WO2022160829A1 - 身份信息处理方法、设备及系统 - Google Patents

Abstract

本申请涉及一种身份信息处理方法、设备及系统，所述方法包括：终端设备从凭证签发设备获取与多个第一用户信息对应的第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息；所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标凭证信息和目标用户信息作为目标验证集合，所述终端设备向所述凭证验证设备提供所述目标验证集合。采用本申请，能够由用户参与定制与特定场景匹配的数字凭证。

Description

身份信息处理方法、设备及系统

本申请要求于2021年01月26日提交中国专利局、申请号为202110106249.0、发明名称为“身份信息处理方法、设备及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，尤其涉及一种身份信息处理方法、设备及系统。

背景技术

数字身份是指通过数据来标识实体(例如，用户或物品)。特别针对用户而言，数字身份的出现，正深刻改变着经济社会的发展动力和发展方式。与传统身份相比，数字身份将大幅度提高社会效率，最大化地释放用户价值，使得政府机构、服务提供方、用户等各方均可从中受益。

目前，相关技术可采用集中式身份信息验证系统对用户的数字身份信息进行验证。在该系统中，身份提供商(Identity Provider，IDP)在用户满足签发条件的情况下，利用用户信息生成与该用户匹配的数字凭证，并将该数字凭证分发给用户，在服务提供方需要对该用户的身份进行验证时，可向IDP申请对该数字凭证执行验证。在实施中，服务提供方所获取的数字凭证对应的用户信息中的部分用户信息对于用户而言可能是隐私(比如，是否婚否，学历情况)并且不希望被暴露给无关人员。

发明内容

有鉴于此，提出了一种身份信息处理方法、设备及系统，能够由用户参与定制与特定场景匹配的数字凭证，从而避免了隐私泄露。

第一方面，本申请的实施例提供了一种身份信息处理方法，所述方法包括：终端设备从凭证签发设备获取与多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息；所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述多个第一用户信息中的目标用户信息以及所述多个第一凭证信息中与所述目标用户信息对应的目标凭证信息；所述终端设备向所述凭证验证设备提供所述目标验证集合。

在相关技术中，分布式身份信息验证系统的数字凭证通常针对每个数字身份提供的多个身份信息进行的声明并且针对整个数字凭证进行加密，无法做到针对每个身份信息分别签发，且用户无法对数据凭证进行处理，例如，仅选择数字凭证中的某些属性声明，这样就限制了用户的使用场景，此外，该数字凭证需要用户自己存储，容易丢失。

基于以上情况，所述终端设备从凭证签发设备获取到第一集合后，利用第一集合中的部分信息生成目标验证集合，不但使终端设备能够参与定制目标验证集合，而且所述目标验证集合对应于实际需求，从而有效保护用户隐私。

在第一方面的一种可能的实现方式中，所述终端设备从凭证签发设备获取与所述多个第 一用户信息对应的第一集合，包括：所述终端设备利用与所述终端设备对应的第一区块链节点，获取与凭证签发设备对应的第二区块链节点提供的所述第一集合。

在相关技术中，分布式身份系统可分别生成各自的去中心化身份信息后，利用彼此之间的公私钥进行加密/解密，而区块链技术本身就是去中心化而且区块链技术的信息是不可篡改，因此，本申请的实施例可利用区块链技术处理各个终端的相关数据和存储相关数据。

在第一方面的一种可能的实现方式中，所述终端设备从凭证签发设备获取与所述多个第一用户信息对应的第一集合，包括：所述终端设备提出数据请求；所述凭证签发设备将从本地或者云存储获取所述第一集合来响应所述终端设备提出的所述数据请求。

在实施中，分布式身份系统上的很多终端可能并没有使用区块链技术，因为可将获取的这些数据(第一集合)存储在非区块链节点上，例如，云存储器，这样可适用于更多的终端设备。

在第一方面的一种可能的实现方式中，所述方法还包括：所述终端设备获取与多个第二用户信息对应的第二集合，其中，所述第二集合包括第二加密信息集合和第二凭证信息集合，所述第二加密信息集合包括所述多个第二用户信息进行对应加密后的多个第二加密信息，所述第二凭证信息集合包括对所述多个第二用户信息执行签发处理后的多个第二凭证信息。

在实施中，所述终端设备可在获取到第一集合外还可获取到更多的集合，以便于后续根据业务需求，选择适合的集合。

在第一方面的一种可能的实现方式中，所述方法还包括：所述终端设备基于所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述目标用户信息和与所述目标用户信息对应的目标凭证信息，其中，所述目标验证集合包括：所述多个第二用户信息中的目标用户信息以及所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。

所述终端设备可在获取到凭证签发设备发送的第一集合/第二集合后，根据需要选择部分或全部第一用户信息或第二用户信息提供给凭证验证终端，不仅提高了安全性并且能够适应更多的业务场景。

在第一方面的一种可能的实现方式中，所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，包括：所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合以及所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括：所述多个第一用户信息和所述多个第二用户信息中的目标用户信息以及所述多个第一凭证信息和所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。

在实施中，所述终端设备可在获取到凭证签发设备发送的第一集合和第二集合后，根据需要，从第一用户信息和第二用户信息中选择部分信息作为数字凭证的凭证内容，不仅提高了安全性并且能够适应更多的业务场景。

在第一方面的一种可能的实现方式中，所述第一集合还包括所述凭证签发设备对所述多个第一凭证信息进行集体签名后获取的第一签名信息。

在实施中，所述凭证签发终端为了使凭证验证终端能够对验证主体进行验证，可在第一集合中包括第一签名信息。

在第一方面的一种可能的实现方式中，所述终端设备在向所述凭证验证设备提供所述目标验证集合后，还包括：所述终端设备向所述凭证验证设备提供所述第一凭证信息集合以及所述第一签名信息。

采用以上方式，所述凭证验证终端可通过利用第一凭证信息集合对所述第一签名信息执行验签操作，确定所述第一凭证信息集合的凭证签发设备是否为目标凭证签发设备。

第二方面，本申请的实施例提供了一种身份信息处理方法，所述包括：凭证验证设备接收服务请求；所述凭证验证设备从终端设备获取目标验证集合，其中，所述目标验证集合包括与服务对应的目标用户信息和目标凭证信息；所述凭证验证设备对所述目标验证集合进行验证，向所述终端设备提供凭证验证信息，其中，所述凭证验证信息用于指示所述目标验证集合是否通过验证。

采用以上方式，所述凭证验证设备可仅获取所需验证的凭证内容并对该凭证内容进行验证，不仅有效避免了用户信息的泄露而且减少了凭证验证终端的工作量。

在第二方面的一种可能的实现方式中，所述方法还包括：所述凭证验证设备从所述终端设备获取第一凭证信息集合和第一签名信息，其中，第一凭证信息集合是包括多个第一凭证信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息。

在实施中，所述凭证验证设备还可通过利用第一凭证信息集合对所述第一签名信息执行验签操作，确定所述第一凭证信息集合的凭证签发设备是否为目标凭证签发设备。

第三方面，本申请的实施例提供一种终端设备，包括：集合获取单元，用于从凭证签发设备获取与多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息；目标验证集合确定单元，用于基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述多个第一用户信息中的目标用户信息以及所述多个第一凭证信息中与所述目标用户信息对应的目标凭证信息；目标验证集合提供单元，用于向所述凭证验证设备提供所述目标验证集合。

在第三方面的一种可能的实现方式中，所述集合获取单元还用于获取与多个第二用户信息对应的第二集合，其中，所述第二集合包括第二加密信息集合和第二凭证信息集合，所述第二加密信息集合包括所述多个第二用户信息进行对应加密后的多个第二加密信息，所述第二凭证信息集合包括对所述多个第二用户信息执行签发处理后的多个第二凭证信息。

在第三方面的一种可能的实现方式中，所述验证集合确定单元还用于基于所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述目标用户信息和与所述目标用户信息对应的目标凭证信息，其中，所述目标验证集合包括：所述多个第二用户信息中的目标用户信息以及所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。

在第三方面的一种可能的实现方式中，所述验证集合确定单元还用于基于所述第一集合中的第一加密信息集合和第一凭证信息集合以及所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括：所述多个第一用户信息和所述多个第二用户信息中的目标用户信息以及所述多个 第一凭证信息和所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。

第四方面，本申请的实施例提供一种凭证验证设备，包括：接收单元，用于接收服务请求；目标验证集合获取单元，用于从所述终端设备获取目标验证集合，其中，所述目标验证集合包括与服务对应的目标用户信息和目标凭证信息；凭证验证信息提供单元，用于对所述目标验证集合进行验证，向所述终端设备提供凭证验证信息，其中，所述凭证验证信息用于指示所述目标验证集合是否通过验证。

第四方面，本申请的实施例提供一种身份信息验证设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令时第一方面的任一种可能的实现方式中的方法，或者第一方面的任一种可能的实现方式中的方法。

第五方面，本申请实施例提供一种非易失性计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现第一方面的任一种可能的实现方式中的方法，或者第一方面的任一种可能的实现方式中的方法。

第六方面，本申请实施例提供一种计算机程序产品，所述计算机程序产品包括指令，所述指令用于指示服务器执行第一方面的任一种可能的实现方式中的方法的步骤，或者第一方面的任一种可能的实现方式中的方法的步骤。

第七方面，本申请的实施例提供了一种身份信息处理方法，所述方法由用户的终端设备执行，所述方法包括：从凭证签发设备获取利用多个第一用户信息生成的第一集合，其中，所述第一集合包括第一加密信息集合、第一凭证信息集合以及第一签名信息，其中，所述第一加密信息集合包括利用第一公钥对所述多个第一用户信息进行加密的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行盲化处理后的多个第一凭证信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息；利用所述第一集合，生成与目标用户信息对应的目标验证集合，其中，所述目标用户信息指示凭证验证设备请求的信息。向所述凭证验证设备提供所述目标验证集合。

