WO2020134942A1

WO2020134942A1 - 身份核实方法及其***

Info

Publication number: WO2020134942A1
Application number: PCT/CN2019/123309
Authority: WO
Inventors: 王志伟; 杨文波
Original assignee: 阿里巴巴集团控股有限公司
Priority date: 2018-12-25
Filing date: 2019-12-05
Publication date: 2020-07-02
Also published as: EP3905078A4; US11323260B2; TW202024977A; EP3905078A1; US20210152357A1; CN110046482A; SG11202100832TA; TWI737001B

Abstract

本申请涉及计算机技术领域，公开了一种身份核实方法及其***,可以在满足各国数据出境管控的前提下实现跨国的身份核实。该方法包括：需要身份核实服务的应用向数字身份客户端发送第一请求，其中包括身份标识和第一信息；应用接收数字身份客户端返回的签名信息和身份标识对应的公钥，其中签名信息由数字身份客户端使用公钥对应的私钥对第一信息数字签名得到；应用向第一区块链的第一节点发送第二请求，其中包括签名信息和公钥，供第一节点根据签名信息和公钥进行校验；应用接收第一节点返回的校验的校验结果，根据该校验结果进行身份核实。

Description

身份核实方法及其***

技术领域

本申请涉及计算机技术领域，特别涉及基于区块链的身份核实技术。

背景技术

随着人口在全世界各个国家进行流动日渐频繁，当人们在非户籍国希望享受到某些服务，但必须身份认证时，会出现诸多问题。一个比较重要的问题是很多国家数据出境管控较严格，有不少身份认证所需的数据(例如指纹、人脸数据等)是不被允许出境的。如何在数据出境管控的前提下实现跨国跨地区的身份核实，就成为很多跨国服务急需解决的问题。

发明内容

本申请的目的在于提供一种身份核实方法及其***，使用区块链技术实现身份核实，可以在满足各国数据出境管控的前提下实现跨国跨地区的身份核实。

为了解决上述问题，本申请公开了一种身份核实方法，包括：

需要身份核实服务的应用向数字身份客户端发送第一请求，其中包括身份标识和第一信息；

该应用接收该数字身份客户端返回的签名信息和该身份标识对应的公钥，其中该签名信息由该数字身份客户端使用该公钥对应的私钥对该第一信息数字签名得到；

该应用向第一区块链的第一节点发送第二请求，其中包括该签名信息和公钥，供该第一节点根据该签名信息和公钥进行校验；

该应用接收该第一节点返回的该校验的校验结果，根据该校验结果进行身份核实。

在一个优选例中，该第一节点与该应用属于同一国家或地区。

在一个优选例中，该数字身份客户端运行在用户终端中；该数字身份客户端与身份核实对象属于同一国家或地区。

在一个优选例中，该第一信息包括业务标识。

在一个优选例中，该第一信息还包括一个随机数。

在一个优选例中，该应用向数字身份客户端发送第一请求之后，还包括：

该数字身份客户端根据该身份标识进行账户级别验证；

该账户级别验证通过后，该数字身份客户端获取该身份标识对应的公钥和私钥，使用该私钥对该第一信息进行数字签名得到该签名信息；

该数字身份客户端将该公钥和该签名信息发送给该应用。

在一个优选例中，该应用向第一区块链的第一节点发送第二请求之后，还包括：

该第一节点根据该签名信息和公钥进行校验。

在一个优选例中，该第二请求中还包括该身份标识的哈希值；

该第一节点根据该签名信息和公钥进行校验，进一步包括：

该第一节点根据该公钥计算公钥地址，在该第一区块链上找到对应该公钥地址的身份标识哈希值和验证成功的身份核实类型；

该第一节点使用该公钥对该签名信息进行签名验证，如果签名验证通过并且该第一区块链上找到的身份标识哈希值和该第二请求中的身份标识哈希值相同，则将该验证成功的身份核实类型作为校验结果发送给该应用。

在一个优选例中，该应用接收该第一节点返回的该校验的校验结果之后，还包括：

该应用判断该校验结果中的验证成功的身份核实类型是否满足业务需要，如果不满足，则向用于发布身份核实服务的第二区块链的第二节点查询能够提供的身份核实服务，从查询结果中选择符合该业务需要的身份核实服务，向该数字身份客户端发送第三请求，该第三请求中包括被选择的身份核实服务的类型；

该数字身份客户端根据该第三请求中身份核实服务的类型，向相应的身份核实服务端发送第四请求，该第四请求中包括该签名信息、该公钥；

该身份核实服务端进行身份验证，将所收到的公钥地址、验证成功的身份核实类型和该身份标识的哈希值更新到该第一区块链。

在一个优选例中，该将所收到的公钥地址、验证成功的身份核实类型和该身份标识的哈希值更新到该第一区块链，进一步包括：

该身份核实服务端将所收到的公钥、验证成功的身份核实类型和该签名信息发送到该第一区块链的一个节点，该节点根据收到的签名信息和公钥进行签名校验，如果校验通过则更新该第一区块链中该公钥对应的验证成功的身份核实类型。

