认证信息处理方法、装置、设备及存储介质

IPRDB

API 数据接口

专利申请

使用指引 chat嘟嘟

会员体验

联系我们

交流群

现在联系顾问~

认证信息处理方法、装置、设备及存储介质
申请号	CN202011092255.7	申请日	2020-10-13	公开(公告)号	CN112199721A	公开(公告)日	2021-01-08
申请人	腾讯科技(北京)有限公司;			发明人	潘成锋;
摘要	本公开提供一种认证信息处理方法、装置、设备及存储介质，涉及区块链技术领域。该方法包括：通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息；第一认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息；利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对目标认证信息进行签名，生成第一认证凭证；将目标私人信息离线存储至第一认证实体节点；将第一认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享第一认证凭证。该方法实现了机构之间的用户信息共享的情况下保护用户的私人信息。
权利要求	1.一种认证信息处理方法，其特征在于，包括：通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息；所述第一认证实体节点根据所述目标对象分布式身份标识和所述目标私人信息生成所述目标对象的目标认证信息；利用所述第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对所述目标认证信息进行签名，生成第一认证凭证；将所述目标私人信息离线存储至所述第一认证实体节点；将所述第一认证凭证发送至与所述区块链网络中的各个节点通信连接的身份中心，以便所述区块链网络中的各个节点共享所述第一认证凭证。 2.根据权利要求1所述的方法，其特征在于，还包括：通过所述区块链网络中的信息使用实体节点，获取所述目标对象分布式身份标识和第一认证凭证标识，所述第一认证凭证标识与所述第一认证凭证具有对应关系；所述信息使用实体节点根据所述目标对象分布式身份标识和所述第一认证凭证标识从所述身份中心获取所述第一认证凭证；所述信息使用实体节点根据所述区块链网络的交易记录对所述第一认证凭证进行验证。 3.根据权利要求2所述的方法，其特征在于，所述信息使用实体节点根据所述目标对象分布式身份标识和所述第一认证凭证标识从所述身份中心获取所述第一认证凭证包括：所述信息使用实体节点根据所述目标对象分布式身份标识进行解析，获得目标对象分布式身份标识文档；所述信息使用实体节点从所述目标对象分布式身份标识文档中获取所述身份中心的地址；所述信息使用实体节点访问所述身份中心的地址，获取所述目标对象的认证凭证列表；根据所述第一认证凭证标识从所述认证凭证列表中获取所述第一认证凭证。 4.根据权利要求3所述的方法，其特征在于，所述信息使用实体节点根据所述目标对象分布式身份标识进行解析，获得目标对象分布式身份标识文档包括：所述信息使用实体节点根据所述第一认证凭证标识获得所述第一认证实体分布式身份标识；所述信息使用实体节点根据所述第一认证实体分布式身份标识访问所述第一认证实体节点；通过所述第一认证实体节点根据所述目标私人信息对应的加密文件名从分布式哈希表中获取所述目标对象分布式身份标识文档的地址；所述信息使用实体节点访问所述目标对象分布式身份标识文档的地址，解析获得目标对象分布式身份标识文档。 5.根据权利要求4所述的方法，其特征在于，所述目标对象分布式身份标识文档的地址为所述目标对象分布式身份标识文档在所述第一认证实体节点的地址，或者所述目标对象分布式身份标识文档的地址为所述目标对象分布式身份标识文档在所述身份中心的地址。 6.根据权利要求1所述的方法，其特征在于，还包括：通过区块链网络中的第二认证实体节点，获取目标对象的目标对象分布式身份标识和更新的目标私人信息；所述第二认证实体节点根据所述目标对象分布式身份标识和所述更新的目标私人信息生成所述目标对象的更新的目标认证信息；利用所述第二认证实体节点的第二认证实体分布式身份标识对应的第二认证实体私钥对所述更新的目标认证信息进行签名，生成第二认证凭证；将所述更新的目标私人信息离线存储至所述第二认证实体节点；将所述第二认证凭证发送至所述身份中心，以便所述区块链网络中的各个节点共享所述第二认证凭证。 7.根据权利要求5所述的方法，其特征在于，还包括：通过所述区块链网络中的信息使用实体节点，获取所述目标对象分布式身份标识和第二认证凭证标识，所述第二认证凭证标识与所述第二认证凭证具有对应关系；所述信息使用实体节点根据所述目标对象分布式身份标识和所述第二认证凭证标识从所述身份中心获取所述目标对象的认证凭证列表，所述认证凭证列表包括所述第一认证凭证和所述第二认证凭证；所述信息使用实体节点根据所述第二认证凭证标识从所述认证凭证列表中获取所述第二认证凭证；所述信息使用实体节点根据所述区块链网络的交易记录对所述第二认证凭证进行验证。 8.根据权利要求1所述的方法，其特征在于，还包括：所述第一认证实体节点获取所述目标对象分布式身份标识和更新的目标私人信息；所述第一认证实体节点根据所述目标对象分布式身份标识和所述更新的目标私人信息生成所述目标对象的更新的目标认证信息；利用所述第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对所述更新的目标认证信息进行签名，生成更新的第一认证凭证；更新在所述第一认证实体节点存储的所述目标私人信息，以将所述更新的目标私人信息离线存储至所述第一认证实体节点；将所述更新的第一认证凭证发送至所述身份中心，以便将存储在所述身份中心的第一认证凭证更新为所述更新的第一认证凭证。 9.根据权利要求8所述的方法，其特征在于，所述更新的第一认证凭证的标识为所述第一认证凭证标识；所述方法还包括：通过所述区块链网络中的信息使用实体节点，获取所述目标对象分布式身份标识和所述第一认证凭证标识；所述信息使用实体节点根据所述目标对象分布式身份标识和所述第以认证凭证标识从所述身份中心获取所述更新的第一认证凭证；所述信息使用实体节点根据所述区块链网络的交易记录对所述更新的第一认证凭证进行验证。 10.根据权利要求1所述的方法，其特征在于，还包括：通过所述第一认证实体节点在所述身份中心对所述第一认证凭证进行标记。 11.根据权利要求1所述的方法，其特征在于，还包括：通过所述区块链网络中的信息使用实体节点在所述身份中心对所述第一认证凭证进行标记。 12.一种认证信息处理装置，其特征在于，包括：信息获取模块，用于通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息；凭证生成模块，用于所述第一认证实体节点根据所述目标对象分布式身份标识和所述目标私人信息生成所述目标对象的目标认证信息；凭证认证模块，用于利用所述第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对所述目标认证信息进行签名，生成第一认证凭证；私人信息存储模块，用于将所述目标私人信息离线存储至所述第一认证实体节点；认证凭证存储模块，用于将所述第一认证凭证发送至与所述区块链网络中的各个节点通信连接的身份中心，以便所述区块链网络中的各个节点共享所述第一认证凭证。 13.一种设备，包括：存储器、处理器及存储在所述存储器中并可在所述处理器中运行的可执行指令，其特征在于，所述处理器执行所述可执行指令时实现如权利要求1-11任一项所述的方法。 14.一种计算机可读存储介质，其上存储有计算机可执行指令，其特征在于，所述可执行指令被处理器执行时实现如权利要求1-11任一项所述的方法。
说明书全文	认证信息处理方法、装置、设备及存储介质技术领域 [0001] 本公开涉及区块链技术领域，具体而言，涉及一种认证信息处理方法、装置、设备及可读存储介质。背景技术 [0002] 个人用户或企业用户在一些机构办理相关业务时，通常需要提供私人信息，如身份证信息、手机号码、纳税信息等等，用以证明用户的资质、提供用户的属性证明等等。用户在一个机构提供了私人信息后，可在该机构获得相应的资质或属性证明，但在用户需要去另外一个机构办理业务时，仍需要再次提供私人信息以获得所需的资质或属性证明。若采用机构之间共享私人信息的方式，则在用户的私人信息进行流通时会增加隐私泄露的风险。 [0003] 如上所述，如何实现机构之间的用户信息共享的情况下不泄露用户的私人信息成为亟待解决的问题。 [0004] 在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。发明内容 [0005] 本公开的目的在于提供一种认证信息处理方法、装置、设备及可读存储介质，以实现机构之间的用户信息共享的情况下保护用户的私人信息。 [0006] 本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。 [0007] 根据本公开的一方面，提供一种认证信息处理方法，包括：通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息；所述第一认证实体节点根据所述目标对象分布式身份标识和所述目标私人信息生成所述目标对象的目标认证信息；利用所述第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对所述目标认证信息进行签名，生成第一认证凭证；将所述目标私人信息离线存储至所述第一认证实体节点；将所述第一认证凭证发送至与所述区块链网络中的各个节点通信连接的身份中心，以便所述区块链网络中的各个节点共享所述第一认证凭证。 [0008] 根据本公开的一实施例，所述方法还包括：通过所述区块链网络中的信息使用实体节点，获取所述目标对象分布式身份标识和第一认证凭证标识，所述第一认证凭证标识与所述第一认证凭证具有对应关系；所述信息使用实体节点根据所述目标对象分布式身份标识和所述第一认证凭证标识从所述身份中心获取所述第一认证凭证；所述信息使用实体节点根据所述区块链网络的交易记录对所述第一认证凭证进行验证。 [0009] 根据本公开的一实施例，所述信息使用实体节点根据所述目标对象分布式身份标识和所述第一认证凭证标识从所述身份中心获取所述第一认证凭证包括：所述信息使用实体节点根据所述目标对象分布式身份标识进行解析，获得目标对象分布式身份标识文档；所述信息使用实体节点从所述目标对象分布式身份标识文档中获取所述身份中心的地址；所述信息使用实体节点访问所述身份中心的地址，获取所述目标对象的认证凭证列表；根据所述第一认证凭证标识从所述认证凭证列表中获取所述第一认证凭证。 [0010] 根据本公开的一实施例，所述信息使用实体节点根据所述目标对象分布式身份标识进行解析，获得目标对象分布式身份标识文档包括：所述信息使用实体节点根据所述第一认证凭证标识获得所述第一认证实体分布式身份标识；所述信息使用实体节点根据所述第一认证实体分布式身份标识访问所述第一认证实体节点；通过所述第一认证实体节点根据所述目标私人信息对应的加密文件名从分布式哈希表中获取所述目标对象分布式身份标识文档的地址；所述信息使用实体节点访问所述目标对象分布式身份标识文档的地址，解析获得目标对象分布式身份标识文档。 [0011] 根据本公开的一实施例，所述目标对象分布式身份标识文档的地址为所述目标对象分布式身份标识文档在所述第一认证实体节点的地址，或者所述目标对象分布式身份标识文档的地址为所述目标对象分布式身份标识文档在所述身份中心的地址。 [0012] 根据本公开的一实施例，所述方法还包括：通过区块链网络中的第二认证实体节点，获取目标对象的目标对象分布式身份标识和更新的目标私人信息；所述第二认证实体节点根据所述目标对象分布式身份标识和所述更新的目标私人信息生成所述目标对象的更新的目标认证信息；利用所述第二认证实体节点的第二认证实体分布式身份标识对应的第二认证实体私钥对所述更新的目标认证信息进行签名，生成第二认证凭证；将所述更新的目标私人信息离线存储至所述第二认证实体节点；将所述第二认证凭证发送至所述身份中心，以便所述区块链网络中的各个节点共享所述第二认证凭证。 [0013] 根据本公开的一实施例，所述方法还包括：通过所述区块链网络中的信息使用实体节点，获取所述目标对象分布式身份标识和第二认证凭证标识，所述第二认证凭证标识与所述第二认证凭证具有对应关系；所述信息使用实体节点根据所述目标对象分布式身份标识和所述第二认证凭证标识从所述身份中心获取所述目标对象的认证凭证列表，所述认证凭证列表包括所述第一认证凭证和所述第二认证凭证；所述信息使用实体节点根据所述第二认证凭证标识从所述认证凭证列表中获取所述第二认证凭证；所述信息使用实体节点根据所述区块链网络的交易记录对所述第二认证凭证进行验证。 [0014] 根据本公开的一实施例，所述方法还包括：所述第一认证实体节点获取所述目标对象分布式身份标识和更新的目标私人信息；所述第一认证实体节点根据所述目标对象分布式身份标识和所述更新的目标私人信息生成所述目标对象的更新的目标认证信息；利用所述第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对所述更新的目标认证信息进行签名，生成更新的第一认证凭证；更新在所述第一认证实体节点存储的所述目标私人信息，以将所述更新的目标私人信息离线存储至所述第一认证实体节点；将所述更新的第一认证凭证发送至所述身份中心，以便将存储在所述身份中心的第一认证凭证更新为所述更新的第一认证凭证。 [0015] 根据本公开的一实施例，所述更新的第一认证凭证的标识为所述第一认证凭证标识；所述方法还包括：通过所述区块链网络中的信息使用实体节点，获取所述目标对象分布式身份标识和所述第一认证凭证标识；所述信息使用实体节点根据所述目标对象分布式身份标识和所述第以认证凭证标识从所述身份中心获取所述更新的第一认证凭证；所述信息使用实体节点根据所述区块链网络的交易记录对所述更新的第一认证凭证进行验证。 [0016] 根据本公开的一实施例，所述方法还包括：通过所述第一认证实体节点在所述身份中心对所述第一认证凭证进行标记。 [0017] 根据本公开的一实施例，所述方法还包括：通过所述区块链网络中的信息使用实体节点在所述身份中心对所述第一认证凭证进行标记。 [0018] 根据本公开的一方面，提供一种认证信息处理装置，包括：信息获取模块，用于通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息；凭证生成模块，用于所述第一认证实体节点根据所述目标对象分布式身份标识和所述目标私人信息生成所述目标对象的目标认证信息；凭证认证模块，用于利用所述第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对所述目标认证信息进行签名，生成第一认证凭证；私人信息存储模块，用于将所述目标私人信息离线存储至所述第一认证实体节点；认证凭证存储模块，用于将所述第一认证凭证发送至与所述区块链网络中的各个节点通信连接的身份中心，以便所述区块链网络中的各个节点共享所述第一认证凭证。 [0019] 根据本公开的一方面，提供一种设备，包括：存储器、处理器及存储在所述存储器中并可在所述处理器中运行的可执行指令，所述处理器执行所述可执行指令时实现如上述任一种方法。 [0020] 根据本公开的一方面，提供一种计算机可读存储介质，其上存储有计算机可执行指令，所述可执行指令被处理器执行时实现如上述任一种方法。 [0021] 根据本公开的一方面，提供了一种计算机产品或计算机程序，该计算机产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行时实现上述任一种方法。 [0022] 本公开的实施例提供的认证信息处理方法，通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息，第一认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息，利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对目标认证信息进行签名，生成第一认证凭证，将目标私人信息离线存储至第一认证实体节点，并将第一认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享第一认证凭证，从而实现了机构之间的用户信息共享的情况下保护用户的私人信息。 [0023] 应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。附图说明 [0024] 通过参照附图详细描述其示例实施例，本公开的上述和其它目标、特征及优点将变得更加显而易见。 [0025] 图1A示出本公开实施例中一种系统结构的示意图。 [0026] 图1B示出本公开实施例中一种区块链中的区块生成方法流程示意图。 [0027] 图2A是根据一示例性实施例示出的一种用于认证信息处理的系统架构图。 [0028] 图2B是根据一示例性实施例示出的一种基于图2A的系统架构进行认证信息处理的流程示意图。 [0029] 图2C是根据一示例性实施例示出的一种KYB&KYC信息认证及使用业务的总体流程示意图。 [0030] 图3是根据一示例性实施例示出的一种认证信息处理方法的流程图。 [0031] 图4是根据一示例性实施例示出的一种认证凭证使用方法的流程图。 [0032] 图5是根据一示例性实施例示出的一种认证凭证获取方法的流程图。 [0033] 图6示出了图5中步骤S4042的一种示例性的处理过程。 [0034] 图7是根据一示例性实施例示出的一种KYB&KYC信息流转示意图。 [0035] 图8是根据一示例性实施例示出的一种KYB&KYC信息凭证使用业务流程的信息交互图。 [0036] 图9是根据一示例性实施例示出的一种认证凭证更新方法的流程图。 [0037] 图10是根据一示例性实施例示出的一种更新认证凭证的使用方法的流程图。 [0038] 图11是根据一示例性实施例示出的另一种认证凭证更新方法的流程图。 [0039] 图12是根据一示例性实施例示出的一种更新认证凭证的使用方法的流程图。 [0040] 图13是根据一示例性实施例示出的另一种KYB&KYC信息流转示意图。 [0041] 图14是根据一示例性实施例示出的一种KYB&KYC信息防伪流程示意图。 [0042] 图15是根据一示例性实施例示出的一种DID操作流程示意图。 [0043] 图16是根据一示例性实施例示出的一种DID Document内容的架构示意图。 [0044] 图17是根据一示例性实施例示出的一种基于DID的业务处理流程的信息交互图。 [0045] 图18A是根据一示例性实施例示出的一种Verifiable Claims内容的架构示意图。 [0046] 图18B是根据一示例性实施例示出的一种Verifiable Credential内容的架构示意图。 [0047] 图18C是根据一示例性实施例示出的一种Verifiable Presentation内容的架构示意图。图18D是根据一示例性实施例示出的一种Verifiable Claim/Credential 的生成流程示意图。 [0048] 图19是根据一示例性实施例示出的一种认证信息处理装置的框图。 [0049] 图20是根据一示例性实施例示出的另一种认证信息处理装置的框图。 [0050] 图21示出本公开实施例中一种电子设备的结构示意图。具体实施方式 [0051] 现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施例使得本公开将更加全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。 [0052] 此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、装置、步骤等。在其它情况下，不详细示出或描述公知结构、方法、装置、实现或者操作以避免喧宾夺主而使得本公开的各方面变得模糊。 [0053] 此外，在本公开的描述中，除非另有明确的规定和限定，“连接”等术语应做广义理解，例如，可以是电连接或可以互相通讯；可以是直接相连，也可以通过中间媒介间接相连。“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本公开中的具体含义。 [0054] 下面对本公开中涉及到的名词及缩略语进行解释。 [0055] 了解客户(Know Your Customer,KYC)：金融机构实行账户实名制，金融机构需了解个人账户的实际控制人和交易的实际收益人，还要求对客户的身份、常住地址或企业所从事的业务进行充分的了解，并可采取相应的措施。 [0056] 了解业务(Know Your Business,KYB)：金融机构需了解机构企业客户业务的基本状况和变化，财务的基本状况和变化，并对大额资金的流向须按照不同额度设限实行基层双人核验或由上级独立进行复审或批准。 [0057] 分布式身份标识(Decentralized Identify，DID)：一种新类型的标识符，具有全局唯一性、高可用性可解析性和加密可验证性。DIDs通常与加密材料(如公钥)和服务端点相关联，以建立安全的通信信道。DIDs对于任何受益于自管理、加密可验证的标识符(如个人标识符、组织标识符和物联网场景标识符)的应用程序都很有用。例如，当前W3C可验证凭据的商业部署大量使用DIDs来标识人员、组织和事物，并实现许多安全和隐私保护保证。DID标准主要有：W3C的DID标准——A Primer for Decentralized Identifiers；分布式身份标识基础(Decentralized Identity Foundation，DIF)等等。 [0058] 图1A示出了可以应用本公开的认证信息处理方法、装置的示例性数据共享系统架构100。参见图1A所示的数据共享系统100，数据共享系统100是指用于进行节点与节点之间数据共享的系统，该数据共享系统中可以包括多个节点101，多个节点101可以是指数据共享系统中各个客户端，例如可以是认证实体节点、金融机构节点等等。每个节点101在进行正常工作可以接收到输入信息，并基于接收到的输入信息维护该数据共享系统内的共享数据，例如认证实体节点接收目标对象的目标对象分布式身份标识和目标私人信息。为了保证数据共享系统内的信息互通，数据共享系统中的每个节点之间可以存在信息连接，节点之间可以通过上述信息连接进行信息传输。例如，认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息后，可利用认证实体分布式身份标识对应的私钥对目标认证信息进行签名，生成认证凭证，并将认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享该认证凭证。 [0059] 在生成区块链中的各个区块时，参见图1B，区块链所在的节点在接收到如目标私人信息的输入信息(S101)时，对输入信息进行校验，完成校验后，可将输入信息离线存储至内存池中，并更新其用于记录输入信息的哈希树(S102)；之后，将更新时间戳更新为接收到输入信息的时间 (S103)，并尝试不同的随机数(S104)，多次进行(S106)特征值计算(S105)，使得计算得到的特征值可以满足下述公式： [0060] SHA256(SHA256(version+prev_hash+merkle_root+ntime+nbits+x))＜TARGET[0061] 其中，SHA256(哈希256)为计算特征值所用的特征值算法，可把任意长度的消息转化为较短的、固定长度的消息摘要，例如哈希256算法可用于计算目标私人信息的特征值，生成目标私人信息对应的加密文件名； version(版本号)为区块链中相关区块协议的版本信息；prev_hash为当前区块的父区块的区块头特征值；merkle_root为输入信息的特征值；ntime 为更新时间戳的更新时间；nbits为当前难度，在一段时间内为定值，并在超出固定时间段后再次进行确定；x为随机数；TARGET为特征值阈值，该特征值阈值可以根据nbits确定得到。 [0062] 这样，当计算得到满足上述公式的随机数时，便可将信息对应存储，生成区块头和区块主体，得到当前区块(S107)。随后，区块链所在节点根据数据共享系统中其他节点的节点标识，将新生成的区块分别发送给其所在的数据共享系统中的其他节点(S108)，由其他节点对新生成的区块进行校验，并在完成校验后将新生成的区块添加至其存储的区块链中 (S109)。 [0063] 本公开实施例提供的技术方案涉及基于区块链的认证信息存生成、存储、使用、验证等方面，现通过具体的实施例进行举例说明。 [0064] 如上所述，个人用户或企业用户可在多个国家、多个金融机构办理金融业务。各个国家的金融机构监管环境较为复杂，进行KYB&KYC的时间成本和经济成本较高。各国银行、金融机构以及其他受监管机构目前所处的监管环境异常复杂，各国的监管法规又各不相同，并且缺乏统一的标准，而且监管压力只增不减，因此各金融机构进行KYB&KYC的时间成本和经济成本都越来越高。 [0065] 对公司用户的KYB比对个人用户的KYC还要复杂，其内容还可包括各种复杂的所有权结构、营业范围、上下游企业、公司规模、主要决策人等。除了对公司及个人背景的了解，KYB&KYC出于合规与反洗钱的目的，还需要对客户的日常交易规模、频率、来往目的地等内容进行持续监测。 [0066] 目前的合规环境本就复杂，各机构对合规要求的理解、采取的合规措施都各不相同，在执行KYB&KYC程序时使用的数据源及其复杂程度也不同，这在一定程度上是因为每个个体的风险档案不一样。监管机构考虑到反洗钱所推崇的风险为本的方法，不愿明确规定哪些是必需的，导致金融机构因对合规要求的理解有分歧。如果KYB&KYC法规和程序能够标准化，整个金融行业都能受益，这是各方的迫切期望。 [0067] 相关技术中各个国家、金融机构之间的用户数据无法共享。数字化的发展意味着越来越易于获取数据，例如上市公司高级经理的姓名、机构的注册地、公司地址等信息很容易就能获取。当然，也有一些数据很难获取，比如最终受益方(Ultimate Benefical Owner,UBO)信息。不过，容易获取的数据仍会对KYB的流程带来困难，仍然需要应对数据带来的各种挑战，比如甄别哪些数据更可靠，哪些数据最具时效性，如何将数据转化成有用的信息等。另外，如果金融机构未获取、利用相关数据很可能引起监管行动。例如，如果一家金融机构能够获取相关数据，这个金融机构应该在对终端客户进行风险评估时对这些信息进行分析，若不分析这些信息可能引起监管行动。用户去不同的金融机构办理业务时均需要重复提交资料以进行KYB&KYC。为保护用户隐私各个金融机构处于数据孤岛，无法共享用户数据。 [0068] 因此，本公开提供了一种认证信息处理方法，通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息，第一认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息，利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对目标认证信息进行签名，生成第一认证凭证，将目标私人信息离线存储至第一认证实体节点，并将第一认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享第一认证凭证，从而实现了机构之间的用户信息共享的情况下保护用户的私人信息，使入链的各金融机构的KYB&KYC 法规和程序标准化，打通数据孤岛并满足多重监管。 [0069] 图2A至图2C根据示例性实施例示出本申请认证信息处理方法的总体方案。图2A是根据一示例性实施例示出的一种用于认证信息处理的系统架构图。如图2A所示，金融机构和监管机构均加入区块链网络，例如金融机构可为认证机构202，还可为KYB&KYC信息使用机构204，每个机构作为区块链网络中一个独立节点。 [0070] 认证机构202通过终端采集和认证企业的KYB或用户的KYC信息，生成凭证并附上签名确认，获得认证凭证，并将KYB&KYC信息内容离线存储到自己运行的节点中(S2002)。认证机构202的终端设备可以是具有显示屏并且支持输入、输出的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、虚拟现实设备、智能家居等等。认证凭证形成企业和用户身份的DID文档，存储与区块链网络连接的身份中心210中。网络为提供通信链路的介质，可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。认证凭证可被网络上的节点使用，使用规则受到一定的访问权限的控制，如信息使用机构204仅可获得认证凭证，而监管机构206具有较高权限，可获得 KYB&KYC信息内容以进行核查。 [0071] 在整个网络中各个交易方只需根据对方DID验证签名的有效性即可，而不需要知道交易的对手方是谁。区块链可以确保KYB&KYC信息从采集到每次变更的可追溯和可验证。