在相关技术中，分布式身份信息验证系统的数字凭证通常针对每个数字身份提供的多个身份信息进行的声明并且针对整个数字凭证进行加密，无法做到针对每个身份信息分别签发，且用户无法对数据凭证进行处理，例如，仅选择数字凭证中的某些属性声明，这样就限制了用户的使用场景，此外，该数字凭证需要用户自己存储，容易丢失。

基于以上情况，所述方法可利用凭证签发设备对全部的身份信息进行整体签发的情况下，对每个身份信息分别进行盲化处理，从而保证所述第一集合在签发主体与签发内容上均满足签发需要。随后，所述终端设备从凭证签发设备获取到第一集合后，参与定制与目标用户信息对应的目标验证集合，使得终端用户能够根据实际需求参与数字凭证的生成。

在第七方面的一种可能的实现方式中，从凭证签发设备获取利用所述多个第一用户信息生成的第一集合，包括：利用与所述终端设备对应的第一区块链节点，从与凭证签发设备对应的第二区块链节点上获取所述第一集合。

在相关技术中，分布式身份系统可分别生成各自的去中心化身份信息后，利用彼此之间的公私钥进行加密/解密，而区块链技术本身就是去中心化而且区块链技术的信息是不可篡改，因此，本申请的实施例可利用区块链技术处理各个终端的相关数据并存储在各个终端对应的区块链节点上。

在第七方面的一种可能的实现方式中，从凭证签发设备获取利用所述多个第一用户信息 生成的第一集合，包括：向所述凭证签发设备对应的签发端存储单元发送针对第一集合的数据请求；从所述签发端存储单元接收所述第一集合。

在实施中，分布式身份系统上的很多终端可能并没有使用区块链技术，因为可将获取的这些数据(第一集合)存储在非区块链节点上，例如，云存储器，这样可适用于更多的终端设备。

在第七方面的一种可能的实现方式中，利用所述第一集合，生成与目标用户信息对应的目标验证集合，包括：利用与第一公钥对应的第一私钥对所述多个第一加密凭证执行解密，获取所述多个第一用户信息；利用所述多个第一用户信息，确定所述目标用户信息；利用所述多个第一用户信息与所述多个第一凭证信息的对应关系，确定与所述目标用户信息对应的目标凭证信息；将所述目标用户信息以及所述目标凭证信息确定为目标验证集合。

在实施中，所述终端设备可根据目标用户信息，在多个第一用户信息中选择与该目标用户信息对应的第一凭证信息，实现了生成仅与所述目标用户信息对应的目标凭证信息。采用本实施例，可利用终端设备的能动性，避免泄露无关信息。

在第七方面的一种可能的实现方式中，利用所述第一集合，生成与目标用户信息对应的目标验证集合后，还包括：获取与用户对应的多个第二用户信息；获取利用所述多个第二用户信息生成的第二集合，其中，所述第二集合包括第二加密信息集合、第二凭证信息集合以及第二签名信息，其中，所述第二加密信息集合包括利用第三公钥对所述多个第二用户信息进行加密的多个第二加密信息，所述第二凭证信息集合包括对所述多个第二用户信息执行盲化处理后的多个第二凭证信息，第二签名信息是对所述多个第二凭证信息进行集体签名后获取的信息。

在实施中，所述终端设备还可获取凭证签发设备根据多个第二用户信息生成的第二集合，也就说，针对多个第二用户信息，所述方法可利用凭证签发设备对全部的身份信息进行整体签发的情况下，对每个身份信息分别进行盲化处理，从而保证所述第一集合在签发主体与签发内容上均满足签发需要。随后，所述终端设备从凭证签发设备获取到第二集合后，参与定制与目标用户信息对应的第二验证集合。

在实施中，对所述多个第二用户信息进行集体签发的凭证签发设备可以是与对所述多个第一用户信息进行集体签发的凭证签发设备相同的签发端，也可以是不同的签发端，这将大大增加终端设备的使用场景。

在第七方面的一种可能的实现方式中，利用所述第一集合，生成与目标用户信息对应的目标验证集合，包括：利用与第一公钥对应的第一私钥对所述多个第一加密凭证或所述第三公钥对应的第三私钥对所述多个第二加密凭证执行解密，获取所述多个第一用户信息或所述多个第二用户信息；利用所述多个第一用户信息或所述多个第二用户信息，确定所述目标用户信息；利用所述多个第一用户信息与所述多个第一凭证信息的对应关系或利用所述多个第二用户信息与所述多个第二凭证信息的对应关系，确定与所述目标用户信息对应的目标凭证信息；将所述目标用户信息以及所述目标凭证信息确定为目标验证集合。

在实施中，所述终端设备可在获取到凭证签发设备发送的第一集合/第二集合后，根据需要选择部分或全部第一用户信息或第二用户信息提供给凭证验证终端，不仅提高了安全性并且能够适应更多的业务场景。

在第七方面的一种可能的实现方式中，利用所述第一集合，生成与目标用户信息对应的 目标验证集合，包括：利用与第一公钥对应的第一私钥对所述多个第一加密凭证和利用于第三公钥对应的第三私钥对所述多个第二加密凭证执行解密，获取所述多个第一用户信息和所述多个第二用户信息；利用所述多个第一用户信息和所述多个第二用户信息，确定所述目标用户信息；利用所述多个第一用户信息与所述多个第一凭证信息的对应关系和利用所述多个第二用户信息与所述多个第二凭证信息的对应关系，确定与所述目标用户信息对应的目标凭证信息；将所述目标用户信息以及所述目标凭证信息确定为目标验证集合。

在实施中，所述终端设备可在获取到凭证签发设备发送的第一集合/第二集合后，根据需要，从第一用户信息和第二用户信息中选择部分信息作为数字凭证的凭证内容，不仅提高了安全性并且能够适应更多的业务场景。

在第七方面的一种可能的实现方式中，所述方法还包括：利用所述凭证签发设备提供的第二公钥对所述目标验证集合执行加密，生成加密的目标验证集合。将所述加密的目标验证集合、第一凭证信息集合以及第一签名信息确定为目标凭证集合。

通过公私钥体系对凭证签发设备签发的内容进行加密，从而提高保密性。更进一步地，为了保证凭证验证设备执行验证，可利用所述加密的目标验证集合、第一凭证信息集合以及第一签名信息确定目标凭证集合。

在第七方面的一种可能的实现方式中，所述方法还包括：对所述多个第一用户信息进行加密并将加密后的所述多个用户信息存储在所述第一区块链节点上。

在实施中，使用区块链技术实现对用户信息的存储，不仅保证了数据的有效性，而且避免了大量验证操作。

在第七方面的一种可能的实现方式中，所述方法还包括：调用所述第一区块链节点的第一智能合约，向凭证签发设备对应的第二区块链节点发送凭证签发请求。

在实施中，可利用区块链技术中的智能合约完成各种操作，并且无需在身份文档中保存过多的签名信息，减少了大量的验证操作。

在第七方面的一种可能的实现方式中，所述方法还包括：将目标凭证集合存储在所述第一区块链节点，使得所述凭证验证设备对应的第三区块链节点从第一区块链节点获取所述目标凭证集合。

在实施中，使用区块链技术实现对用户信息的存储，不仅保证了数据的有效性，而且避免了大量验证操作。

第八方面，本申请的实施例提供了一种身份信息处理方法，所述方法由凭证验证设备执行，包括：响应于接收到来自用户的终端设备的服务请求，从所述终端设备获取与所述服务请求中的目标用户信息对应的目标凭证集合，其中，所述目标凭证集合包括加密的目标验证集合、第一凭证信息集合以及第一签名信息，其中，目标验证集合包括目标用户信息和目标凭证信息，所述加密的目标验证集合包括利用第二公钥对所述目标验证集合执行加密后获取的集合，第一凭证信息集合是包括利用第一公钥对用户的多个用户信息进行加密的多个第一加密信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息；向所述终端设备提供所述凭证验证信息。

在实施中，所述凭证验证设备可仅对终端设备发送的目标凭证集合进行验证，所述目标凭证集合不仅包括用于验证凭证签发设备的信息(多个第一凭证信息进行集体签名的凭证签发设备信息和对多个第一用户信息进行加密的多个第一加密信息)以及用于验证凭证内容的 信息(目标验证集合)，从而满足凭证验证设备的验证需要。

在第八方面的一种可能的实现方式中，所述方法还包括：基于所述目标凭证集合，确定针对所述用户的凭证验证信息。

在实施中，所述凭证验证设备可根据以上提到的目标凭证集合，实现对用户的凭证验证操作，从而确定凭证验证信息。

在第八方面的一种可能的实现方式中，所述凭证验证信息包括确定所述凭证签发设备为目标凭证签发设备并且基于目标凭证集合获取的凭证信息与所述目标凭证信息是匹配的。

在实施中，所述凭证验证信息可包括对凭证签发设备以及凭证签发内容的验证结果。

在第八方面的一种可能的实现方式中，基于所述目标凭证集合，确定针对所述用户的凭证验证信息包括：通过利用第一凭证信息集合对所述第一签名信息执行验签操作，确定所述第一凭证信息集合的凭证签发设备是否为目标凭证签发设备；利用与所述第二公钥对应的第二私钥对所述加密的目标验证集合进行解密，获取所述目标用户信息和所述目标凭证信息；确定利用所述目标用户信息生成的凭证信息与所述目标凭证信息是匹配的。

