钥托管中心执行。其中，终端设备、代理服务器和密钥托管中心三者的功能具体如下：

假设第一异构身份子系统包括：第一终端设备、第一代理服务器和第一密钥托管中心，以第一终端设备对应的异构身份系统为基于 PKI的系统为例，第一异构身份系统生成物理身份证明的过程是：第一代理服务器向 CA发送物理身份请求消息，其中该物理身份请求消息包括：第一终端设备的 ID和统一身份； CA根据第一终端设备的 ID和统一身份为第一终端设备生成 PKI证书以及 PKI证书签名； CA将 PKI证书和 PKI证书签名发送给第一代理服务器；第一代理服务器获取第一签名和第二签名。最后，第一代理服务器将 PKI证书、 PKI证书的签名、第一签名和第二签名生成第一终端设备的物理身份证明。

相应的，假设第二异构身份子系统包括：第二终端设备、第二代理服务器和第二密钥托管中心，第一异构身份系统验证第一终端设备的物理身份证明的过程是：第二代理服务器根据第一终端设备对应的异构身份系统的公钥和 PKI证书验证 PKI证书签名、根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对 PKI签名、第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。其中第二代理服务器验证第一终端设备的物理身份证明的具体步骤参照上述内容，本申请对此不做限制。

综上，在本申请中，异构身份子系统可以自己生成其包括的终端设备的物理身份证明，其他异构身份子系统可以验证该物理身份证明，当验证成功时，异构身份子系统之间可以进行交互，当验证失败时，异构身份子系统之间不可以进行交互，从而提高整个交互系统的可靠性。

下面以异构身份子系统生成物理身份证明的第二种可选方式为例对交互系统进行进一步的说明：图 3为本申请另一实施例提供的一种基于异构身份的交互系统的局部示意图，结合图 1、图 2和图 3，可选地，交互系统还包括：处理模块 17和物理身份生成设备 18; 需要说明的是，异构身份子系统可以具有对应的物理身份生成设备 18，这种情况下，物理身份生成设备 18 可以为对应的异构身份子系统生成物理身份证明。可选地，物理身份生成设备 18为 CA。

具体地，物理身份生成设备 18 获取第一终端设备的统一身份，并根据第一终端设备的统一身份生成第一终端设备的物理身份证明，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。

第一异构身份子系统获取物理身份证明，并生成物理身份证明的摘要。

处理模块 17 获取并存储物理身份证明，并生成物理身份证明的链接；将物理身份证明的链接发送给第一异构身份子系统。第一异构身份子系统将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使所述摘要和链接在 M个区块链共识节点之间共享。

第二异构身份子系统获取摘要和链接，根据摘要和链接验证物理身份证明，并在对物理身份证明验证成功时，向第一异构身份子系统发送消息。

可选地， M个异构身份子系统和 N个处理模块对应，其中， M和 N可以相等，也可以不相等，如果 M和 N相等，则 M个异构身份子系统和 N个处理模块是一一对应关系。

可选地，物理身份证明的链接用于査找物理身份证明。

可选地，第一异构身份子系统可以生成随机的对称密钥 κ，并利用第二终端设备的统一身份，如一公私钥对中的公钥对该对称密钥 Κ进行加密，得到密文 KC。通过 K对物理身份证明进行加密，基于此，处理模块 17存储的物理身份证明为加密后的物理身份证明。相应的，第二异构身份子系统在验证物理身份证明之前，首先通过所述一公私钥对中的私钥解密 KC，得到对称密钥 K。然后通过对称密钥 Κ解密加密后的物理身份证明，得到物理身份证明。

可选地，如图 2和图 3所示，区块链共识节点存储对应的终端设备的统一身份的状态指示信息，该状态指示信息用于指示终端设备的统一身份为启用状态或者非启用状态。

基于此，第二异构身份子系统获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则第二异构身份子系统在处理模块中检测并获取链接对应的物理身份证明。若状态指示信息指示第一终端设备的统一身份的状态为非启用状态，则无需检测第一终端设备的物理身份证明。

进一步地，物理身份生成设备生成第一终端设备的物理身份证明的具体方式为：其中，物理身份生成设备可以对第一终端设备的统一身份采用一定的算法得到第一终端设备的物理身份证明，只要该物理身份证明可以证明第一终端设备的统一身份与第一终端设备的关联关系即可。

或者，第一终端设备对应的异构身份系统可能是基于 ΡΚΙ的系统、基于 IBC的系统、基于账号密码的系统或者基于 IMSI 的系统等。物理身份生成设备生成物理身份证明的方式如下- 可选地，第一终端设备的统一身份为一公私钥对中的公钥；则物理身份生成设备 18 获取第一终端设备在对应的异构身份系统的 ID 以及所述一公私钥对中的公钥；根据物理身份生成设备 18的私钥对第一终端设备在对应的异构身份系统的 ID以及所述一公私钥对中的公钥进行签名，得到第一签名；将第一终端设备在对应的异构身份系统的 ID、所述一公私钥对中的公钥和第一签名生成物理身份证明。