基于区块链技术的网络可确保网络节点安全稳定和容错机制，保证了KYB&KYC信息安全存储。 [0072] 监管机构可为对KYB&KYC信息进行核查的监管机构206，也可为对金融机构之间的金融交易进行监管的监管机构208，如认证机构202与信息使用机构204发起的金融交易可通过区块链实时同步到监管机构208 的节点，监管机构208可以对交易属性进行事中监管或者事后监管。例如监管机构208可通过交易记录中交易双方的DID和签名进行验证，也可在交易后通过获得交易信息以对交易内容进行核查。 [0073] 通过区块链加密技术实现机构之间KYB&KYC信息可信，从而实现复用，节省KYB&KYC认证成本，同时通过分布式技术实现对接，实时执行监管指令，提高监管效率，使分布式存储更安全。 [0074] 图2B是根据一示例性实施例示出的一种基于图2A的系统架构进行认证信息处理的流程示意图。如图2B所示，企业用户或个人用户201将 KYB信息或KYC信息交由可任何一个加入网络的金融机构202进行认证，金融机构202将经过认证的KYB&KYC信息凭证存储(S2004)到与区块链网络连接的身份中心210，其他任何链上的金融机构(如使用机构 204)和监管机构206即可同步得到一致信息，同时入链的KYB&KYC信息在每次被写入或修改需要被执行机构签名确认，基于区块链技术实现了 KYB&KYC分布式存储和认证共享。 [0075] 图2C是根据一示例性实施例示出的一种KYB&KYC信息认证及使用业务的总体流程示意图。如图2C所示，用户首先在区块链网络中创建分布式身份标识DID(S2020)，基于DID向认证机构提交KYB&KYC信息，然后认证机构对认证后的用户KYB&KYC信息颁发认证凭证 (S2040)，当用户在使用机构办理相关业务时，使用机构对认证凭证进行验证(S2060)。 [0076] 图3是根据一示例性实施例示出的一种认证信息处理方法的流程图。如图3所示的流程可为图2A至图2C中步骤S2020、步骤S2040、步骤S2002和步骤S2004具体的处理过程。如图3所示的方法例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。 [0077] 参考图3，本公开实施例提供的方法30可以包括以下步骤。 [0078] 在步骤S302中，通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息。用户作为目标对象，可在认证实体(如可对用户信息进行认证的金融机构)管理的终端上传如身份证号、手机号、邮箱等信息并创建托认证实体管理的分布式身份标识 (DID)，托管认证机构为用户DID的管理者(controller)，可在其DID 关联的DID文档(DID Document)中服务(service)的身份中心(Identity Hub)中添加认证凭证，DID及DID Document的操作方法可参照图15， DID及DID Document的内容及含义可参照图16。该DID可用于跨机构身份认证，如用户向第一认证实体提交办理业务所需的身份证信息、手机号码信息时，可向第一认证实体提供DID以进行信息关联；再如用户需要信息使用实体提供认证凭证时，可向信息使用实体提供DID，信息使用实体可根据DID查询关联的认证凭证。用户可向认证金融机构管理的第一认证实体节点提交如KYB&KYC信息的目标私人信息，第一认证实体管理的后台可对KYB&KYC信息完成如下认证：证件材质真实；证件信息一致；人证一致等。KYB&KYC认证可为认证机构对用户的业务相关信息(如纳税信息、学历信息、社保缴纳信息等等)的认证。 [0079] 在步骤S304中，第一认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息。认证金融机构核对用户身份和证件信息核查真实无误后，可将用户DID及KYB/KYC信息关联并组装凭证作为目标认证信息，组装方法可对用户DID及KYB/KYC信息通过哈希计算出哈希值(字母&数字串)，例如可通过上述哈希256算法计算，也可通过如哈希224、哈希516等其他哈希算法进行计算获得凭证。 [0080] 在一些实施例中，例如，目标认证信息可为用户的资质证明，例如用户身份合法有效、个人用户为硕士学历、企业用户为高新技术企业等资质。 [0081] 在另一些实施例中，例如，目标认证信息还可为用户的属性证明，例如个人用户的年龄不大于40岁、企业用户的纳税年度超过10年等等。 [0082] 在步骤S306中，利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对目标认证信息进行签名，生成第一认证凭证。可通过加密算法获得第一认证实体的一个密钥对，即一个公钥和一个私钥，公钥是密钥对外公开的部分，私钥则是非公开的部分。认证金融机构可用起私钥对上一步骤组装的凭证进行签名操作，得到新的字母&数字串作为认证凭证。在用户在另一金融机构(信息使用实体)办理业务需要资质证明或属性信息等凭证时，只需要将第一认证实体签名的认证凭证提供给信息使用实体，信息使用实体可对认证凭证进行验证，不需要读取 KYB&KYC信息本身即可获得用户相关信息证明，以信息披露最小化为原则，支持持完全信息披露、部分信息披露、属性证明等。 [0083] 在步骤S308中，将目标私人信息离线存储至第一认证实体节点。 KYB&KYC信息可涉及文本或图片等多种组织形式，其原文件可存储在第一认证实体节点处。第一认证实体节点可包括在线部分可离线部分，可设置在线部分的权限为公开，区块链网络中的节点都可访问节点的在线部分；设置离线部分的权限为私有，仅第一认证实体节点本身可访问离线部分，在第一认证实体节点提供访问权限的情况下进行读取。区块链一致性账本仅需记录如认证凭证等哈希验证信息，KYB&KYC完整信息以文件形式离线记录在各自区块链存储节点，离线存储在节点的用户KYB&KYC 信息可获得有效保护。 [0084] 在步骤S310中，将第一认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享第一认证凭证。用户DID对应的DID Document亦可存储在身份中心，身份中心例如可为微软公司开发的身份存储库Identity Hub，DID Document中包含服务字段，服务中设置有该DID管理的认证凭证存储的Identity Hub。Identity Hub可在非区块链网络中运行，与区块链网络通信连接。认证凭证的管理可采用可验证声明(Verifiable Claim)的方式，具体方法可参照图18A至图18D。 [0085] 根据本公开实施例提供的认证信息处理方法，通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息，第一认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息，利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对目标认证信息进行签名，生成第一认证凭证，将目标私人信息离线存储至第一认证实体节点，并将第一认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享第一认证凭证，从而实现了机构之间的用户信息共享的情况下保护用户的私人信息。通过区块链的分布式网络存储目标认证信息信息时，不需要每个节点存储所有上链内容，从而更加节省空间、带宽。KYB&KYC认证信息被认证机构使用私钥进行签名存储，提升了可行度和安全性。 [0086] 图4是根据一示例性实施例示出的一种认证凭证使用方法的流程图。如图4所示的流程可为图2C中步骤S2060具体的处理过程。如图4 所示的方法例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。 [0087] 参考图4，本公开实施例提供的方法40可以包括以下步骤。 [0088] 在步骤S402中，通过区块链网络中的信息使用实体节点，获取目标对象分布式身份标识和第一认证凭证标识，第一认证凭证标识与第一认证凭证具有对应关系。每个认证凭证具有标识，具体内容可参照图18A 中可验证声明180的标识1802。用户名下的认证凭证可有多个，用户DID 关联的认证凭证即可有多个。在用户在信息使用实体(使用机构)办理业务需要提供认证凭证时，用户可选择合适的认证凭证进行提供。用户可通过DID创建平台(如上述的第一认证实体节点、认证金融机构)管理的终端查看自己的认证凭证，并选择合适的认证凭证提交给使用机构，使用机构可获取该认证凭证标识以调取认证凭证具体内容。 [0089] 在步骤S404中，信息使用实体节点根据目标对象分布式身份标识和第一认证凭证标识从身份中心获取第一认证凭证。该步骤的具体实施方式可参照图5、图6和图8中步骤S8001至步骤S8010。 [0090] 在步骤S406中，信息使用实体节点根据区块链网络的交易记录对第一认证凭证进行验证。使用机构对第一认证凭证进行验证时，可通过将认证凭证中的随机数字段与区块链网络交易记录中对应的认证金融机构签名操作的随机数进行比对，以验证该认证凭证在区块链上进行了签名。具体实施方式可参照图8中步骤S8011至步骤S8014。 [0091] 根据本公开实施例提供的认证凭证使用方法，使用机构根据DID和认证凭证标识从身份中心获取认证凭证后，只需要验证认证凭证的签名是真实有效的，从而验证了业务所需的用户的信息属性，而不需要读取 KYB&KYC信息本身，有效保护用户隐私信息的同时，机构对用户的认证信息可以进行复用，节省对用户重复认证的成本。 [0092] 图5是根据一示例性实施例示出的一种认证凭证获取方法的流程图。