在实施中，所述方法可包括对凭证签发设备以及凭证签发内容的具体验证操作。

在第八方面的一种可能的实现方式中，向所述终端设备提供所述凭证验证信息，包括：将所述凭证验证信息执行加密后存储至第三区块链节点中并利用第三区块链节点将所述加密后的凭证验证信息发送到所述用户的第一区块链节点上；或者，将所述凭证验证信息执行加密后存储在凭证验证设备的验证端存储单元上并被发送到所述用户的终端设备。

在实施中，可在利用区块链技术实现对分布式数字身份的创建、发布、更新和查询，在此基础上，能够实现链上存储功能。

第九方面，本申请的实施例提供了一种身份信息处理方法，所述方法由凭证签发设备执行，包括：利用多个第一用户信息，生成第一集合，其中，所述第一集合包括第一加密信息集合、第一凭证信息集合以及第一签名信息，其中，所述第一加密信息集合包括利用第一公钥对所述多个用户信息进行加密的多个第一加密信息，所述第一凭证信息集合包括对所述多个用户信息执行盲化处理后的多个第一凭证信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息；向所述终端设备提供所述第一集合。

所述方法可利用凭证签发设备对全部的身份信息进行整体签发的情况下，对每个身份信息分别进行盲化处理，从而保证所述第一集合在签发主体与签发内容上均满足签发需要。此外，凭证签发设备对于数字凭证的使用是无感知的，进一步提高了安全性。

在第九方面的一种可能的实现方式中，所述方法还包括：从与所述用户对应的第一区块链节点获取多个用户信息，其中，所述多个用户信息与所述多个第一用户信息相关。

在相关技术中，分布式身份系统可分别生成各自的去中心化身份信息后，利用彼此之间的公私钥进行加密/解密，而区块链技术本身就是去中心化而且区块链技术的信息是不可篡改，因此，本申请的实施例可利用区块链技术处理各个终端的相关数据并存储在各个终端对应的区块链节点上。

在第九方面的一种可能的实现方式中，向所述终端设备提供所述第一集合，包括：将所述第一集合进行加密并将加密后的第一集合存储在与凭证签发设备对应的第二区块链节点，或者将加密后的所述第一集合存储在与所述凭证签发设备对应的签发端存储单元，使得所述终端设备能够获取所述第一集合。

在实施中，所述凭证签发设备可根据实际需要选择链上存储或链下存储。

第十方面，本申请的实施例提供了一种身份信息验证设备，所述设备包括：用户信息获取单元用于标识获取与用户对应的多个第一用户信息；集合获取单元可用于从凭证签发设备获取利用所述多个第一用户信息生成的第一集合，其中，所述第一集合包括第一加密信息集合、第一凭证信息集合以及第一签名信息，其中，所述第一加密信息集合包括利用第一公钥对所述多个第一用户信息进行加密的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行盲化处理后的多个第一凭证信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息；验证集合生成单元可用于利用所述第一集合，生成与目标用户信息对应的目标验证集合，其中，所述目标用户信息指示凭证验证设备请求的信息。验证集合提供单元可向所述凭证验证设备提供所述目标验证集合。

第十一方面，本申请的实施例提供一种身份信息验证设备，所述身份信息处理设备包括：凭证集合获取单元用于响应于接收到来自用户的终端设备的服务请求，从所述终端设备获取与所述服务请求中的目标用户信息对应的目标凭证集合，其中，所述目标凭证集合包括加密的目标验证集合、第一凭证信息集合以及第一签名信息，其中，目标验证集合包括目标用户信息和目标凭证信息，所述加密的目标验证集合包括利用第二公钥对所述目标验证集合执行加密后获取的集合，第一凭证信息集合是包括利用第一公钥对用户的多个用户信息进行加密的多个第一加密信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息；凭证验证信息提供单元用于向所述终端设备提供所述凭证验证信息。

第十二方面，本申请的实施例提供一种身份信息验证设备，所述身份信息处理设备包括：用户信息获取单元可用于从用户的终端设备获取与用户对应的多个用户信息；集合生成单元用于利用所述多个用户信息，生成第一集合，其中，所述第一集合包括第一加密信息集合、第一凭证信息集合以及第一签名信息，其中，所述第一加密信息集合包括利用第一公钥对所述多个用户信息进行加密的多个第一加密信息，所述第一凭证信息集合包括对所述多个用户信息执行盲化处理后的多个第一凭证信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息；向所述终端设备提供所述第一集合。

第十三方面，本申请的实施例提供了一种身份信息验证设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令时实现第七方面及其可能的实现方式中的方法，实现第八方面及其可能的实现方式中的方法或者实现第九方面及其可能的实现方式中的方法。

第十四方面，本申请的实施例提供了一种非易失性计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现第七方面及其可能的实现方式中的方法，实现第八方面及其可能的实现方式中的方法或者实现第九方面及其可能的实现方式中的方法。

第十五方面，本申请的实施例提供了一种计算机程序产品，所述计算机程序产品包括指令，所述指令用于指示服务器执行第七方面及其可能的实现方式中的方法，第八方面及其可能的实现方式中的方法或者第九方面及其可能的实现方式中的方法的步骤。

本申请的这些和其他方面在以下(多个)实施例的描述中会更加简明易懂。

附图说明

包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本申请的示例性实施例、特征和方面，并且用于解释本申请的原理。

图1示出根据相关技术的集中式身份信息验证系统的示图；

图2示出根据相关技术的分布式身份信息验证系统的示图；

图3示出根据本申请一实施例的身份信息处理系统的业务处理示图；

图4示出根据本申请一实施例的基于区块链的分布式身份信息验证系统的场景图；

图5示出根据本申请一实施例的区块链节点的结构示意图；

图6示出根据本申请一实施例的基于区块链的身份信息处理系统的系统架构图；

图7示出根据本申请一实施例的基于区块链的身份信息处理系统的处理流程图；

图8示出根据本申请一实施例的身份信息处理设备的框图；

图9示出根据本申请一实施例的身份信息处理设备的框图；

图10示出根据本申请一实施例的身份信息处理设备的框图；

图11示出根据本申请一实施例的计算设备的框图。

具体实施方式

以下将参考附图详细说明本申请的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在本申请实施例中，“/”可以表示前后关联的对象是一种“或”的关系，例如，A/B可以表示A或B；“和/或”可以用于描述关联对象存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A，B可以是单数或者复数。为了便于描述本申请实施例的技术方案，在本申请实施例中，可以采用“第一”、“第二”等字样对功能相同或相似的技术特征进行区分。该“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。在本申请实施例中，“示例性的”或者“例如”等词用于表示例子、例证或说明，被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念，便于理解。

另外，为了更好的说明本申请，在下文的具体实施方式中给出了具体细节。本领域技术人员应当理解，没有某些具体细节，本申请同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本申请的主旨。

为了更好地理解本申请的示例性实施例，以下将参照图1描述根据相关技术的集中式身份信息验证系统。如图1所示，所述集中式身份信息验证系统包括IDP 101、服务提供方(service provider，SP)102和103以及用户104，其中，所述IDP 101可为SP 102和103以及用户104提供身份服务。作为示例，IDP 101可根据与身份相关的用户信息为用户生成数字凭证，所述用户信息可包括年龄、学历、职业等信息。

SP 102和103是服务的提供者，所述服务可包括教育、医疗、银行、运输、购物等各种领域下的相关服务。如图1所示，SP 102可为用户104向IDP签发数字凭证，因此SP 102是凭证签发设备。SP 103则是验证SP 102为用户104签发的数字凭证，因此，SP 103为凭证验证设备。

如图1所示，在步骤S110，用户104、SP 102和SP 103可分别向IDP 101执行注册。作为示例，用户104、SP 102和SP 103可在不同的时间点上，向IDP 101提供各自的用户信息完成注册操作。

在步骤S120用户104向SP 102申请数字凭证。SP 102在接收到该申请后，对用户101颁发数字凭证，并将该数字凭证发送到IDP 101。在步骤S130，IDP 101对SP 102的身份进行校验，并在验证通过后，在步骤S140，接收经由SP 102签发的数字凭证。IDP 101在接收到该数字凭证后，可将该数字凭证提供给用户104，在步骤S150，SP 102可向用户104提示已经向其发送数字凭证。

在步骤S160，用户104可利用该数字凭证向SP 103请求服务。SP 103在接收到请求后，从IDP 101或用户104获取该数字凭证，并在步骤S170，验证该数字凭证。在验证通过后，在步骤S180，SP 103向用户提供该服务。

可以看出，如图1所示的集中式身份信息验证系统中的SP 102和103以及用户104对于身份以及凭证的验证操作均依赖于IDP 101。也就是说，该集中式身份信息验证系统中的SP 102和103以及用户104无法脱离IDP 101完成身份验证和内容解释。此外，用于生成数字凭证的所有用户信息将在验证通过后全部展现出来，存在过度泄露隐私的情况。更进一步地，该集中式身份信息验证系统中的数字凭证的可移植性差，无法直接应用到其他系统中。

鉴于以上考虑，本申请的示例性实施例提供的数字凭证管理系统采用分布式身份信息验证系统。为了更好地描述分布式身份信息验证系统，以下将结合图2对该分布式身份信息验证系统执行描述。

在图2中，所述分布式身份信息验证系统200包括SP 21、SP 22以及用户23。在步骤S210，SP 21、SP 22以及用户23可分别生成各自的去中心化身份信息(decentralized identity，DID)，其中，所述DID可以是特定格式的字符串，用于代表实体(包括人、机器、物体等)的数字身份。在分布式身份信息验证系统中，为了与集中化身份信息验证系统中的解耦，而设计出的一种新的身份类型。DID可以标识任何主体(例如，人员、组织、事物、数据模型、抽象实体等)。

在步骤S220，用户23可向SP 21申请数字凭证，该数字凭证是指被SP 21签发的凭证。基于此，在步骤230，SP 21可利用用户23的公钥对数字凭证进行加密后，并将加密后的数字凭证发送给用户23。