其中，根据物理身份生成设备 18的私钥对第一终端设备在对应的异构身份系统的 ID 以及所述一公私钥对中的公钥进行签名，包括:物理身份生成设备 18通过自己的私钥 ski，对于待签名的第一终端设备在对应的异构身份系统的 ID以及所述一公私钥对中的公钥 M，计算得到 M的哈希值 hl=Hash(M)，然后用 CA的私钥 ski和哈希值 hi计算得到第一签名 sigl=Sign(skl,hl), 其中 Sign()是非对称算法的签名算法。本申请对该签名算法不做限制。

可选地，将第一终端设备在对应的异构身份系统的 ID、所述一公私钥对中的公钥和第一签名生成物理身份证明，包括：第一终端设备在对应的异构身份系统的 ID、所述一公私钥对中的公钥和第一签名组成第一终端设备的物理身份证明，即第一终端设备的物理身份证明包括：第一终端设备在对应的异构身份系统的 ID、所述一公私钥对中的公钥和第一签名。

可选地，第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥；相应的，第二异构身份子系统在处理模块 17 中检测并获取链接对应的物理身份证明；计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则根据第一终端设备对应的异构身份系统的公钥验证物理身份证明。

可选地，第二异构身份子系统根据第一终端设备的统一身份确定第一终端设备对应的异构身份系统，并向该异构身份系统发送请求消息，以请求获取该异构身份系统的公钥。其中，若第一终端设备对应的异构身份系统为基于 PKI的系统，则异构身份系统的公钥指的是该异构身份系统中的 CA的公钥。若异构身份系统为基于 IBC的系统，则异构身份系统的公钥指的是该异构身份系统中的全局公钥。

可选地，根据第一终端设备对应的异构身份系统的公钥验证物理身份证明过程是：如上所述，物理身份证明包括：第一终端设备在对应的异构身份系统的 ID、所述一公私钥对中的公钥和第一签名。当第二异构身份子系统获取到该物理身份证明后，基于此，第二异构身份子系统首先计算第一终端设备在对应的异构身份系统的 ID、所述一公私钥对中的公钥构成的消息 M的哈希值 hl=Hash(M)，然后调用非对称算法的验证算法 Verify(pkl,hl， sig2), sig2为第一签名。其中， pkl是第一终端设备对应的异构身份系统的公钥。 VerifyO 算法会返回一个布尔值，如果值为真，则物理身份证明验证成功；如果值为假，则物理身份证明验证失败。

第一异构身份子系统中的第一代理服务器获取第一终端设备的物理身份证明，第一代理服务器代理第一终端设备与第二异构身份子系统进行交互。第二异构身份子系统中的第二代理服务器验证物理身份证明。

综上，在本申请中，物理身份生成设备可以生成该异构身份子系统包括的终端设备的物理身份证明，其他异构身份子系统可以验证该物理身份证明，当验证成功时，异构身份子系统之间可以进行交互，当验证失败时，异构身份子系统之间不可以进行交互，从而提高整个交互系统的可靠性。

可选地，上述交互系统还包括一个证书颁发设备，当一个异构身份系统需要加入该交互系统时，该证书颁发设备向该异构身份系统颁发证书，并为该异构身份系统部署区块链共识节点，以实现该异构身份系统中的异构身份子系统与其他异构身份系统中的异构身份子系统之间的交互。

下面介绍基于异构身份的交互方法，具体如下：

图 4为本申请一实施例提供的一种基于异构身份的交互方法的交互流程图，其中该方法由上述基于异构身份的交互系统执行，具体地，如图 4所示，该方法包括如下步骤：步骤 S401 :第一异构身份子系统获取第一异构身份子系统包括的第一终端设备在该交互系统中的统一身份；

步骤 S402:第一异构身份子系统将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点（本申请称为第一区块链共识节点），以使第一终端设备的统一身份在 M个区块链共识节点之间共享；

步骤 S403:第二异构身份子系统获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份；

步骤 S404:第二异构身份子系统将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点（本申请称为第二区块链共识节点），以使第二终端设备的统一身份在 M个区块链共识节点之间共享；

步骤 S405:第一异构身份子系统和第二异构身份子系统基于第一终端设备的统一身份和第二终端设备的统一身份进行交互。

其中，第一异构身份子系统和第二异构身份子系统属于 M个异构身份系统中的两个不同的异构身份系统。

本申请提供的基于异构身份的交互方法可以由上述基于异构身份的交互系统执行，对应内容和效果与上述基于异构身份的交互系统的内容和效果相同，在此不再赘述。

可选地，当异构身份子系统仅包括终端设备时，上述异构身份子系统的执行步骤全部由它所包括的终端设备执行。

可选地，当异构身份子系统包括终端设备、代理服务器和密钥托管中心时，上述异构身份子系统的执行动作由该子系统所包括的终端设备、代理服务器和密钥托管中心执行。假设第一异构身份子系统包括：第一终端设备、第一代理服务器和第一密钥托管中心：第二异构身份子系统仅包括第二终端设备，则上述方法具体如下：具体地，图 5为本申请另一实施例提供的一种基于异构身份的交互方法的交互流程图，其中该方法由上述基于异构身份的交互系统执行，具体地，如图 5所示，该方法包括如下步骤：步骤 S501 : 第一终端设备向第一代理服务器发送统一身份请求消息；