如图5所示的流程可为图4中步骤S404具体的处理过程。如图5所示的方法例如可以应用于上述数据共享系统100，具体地可应用于上述图 2A中的系统。 [0093] 在步骤S4042中，信息使用实体节点根据目标对象分布式身份标识进行解析，获得目标对象分布式身份标识文档。该步骤的具体实施方式可参照图6。 [0094] 在步骤S4044中，信息使用实体节点从目标对象分布式身份标识文档中获取身份中心的地址。DID Document中包含服务字段，服务中设置有该DID管理的认证凭证存储的Identity Hub的地址。 [0095] 在步骤S4046中，信息使用实体节点访问身份中心的地址，获取目标对象的认证凭证列表。 [0096] 在步骤S4048中，根据第一认证凭证标识从认证凭证列表中获取第一认证凭证。 [0097] 图6示出了图5中步骤S4042具体的处理过程。如图6所示的处理过程例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。 [0098] 在步骤S40422中，信息使用实体节点根据第一认证凭证标识获得第一认证实体分布式身份标识。 [0099] 在步骤S40424中，信息使用实体节点根据第一认证实体分布式身份标识访问第一认证实体节点。 [0100] 在步骤S40426中，通过第一认证实体节点根据目标私人信息对应的加密文件名从分布式哈希表中获取目标对象分布式身份标识文档的地址。认证金融机构签名的认证凭证存储到与区块链网络连接的Identity Hub，认证凭证的标识对应存储在用户DID document中，可从用户DID关联 KYB&KYC文件的内容中通过哈希256算法计算出一个加密文件名，然后将其添加到区块链网络中的第一认证实体节点管理的分布式哈希表中，上，认证金融机构和信息使用机构可以通过这个加密文件名，通过使用一个分布式哈希表进行访问，该分布式哈希表中包括加密文件名与用户DID Document存储地址之间的对应关系。加密文件名存储在认证金融机构的节点上，可设置为通过关联的用户DID公开访问。分布式哈希表为区块链网络中各个节点各自管理的哈希表，可设置为公开访问，可通过访问节点上的分布式哈希表，从而检索认证凭证进行验证。 [0101] 在一些实施例中，例如，目标对象分布式身份标识文档的地址为目标对象分布式身份标识文档在第一认证实体节点的地址，即用户DID Document存储在Identity Hub中的同时，也存储在区块链上。 [0102] 在另一些实施例中，例如，目标对象分布式身份标识文档的地址为目标对象分布式身份标识文档在身份中心的地址，即用户DID Document 存储在Identity Hub中，在区块链上存储DID Document的哈希缩写。 [0103] 在步骤S40428中，信息使用实体节点访问目标对象分布式身份标识文档的地址，解析获得目标对象分布式身份标识文档。 [0104] 在一些实施例中，例如，可通过区块链上存储的DID Document访问存储在Identity Hub中的用户DID Document。 [0105] 在另一些实施例中，例如，也可通过区块链上存储的DID Document 的哈希缩写访问存储在Identity Hub中的用户DID Document。 [0106] 根据本公开实施例提供的认证信息处理方法，通过用户的KYB&KYC 认证流程，将各金融机构、各国间的数据孤岛有效连接起来，从而降低 KYB，KYC的成本，满足多重监管需求。基于区块链网络建立可信任的工作流以实现KYB&KYC流程。允许参与各方有效地使用现有的关系和必要的数据创建一个安全的“信任网络”而不泄露敏感数据。“信任网络”反过来可以降低运营成本，并且可以实现更顺畅，更快的用户体验。 [0107] 图7是根据一示例性实施例示出的一种KYB&KYC信息流转示意图。该流程可适用于用户首次提交KYB/KYC信息。如图7所示，企业用户或个人用户702登录认证金融机构704的认证终端(S7002)，通过终端向认证金融机构704提交KYB/KYC信息(S7004)；认证金融机构704对用户提交的KYB/KYC信息进行认证(S7006)，生成凭证并进行签名以获得认证凭证，然后将认证凭证存储到分布式存储网络706(如区块链) 中；当KYB/KYC信息使用机构708需要获得基于用户KYB/KYC信息的凭证时，可从分布式存储网络706中获得认证凭证(S7008)。 [0108] 图8是根据一示例性实施例示出的一种KYB&KYC信息凭证使用业务流程的信息交互图。如图8所示，用户802在使用机构804办理业务需要使用KYB&KYC信息对应的认证凭证时，通过使用机构(终端)804 发起认证凭证查询(S8001)。使用机构(终端)804调用使用机构后台 806(如使用机构后台服务器)的认证凭证查询接口(S8002)，然后使用机构后台806通过用户登录该使用机构平台使用的用户身份(uid)根据预存的关联关系查询获得用户DID(S8003)，调用区块链808网络节点的认证凭证查询接口(S8004)。区块链808则根据用户DID关联的DID 文档确定与区块链808网络连接的身份中心810的服务地址(S8005)，该步骤可参照图5的步骤S4042；然后基于该服务地址向身份中心810发起用户DID关联的认证凭证查询请求(S8006)。然后身份中心810向区块链808返回用户DID关联的认证凭证列表(S8007)，区块链808再将用户DID关联的认证凭证列表返回使用机构后台806(S8008)，使用机构后台806再将用户DID关联的认证凭证列表返回使用机构(终端)804 (S8009)，使用机构(终端)804可根据用户在发起认证凭证查询时选择的见证凭证从认证凭证列表获取业务需要的认证凭证(S8010)。然后使用机构(终端)804调用使用机构后台806的认证凭证验证接口(S8011)，使用机构后台806再调用区块链808网络节点的认证凭证验证接口 (S8012)。区块链808向使用机构后台806返回验证结果(S8013)后，使用机构后台806的业务决策平台可根据验证结果为通过的认证凭证判断是否为用户办理相关业务(S8014)，并将判断结果通知使用机构(终端)804(S8015)，使用机构(终端)804再将判断结果通过终端显示、消息通知等方式提示用户(S8016)。 [0109] 图9是根据一示例性实施例示出的一种认证凭证更新方法的流程图。如图9所示的方法例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。如图9所示的方法可用于进行信息更新的认证实体节点与用户首次提交目标私人信息的认证实体节点不同的情形。 [0110] 参考图9，本公开实施例提供的方法90可以包括以下步骤。 [0111] 在步骤S902中，通过区块链网络中的第二认证实体节点，获取目标对象的目标对象分布式身份标识和更新的目标私人信息。 [0112] 在步骤S904中，第二认证实体节点根据目标对象分布式身份标识和更新的目标私人信息生成目标对象的更新的目标认证信息。 [0113] 在步骤S906中，利用第二认证实体节点的第二认证实体分布式身份标识对应的第二认证实体私钥对更新的目标认证信息进行签名，生成第二认证凭证。 [0114] 在步骤S908中，将更新的目标私人信息离线存储至第二认证实体节点。 [0115] 在步骤S910中，将第二认证凭证发送至身份中心，以便区块链网络中的各个节点共享第二认证凭证。 [0116] 将目标私人信息更新在新的认证实体认证的流程与未更新时并无本质区别更，新的KYB&KYC信息通过第二认证实体节点进行认证获得第二认证凭证的具体实施方式可参照图3，此处不再赘述。 [0117] 在一些实施例中，例如，用户在机构A认证了身份证与手机号1以进行开户操作，机构A签名后得到了认证凭证A，存到了Identity Hub中；该用户换手机号之后，在机构B认证了身份证与手机号2进行开户操作，机构B签名得到了认证凭证B，也存到了Identity Hub中。当用户在机构 C开户需要身份证、手机号认证信息时，可选择向机构C提供认证凭证B，即更新的手机号信息对应的认证凭证。 [0118] 图10是根据一示例性实施例示出的一种更新认证凭证的使用方法的流程图。如图10所示的方法可用于使用上述图9的方法更新的认证凭证。如图10所示的方法例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。 [0119] 在步骤S1002中，通过区块链网络中的信息使用实体节点，获取目标对象分布式身份标识和第二认证凭证标识，第二认证凭证标识与第二认证凭证具有对应关系。 [0120] 在步骤S1004中，信息使用实体节点根据目标对象分布式身份标识和第二认证凭证标识从身份中心获取目标对象的认证凭证列表，认证凭证列表包括第一认证凭证和第二认证凭证。 [0121] 在步骤S1006中，信息使用实体节点根据第二认证凭证标识从认证凭证列表中获取第二认证凭证。用户在查看自己DID关联的认证凭证时，可看到对应的时间戳，因此可选择更新的认证凭证，将其标识提供给使用机构。存储用户DID的身份中心也可提供标记功能，例如用户可设置自己的认证凭证的名称，便于在使用时进行选择。 [0122] 在步骤S1008中，信息使用实体节点根据区块链网络的交易记录对第二认证凭证进行验证。 [0123] 图11是根据一示例性实施例示出的另一种认证凭证更新方法的流程图。如图11所示的方法例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。如图11所示的方法可用于进行信息更新的认证实体节点与用户首次提交目标私人信息的认证实体节点相同的情形。参考图11，本公开实施例提供的方法110可以包括以下步骤。 [0124] 在步骤S1102中，第一认证实体节点获取目标对象分布式身份标识和更新的目标私人信息。 [0125] 在步骤S1104中，第一认证实体节点根据目标对象分布式身份标识和更新的目标私人信息生成目标对象的更新的目标认证信息。 [0126] 在步骤S1106中，利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对更新的目标认证信息进行签名，生成更新的第一认证凭证。第一认证实体作为用户DID的控制者，可对存入用户DID Document中的认证凭证进行修改以根据更新的KYB&KYC信息进行更新，在更新内容时同时更新时间戳到区块链中，并在区块链网络中进行更新操作，以便保证信息的及时可靠性。 [0127] 在步骤S1108中，更新在第一认证实体节点存储的目标私人信息，以将更新的目标私人信息离线存储至第一认证实体节点。 [0128] 在步骤S1110中，将更新的第一认证凭证发送至身份中心，以便将存储在身份中心的第一认证凭证更新为更新的第一认证凭证。 [0129] 图12是根据一示例性实施例示出的一种更新认证凭证的使用方法的流程图。如图12所示的方法可用于使用上述图11的方法更新的认证凭证。如图12所示的方法例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。 [0130] 在步骤S1202中，通过区块链网络中的信息使用实体节点，获取目标对象分布式身份标识和第一认证凭证标识。更新的第一认证凭证的标识为第一认证凭证标识。 [0131] 在步骤S1204中，信息使用实体节点根据目标对象分布式身份标识和第以认证凭证标识从身份中心获取更新的第一认证凭证。 [0132] 在步骤S1206中，信息使用实体节点根据区块链网络的交易记录对更新的第一认证凭证进行验证； [0133] 在一些实施例中，例如，用户在机构A认证了身份证与手机号1进行开户操作，机构A签名得到了认证凭证A，存到了Identity Hub中；该用户换手机号之后，再次去机构A开新户，机构A可对Identity Hub中认证凭证A进行更新，得到带有更新时间戳认证凭证A’，则下次用户需要提供身份证、手机号认证信息时，可提供认证凭证A’。 [0134] 根据本公开实施例提供的认证凭证的更新及使用方法，认证信息更新时，用户不必在多个机构平台重复更新，提升了便利性；当用户在其他机构更新认证信息时，使用机构可以及时获取最新信息，降低了风控成本。机构之间不直接传输用户私人身份信息(Personal Identifiable Information，PII)，且机构之间可以共享KYB&KYC能力来增强各自对用户信息准确性的信任度。 [0135] 图13是根据一示例性实施例示出的另一种KYB&KYC信息流转示意图。该流程可适用于用户提交更新的KYB/KYC信息。如图13所示，企业用户或个人用户702登录认证金融机构704的认证终端(S13002)，通过终端向认证金融机构704提交更新的KYB/KYC信息(S13004)。 [0136] 然后可分为两种情况：当认证金融机构704与用户首次提交 KYB/KYC信息的金融机构为同一金融机构时，认证金融机构704对用户提交的更新的KYB/KYC信息进行认证(S13006)，生成凭证并进行签名以获得更新的认证凭证，然后用更新的认证凭证替换用户首次提交的 KYB/KYC信息对应的、存储在分布式存储网络706中的认证凭证 (S13008)，此时存储在分布式存储网络706中的认证凭证为内容与时间戳进行了更新的认证凭证；当认证金融机构704与用户首次提交 KYB/KYC信息的金融机构为不同金融机构时，认证金融机构704对用户提交的更新的KYB/KYC信息进行认证，生成凭证并进行签名以获得更新的认证凭证，然后将更新的认证凭证存储到分布式存储网络706中 (S13008)，此时存储在分布式存储网络706中的认证凭证包括原始认证凭证和更新的认证凭证。 [0137] 当KYB/KYC信息使用机构708需要获得基于用户KYB/KYC信息的凭证时，可根据用户提供的认证凭证标识，从分布式存储网络706中获得认证凭证(S13010)。 [0138] 当认证金融机构、信息使用机构等发现用户的信息存在问题时，例如用户为洗钱嫌疑者、关联业务从业者等等，需要进行信息校正并关闭相关服务时，机构可以对用户信息进行标记，以便控制风险，保证业务合规。认证金融机构可通过第一认证实体节点在身份中心对第一认证凭证进行标记；当信息使用机构发现用户的信息存在问题时，也可通过区块链网络中的信息使用实体节点在身份中心对第一认证凭证进行标记。图14是根据一示例性实施例示出的一种KYB&KYC信息防伪流程示意图。如图14 所示，认证金融机构704发现企业用户或个人用户702的信息存在问题(如伪造、错误或者存在非法内容等)时(S14002)，或KYB/KYC信息使用机构708发现企业用户或个人用户702的信息存在问题时(S14004)，均可在于分布式存储网络706连接的身份中心平台(图中未示出)上对用户的问题KYB/KYC信息对应的认证凭证进行标记(S14006)。用户将 KYB/KYC信息的问题排除后，可重新进行认证并进行认证凭证更新，更新流程如图9、图11、图13所示，此处不再赘述。分布式存储网络706 中存储了更新的认证凭证(S14008)后，当KYB/KYC信息使用机构708 需要获得基于用户KYB/KYC信息的凭证时，可根据用户提供的认证凭证标识，从分布式存储网络706中获得更新的认证凭证(S14010)。 [0139] 可通过DID方法对DID和DID文档进行操作。图15是根据一示例性实施例示出的一种DID操作流程示意图。如图15所示，DID操作可包括DID和DID Document的创建、使用、读取、删除、更新等操作。 [0140] DID的主体(如用户)1504可通过机构平台创建(Create)DID (S15001)，如可以直接离线生成公钥-私钥密钥对，其中的公钥可作为 DID；也可以采用交易或智能合约地址，即将公钥再次采用哈希256算法进行计算后获得的数字&字母字符串作为DID。 [0141] DID的控制者(如认证金融机构)1502可向可信赖方1506(如 KYB&KYC信息使用机构)提供(S15002)用户DID以便可信赖方1506 进行读取和/或验证(Read/Verify)。可信赖方1506可向控制者1502发起DID验证(S15003)，控制者1502对用户DID进行签名确认(S15004)，可信赖方1506利用控制者1502的DID对签名进行求解(S15005)，并引用(S15006)之前获得的用户DID与求解结果进行比对，从而验证 (S15007)控制者1502的签名。可信赖方1506验证用户DID后，可根据用户DID解析出DID文档(DID Document)，用于DID解析的DID 解析器可以继承多个对应DID方法，以支持多种浏览器的不同协议。DID Document可以直接存储到区块链上。也可以在区块链上存储根据DID document计算出来如哈希值的关键信息。DID驱动器(Driver)是组装 DID document的方法(代码)，运行在区块链上。由DID Driver驱动器组装成DID Document后，关键信息哈希值在区块链上存储。 [0142] DID的控制者1502在DID Document中进行了描述，DID Document 的更新只能由描述的控制者1502执行。从安全角度来看，更新操作是最关键的，对DID Document的控制本质上是对认证主体所必须的公钥或证明的控制。因此DID Document的控制逻辑应该强制编码在目标区块链上，通过智能合约准确定义任何对DID Document更新相关的操作执行身份认证和权限授予。在更换(S15008)用户的控制者时，可在DID Document 中修改服务端(S15009)，如修改控制者的DID、公钥等，对DID Document 进行升级(S15010)，覆盖原始的DID Document(S15011)。可信赖方 1506可对更新的DID Document进行审计(S15012)。 [0143] DID的控制者1502可对DID Document进行删除操作(S15013)。区块链上数据无法删除，但可通过将DID关联的DID Document对应存储在身份中心的文档设置为空串来达成目的。 [0144] DID Document格式遵循W3C DID-CORE规范，签名算法遵循W3C LD-CRYPTOSUITE-REGISTRY规范。图16是根据一示例性实施例示出的一种DID Document内容的架构示意图。如图16所示，DID Document 160 各字段赋值的参考实现如下。 [0145] 环境(context)1601：DID Document的统一资源定位器(Uniform Resource Locator，URL)，例如可设置为 https：//www.xxxbank.com/ns/did/v1。 [0146] 标识(id)1602：DID标识符本身，也就是DID文档所描述的该DID。格式为"did：fuid：0：XXX"，XXX对应例如RSA公钥哈希，SHA256后取前 20字节。 [0147] 控制者(controller)1603：控制者的DID标识符。 [0148] 公钥1604(publicKey)：公钥用于数字签名及其他加密操作，这些操作是实现身份验证以及与服务端点建立安全通信等目的的基础。可包括公钥1 1610……(1611)公钥N 1612等等，每个公钥包括标识(id)1623 字段、类型(type)1624字段、控制者(controller) 1625字段、公钥内容格式(publicKey Content Format)1626等等。