在步骤230，用户23可从SP 21接收与其对应的加密后的数字凭证。在步骤S240，用户23可向SP 22发送重加密数字凭证，简单来说，用户23可利用自有私钥对该加密后的数字凭证执行解密后获取数字凭证后，利用SP 22的公钥对该数字凭证执行重加密获取该重加密数字凭证。

可以看出，如图2中的分布式身份信息验证系统200的数字凭证通常针对每个DID提供的多个身份信息进行的声明并且针对整个数字凭证进行加密，无法做到针对每个身份信息分别签发，且用户无法对数据凭证进行处理，例如，仅选择数字凭证中的某些属性声明，这样就限制了用户的使用场景，此外，该数字凭证需要用户自己存储，容易丢失。

为了更好地理解，以下将举例说明。用户可向公司申请该公司签发的数字凭证。为了获取该数字凭证，用户需要提供年龄信息、单位职务信息、健康信息以及婚育信息。在用户利用如图2所述的分布式身份信息验证系统200从SP 21获取到该公司颁发的数字凭证后，用 户想参加该公司为经理以上级别提供的教育培训活动。在此场景下，用户仅将数字凭证中的单位职务信息发送到提供教育培训活动的服务提供商即可，但是在图2中示出的分布式身份系统200中，用户无法从该数字凭证中仅提取出与单位职务信息相关的信息，只能将该数字凭证提供给教育培训活动，这就导致用户的年龄信息、健康信息以及婚育信息也被提供给了教育培训机构，但这些信息用户可能并不想提供给教育培训机构。用户可能处于隐私考虑，拒绝参加此次教育培训活动。

图3示出根据本申请一实施例的身份信息处理系统的业务处理示图。如图3所述，所述身份信息验证系统包括终端设备31、凭证签发设备32以及凭证验证设备33。

终端设备31是指具有通信能力和处理能力的设备。在实施例中，该终端设备31与用户对应，也就是说，用户可操作该终端设备31。作为示例，该终端设备31可利用通信能力向区块链系统提供各种用户信息，又或者，可利用通信能力向区块链系统发出各种请求。作为另一示例，该终端设备31可利用处理能力对相关信息进行加密和/或解密，又或者，该终端设备31可利用处理能力确定将向凭证签发设备提供的凭证信息。

利用终端设备可以是终端设备(user equipment，UE)，其中，UE包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地，UE可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality，VR)终端设备、增强现实(augmented reality，AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请实施例中，用于实现终端设备的功能的装置可以是终端设备；也可以是能够支持终端设备实现该功能的装置，例如芯片系统，该装置可以被安装在终端中或者能够与终端设备匹配使用。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例提供的技术方案中，以用于实现终端的功能的装置是终端为例，描述本申请实施例提供的技术方案。

在基于区块链技术的实现方案中，终端设备31可利用以上所述的DID向区块链申请与其对应的区块链节点，在以下描述中可被称作第一区块链节点。

凭证签发设备32是指可对终端设备31提供的信息执行签发的机构和/或设备。为了便于描述，在本申请的示例性实施例中，所述凭证签发设备31可指示对用户提供的信息执行签发的凭证签发方和/或凭证签发方所使用的凭证签发设备。凭证签发设备32可对终端设备31提供的信息在真实性、准确性等各方面负责。作为示例，所述凭证签发设备32可以是权威机构的终端，例如，所述凭证签发设备可以是对用户所经营的商铺信息进行签发的政府机构使用的设备。

所述凭证签发设备32可以是手机、平板电脑、台式计算机、便携笔记本式计算机等终端设备，还可以是独立的服务器，或者由多个服务器组成的服务器集群，本申请实施例中，用于实现凭证签发设备的功能的装置可以是凭证签发设备32；也可以是能够支持凭证签发设备实现该功能的装置，例如芯片系统，该装置可以被安装在终端中或者能够与凭证签发设备匹配使用。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例提供的技术方案中，以用于实现凭证签发设备的功能的装置是终端为例，描述本申请实施例提供的技术方案。

在基于区块链技术的实现方案中，凭证签发设备可利用以上所述的DID向区块链申请与 其对应的区块链节点，在以下描述中可被称作第二区块链节点。

凭证验证设备33是指对终端设备31提供的凭证信息进行验证的机构和/或设备。为了便于描述，在本申请的示例性实施例中，所述凭证验证设备33可指示对用户提供的凭证信息执行验证操作的凭证验证方和/或凭证验证方所使用的凭证验证设备。作为示例，用户利用终端设备31向服务提供设备发出服务请求时，服务提供设备需要对该用户的用户资格进行验证，确保用户有资格该服务。在此场景下，用户可利用终端设备31向凭证验证设备33发送凭证信息，并在验证通过后，凭证验证设备33可通知服务提供设备向用户提供服务。应理解，凭证验证设备33与服务提供设备可以是同一设备也可以是不同设备，对此本申请不设限。

所述凭证验证设备33可以是手机、平板电脑、台式计算机、便携笔记本式计算机等终端设备，还可以是独立的服务器，或者由多个服务器组成的服务器集群，本申请实施例中，用于实现凭证签发设备的功能的装置可以是凭证验证设备33；也可以是能够支持凭证签发设备实现该功能的装置，例如芯片系统，该装置可以被安装在终端中或者能够与凭证签发设备匹配使用。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。本申请实施例提供的技术方案中，以用于实现凭证签发设备的功能的装置是终端为例，描述本申请实施例提供的技术方案。

在基于区块链技术的实现方案中，凭证验证设备33可利用以上所述的DID向区块链申请与其对应的区块链节点，在以下描述中可被称作第三区块链节点。

如图3所示，在步骤S3110，终端设备31可收集用户相关的多个用户信息。在实施中，终端设备31可根据已有凭证模板提供所述多个用户信息。在相关技术中，每个凭证均有固定的凭证模板，用户可根据所述凭证模板填写所述用户信息。所述用户信息可包括用于指示用户身份的身份信息或者属性信息，例如，所述用户信息可包括用户的年龄信息、籍贯信息、居住地信息、性别信息、职位信息、教育信息、健康状况信息等。

作为示例，所述用户信息可用于生成后续的凭证信息，但可能不显示/存在于凭证签发终端签发的凭证中。例如，用户可根据凭证模板填写用户近一个月内的行程信息，但是该信息并非用于生成凭证的信息，而是凭证签发终端在生成所述凭证所不可或缺的信息。

在实施中，终端设备31可根据凭证签发设备32发送的电子表单提供所述用户信息，或者终端设备31可利用与其对应的第一区块链节点提供所述用户信息。

在步骤S3120，终端设备31可将所述用户信息发送到凭证签发设备32。在实施中，终端设备31可利用区块链技术将所述用户信息提供给凭证签发设备32。简言之，终端设备31可将在步骤S3110中获取的用户信息进行加密后存储在用户的第一区块链节点中。当凭证签发设备32接收到凭证签发请求后，可利用与凭证签发设备32对应的第二区块链节点提取出第一区块链节点所提供的加密的第一用户信息，并对该加密的用户信息进行解密后，获取所述用户信息。

在步骤S3210，凭证签发设备32可对该用户信息进行检查，此次检查是对用户信息的来源以及该用户信息是否满足所要签发的凭证等方面进行检查。在利用区块链技术的情况下，步骤S3210可利用区块链技术确定所述用户信息是由终端设备31提供的、无篡改的并且该第一用户信息是最近存在的信息。

在步骤S3220，凭证签发设备32可基于所述用户信息确定所述多个第一用户信息，并对所述多个第一用户信息执行签发处理，获取多个第一凭证信息。

如上所述，终端设备31提供的用户信息与生成数字凭证所需的用户信息可能是相同的也可能是不同的，在实施中，凭证签发设备32可根据实际需要从这些用户信息中提取出用于凭证签发的多个第一用户信息，然后对这些第一用户信息执行签发处理，获取多个第一凭证信息。

在实施中，可利用盲化处理实现所述凭证签发终端的签发处理。所述盲化处理是指按照映射规则将每个用户信息唯一映射成固定格式的数据。也就是说，所述盲化处理可具有绑定能力以及隐藏能力，其中，绑定能力是指该第一用户信息唯一对应第一凭证信息，隐藏能力是指攻击者无法或者很难利用该第一凭证信息获取该第一用户信息。在具体实施中，凭证签发设备32可采用具有绑定能力以及隐藏能力的任何盲化处理方法对用户信息执行盲化处理。

在一种可能的实施方式中，凭证签发设备32可利用皮尔森承诺(Pedersen commitment)执行盲化处理。简言之，凭证签发设备32可利用盲化因子对用户信息进行运算，获取第一凭证信息，其中，盲化因子可以是公开的。在实施中，所述盲化因子可存储在所述第二区块链节点上。

在步骤S3230，凭证签发设备32可对在步骤S3220中获取的多个第一凭证信息进行集体签名，获取第一签名信息。在实施中，为了体现是由凭证签发设备32对第一凭证信息进行的签发，可利用聚合签名算法对多个第一凭证信息进行集体签名，获取第一签名信息。在一种可能的实施例中，可采用C-L(camenisch-lysyanskaya)签名算法对所述多个第一凭证信息进行签名。C-L签名可用于群签名或聚合签名的场景中，可以提高签名的匿名性，并降低签名的计算复杂度。

为了能够从多个第一凭证信息中提取出适合各种应用场景的目标凭证信息，还需要向终端设备31提供多个用户信息。为了数据安全性，在步骤S3240，利用终端设备的第一公钥对所述多个用户信息进行加密，生成多个第一加密信息。

综上可述，为了满足能够将凭证签发终端32签发的凭证信息中的部分信息提供给凭证验证终端33，凭证签发终端32可对各个第一用户信息进行签发处理，以便于后续终端设备31根据应用场景选择第一凭证信息中的部分信息作为数字凭证。