其中，该统一身份请求消息用于为终端设备申请统一身份。可选地，该统一身份请求消息包括终端设备的 ID。

步骤 S502: 第一代理服务器向第一密钥托管中心转发统一身份请求消息；

步骤 S503: 第一密钥托管中心为终端设备随机生成统一身份，并存储终端设备的 ID 与该终端设备的统一身份的对应关系；

步骤 S504: 第一密钥托管中心将该统一身份发送给第一代理服务器；

步骤 S505:第一代理服务器向第一异构身份子系统所属的异构身份系统对应的区块链共识节点（本申请称为第一区块链共识节点）发送第一终端设备的统一身份，以使第一终端设备的统一身份在 M个区块链共识节点之间共享。

步骤 S506: 第二终端设备获取第二终端设备在交互系统中的统一身份；

步骤 S507:第二终端设备将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点（本申请称为第二区块链共识节点），以使第二终端设备的统一身份在 M个区块链共识节点之间共享；

步骤 S508:第一代理服务器和第二终端设备基于第一终端设备的统一身份和第二终端设备的统一身份进行交互。

基于第一种可选方式进行说明，图 6为本申请再一实施例提供的一种基于异构身份的交互方法的交互流程图，其中该方法由上述基于异构身份的交互系统执行，其中，该交互系统还包括：处理模块；具体地，如图 6所示，上述步骤 405包括如下流程：

步骤 S601 :第一异构身份子系统根据第一终端设备的统一身份生成第一终端设备的物理身份证明，并生成物理身份证明的摘要；

其中，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。步骤 S602: 处理模块获取第一终端设备的物理身份证明；

步骤 S603: 处理模块存储物理身份证明，并生成物理身份证明的链接；

步骤 S604: 处理模块将物理身份证明的链接发送给第一异构身份子系统；

步骤 S605: 第一异构身份子系统将摘要和链接发送给第一区块链共识节点；以使摘要和链接在 M个区块链共识节点之间共享；

步骤 S606:第二异构身份子系统从第二区块链共识节点获取第一异构身份系统的摘要和链接；

步骤 S607: 第二异构身份子系统根据摘要和链接验证物理身份证明；

步骤 S608: 第二异构身份子系统在对物理身份证明验证成功时，向第一异构身份子系统发送消息。

可选地，第一终端设备的统一身份为一公私钥对中的公钥；第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥；相应的，步骤 S607 包括：在处理模块中检测并获取链接对应的物理身份证明；计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则根据第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥验证物理身份证明。

可选地，若第一终端设备对应的异构身份系统是基于 PKI的系统，则步骤 S601 : 获取第一终端设备在对应的异构身份系统的 PKI证书以及 PKI证书的签名；获取通过所述一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；获取通过根据第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名；将 PKI证书、 PKI证书的签名、第一签名和第二签名生成第一终端设备的物理身份证明。

相应的，步骤 S607包括：根据第一终端设备对应的异构身份系统的公钥和 PKI证书验证 PKI证书签名、根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对 PKI签名、第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

可选地，若第一终端设备对应的异构身份系统是基于 IBC的系统，则步骤 S601包括：获取通过所述一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；获取通过第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名；将第一终端设备在对应的异构身份系统的身份标识、第一签名和第二签名生成第一终端设备的物理身份证明。

相应的，步骤 S607包括：根据第一终端设备对应的异构身份系统的公钥和第一终端设备在对应的异构身份系统的身份标识确定第一终端设备在对应的异构身份系统的公钥；根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

可选地，所述方法还包括：第一区块链共识节点获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则第二异构身份子系统在处理模块中检测并获取链接对应的物理身份证明。

基于第二种可选方式进行说明，图 7为本申请又一实施例提供的一种基于异构身份的交互方法的交互流程图，其中该方法由上述基于异构身份的交互系统执行，其中，该交互系统还包括：处理模块和物理身份生成设备；具体地，如图 7所示，上述步骤 405包括如下流程：步骤 S701 : 物理身份生成设备从第一异构身份子系统获取第一终端设备的统一身份；步骤 S702:物理身份生成设备根据第一终端设备的统一身份生成第一终端设备的物理身份证明；

其中，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系；步骤 S703 : 第一异构身份子系统从物理身份生成设备获取物理身份证明；

步骤 S704: 第一异构身份子系统生成物理身份证明的摘要；

步骤 S705: 处理模块获取物理身份证明；

步骤 S706: 处理模块存储物理身份证明，并生成物理身份证明的链接；

步骤 S707: 处理模块将物理身份证明的链接发送给第一异构身份子系统；

步骤 S708: 第一异构身份子系统将摘要和链接发送给第一区块链共识节点；以使摘要和链接在 M个区块链共识节点之间共享；

步骤 S709: 第二异构身份子系统从第二区块链共识节点获取摘要和链接；

步骤 S710: 第二异构身份子系统根据摘要和链接验证物理身份证明；

步骤 S711 : 第二异构身份子系统在对物理身份证明验证成功时，向第一异构身份子系统发送消息。

可选地，步骤 S710之前还包括：第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥；相应的，步骤 S710包括：在处理模块中检测并获取链接对应的物理身份证明；计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则根据第一终端设备对应的异构身份系统的公钥验证物理身份证明。