其中类型1624可包括 Ed25519(一种曲线方程)1630、RSA 1631、secp256k1(一种椭圆曲线) 1632、JWS(JSON Web Signature，JSON万维网签名)1633、GPG(一种用户个人加密和签名协议)等算法。例如可设置默认采用RSA算法。公钥内容格式1626可对应算法包括公钥Jwk 1635、公钥Pem 1636、公钥Base56 1637、公钥Hex 1638等等。示例代码如下： [0149] [0150] 身份验证(authentication)1605：身份验证的过程是DID主体(如用户)通过加密方式来证明它们与DID相关联的过程。可直接引用默认 publicKey。可包括身份验证1 1613……(1614)身份验证N 1615等等与公钥对应的多个身份验证。示例代码如下： [0151] authentication：[“did：fuid：0：123456789abcdefghi#keys-default”][0152] 服务(service)1606：可包括服务1 1616……(1617)服务N 1618 等等，每个服务可包括标识(id)1627字段、类型(type)1628字段、服务端点(serviceEndpoint)1629字段，其中服务类型可包括凭证存储服务 (CredentialRepositoryService)1639、身份中心(IdentityHub)1640、消息服务(MessageService)1641等等。可设置默认只有凭证存储服务1639，用于实现支持凭证存储。可提供标准化身份中心服务，支持额外的按需授权。 IdentityHub实现参考DIF SECURE-DATA-STORAGE规范。示例代码如下： [0153] [0154] 证明(proof)1607：文档完整性证明，可包括类型(type)1619字段、创建时间(created)1620字段、创建者(creator)1621字段、签名值(signatureValue)1622。示例代码如下： [0155] [0156] 创建时间(created)1608：XML datetime格式，标准化为世界协调时间(Coordinated Universal Time，UTC)，如"2002-10-10T17：00：00Z" [0157] 更新时间(updated)1609：格式同created。 [0158] 图17是根据一示例性实施例示出的一种基于DID的业务处理流程的信息交互图。如图17所示，用户1702可通过认证机构1704在区块链1708 上注册DID(S17001)，认证机构 1704也可在区块链1708上注册DID (S17002)，使用机构1706可在区块链1708上注册DID(S17003)。然后在进行具体业务之前，用户1702可与认证机构1704双向认证DID。用户1702验证认证机构1704的DID的流程如下：用户1702可通过认证机构1704在区块链1708上查询认证机构DID文档(S17004)，区块链1708 向用户1702返回查询结果(S17005)；用户可通过DID Document中的身份验证对认证机构1704进行挑战(S17006)，认证机构1704进行应答 (S17007)(参见图15步骤S15003至步骤S15007)。认证机构1704验证用户1702的DID的流程如下：认证机构1704在区块链1708上查询用户1702的DID文档(S17008)，区块链1708向认证机构1704返回查询结果(S17009)；认证机构1704可通过DID Document中的身份验证对用户 1702进行挑战(S17010)，用户1702进行应答(S17011)。双向 DID认证完成后，用户1702可向认证机构1704申请认证凭证(S17012)，认证机构1704对用户KYB&KYC信息认证后背书签名生成认证凭证 (S17013)，将认证凭证存储到用户DID Document中设置的身份中心1710 的服务器(S17014)，然后通知用户(S17015)。当用户1702需要向使用机构1706提供认证凭证时，可通过认证机构从身份中心1710提取凭证 (S17016)，身份中心1710向用户1702返回凭证(S17017)。用户1702 可与使用机构1706进行DID双向认证(S17019)，过程类似用户1702 与认证机构1704之间的DID双向认证过程。DID认证通过后，用户1702 可向使用机构1706发送所需的认证凭证(S17020)，使用机构1706验证凭证(S17021)，并向用户1702返回验证结果(S17022)。 [0159] 认证凭证的实现可采用可验证声明(Verifiable Claim，VC)方式。 Verifiable Claim遵循W3C VCLAIM-DATA-MODEL规范。Verifiable Credential遵循W3C VC-DATAMODEL规范。图18A是根据一示例性实施例示出的一种Verifiable Claims内容的架构示意图。如图18A所示，可验证声明180可包括环境1801、标识(id)1802、类型(type)1803、发行者(issuer)1804、发行时间(issued)1805、有效期(expire)1806、声明(claim)1807、撤回(revocation)1808、签名(signature)1809等字段，其中签名1809可包括类型1810、创建时间1811、创建者1812、域(domain)1813、随机数(nonce)1814、签名值(signatureValue)1815 等。其中环境1801为VC的URL；标识1802为VC的标识；类型1803 可为证件(Credential)，还可包括证件模板类型，如大陆身份证 CT_CIDCARD、港澳通行证CT_HMKPASS等等；发行者1804为发行该 VC的实体，例如认证金融机构；有效期1806为该VC设置了有效期间；声明 1807中包括认证的用户信息的具体内容，如身份证信息中的姓名、性别、民族、出生日期等等；撤回1808可设定发行者1804在签名之前撤销了该凭证；域(domain)1813为issuer平台URL；随机数(nonce)1814 为每次在区块链中签名操作生成的，可用于验证该签名操作。其他与DID Document中名称相同的字段实现方式类似。示例代码如下： [0160] [0161] [0162] 一个或多个Verifiable Claims可以构成可验证证件(Verifiable Credential)，图18B是根据一示例性实施例示出的一种Verifiable Credential内容的架构示意图。如图18B所示，可验证证件182可由证件元数据(Credential Metadata)1821、声明1822和证明 1823，声明1822 为Claim的具体内容，证明1823为可验证证件182的文档完整性证明。 [0163] 一个或多个Verifiable Credentials可以构成可验证报告(Verifiable Presentation，VP)供第三方验证。VC相当于单个证件的凭证，Verifiable Credential可以是一个或多个证件的组合凭证，而VP相当于是一个或多个 Verifiable Credentials的导出凭证。图18C是根据一示例性实施例示出的一种VP内容的架构示意图。如图18C所示，可验证报告184可由报告元数据(Presentation Metadata)1841、可验证证件1842和证明1843，可验证证件1842为Verifiable Credential的具体内容，证明1823为可验证报告 184的文档完整性证明。 [0164] 如图18D所示，可为每种证件生成一种Claim模板类型(Claim Template，CT)，CT 1862的实例化构成Claim 1864，对Claim进行签名则生成Verifiable Claim/Credentia1866l。需要标准化支持的证书类型和证书模板，即Claim的模板，可采用JSON-LD格式，参考实现： [0165] [0166] [0167] 证件持有人(holder)和证件颁发方(issuer)同时对证件Claim进行签名，即生成证件Credential。 [0168] 图19是根据一示例性实施例示出的一种认证信息处理装置的框图。如图19所示的装置例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。 [0169] 参考图19，本公开实施例提供的装置190可以包括信息获取模块 1902、凭证生成模块1904、凭证认证模块1906、私人信息存储模块1908 和认证凭证存储模块1910。 [0170] 信息获取模块1902可用于通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息。 [0171] 凭证生成模块1904可用于第一认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息。 [0172] 凭证认证模块1906可用于利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对目标认证信息进行签名，生成第一认证凭证。 [0173] 私人信息存储模块1908可用于将目标私人信息离线存储至第一认证实体节点。 [0174] 认证凭证存储模块1910可用于将第一认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享第一认证凭证。 [0175] 图20是根据一示例性实施例示出的另一种认证信息处理装置的框图。如图20所示的装置例如可以应用于上述数据共享系统100，具体地可应用于上述图2A中的系统。 [0176] 参考图20，本公开实施例提供的装置200可以包括信息获取模块 2002、凭证生成模块2004、凭证认证模块2006、私人信息存储模块2008、认证凭证存储模块2010、认证凭证标识获取模块2012、认证凭证获取模块2014、认证凭证验证模块2016和异常标记模块2018，其中认证凭证验证模块2016可包括分布式身份标识解析模块20162、身份中心地址获取模块20164和认证凭证列表获取模块20166，分布式身份标识解析模块 20162可包括认证实体标识获取模块201622、认证实体节点访问模块 201624和身份标识文档地址获取模块201626。 [0177] 信息获取模块2002可用于通过区块链网络中的第一认证实体节点，获取目标对象的目标对象分布式身份标识和目标私人信息。 [0178] 信息获取模块2002还可用于通过区块链网络中的第二认证实体节点，获取目标对象的目标对象分布式身份标识和更新的目标私人信息。 [0179] 信息获取模块2002还可用于第一认证实体节点获取目标对象分布式身份标识和更新的目标私人信息。 [0180] 凭证生成模块2004可用于第一认证实体节点根据目标对象分布式身份标识和目标私人信息生成目标对象的目标认证信息。 [0181] 凭证生成模块2004还可用于第二认证实体节点根据目标对象分布式身份标识和更新的目标私人信息生成目标对象的更新的目标认证信息。 [0182] 凭证生成模块2004还可用于第一认证实体节点根据目标对象分布式身份标识和更新的目标私人信息生成目标对象的更新的目标认证信息。 [0183] 凭证认证模块2006可用于利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对目标认证信息进行签名，生成第一认证凭证。 [0184] 凭证认证模块2006还可用于利用第二认证实体节点的第二认证实体分布式身份标识对应的第二认证实体私钥对更新的目标认证信息进行签名，生成第二认证凭证。 [0185] 凭证认证模块2006还可用于利用第一认证实体节点的第一认证实体分布式身份标识对应的第一认证实体私钥对更新的目标认证信息进行签名，生成更新的第一认证凭证。 [0186] 私人信息存储模块2008可用于将目标私人信息离线存储至第一认证实体节点。 [0187] 私人信息存储模块2008还可用于将更新的目标私人信息离线存储至第二认证实体节点。 [0188] 私人信息存储模块2008还可用于更新在第一认证实体节点存储的目标私人信息，以将更新的目标私人信息离线存储至第一认证实体节点。 [0189] 认证凭证存储模块2010可用于将第一认证凭证发送至与区块链网络中的各个节点通信连接的身份中心，以便区块链网络中的各个节点共享第一认证凭证。 [0190] 认证凭证存储模块2010还可用于将第二认证凭证发送至身份中心，以便区块链网络中的各个节点共享第二认证凭证。 [0191] 认证凭证存储模块2010还可用于将更新的第一认证凭证发送至身份中心，以便将存储在身份中心的第一认证凭证更新为更新的第一认证凭证。 [0192] 认证凭证标识获取模块2012可用于通过区块链网络中的信息使用实体节点，获取目标对象分布式身份标识和第一认证凭证标识，第一认证凭证标识与第一认证凭证具有对应关系。 [0193] 认证凭证标识获取模块2012还可用于通过区块链网络中的信息使用实体节点，获取目标对象分布式身份标识和第二认证凭证标识，第二认证凭证标识与第二认证凭证具有对应关系。 [0194] 认证凭证标识获取模块2012还可用于通过区块链网络中的信息使用实体节点，获取目标对象分布式身份标识和第一认证凭证标识。更新的第一认证凭证的标识为第一认证凭证标识。 [0195] 认证凭证获取模块2014可用于信息使用实体节点根据目标对象分布式身份标识和第一认证凭证标识从身份中心获取第一认证凭证。 [0196] 认证凭证获取模块2014还可用于信息使用实体节点根据目标对象分布式身份标识和第二认证凭证标识从身份中心获取目标对象的认证凭证列表，认证凭证列表包括第一认证凭证和第二认证凭证；信息使用实体节点根据第二认证凭证标识从认证凭证列表中获取第二认证凭证。 [0197] 认证凭证获取模块2014还可用于信息使用实体节点根据目标对象分布式身份标识和第以认证凭证标识从身份中心获取更新的第一认证凭证。 [0198] 认证凭证验证模块2016可用于信息使用实体节点根据区块链网络的交易记录对第一认证凭证进行验证。 [0199] 认证凭证验证模块2016还可用于根据第一认证凭证标识从认证凭证列表中获取第一认证凭证。 [0200] 认证凭证验证模块2016还可用于信息使用实体节点根据区块链网络的交易记录对第二认证凭证进行验证。 [0201] 认证凭证验证模块2016还可用于信息使用实体节点根据区块链网络的交易记录对更新的第一认证凭证进行验证。 [0202] 分布式身份标识解析模块20162可用于信息使用实体节点根据目标对象分布式身份标识进行解析，获得目标对象分布式身份标识文档。 [0203] 认证实体标识获取模块201622可用于信息使用实体节点根据第一认证凭证标识获得第一认证实体分布式身份标识。 [0204] 认证实体节点访问模块201624可用于信息使用实体节点根据第一认证实体分布式身份标识访问第一认证实体节点。 [0205] 身份标识文档地址获取模块201626可用于通过第一认证实体节点根据目标私人信息对应的加密文件名从分布式哈希表中获取目标对象分布式身份标识文档的地址。目标对象分布式身份标识文档的地址为目标对象分布式身份标识文档在第一认证实体节点的地址，或者目标对象分布式身份标识文档的地址为目标对象分布式身份标识文档在身份中心的地址。 [0206] 分布式身份标识解析模块20162还可用于信息使用实体节点访问目标对象分布式身份标识文档的地址，解析获得目标对象分布式身份标识文档。 [0207] 身份中心地址获取模块20164可用于信息使用实体节点从目标对象分布式身份标识文档中获取身份中心的地址。 [0208] 认证凭证列表获取模块20166可用于信息使用实体节点访问身份中心的地址，获取目标对象的认证凭证列表。 [0209] 异常标记模块2018可用于通过第一认证实体节点在身份中心对第一认证凭证进行标记。 [0210] 异常标记模块2018还可用于通过区块链网络中的信息使用实体节点在身份中心对第一认证凭证进行标记。 [0211] 本公开实施例提供的装置中的各个模块的具体实现可以参照上述方法中的内容，此处不再赘述。 [0212] 图21示出本公开实施例中一种电子设备的结构示意图。需要说明的是，图21示出的设备仅以计算机系统为示例，不应对本公开实施例的功能和使用范围带来任何限制。 [0213] 如图21所示，设备2100包括中央处理单元(CPU)2101，其可以根据存储在只读存储器(ROM)2102中的程序或者从存储部分2108加载到随机访问存储器(RAM)2103中的程序而执行各种适当的动作和处理。在RAM 2103中，还存储有设备2100操作所需的各种程序和数据。 CPU2101、ROM 2102以及RAM 2103通过总线2104彼此相连。输入/输出(I/O)接口2105也连接至总线2104。 [0214] 以下部件连接至I/O接口2105：包括键盘、鼠标等的输入部分2106；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分2107；包括硬盘等的存储部分2108；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分2109。通信部分2109经由诸如因特网的网络执行通信处理。驱动器2110也根据需要连接至I/O接口2105。可拆卸介质2111，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器2110上，以便于从其上读出的计算机程序根据需要被安装入存储部分2108。 [0215] 特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分2109从网络上被下载和安装，和/或从可拆卸介质2111被安装。在该计算机程序被中央处理单元(CPU)2101执行时，执行本公开的系统中限定的上述功能。 [0216] 需要说明的是，本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。 [0217] 附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。 [0218] 描述于本公开实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括信息获取模块、凭证生成模块、凭证认证模块、私人信息存储模块和认证凭证存储模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，信息获取模块还可以被描述为“认证实体节点获取目标对象信息的模块”。 [0219] 作为另一方面，本公开还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备实现上述第一方面的各种可选方式中提供的方法。 [0220] 作为再一方面，本公开还提供了一种计算机产品或计算机程序，该计算机产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行时实现上述第一方面的各种可选方式中提供的方法。 [0221] 以上具体地示出和描述了本公开的示例性实施例。应可理解的是，本公开不限于这里描述的详细结构、设置方式或实现方法；相反，本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。