因此，凭证签发设备32可将获取第一加密信息集合和第一凭证信息集合确定为第一集合，在步骤S3250，凭证签发设备32将第一集合发送到所述终端设备。在利用区块链实现的实施方式中，所述凭证签发设备32可将第一集合加密后存储在其对应的第二区块链节点上，以供其他节点提取使用。此外，所述凭证签发设备32还可将所述第一集合进行加密后存储在与凭证签发设备对应的签发端存储单元上，例如，所述凭证签发设备32可将所述第一集合进行加密后存储在本地存储器或者远程存储器(例如，云存储器)，并将存储地址以哈希值的方式存储在第二区块链节点上。

此外，为了便于后续凭证验证终端33对所述凭证签发终端进行验证，所述第一集合还可包括在步骤S3230中获取的第一签名信息。也就是说，所述第一集合包括第一加密信息集合、第一凭证信息集合以及第一签名信息。

虽然图3中仅给出了生成第一集合的示例，但是在实施中，终端设备31可根据多个凭证模板向凭证签发设备32提供不同的用户信息，并利用这些用户信息分别申请凭证信息。简单来说，凭证签发设备31还可获取与用户对应的多个第二用户信息。

例如，终端设备31可根据申请工作居住证的凭证模板向相关部门提供签发工作居住证所 需要的第一用户信息，并获取到相关部门签发的凭证信息，同时，终端设备31可根据申请单身青年的凭证模板向同一部门提供签发单身青年证明所需要的第二次用户信息，并获取到该同一部门签发的凭证信息。

这两种情况所需要提供的第一用户信息和第二用户信息可能有重复的信息也可能没有重复的信息。该凭证签发设备均按照步骤S3210至步骤S3240，生成利用所述多个第二用户信息生成的第二集合，所述第二集合可包括第二加密信息集合和第二凭证信息集合。在实施中，所述第二集合还可包括第二签名信息。应注意，所述第二加密信息集合是利用第三公钥对所述多个第二用户信息进行加密的多个第二加密信息，其中，第三公钥对应于凭证签发设备，在凭证签发设备相同的情况下，所述第三公钥可与所述第一公钥相同或者不同的。

此外，终端设备31还可向不同的凭证签发设备发送第一用户信息和第二用户信息，并从不同凭证签发设备获取不同的凭证信息。简单来说，另一凭证签发设备可获取与用户对应的多个第二用户信息，然后按照如步骤S3210至步骤S3240所示生成利用所述多个第二用户信息生成的第二集合，所述第二集合可包括第二加密信息集合和第二凭证信息集合。在实施中，所述第二集合还可包括第二签名信息。应注意，所述第二加密信息集合是利用第三公钥对所述多个第二用户信息进行加密的多个第二加密信息，其中，第三公钥对应于凭证签发设备，在凭证签发设备不同的情况下，所述第三公钥不用于第一公钥。

例如，终端设备31可根据申请工作居住证的凭证模板向相关部门提供签发工作居住证所需要的第一用户信息，同时，终端设备31可根据申请税费减免的凭证模板向相关部门提供签发税费减免所需要的第二用户信息，这两个凭证签发设备是不同的，因此，它们可使用不同的公钥对所述多个第一用户信息以及所述多个第二用户信息分别加密。

以上为了便于描述仅给出了两种用户信息，但在实际使用中，可能包括更多种用户信息以及对应的更多个凭证签发设备的情况，在此将不再赘述。

可以看出，凭证签发设备32对全部的身份信息进行整体签发的情况下，对每个身份信息分别进行盲化处理，从而保证所述第一集合在签发主体与签发内容上均满足签发需要。此外，凭证签发设备对于数字凭证的使用是无感知的，进一步提高了安全性。

为了便于描述，以下将参照图3先对仅从终端设备31获取第一集合的实施例进行描述。具体来说，终端设备31可获取所述第一集合。在区块链技术的实现方式中，终端设备31可获取第二区块链节点提供的加密的第一集合并对加密的第一集合进行解密，获取第一集合。在另一实现方式中，终端设备31可从第二区块链节点上获取存储加密的第一集合的存储地址，并从与所述存储地址对应的存储器中提取出加密的第一集合，对该加密的第一集合进行解密，获取第一集合。

在步骤S3130，终端设备31可确定所述凭证验证设备33请求的目标用户信息。在实施中，终端设备31可在利用区块链技术向凭证验证设备33发出凭证验证请求后，获取所述凭证验证设备33请求的目标用户信息。

在步骤S3140，终端设备31生成与所述目标用户信息对应的目标验证集合。在实施中，终端设备31可能不需要向凭证验证设备33提供所有的用户信息，又或者根据单个凭证模板提供的用户信息可能无法满足凭证验证设备33所需要的用户信息。在这种情况下，终端设备31还可根据获取的多个集合组合生成所需的各种目标验证集合。

在针对利用单个集合生成目标验证集合的实施例进行描述，具体如下：

(a)终端设备31利用与第一公钥对应的第一私钥对所述多个第一加密凭证执行解密，获取所述多个用户信息。作为示例，所述第一私钥可加密存储在所述第一区块链节点上。

(b)终端设备31可从所述多个用户信息中提取出所述目标用户信息。

(c)利用所述多个目标用户信息与所述多个第一凭证信息的对应关系，确定与所述目标用户信息对应的目标凭证信息；

(d)将所述目标用户信息以及所述目标凭证信息确定为目标验证集合。

针对多个集合生成目标验证集合的实施例，以下将以第一集合与第二集合生成目标验证集合的实施例进行描述。应注意，在实施中，可能存在更多的集合生成目标验证集合的情况，本申请对此不限制。

(a)利用与第一公钥对应的第一私钥对所述多个第一加密凭证以及与第三公钥对应的第三私钥对所述多个第二加密凭证执行解密，获取所述多个第一用户信息和所述多个第二用户信息，

(b)利用所述多个第一用户信息和所述多个第二用户信息，确定所述目标用户信息；

(c)利用所述多个第一用户信息与所述多个第一凭证信息的对应关系和利用所述多个第二用户信息与所述多个第二凭证信息的对应关系，确定与所述目标用户信息对应的目标凭证信息；

(d)将所述目标用户信息以及所述目标凭证信息确定为目标验证集合。

在步骤S3150，利用凭证验证设备33提供的第二公钥对目标验证集合执行加密，生成加密的目标验证集合。

在步骤S3160，终端设备31可向凭证验证设备33发送目标凭证集合，其中，目标凭证集合可包括加密的目标验证集合。在利用区块链实现的实施方式中，所述终端设备31可将目标凭证集合加密后存储在其对应的第一区块链节点上，以供其他节点提取使用。

可以看出，终端设备31可从凭证签发设备32获取到第一集合后，参与定制与目标用户信息对应的目标验证集合，使得终端用户能够根据实际需求参与数字凭证的生成，并且有效扩展了用户的使用场景，保护了用户隐私。

此外，为了对签发主体进行验证，也就是说，凭证验证设备33对获取的目标验证集合中的目标凭证信息的签发端进行验证，所述目标凭证集合还可包括第一凭证信息集合以及第一签名信息，即，目标凭证集合包括加密的目标验证集合、第一凭证信息集合以及第一签名信息。

在实施中，所述终端设备31还可将所述目标凭证集合进行加密后存储在与终端设备对应的终端设备存储单元上，例如，所述终端设备31可将所述目标凭证集合进行加密后存储在本地存储器或者远程存储器(例如，云存储器)，并将存储地址以哈希值的方式存储在第一区块链节点上。

也就是说，所述终端设备31可将所产生的各种数据(例如，第一验证信息等)存储在区块链节点中，也可存储在非区块链节点上，例如，可存储在终端设备的本地存储器或远程存储器(例如，云存储器)内。

作为示例，所述终端设备31可根据凭证信息的类型确定存储方式。举例来说，所述终端设备31可将认证型凭证信息存储在与其对应的区块链节点上，其中，所述认证型凭证信息是指仅需要根据需求进行判断后的判断结果的凭证，例如，是否为合法公民，是否结婚，是否 有孩子。此外，所述终端设备将专业型凭证存储在非区块链节点上，其中，专业型凭证是指需要提供具体内容的凭证，例如，用户的身份证照片、用户的指纹信息等。

凭证验证设备33可获取所述目标凭证集合。在区块链技术的实现方式中，凭证验证设备33可利用区块链技术获取第一区块链节点提供的加密的目标凭证集合并对加密的目标凭证集合进行解密，获取目标凭证集合。在另一实现方式中，凭证验证设备33可利用区块链技术获取第一区块链节点提供的存储加密的第一集合的存储地址，并从与所述存储地址对应的存储器中提取出加密的目标凭证集合，对该加密的目标凭证集合进行解密，获取目标凭证集合。

凭证验证设备33在获取到所述目标凭证集合后，在步骤S3310，对所述目标验证集合进行验证，确定凭证验证信息，其中，所述凭证验证信息用于指示所述目标验证集合是否通过验证。在一种可能的实施方式中，凭证验证设备33需要对凭证签发方和/或凭证内容进行验证。

在对凭证签发方进行验证的实施例中，凭证验证设备33需要确定该凭证签发设备是否是目标凭证签发设备。举例来说，凭证签发设备需要验证所述凭证签发设备是否为第一机构签发的凭证，也就是说，需要验证凭证签发设备32是否为第一机构。若凭证签发设备32为第一机构，则通过验证，若不是第一机构，则没有通过验证。