可选地，第一终端设备的统一身份为一公私钥对中的公钥；步骤 S702包括：获取第一终端设备在对应的异构身份系统的身份标识以及一公私钥对中的公钥；根据物理身份生成设备的私钥对第一终端设备在对应的异构身份系统的身份标识以及一公私钥对中的公钥进行签名，得到第一签名；将第一终端设备在对应的异构身份系统的身份标识、一公私钥对中的公钥和第一签名生成物理身份证明。

可选地，步骤 S710之前还包括：第一区块链共识节点获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，步骤 S701 包括：若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则第异构身份子系统在处理模块中检测并获取链接对应的物理身份证明。

可选地，第一异构身份系统仅包括第一终端设备；或者，第一异构身份系统包括第一终端设备、第一终端设备的代理服务器和密钥托管中心；第二异构身份系统仅包括第二终端设备；或者，第二异构身份系统包括第二终端设备、第二终端设备的代理服务器和密钥托管中心。

图 8为本申请一实施例提供的第一异构身份子系统 80的结构示意图，如图 8所示，第一异构身份子系统 80包括：获取模块 81、发送模块 82和接收模块 83。

获取模块 81 用于获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份。

该发送模块 82用于将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享。

该获取模块 81还用于获取第二终端设备的统一身份。

发送模块 82用于基于第一终端设备的统一身份和第二终端设备的统一身份向第二终端设备所属的第二异构身份子系统发送消息，或者接收模块 83 用于接收第二异构身份子系统发送的消息。

可选地，第一异构身份子系统 80还包括生成模块 84。

该生成模块 84用于根据第一终端设备的统一身份生成第一终端设备的物理身份证明，并生成物理身份证明的摘要，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。

获取模块 81还用于获取第一终端设备的物理身份证明的链接。

发送模块 82还用于将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使摘要和链接在 M个区块链共识节点之间共享。

进一步地，当物理身份证明被第二异构身份子系统验证成功时，接收模块 83 还用于接收第二异构身份子系统发送的消息。

可选地，若第一终端设备对应的异构身份系统是基于公钥基础设施 PKI的系统，则获取模块 81具体用于获取第一终端设备在对应的异构身份系统的 PKI证书以及 PKI证书的签名；并获取通过一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；获取通过该第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名。

生成模块 84具体用于将 PKI证书、 PKI证书的签名、第一签名和第二签名生成第一终端设备的物理身份证明。

可选地，若第一终端设备对应的异构身份系统是基于 IBC的系统，则获取模块 81具体用于获取通过一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；并获取通过第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名。

生成模块 84 具体用于将第一终端设备在对应的异构身份系统的身份标识、第一签名和第二签名生成第一终端设备的物理身份证明。

可选地，获取模块 81还用于获取物理身份证明。

生成模块 84 用于生成物理身份证明的摘要；获取模块还用于获取物理身份证明的链接。

发送模块 82用于将将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使摘要和链接在 M个区块链共识节点之间共享。

可选地，第一异构身份子系统仅包括第一终端设备；或者，第一异构身份子系统包括第一终端设备、第一终端设备的第一代理服务器和第一密钥托管中心。本申请提供的第一异构身份子系统，其实现原理和技术效果可参照上述基于异构身份的交互系统的实现原理和技术效果，此处不再赘述。

图 9为本申请一实施例提供的第二异构身份子系统 90的结构示意图，如图 9所示，第二异构身份子系统 90包括：获取模块 91、发送模块 92和接收模块 93。

获取模块 91 用于获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份。

发送模块 92用于将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享。

获取模块 91还用于获取第一终端设备的统一身份。

发送模块 92还用于基于第一终端设备的统一身份和第二终端设备的统一身份向第一终端设备所属的第一异构身份子系统发送消息，或者该接收模块 93 用于接收第一异构身份子系统发送的消息。

可选地，第二异构身份子系统还包括验证模块 94。

其中，获取模块 91还用于获取第一终端设备的物理身份证明的摘要和链接。

验证模块 94用于根据摘要和链接验证物理身份证明。

发送模块 92还用于在对物理身份证明验证成功时，向第一异构身份子系统发送消息。可选地，第二异构身份子系统还包括：检测模块 95和计算模块 96。

第一终端设备的统一身份为一公私钥对中的公钥；获取模块 91 还用于获取第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥。

相应的，检测模块 95用于在处理模块中检测并获取链接对应的物理身份证明。

计算模块 96用于计算物理身份证明的摘要。

若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则验证模块 94 用于根据第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥验证物理身份证明。

可选地，验证模块 94具体用于根据第一终端设备对应的异构身份系统的公钥和 PKI 证书验证 PKI证书签名、根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对 PKI签名、第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

可选地，验证模块 94 具体用于根据第一终端设备对应的异构身份系统的公钥和第一终端设备在对应的异构身份系统的身份标识确定第一终端设备在对应的异构身份系统的公钥；根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

可选地，获取模块 91 还用于获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则在处理模块中检测并获取链接对应的物理身份证明。可选地，第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥；相应的，检测模块 95在处理模块中检测并获取链接对应的物理身份证明；计算模块 96计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则验证模块 94根据第一终端设备对应的异构身份系统的公钥验证物理身份证明。