在一个优选例中，该将所收到的公钥地址、验证成功的身份核实类型和该身份标识的哈希值更新到该第一区块链之后，还包括：

该应用向第一区块链的第一节点发送第五请求，其中包括该签名信息和该公钥；

该第一节点根据该第五请求中的签名信息和公钥进行校验并返回校验结果；

该应用接收根据该第一节点返回校验结果进行身份核实。

在一个优选例中，该第二节点与需要身份核实的对象属于同一国家或地区。

在一个优选例中，该第二区块链的身份核实服务的发布方式如下：

身份核实服务端将能够提供的身份核实服务的信息发送到该第二区块链的第三节点，其中该第三节点与该身份核实服务端属于同一国家或地区；

该第三节点该身份核实服务的信息保存到该第二区块链，并传播到该第二区块链的其他节点，其中包括该第二节点。

在一个优选例中，在该需要身份核实服务的应用向数字身份客户端发送第一请求之前，还包括：

该数字身份客户端接收该身份标识；

该数字身份客户端向用于发布身份核实服务的第二区块链的第二节点查询可用的身份核实服务，并根据查询结果通过与身份核实服务端的交互完成身份验证，接收来自该身份核实服务端的身份验证结果，生成与该身份标识对应的一对公钥和私钥，计算公钥地址并将该公钥地址发送给该身份核实服务端；

该身份核实服务端将所收到的公钥地址、验证成功的身份核实类型和该身份标识的哈希值保存到该第一区块链。

在一个优选例中，该数字身份客户端接收该身份标识之后，还包括：

根据该身份标识进行账户级别验证。

本申请还公开了一种身份核实***，包括：需要身份核实服务的应用、数字身份客户端和第一区块链；

该应用包括请求发送模块和身份核实模块；该请求发送模块用于向该数字身份客户端发送第一请求，其中包括身份标识和第一信息，并向该第一区块链的第一节点发送第二请求，其中包括该数字身份客户端返回的签名信息和公钥；该身份核实模块用于根据该第一节点返回的校验结果进行身份核实；

该数字身份客户端包括签名模块和发送模块；该签名模块用于使用该第一请求中的身份标识对应的私钥对该第一信息进行数字签名而得到该签名信息；该发送模块用于将该签名信息和该身份标识对应的公钥返回给该应用；

该第一节点包括校验模块，用于根据该第二请求中的签名信息和公钥进行校验，并向该应用返回校验结果。

在一个优选例中，该第一信息包括业务标识。

在一个优选例中，该第一信息还包括一个随机数。

在一个优选例中，该数字身份客户端还包括：

账户验证模块，用于在收到该第一请求后，根据该身份标识进行账户级别验证；

签名模块，用于在该账户级别验证通过后，根据该身份标识获取对应的公钥和私钥，使用该私钥对该第一信息进行数字签名得到该签名信息；

发送模块，用于将该公钥和该签名信息发送给该应用。

该第一节点还包括：

查找模块，用于对该公钥进行哈希运算得到公钥地址，在该第一区块链上找到对应该公钥地址的身份标识哈希值和验证成功的身份核实类型；

验证模块，用于使用该公钥对该签名信息进行签名验证，如果签名验证通过并且该第一区块链上找到的身份标识哈希值和该第二请求中的身份标识哈希值相同，则将该验证成功的身份核实类型作为校验结果发送给该应用。

在一个优选例中，

该应用还包括：核身强度判别模块，用于判断该校验结果中的验证成功的身份核实类型是否满足业务需要；服务查询模块，用于在该校验结果中的验证成功的身份核实类型不满足业务需要时，向用于发布身份核实服务的第二区块链的第二节点查询能够提供的身份核实服务，从查询结果中选择符合该业务需要的身份核实服务；该请求发送模块还用于向该数字身份客户端发送第三请求，该第三请求中包括被选择的身份核实服务的类型；

该数字身份客户端还包括验证请求模块，用于根据该第三请求中身份核实服务的类型，向相应的身份核实服务端发送第四请求，该第四请求中包括该签名信息、该公钥；

该身份核实服务端包括更新模块，用于根据该第三请求进行身份验证，将所收到的公钥地址、验证成功的身份核实类型和该身份标识的哈希值更新到该第一区块链。

在一个优选例中，该更新模块将所收到的公钥、验证成功的身份核实类型和该签名信息发送到该第一区块链的一个节点，供该节点根据收到的签名信息和公钥进行校验，如果校验通过则更新该第一区块链中该公钥对应的验证成功的身份核实类型。

在一个优选例中，该身份核实服务端还包括服务发布模块，用于将能够提供的身份核实服务的信息发送到该第二区块链的第三节点，其中该第三节点与该身份核实服务端属于同一国家或地区；