在对凭证内容进行验证的实施例中，凭证验证设备33还需要确定基于目标凭证集合获取的凭证信息是否与目标凭证信息是匹配的。举例来说，凭证验证设备33需要验证用户的教育信息，因此，凭证验证设备33需要确定从目标凭证集合中提取的凭证信息是否为用户的教育信息。可选地，凭证验证设备33还可确定该凭证信息是否满足服务要求。例如，服务要求是用户必须有高中以上学历，凭证验证设备33提取出的用户的教育信息为大学学历，因此，凭证验证设备33确定用户满足服务要求。

为此，凭证验证设备33可按照以下操作对目标凭证集合进行处理：

(aa)通过利用第一凭证信息集合对所述第一签名信息执行验签操作，确定所述第一凭证信息集合的凭证签发设备是否为目标凭证签发设备；

(bb)利用与所述第二公钥对应的第二私钥对所述加密的目标验证集合进行解密，获取所述目标用户信息和所述目标凭证信息；确定利用所述目标用户信息生成的凭证信息与所述目标凭证信息是否匹配。

在实施中，凭证验证设备33可根据获取的目标凭证集合包括的信息执行操作aa或者执行操作aa和操作bb。简言之，在所述第一凭证信息仅包括目标验证集合的情况下，所述凭证验证设备33可执行操作bb，在所述第一凭证信息包括目标验证集合、第一凭证信息集合以及第一签名信息的情况下，所述凭证验证设备33可执行本操作aa和操作bb。在实施中，所述凭证验证设备33可执行操作aa后执行操作bb，执行操作bb后执行操作aa，或者同时执行操作aa与操作bb，本申请并此不作限制。

在步骤S3320，凭证验证设备33可将所述凭证验证信息发送到终端设备31。

综上可述，凭证验证设备33可对以上凭证内容进行验证时，无需暴露不需要的信息并且在申请、生成与存储过程中均采用加密算法，进一步保证了安全性。

在利用区块链技术的实现方式中，凭证验证设备33可将所述凭证验证信息执行加密后存储至所述第三区块链节点中并利用第三区块链节点将所述加密后的凭证验证信息发送到所述用户的第一区块链节点上，在利用非区块链技术的实现方式中，凭证验证设备33可将所述凭 证验证信息执行加密后存储在凭证验证设备33对应的存储单元(例如，云存储器)并被发送到所述用户的终端设备。

在实施中，由于区块链内的各个区块链节点共同维护所共享的交易账本并且该交易账本可记录各个区块链节点对应的设备、设备的公钥以及所执行的各种操作，因此利用区块链技术的身份信息处理系统能够减少对设备的身份验证等操作。基于此，本申请的示例性实施例可包括基于区块链的身份信息处理系统。

为了更好地理解，将参照图4至图7描述基于区块链的分布式身份信息验证系统的场景图。

如图4所示，该场景中的分布式身份信息验证系统包括终端设备410、凭证签发设备420、凭证验证设备430和包括区块链的区块链系统(图4中仅示出区块链)。在图4中，终端设备410、凭证签发设备420、凭证验证设备430均可将创建的数字身份信息与对应的公钥关联记录在区块链的交易账本中，其中，所述交易账本中记录有如数字身份信息及对应的公钥、数字凭证的创建记录信息等。

具体的，终端设备410、凭证签发设备420与凭证验证设备430均向区块链申请其对应的区块链节点。作为示例，终端设备410对应于第一区块链节点，凭证签发设备420对应于第二区块链节点，凭证验证设备430对应于第三区块链节点。

终端设备410响应于用户的凭证创建操作，根据获取的用户的第一数字身份信息和待创建的凭证的用户信息，向凭证签发设备420发送凭证创建请求。在实施中，终端设备410可利用部署在第一区块链节点上的智能合约，向区块链系统申请凭证。区块链系统在接收到凭证创建请求后，将该凭证创建请求发送给确定的凭证签发设备。如图4所示，区块链系统可利用区块链技术将该凭证创建请求传输至第二区块链节点。

凭证签发设备420可按照如上描述的方式获取第一集合。在该实施中，第一集合可包括加密的目标验证集合、第一凭证信息集合以及第一签名信息。然后将这些信息利用终端设备记录在交易账单上的公钥对这些信息进行加密并存储在第一区块链节点上，并向终端设备410发送存储成功的信息。

在实施中，所述身份信息处理系统还可将这些信息存储在本地存储器或者远端存储器(例如，云存储器)。在存储在远端存储器的情况下，所述终端设备将这些远端存储器的地址信息利用哈希算法处理后的信息存储在第一区块链节点上，这样在保证数据安全的情况下节省了区块链上的数据存储空间。

终端设备410在获取到存储成功的信息后，利用区块链技术获取对应的第一集合。响应于用户的服务请求操作，可从凭证验证设备530获取其需要的目标凭证信息。用户终端410可根据该目标凭证信息生成目标凭证集合。然后，利用凭证验证设备530的公钥对目标凭证集合进行加密并将加密后的目标凭证集合存储在第二区块链节点上，向凭证验证设备430发送存储成功的信息。

在实施中，所述身份信息处理系统还可将这些信息存储在远端存储器(例如，云存储器)，然后将这些远端存储器的地址信息利用哈希算法处理后的信息存储在第二区块链节点上，这样在保证数据安全的情况下节省了区块链上的数据存储空间。

凭证验证设备430对应的第三区块链节点在接收到存储成功的信息后，可提取出第一区块链节点提供的目标凭证集合，并对目标凭证集合进行验证，获取凭证验证信息。凭证验证 设备430可利用终端设备记录在交易账单上的公钥对该凭证验证信息进行加密，然后将加密后的凭证验证信息上传至第三区块链节点。

在实施中，数字身份信息可以通过多种方式展现，如DID(Decentralized Identity，去中心化身份)等，DID还可以称为分布式数字身份。数字凭证也可以通过多种方式展现，如可验证声明(Verifiable Claims，简称VC)等。

在本申请中，区块链系统是一种分布式系统，分布式系统可以由多个节点(接入网络中的任意形式的计算设备，如服务器、用户终端)通过网络通信的形式连接形成。区块链技术由多个节点形成，节点之间形成组成的点对点(P2P，Peer To Peer)网络，P2P协议是一个运行在传输控制协议(TCP，Transmission Control Protocol)协议之上的应用层协议。在区块链技术中，任何机器如服务器、终端都可以加入而成为节点，节点包括硬件层、中间层、操作系统层和应用层。

区块链技术中各节点的功能包括：1)路由，节点具有的基本功能，用于支持节点之间的通信。节点除具有路由功能外，还可以具有以下功能：2)区块链，包括一系列按照产生的先后时间顺序相互接续的区块(Block)，新区块一旦加入到区块链中就不会再被移除，区块中记录了区块链技术中节点提交的记录数据，例如交易数据等。

参见图5，是本申请实施例提供的区块结构(Block Structure)的一个可选的示意图，每个区块中包括本区块存储数据记录的哈希值(本区块的哈希值)、以及前一区块的哈希值，各区块通过哈希值连接形成区块链(Blockchain)。另外，区块中还可以包括有区块生成时的时间戳等信息。区块链，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了相关的信息，用于验证其信息的有效性(防伪)和生成下一个区块。

智能合约，计算机化的协议，可以执行某个合约的条款，通过部署在共享账本上的用于在满足一定条件时而执行的代码实现，根据实际的业务需求代码用于完成自动化的交易，例如查询买家所购买商品的物流状态，在买家签收货物后将买家的虚拟资源转移到商户的地址；当然，智能合约不仅限于执行用于交易的合约，还可以执行对接收的信息进行处理的合约。

以下将参照图6和图7对基于区块链的身份信息处理系统进行描述，图6示出了根据本申请一实施例的基于区块链的身份信息处理系统的系统架构图；图7示出了图6给出的系统架构的情况下基于区块链的身份信息处理系统的处理流程图。

如图6所示，终端610可指示利用区块链技术参与凭证处理的各个设备，包括用户终端、凭证签发设备以及凭证验证设备。终端610中可具有实现各自功能的程序。在实施中，所述程序可以是一个或多个软件开发包(SDK)的形式。举例来说，在终端610为用户终端的情况下，所述程序可包括生成DID、提交DID以及向凭证签发设备发送凭证申请并生成以上提及的目标凭证集合的代码。

终端620是指并非直接参与凭证处理的第三方设备。在实施中，终端620可指示期望查看凭证验证的记录的设备。在此情况下，终端620可通过解释器640内的程序获取该验证相关的DID信息、凭证信息等。在某些信息存储在链外(例如，本地存储器或者云存储器)的情况下，解释器640还可向终端620提供存储器630的存储地址。

在基于区块链的实现方式中，所产生的各种数据(例如，第一验证信息等)可存储在区块链节点中，也可存储在链下，例如，可存储在本地存储器或远程存储器内。在实施中，可 将认证型凭证信息存储在与其对应的区块链节点上，其中，所述认证型凭证信息是指仅需要根据需求进行判断后的判断结果的凭证，例如，是否为合法公民，是否结婚，是否有孩子。此外，所述终端设备将专业型凭证存储在非区块链节点上，其中，专业型凭证是指需要提供具体内容的凭证，例如，用户的身份证照片、用户的指纹信息等。

从图6可以看出，基于区块链技术的分布式身份信息处理系统不仅可以生成凭证、签发凭证并验证凭证，还可以开放查看功能，向需要查看该凭证的处理记录的终端开放查看权限。此外，还可根据凭证类型确定不同的存储方式。

以下将参照图7详细描述基于区块链的身份信息处理系统的处理流程。

如图7所示，在步骤S710，终端设备71、凭证签发设备72以及凭证验证设备73可利用应用程序申请各自的DID。作为示例，用户可根据需要提供的信息利用DID相关应用程序获取该用户的DID以及对应的公私钥。