可选地，获取模块 91 获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则检测模块 95具体用于在处理模块中检测并获取链接对应的物理身份证明。

可选地，第二异构身份子系统仅包括第二终端设备；或者，第二异构身份子系统包括第二终端设备、第二终端设备的第一代理服务器和第一密钥托管中心。

本申请提供的第二异构身份子系统，其实现原理和技术效果可参照上述基于异构身份的交互系统的实现原理和技术效果，此处不再赘述。

图 10为本申请一实施例提供的物理身份生成设备 100的结构示意图，如图 10所示，物理身份生成设备 100包括：获取模块 101和生成模块 102。

获取模块 101，用于获取第一终端设备的统一身份。

生成模块 102，用于根据第一终端设备的统一身份生成第一终端设备的物理身份证明，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。

可选地，第一终端设备的统一身份为一公私钥对中的公钥；获取模块 101还用于获取第一终端设备在对应的异构身份系统的身份标识以及一公私钥对中的公钥。

生成模块 102具体用于根据物理身份生成设备的私钥对第一终端设备在对应的异构身份系统的身份标识以及一公私钥对中的公钥进行签名，得到第一签名；将第一终端设备在对应的异构身份系统的身份标识、一公私钥对中的公钥和第一签名生成物理身份证明。

本申请提供的物理身份生成设备，其实现原理和技术效果可参照上述基于异构身份的交互系统的实现原理和技术效果，此处不再赘述。

图 11为本申请一实施例提供的第一异构身份子系统 110的结构示意图，如图 11所示，第一异构身份子系统 110包括：处理器 111、发送器 112和接收器 113。

处理器 111用于获取第一异构身份子系统包括的第一终端设备在交互系统中的统一身份。

该发送器 112用于将第一终端设备的统一身份发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第一终端设备的统一身份在 M个区块链共识节点之间共享。

该处理器 111还用于获取第二终端设备的统一身份。

发送器 112用于基于第一终端设备的统一身份和第二终端设备的统一身份向第二终端设备所属的第二异构身份子系统发送消息，或者接收器 113用于接收第二异构身份子系统发送的消息。

可选地，该处理器 111还用于根据第一终端设备的统一身份生成第一终端设备的物理身份证明，并生成物理身份证明的摘要，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。处理器 111还用于获取第一终端设备的物理身份证明的链接。

发送器 112还用于将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使摘要和链接在 M个区块链共识节点之间共享。

进一步地，当物理身份证明被第二异构身份子系统验证成功时，接收器 113还用于接收第二异构身份子系统发送的消息。

可选地，若第一终端设备对应的异构身份系统是基于公钥基础设施 PKI的系统，则处理器 i l l具体用于获取第一终端设备在对应的异构身份系统的 PKI证书以及 PKI证书的签名；并获取通过一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；获取通过该第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名。

处理器 111具体用于将 PKI证书、 PKI证书的签名、第一签名和第二签名生成第一终端设备的物理身份证明。

可选地，若第一终端设备对应的异构身份系统是基于 IBC的系统，则处理器 111具体用于获取通过一公私钥对的私钥对第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；并获取通过第一终端设备在对应的异构身份系统中的私钥对一公私钥对的公钥进行签名，得到的第二签名。

处理器 i l l具体用于将第一终端设备在对应的异构身份系统的身份标识、第一签名和第二签名生成第一终端设备的物理身份证明。

可选地，处理器 111还用于获取物理身份证明。

处理器 111用于生成物理身份证明的摘要;获取模块还用于获取物理身份证明的链接。发送器 112用于将将摘要和链接发送给第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使摘要和链接在 M个区块链共识节点之间共享。

可选地，第一异构身份子系统仅包括第一终端设备；或者，第一异构身份子系统包括第一终端设备、第一终端设备的第一代理服务器和第一密钥托管中心。

本申请提供的第一异构身份子系统，其实现原理和技术效果可参照上述基于异构身份的交互系统的实现原理和技术效果，此处不再赘述。

图 12为本申请一实施例提供的第二异构身份子系统 120的结构示意图，如图 12所示，第二异构身份子系统 120包括：处理器 121、发送器 122和接收器 123。

处理器 121用于获取第二异构身份子系统包括的第二终端设备在交互系统中的统一身份。

发送器 122用于将第二终端设备的统一身份发送给第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使第二终端设备的统一身份在 M个区块链共识节点之间共享。

处理器 121还用于获取第一终端设备的统一身份。

发送器 122还用于基于第一终端设备的统一身份和第二终端设备的统一身份向第一终端设备所属的第一异构身份子系统发送消息，或者该接收器 123用于接收第一异构身份子系统发送的消息。可选地，第二异构身份子系统还包括验证模块 94。

其中，处理器 121还用于获取第一终端设备的物理身份证明的摘要和链接。

处理器 121用于根据摘要和链接验证物理身份证明。

发送器 122还用于在对物理身份证明验证成功时，向第一异构身份子系统发送消息。可选地，第一终端设备的统一身份为一公私钥对中的公钥；处理器 121还用于获取第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥。