在步骤S720，终端设备71、凭证签发设备72以及凭证验证设备73利用该DID与公钥，向区块链系统发送申请新的区块链账号的请求。在发送请求后，终端设备71、凭证签发设备72以及凭证验证设备73可从区块链系统获得已生成新的区块链账号的指示。该区块链账号可以与区块链系统上的各个区块链地址相关联。由此，终端设备71、凭证签发设备72以及凭证验证设备73可获取到与各自对应的区块链节点。

在步骤S730，终端设备71可利用第一区块链节点向区块链系统发出申请凭证的请求。在实施中，第一区块链节点可利用预先布置的第一智能合约，发出申请凭证的请求。所述区块链系统接收到该请求后，可通知凭证签发设备72的第二区块链节点。凭证签发设备72可根据用户所请求的凭证，收集所需要的用户信息。在实施中，可根据需要，可利用区块链技术获取第一区块链节点提供的这些用户信息。在实施中，终端设备71可获取该凭证签发设备72对应的公钥，然后将这些用户信息利用该公钥进行加密并利用第一区块链节点提供到区块链中。凭证签发设备72可获取第一区块链节点提供的这些加密后的用户信息，然后利用凭证签发设备72的私钥对这些用户信息进行解密，获取这些用户信息。此外，在实施中，凭证签发设备72还可利用在区块链上存储的链外地址获取这些用户信息。

在步骤S740，凭证签发设备72可利用获取的用户信息按照如上所述的步骤获取第一集合。获取的第一集合可利用终端设备71的公钥进行加密，并将加密后的第一集合利用第一区块链节点上传至区块链上，或者被存储在链外。如图7所示，所述第一集合可被加密并存储在链外存储器74上。所述链外存储器74可指示各个终端的本地存储器，还可以指示各个终端的远程存储器(例如，云存储器)，本申请对此不设限制。

在终端设备71接收到存储完成的指令后，在步骤S750，所述终端设备71可利用第一区块链节点，获取所述第二区块链节点提供的第一集合，或者可根据链外存储器74的存储地址，获取链外存储器74内存储的第一集合。

随后，终端设备71可根据来自凭证验证设备所要求验证的凭证，在步骤S760，确定目标凭证集合。确定的目标凭证集合可利用凭证验证设备73的公钥进行加密，并利用第三区块链节点存储在区块链上，或者被存储在链外，如图7所示，被存储在链外存储器74上。所述链外存储器74可指示各个终端的本地存储器，还可以指示各个终端的远程存储器(例如，云存储器)，本申请对此不设限制。

在存储完成后，区块链系统可通知凭证验证设备执行步骤S770，获取目标凭证集合。并 按照如上步骤根据目标凭证集合生成凭证验证信息。并将凭证验证信息按照如上步骤存储在区块链系统中。

可以理解的是，为了实现上述功能，根据本申请的示例性实施例的身份信息处理设备可包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请实施例的范围。

本申请实施例可以根据上述方法示例对上述终端等进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用对应各个功能划分各个功能模块的情况下，图8示出了上述实施例中所涉及的身份信息处理设备的一种可能的结构示意图。

在所述身份信息处理设备800执行如图3中的终端设备31所执行的步骤的情况下，所述身份信息处理设备800可包括集合获取单元810、目标验证集合确定单元820以及目标验证集合提供单元830。

集合获取单元810用于从凭证签发设备获取与多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息。

目标验证集合确定单元820用于基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述多个第一用户信息中的目标用户信息以及所述多个第一凭证信息中与所述目标用户信息对应的目标凭证信息。

验证集合提供单元830可用于向所述凭证验证设备提供所述目标验证集合。

可选地，所述集合获取单元810还用于获取与多个第二用户信息对应的第二集合，其中，所述第二集合包括第二加密信息集合和第二凭证信息集合，所述第二加密信息集合包括所述多个第二用户信息进行对应加密后的多个第二加密信息，所述第二凭证信息集合包括对所述多个第二用户信息执行签发处理后的多个第二凭证信息。

可选地，所述验证集合确定单元830还用于基于所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述目标用户信息和与所述目标用户信息对应的目标凭证信息，其中，所述目标验证集合包括：所述多个第二用户信息中的目标用户信息以及所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。

可选地，所述验证集合确定单元830还用于基于所述第一集合中的第一加密信息集合和第一凭证信息集合以及所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括：所述多个第一 用户信息和所述多个第二用户信息中的目标用户信息以及所述多个第一凭证信息和所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。

在根据本申请的一实施例的身份信息处理设备执行如图3中的凭证验证设备33所执行的步骤的情况下，该身份信息处理设备可指示图9中所述的身份信息处理设备900。

所述身份信息验证设备可包括接收设备910、目标验证集合获取单元920以及凭证验证信息提供单元930。

接收单元910用于接收服务请求。

目标验证集合获取单元920用于从所述终端设备获取目标验证集合，其中，所述目标验证集合包括与服务对应的目标用户信息和目标凭证信息。

凭证验证信息提供单元930用于对所述目标验证集合进行验证，向所述终端设备提供凭证验证信息，其中，所述凭证验证信息用于指示所述目标验证集合是否通过验证。

在根据本申请的一实施例的身份信息处理设备执行如图3中的凭证签发设备32所执行的步骤的情况下，该身份信息处理设备可指示图10中所述的身份信息处理设备1000。

所述身份信息处理设备1000可包括集合确定单元1010和集合提供单元1020。

集合确定单元1010用于确定与多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息。

集合提供单元1020向所述终端设备提供所述第一集合。

此外，本申请的示例性实施例的身份信息处理系统可包括如图8所示的身份信息处理设备800、如图9所示的身份信息处理设备900以及如图10所示的身份信息处理设备1000。在实施中，所述身份信息处理设备800及其对应的第一区块链节点、所述身份信息处理设备900及其对应的第二区块链节点和/或所述身份信息处理设备1000及其对应的第三区块链节点均可采用如图11所述的计算设备。

图11示出根据本申请一实施例的计算设备的框图。计算设备1100典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。

取决于期望的配置，处理器204可以是任何类型的处理，包括但不限于：微处理器(μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器218可以与处理器204一起使用，或者在一些实现中，存储器控制器218可以是处理器204的一个内部部分。

处理器210可以运行本申请实施例提供的身份信息处理设备，以便于用户参与定制与特定场景匹配的数字凭证，从而避免了隐私泄露。处理器210可以包括不同的器件，比如集成CPU和GPU时，CPU和GPU可以配合执行本申请实施例提供的身份信息处理方法，比如身份信息处理方法中的部分算法由CPU执行，另一部分算法由GPU执行，以得到较快的处理效率。

取决于期望的配置，系统存储器206可以是任意类型的存储器，包括但不限于：易失性 存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器206可以包括操作系统220、一个或者多个程序222以及程序数据224。在一些实施方式中，程序222可以布置为在操作系统上由一个或多个处理器204利用程序数据224执行指令。

上述指令可以用于执行如图3至图7中的相应实施例中的各个步骤，在所述计算设备1100为终端设备的情况下，该程序222可以包括：终端设备从凭证签发设备获取与多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息；所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述多个第一用户信息中的目标用户信息以及所述多个第一凭证信息中与所述目标用户信息对应的目标凭证信息；所述终端设备向所述凭证验证设备提供所述目标验证集合。

在所述计算设备1100为验证凭证设备的情况下，所述程序222可包括：凭证验证设备接收服务请求；所述凭证验证设备从终端设备获取目标验证集合，其中，所述目标验证集合包括与服务对应的目标用户信息和目标凭证信息；所述凭证验证设备对所述目标验证集合进行验证，向所述终端设备提供凭证验证信息，其中，所述凭证验证信息用于指示所述目标验证集合是否通过验证。

在所述计算设备1100为凭证签发设备的情况下，所述程序222可包括：所述凭证签发设备确定与所述多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息；所述凭证签发设备向所述终端设备提供所述第一集合。

如图11所示，在本申请中并不对存储设备232的类型做任何限定，例如，存储设备232可以是存储区域网设备，也可以是包含文件系统的存储设备，诸如，网络附属存储(Network Attached Storage NAS)设备。

此外，存储设备232可包括可移除存储器232以及不可移除存储器238。在本申请中提及的存储单元指示分布在作为不可移除存储器的硬盘上的存储空间，其中，硬盘可指示多种类型的硬盘，例如，固态硬盘(Solid State Drive,SSD)或者串行连接SCSI(Serial Attached SCSI，SAS)或者光纤通道(Fiber Channel，FC)硬盘驱动器(Hard Disk Drive，HDD)，其中，SCSI(Small Computer System Interface)为小型机系统接口等，

作为示例，在存储设备232是SAN设备的情况下，存储单元可指示分布在硬盘上的一段逻辑存储空间，也就是逻辑单元(Logic Unit，LU)，而逻辑单元号(Logic Unit Number，LUN)用于标识逻辑单元，该逻辑单元可通过SCSI寻址。在实施中，存储设备可将物理硬盘进行分区，各个分区可作为拥有逻辑地址的存储单元(即，LUN)以供主机进行访问。

计算设备200还可以包括有助于从各种接口设备(例如，输出设备242、外设接口244和通信设备246)到基本配置经由总线/接口控制器230的通信的接口总线240。示例的输出设备242包括图形处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个A/V端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。