相应的，处理器 121用于在处理模块中检测并获取链接对应的物理身份证明。

处理器 121用于计算物理身份证明的摘要。

若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则处理器 121用于根据第一终端设备对应的异构身份系统的公钥、第一终端设备在对应的异构身份系统中的公钥和一公私钥对的公钥验证物理身份证明。

可选地，处理器 121具体用于根据第一终端设备对应的异构身份系统的公钥和 PKI证书验证 PKI证书签名、根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对 PKI签名、第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

可选地，处理器 121具体用于根据第一终端设备对应的异构身份系统的公钥和第一终端设备在对应的异构身份系统的身份标识确定第一终端设备在对应的异构身份系统的公钥；根据一公私钥对的公钥和第一终端设备在对应的异构身份系统中的公钥验证第一签名和第二签名；若对第一签名和第二签名均验证成功，则确定对物理身份证明验证成功。

可选地，处理器 121还用于获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则在处理模块中检测并获取链接对应的物理身份证明。

可选地，第二异构身份子系统获取第一终端设备对应的异构身份系统的公钥；相应的，处理器 121在处理模块中检测并获取链接对应的物理身份证明；处理器 121计算物理身份证明的摘要；若通过计算得到的物理身份证明的摘要和第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的物理身份证明的摘要相同，则处理器 121根据第一终端设备对应的异构身份系统的公钥验证物理身份证明。

可选地，处理器 121获取并存储第一终端设备的统一身份以及第一终端设备的统一身份的状态指示信息，状态指示信息用于指示第一终端设备的统一身份为启用状态或者非启用状态；相应的，若状态指示信息指示第一终端设备的统一身份的状态为启用状态，则处理器 121具体用于在处理模块中检测并获取链接对应的物理身份证明。

图 13为本申请一实施例提供的物理身份生成设备 130的结构示意图，如图 13所示，物理身份生成设备 130包括:处理器 131和用于存储处理器 131的执行代码的存储器 132。处理器 131，用于获取第一终端设备的统一身份；

处理器 131，用于根据第一终端设备的统一身份生成第一终端设备的物理身份证明，物理身份证明用于证明第一终端设备的统一身份与第一终端设备的关联关系。

处理器 131具体用于根据物理身份生成设备的私钥对第一终端设备在对应的异构身份系统的身份标识以及一公私钥对中的公钥进行签名，得到第一签名；将第一终端设备在对应的异构身份系统的身份标识、一公私钥对中的公钥和第一签名生成物理身份证明。

Claims

权利要求书

1、一种基于异构身份的交互系统，其特征在于，包括： M个区块链共识节点和 M个异构身份系统， M为大于 1的正整数；所述异构身份系统包括异构身份子系统，所述异构身份子系统包括终端设备；

第一异构身份子系统获取所述第一异构身份子系统包括的第一终端设备在所述交互系统中的统一身份，并将所述第一终端设备的统一身份发送给所述第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使所述第一终端设备的统一身份在所述 M个区块链共识节点之间共享；

第二异构身份子系统获取所述第二异构身份子系统包括的第二终端设备在所述交互系统中的统一身份，并将所述第二终端设备的统一身份发送给所述第二异构身份子系统所属的异构身份系统对应的区块链共识节点，以使所述第二终端设备的统一身份在所述 M个区块链共识节点之间共享；

所述第一异构身份子系统和所述第二异构身份子系统基于所述第一终端设备的统一身份和所述第二终端设备的统一身份进行交互；

其中，所述第一异构身份子系统和所述第二异构身份子系统属于所述 M个异构身份系统中的两个不同的异构身份系统。

2、根据权利要求 1所述的系统，其特征在于，还包括：处理模块；

所述第一异构身份子系统根据所述第一终端设备的统一身份生成所述第一终端设备的物理身份证明，并生成所述物理身份证明的摘要，所述物理身份证明用于证明所述第一终端设备的统一身份与所述第一终端设备的关联关系；

所述处理模块获取并存储所述物理身份证明，并生成所述物理身份证明的链接；将所述物理身份证明的链接发送给所述第一异构身份子系统；

所述第一异构身份子系统将所述摘要和所述链接发送给所述第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使所述摘要和所述链接在所述 M个区块链共识节点之间共享；所述第二异构身份子系统获取所述摘要和所述链接，根据所述摘要和所述链接验证所述物理身份证明，并在对所述物理身份证明验证成功时，向所述第一异构身份子系统发送消息。

3、根据权利要求 2所述的系统，其特征在于，所述第一终端设备的统一身份为一公私钥对中的公钥；所述第二异构身份子系统获取所述第一终端设备对应的异构身份系统的公钥、所述第一终端设备在对应的异构身份系统中的公钥和所述一公私钥对的公钥；相应的，所述第二异构身份子系统在所述处理模块中检测并获取所述链接对应的所述物理身份证明；

所述第二异构身份子系统计算所述物理身份证明的摘要；

若通过计算得到的所述物理身份证明的摘要和所述第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的所述物理身份证明的摘要相同，则所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥、所述第一终端设备在对应的异构身份系统中的公钥和所述一公私钥对的公钥验证所述物理身份证明。

4、根据权利要求 3 所述的系统，其特征在于，若所述第一终端设备对应的异构身份系统是基于公钥基础设施 PKI的系统，则所述第一异构身份子系统获取所述第一终端设备在对应的异构身份系统的 ΡΚΙ证书以及所述 ΡΚΙ证书的签名；

所述第一异构身份子系统获取通过所述一公私钥对的私钥对所述第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；

所述第一异构身份子系统获取通过该所述第一终端设备在对应的异构身份系统中的私钥对所述一公私钥对的公钥进行签名，得到的第二签名；

所述第一异构身份子系统将所述 ΡΚΙ证书、所述 ΡΚΙ证书的签名、所述第一签名和所述第二签名生成所述第一终端设备的物理身份证明。

5、根据权利要求 4所述的系统，其特征在于，所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥和所述 ΡΚΙ证书验证所述 ΡΚΙ证书签名、根据所述一公私钥对的公钥和所述第一终端设备在对应的异构身份系统中的公钥验证所述第一签名和所述第二签名；

若对所述 ΡΚΙ签名、所述第一签名和所述第二签名均验证成功，则所述第二异构身份子系统确定对所述物理身份证明验证成功。

6、根据权利要求 3 所述的系统，其特征在于，若所述第一终端设备对应的异构身份系统是基于 IBC的系统，则所述第一异构身份子系统获取通过所述一公私钥对的私钥对所述第一终端设备在对应的异构身份系统中的公钥进行签名，得到的第一签名；

所述第一异构身份子系统获取通过所述第一终端设备在对应的异构身份系统中的私钥对所述一公私钥对的公钥进行签名，得到的第二签名；

所述第一异构身份子系统将所述第一终端设备在对应的异构身份系统的身份标识、所述第一签名和所述第二签名生成所述第一终端设备的物理身份证明。

7、根据权利要求 6所述的系统，其特征在于，所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥和所述第一终端设备在对应的异构身份系统的身份标识确定所述第一终端设备在对应的异构身份系统的公钥；

所述第二异构身份子系统根据所述一公私钥对的公钥和所述第一终端设备在对应的异构身份系统中的公钥验证所述第一签名和所述第二签名；

若对所述第一签名和所述第二签名均验证成功，则所述第二异构身份子系统确定对所述物理身份证明验证成功。

8、根据权利要求 3-7任一项所述的系统，其特征在于，

所述第二异构身份子系统获取并存储所述第一终端设备的统一身份以及所述第一终端设备的统一身份的状态指示信息，所述状态指示信息用于指示所述第一终端设备的统一身份为启用状态或者非启用状态；

相应的，若所述状态指示信息指示所述第一终端设备的统一身份的状态为启用状态，则所述第二异构身份子系统在所述处理模块中检测并获取所述链接对应的所述物理身份证明。

9、根据权利要求 1 所述的系统，其特征在于，还包括：处理模块和物理身份生成设备；

所述物理身份生成设备获取所述第一终端设备的统一身份，并根据所述第一终端设备的统一身份生成所述第一终端设备的物理身份证明，所述物理身份证明用于证明所述第一终端设备的统一身份与所述第一终端设备的关联关系；

所述第一异构身份子系统获取所述物理身份证明，并生成所述物理身份证明的摘要；所述处理模块获取并存储所述物理身份证明，并生成所述物理身份证明的链接；将所述物理身份证明的链接发送给所述第一异构身份子系统；

所述第一异构身份子系统将所述摘要和所述链接发送给所述第一异构身份子系统所属的异构身份系统对应的区块链共识节点，以使所述摘要和所述链接在所述 M个区块链共识节点之间共享；

所述第二异构身份子系统获取所述摘要和所述链接，根据所述摘要和所述链接验证所述物理身份证明，并在对所述物理身份证明验证成功时，向所述第一异构身份子系统发送消息。

10、根据权利要求 9所述的系统，其特征在于，所述第二异构身份子系统获取所述第一终端设备对应的异构身份系统的公钥；

相应的，所述第二异构身份子系统在所述处理模块中检测并获取所述链接对应的所述物理身份证明；

所述第二异构身份子系统计算所述物理身份证明的摘要；

若通过计算得到的所述物理身份证明的摘要和所述第一异构身份子系统所属的异构身份系统对应的区块链共识节点存储的所述物理身份证明的摘要相同，则所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥验证所述物理身份证明。

11、根据权利要求 9或 10所述的系统，其特征在于，所述第一终端设备的统一身份为一公私钥对中的公钥；所述物理身份生成设备获取所述第一终端设备在对应的异构身份系统的身份标识以及所述一公私钥对中的公钥；

所述物理身份生成设备根据所述物理身份生成设备的私钥对所述第一终端设备在对应的异构身份系统的身份标识以及所述一公私钥对中的公钥进行签名，得到第一签名；所述物理身份生成设备将所述第一终端设备在对应的异构身份系统的身份标识、所述一公私钥对中的公钥和所述第一签名生成所述物理身份证明。

12、根据权利要求 10所述的系统，其特征在于，

13、根据权利要求 9-12任一项所述的系统，其特征在于，所述第一异构身份子系统仅包括所述第一终端设备；或者，所述第一异构身份子系统包括所述第一终端设备、所述第一终端设备的第一代理服务器和第一密钥托管中心；