输出设备242可以是显示器，所述显示器用于显示图像，视频等。显示器包括显示面板。 显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emitting diode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrix organic light emitting diode的，AMOLED)，柔性发光二极管(flex light-emitting diode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot light emitting diodes，QLED)等。在一些实施例中，显示器可以包括1个或N个显示屏，N为大于1的正整数。显示器可用于显示由用户输入的信息或提供给用户的信息以及各种图形用户界面(graphical user interface，GUI)。例如，显示器可以显示照片、视频、网页、或者文件等。再例如，显示器可以显示图形用户界面。其中，图形用户界面上包括状态栏、可隐藏的导航栏、时间和天气小组件(widget)、以及应用的图标，例如浏览器图标等。状态栏中包括运营商名称(例如中国移动)、移动网络(例如4G)、时间和剩余电量。导航栏中包括后退(back)键图标、主屏幕(home)键图标和前进键图标。此外，可以理解的是，在一些实施例中，状态栏中还可以包括蓝牙图标、Wi-Fi图标、外接设备图标等。还可以理解的是，在另一些实施例中，图形用户界面中还可以包括Dock栏，Dock栏中可以包括常用的应用图标等。当处理器210检测到用户的手指(或触控笔等)针对某一应用图标的触摸事件后，响应于该触摸事件，打开与该应用图标对应的应用的用户界面，并在显示器上显示该应用的用户界面。对应于本申请的示例性实施例，显示器可显示需要用户填写的电子表格，其中，该电子表格中可包括各种用户信息。

在本申请实施例中，显示器可以是一个一体的柔性显示屏，也可以采用两个刚性屏以及位于两个刚性屏之间的一个柔性屏组成的拼接显示屏。

示例外设接口244可以包括串行接口控制器254和并行接口控制器256，它们可以被配置为有助于经由一个或者多个I/O端口258和诸如输入设备(例如，键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络控制器260，其可以被布置为便于经由一个或者多个通信端口264与一个或者多个其他计算设备262通过网络通信链路的通信。

网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块，并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号，它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例，通信介质可以包括诸如有线网络或者专线网络之类的有线介质，以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。

计算设备1100可以实现为服务器，例如文件服务器、数据库服务器、应用程序服务器和WEB服务器等，也可以实现为小尺寸便携(或者移动)电子设备的一部分，这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备200还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。

应理解，在实际应用中，计算设备1100可以包括比图11所示的更多或更少的部件，本申请实施例不作限定。图示计算设备1100仅是一个范例，并且计算设备1100可以具有比图中所示出的更多的或者更少的部件，可以组合两个或更多的部件，或者可以具有不同的部件 配置。图中所示出的各种部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件、或硬件和软件的组合中实现。

本申请的实施例提供了一种身份信息处理设备，包括：处理器以及用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令时实现上述方法。

本申请的实施例提供了一种非易失性计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述方法。

本申请的实施例提供了一种计算机程序产品，包括计算机可读代码，或者承载有计算机可读代码的非易失性计算机可读存储介质，当所述计算机可读代码在电子设备的处理器中运行时，所述电子设备中的处理器执行上述方法。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(Random Access Memory，RAM)、只读存储器(Read Only Memory，ROM)、可擦式可编程只读存储器(Electrically Programmable Read-Only-Memory，EPROM或闪存)、静态随机存取存储器(Static Random-Access Memory，SRAM)、便携式压缩盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、数字多功能盘(Digital Video Disc，DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。

这里所描述的计算机可读程序指令或代码可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本申请操作的计算机程序指令可以是汇编指令、指令集架构(Instruction Set Architecture，ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(Local Area Network，LAN)或广域网(Wide Area Network，WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或可编程逻辑阵列(Programmable Logic Array，PLA)，该电子电路可以执行计算机可读程序指令，从而实现本申请的各个方面。

这里参照根据本申请实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各 方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本申请的多个实施例的装置、系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。

也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行相应的功能或动作的硬件(例如电路或ASIC(Application Specific Integrated Circuit，专用集成电路))来实现，或者可以用硬件和软件的组合，如固件等来实现。

尽管在此结合各实施例对本发明进行了描述，然而，在实施所要求保护的本发明过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其它变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其它单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

以上已经描述了本申请的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (18)

1. 一种身份信息处理方法，其特征在于，包括：

   终端设备从凭证签发设备获取与多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息；

   所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述多个第一用户信息中的目标用户信息以及所述多个第一凭证信息中与所述目标用户信息对应的目标凭证信息；

   所述终端设备向所述凭证验证设备提供所述目标验证集合。
2. 如权利要求1所述的方法，其特征在于，所述终端设备从凭证签发设备获取与所述多个第一用户信息对应的第一集合，包括：

   所述终端设备利用与所述终端设备对应的第一区块链节点，获取与凭证签发设备对应的第二区块链节点提供的所述第一集合。
3. 如权利要求1所述的方法，其特征在于，所述终端设备从凭证签发设备获取与所述多个第一用户信息对应的第一集合，包括：

   所述终端设备提出数据请求；

   所述凭证签发设备将从本地或者云存储获取所述第一集合来响应所述终端设备提出的所述数据请求。
4. 如权利要求1至3中的任一权利要求所述的方法，其特征在于，还包括：

   所述终端设备获取与多个第二用户信息对应的第二集合，其中，所述第二集合包括第二加密信息集合和第二凭证信息集合，所述第二加密信息集合包括所述多个第二用户信息进行对应加密后的多个第二加密信息，所述第二凭证信息集合包括对所述多个第二用户信息执行签发处理后的多个第二凭证信息。
5. 如权利要求4所述的方法，其特征在于，还包括：

   所述终端设备基于所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述目标用户信息和与所述目标用户信息对应的目标凭证信息，其中，所述目标验证集合包括：所述多个第二用户信息中的目标用户信息以及所述多个第二凭证信息中与所述目标用户信息对应的目标 凭证信息。
6. 如权利要求4所述的方法，其特征在于，所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，包括：

   所述终端设备基于所述第一集合中的第一加密信息集合和第一凭证信息集合以及所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括：所述多个第一用户信息和所述多个第二用户信息中的目标用户信息以及所述多个第一凭证信息和所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。
7. 如权利要求1所述的方法，其特征在于，所述第一集合还包括所述凭证签发设备对所述多个第一凭证信息进行集体签名后获取的第一签名信息。
8. 如权利要求7所述的方法，其特征在于，所述终端设备在向所述凭证验证设备提供所述目标验证集合后，还包括：

   所述终端设备向所述凭证验证设备提供所述第一凭证信息集合以及所述第一签名信息。
9. 一种身份信息处理方法，其特征在于，包括：

   凭证验证设备接收服务请求；

   所述凭证验证设备从终端设备获取目标验证集合，其中，所述目标验证集合包括与服务对应的目标用户信息和目标凭证信息；

   所述凭证验证设备对所述目标验证集合进行验证，向所述终端设备提供凭证验证信息，其中，所述凭证验证信息用于指示所述目标验证集合是否通过验证。
10. 如权利要求9所述的方法，其特征在于，还包括：

    所述凭证验证设备从所述终端设备获取第一凭证信息集合和第一签名信息，其中，第一凭证信息集合是包括多个第一凭证信息，第一签名信息是对所述多个第一凭证信息进行集体签名后获取的信息。
11. 一种终端设备，其特征在于，包括：

    集合获取单元，用于从凭证签发设备获取与多个第一用户信息对应的第一集合，其中，所述第一集合包括第一加密信息集合和第一凭证信息集合，所述第一加密信息集合包括对所述多个第一用户信息进行对应加密后的多个第一加密信息，所述第一凭证信息集合包括对所述多个第一用户信息执行签发处理后的多个第一凭证信息；

    目标验证集合确定单元，用于基于所述第一集合中的第一加密信息集合和第一凭证信息 集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述多个第一用户信息中的目标用户信息以及所述多个第一凭证信息中与所述目标用户信息对应的目标凭证信息；

    目标验证集合提供单元，用于向所述凭证验证设备提供所述目标验证集合。
12. 如权利要求11所述的终端设备，其特征在于，所述集合获取单元还用于获取与多个第二用户信息对应的第二集合，其中，所述第二集合包括第二加密信息集合和第二凭证信息集合，所述第二加密信息集合包括所述多个第二用户信息进行对应加密后的多个第二加密信息，所述第二凭证信息集合包括对所述多个第二用户信息执行签发处理后的多个第二凭证信息。
13. 如权利要求12所述的终端设备，其特征在于，所述验证集合确定单元还用于基于所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括所述目标用户信息和与所述目标用户信息对应的目标凭证信息，其中，所述目标验证集合包括：所述多个第二用户信息中的目标用户信息以及所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。
14. 如权利要求12所述的终端设备，其特征在于，所述验证集合确定单元还用于基于所述第一集合中的第一加密信息集合和第一凭证信息集合以及所述第二集合中的第二加密信息集合和第二凭证信息集合，确定与所述用户的目标用户信息对应的目标验证集合，其中，所述目标验证集合包括：所述多个第一用户信息和所述多个第二用户信息中的目标用户信息以及所述多个第一凭证信息和所述多个第二凭证信息中与所述目标用户信息对应的目标凭证信息。
15. 一种凭证验证设备，其特征在于，包括：

    接收单元，用于接收服务请求；

    目标验证集合获取单元，用于从终端设备获取目标验证集合，其中，所述目标验证集合包括与服务对应的目标用户信息和目标凭证信息；

    凭证验证信息提供单元，用于对所述目标验证集合进行验证，向所述终端设备提供凭证验证信息，其中，所述凭证验证信息用于指示所述目标验证集合是否通过验证。
16. 一种身份信息验证设备，其特征在于，包括：

    处理器；

    用于存储处理器可执行指令的存储器；

    其中，所述处理器被配置为执行所述指令时实现权利要求1-8任意一项所述的方法，或者权利要求9-10任意一项所述的方法。
17. 一种非易失性计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现权利要求1-8任意一项所述的方法，或者权利要求9-10任意一项所述的方法的步骤。
18. 一种计算机程序产品，其特征在于，所述计算机程序产品包括指令，所述指令用于指示服务器执行权利要求1-8任意一项所述的方法的步骤，或者权利要求9-10任意一项所述的方法的步骤。

Images