所述第二异构身份子系统仅包括所述第二终端设备；或者，所述第二异构身份子系统包括所述第二终端设备、所述第二终端设备的第一代理服务器和第一密钥托管中心。

14、一种基于异构身份的交互方法，其特征在于，所述方法应用于基于异构身份的交互系统，所述系统包括： M个区块链共识节点和 M个异构身份系统， M为大于 1的正整数；所述异构身份系统包括异构身份子系统，所述异构身份子系统包括终端设备；相应的，所述方法包括：

15、根据权利要求 14所述的方法，其特征在于，所述系统还包括：处理模块；相应的，所述第一异构身份子系统和所述第二异构身份子系统基于所述第一终端设备的统一身份和所述第二终端设备的统一身份进行交互，包括：

16、根据权利要求 15 所述的方法，其特征在于，所述第一终端设备的统一身份为一公私钥对中的公钥；所述方法还包括：

所述第二异构身份子系统获取所述第一终端设备对应的异构身份系统的公钥、所述第一终端设备在对应的异构身份系统中的公钥和所述一公私钥对的公钥；

相应的，所述第二异构身份子系统根据所述摘要和所述链接验证所述物理身份证明，包括：

所述第二异构身份子系统在所述处理模块中检测并获取所述链接对应的所述物理身份证明；

所述第二异构身份子系统计算所述物理身份证明的摘要；

17、根据权利要求 16所述的方法，其特征在于，若所述第一终端设备对应的异构身份系统是基于公钥基础设施 PKI的系统，则所述第一异构身份子系统根据所述第一终端设备的统一身份生成所述第一终端设备的物理身份证明，包括：

所述第一异构身份子系统获取所述第一终端设备在对应的异构身份系统的 PKI证书以及所述 PKI证书的签名；

所述第一异构身份子系统将所述 PKI证书、所述 PKI证书的签名、所述第一签名和所述第二签名生成所述第一终端设备的物理身份证明。

18、根据权利要求 17 所述的方法，其特征在于，所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥、所述第一终端设备在对应的异构身份系统中的公钥和所述一公私钥对的公钥验证所述物理身份证明，包括：

所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥和所述 PKI证书验证所述 PKI证书签名、根据所述一公私钥对的公钥和所述第一终端设备在对应的异构身份系统中的公钥验证所述第一签名和所述第二签名；

若对所述 PKI签名、所述第一签名和所述第二签名均验证成功，则所述第二异构身份子系统确定对所述物理身份证明验证成功。

19、根据权利要求 16所述的方法，其特征在于，若所述第一终端设备对应的异构身份系统是基于 IBC的系统，则所述第一异构身份子系统根据所述第一终端设备的统一身份生成所述第一终端设备的物理身份证明，包括：

20、根据权利要求 19所述的方法，其特征在于，所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥、所述第一终端设备在对应的异构身份系统中的公钥和所述一公私钥对的公钥验证所述物理身份证明，包括：

所述第二异构身份子系统根据所述第一终端设备对应的异构身份系统的公钥和所述第一终端设备在对应的异构身份系统的身份标识确定所述第一终端设备在对应的异构身份系统的公钥；

21、根据权利要求 16-20任一项所述的方法，其特征在于，还包括：

相应的，所述第二异构身份子系统在所述处理模块中检测并获取所述链接对应的所述物理身份证明，包括：

若所述状态指示信息指示所述第一终端设备的统一身份的状态为启用状态，则所述第二异构身份子系统在所述处理模块中检测并获取所述链接对应的所述物理身份证明。

22、根据权利要求 14所述的方法，其特征在于，所述系统还包括：处理模块和物理身份生成设备；相应的，所述第一异构身份子系统和所述第二异构身份子系统基于所述第一终端设备的统一身份和所述第二终端设备的统一身份进行交互，包括：

23、根据权利要求 22所述的方法，其特征在于，所述方法还包括：

所述第二异构身份子系统获取所述第一终端设备对应的异构身份系统的公钥；相应的，所述第二异构身份子系统根据所述摘要和所述链接验证所述物理身份证明，包括：

所述第二异构身份子系统计算所述物理身份证明的摘要；

24、根据权利要求 22或 23所述的系统，其特征在于，所述第一终端设备的统一身份为一公私钥对中的公钥；相应的，所述物理身份生成设备根据所述第一终端设备的统一身份生成所述第一终端设备的物理身份证明，包括：

所述物理身份生成设备获取所述第一终端设备在对应的异构身份系统的身份标识以及所述一公私钥对中的公钥；所述物理身份生成设备根据所述物理身份生成设备的私钥对所述第一终端设备在对应的异构身份系统的身份标识以及所述一公私钥对中的公钥进行签名，得到第一签名；所述物理身份生成设备将所述第一终端设备在对应的异构身份系统的身份标识、所述一公私钥对中的公钥和所述第一签名生成所述物理身份证明。

25、根据权利要求 23所述的方法，其特征在于，还包括：

26、根据权利要求 22-25任一项所述的方法，其特征在于，所述第一异构身份子系统仅包括所述第一终端设备；或者，所述第一异构身份子系统包括所述第一终端设备、所述第一终端设备的第一代理服务器和第一密钥托管中心；