该第三节点用于将该身份核实服务的信息保存到该第二区块链，并传播到该第二区块链的其他节点，其中包括该第二节点。

在一个优选例中，该数字身份客户端还包括查询模块和密钥生成模块，其中，

该查询模块，用于根据所接收的该身份标识，向用于发布身份核实服务的第二区块链的第二节点查询可用的身份核实服务，并根据查询结果通过与身份核实服务端的交互完成身份验证，接收来自该身份核实服务端的身份验证结果；

该密钥生成模块，用于生成与该身份标识对应的一对公钥和私钥，计算公钥地址；

该数字身份客户端的发送模块还用于将该公钥地址发送给该身份核实服务端；

该身份核实服务端包括验证模块，用于进行身份验证，并将所收到的公钥地址、验证成功的身份核实类型和该身份标识的哈希值保存到该第一区块链。

本申请还公开了一种身份核实方法，包括：

第三区块链的第四节点接收来自身份核实服务端的身份核实信息，该身份核实信息中包括待验证信息的第一哈希值；

该第四节点将该身份核实信息保存到该第三区块链，并通过该第三区块链将该身份核实信息传播到该第三区块链的第五节点；

该第五节点接收来自第一应用的身份核实请求，其中包括待验证信息的第二哈希值；

该第五节点对该第一哈希值和该第二哈希值进行比较，并根据比较结果向该第一应用返回身份核实结果。

在一个优选例中，该第四节点和该身份核实服务端属于同一国家或地区；

该第五节点和该身份核实服务端不属于同一国家或地区。

在一个优选例中，该第五节点和该第一应用属于同一国家或地区。

在一个优选例中，该第一哈希值和该第二哈希值是通过相同的哈希算法得到的。

在一个优选例中，该根据比较结果向该第一应用返回身份核实结果，进一步包括：

如果相同则该第五节点向该第一应用返回表示身份核实通过的信息，如果不同则该第五节点向该第一应用返回表示身份核实未通过的信息。

在一个优选例中，该身份核实信息还包括待核实身份者的标识信息；

该身份核实请求中还包括待核实身份者的标识信息；

该第五节点对该第一哈希值和该第二哈希值进行比较之前，还包括：根据该身份核实请求中的标识信息在该第三区块链保存的信息中查找具有相同标识信息的身份核实信息，从而找到该第一哈希值。

在一个优选例中，该待验证信息包括以下之一或其任意组合：

指纹信息，人脸特征信息，银行账户信息。

本申请还公开了一种身份核实***，包括身份核实服务端，第三区块链和第一应用：

该身份核实服务端用于向该第三区块链的第四节点发送身份核实信息，该身份核实信息中包括待验证信息的第一哈希值；

该第四节点用于将该身份核实信息保存到该第三区块链，并通过第三区块链将该身份核实信息传播到该第三区块链的第五节点；

该第一应用用于向该第五节点发送身份核实请求，其中包括待验证信息的第二哈希值；

该第五节点用于对该第一哈希值和该第二哈希值进行比较，并根据比较结果向该第一应用返回身份核实结果。

该第五节点和该身份核实服务端不属于同一国家或地区。

在一个优选例中，该第五节点在该比较结果相同时向该第一应用返回表示身份核实通过的信息，在该比较结果不同时向该第一应用返回表示身份核实未通过的信息。

该身份核实请求中还包括待核实身份者的标识信息；

该第五节点还用于根据该身份核实请求中的标识信息在该第三区块链保存的信息中查找具有相同标识信息的身份核实信息，从而找到该第一哈希值。

指纹信息，人脸特征信息，银行账户信息。

本申请还公开了一种身份核实***，包括：

存储器，用于存储计算机可执行指令；以及，

处理器，用于在执行该计算机可执行指令时实现如前文描述的方法中的步骤。

本申请还公开了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现如前文描述的方法中的步骤。

本申请一个实施方式中，使用区块链的技术实现身份核实，可以在满足各国数据出境管控的前提下实现跨国的身份核实。

基于区块链技术，在各个国家、地区之间建设跨境的核身网络***，利用区块链防篡改，可追溯。在不同的国家都部署不同的节点，在本国服务和跨国调用之间取得隐私保护和调用的便利性之间的平衡。

在本申请一个实施方式中，户籍国/地区的身份核实服务端将敏感的待验证信息进行哈希运算，将敏感信息的哈希值而不是敏感信息本身通过户籍国/地区的节点上传到区块链，通过区块链扩散到其他国家或地区。其他国家或地区的需要身份核实服务的应用向所在国或地区(即调用国/地区)的节点提出身份核实请求，其中也携带待验证信息的哈希值，由调用国/地区的区块链节点判断身份核实请求中的哈希值是否与区块链中保存的哈希值一致，如果一致则向应用返回身份核实通过的消息，否则向应用返回身份核实不通过的消息。通过这种技术方案可以在符合各个国家对数据出境管控的规定的前提下顺利进行身份核实。

本申请的说明书中记载了大量的技术特征，分布在各个技术方案中，如果要罗列出本申请所有可能的技术特征的组合(即技术方案)的话，会使得说明书过于冗长。为了避免这个问题，本申请所述发明内容中公开的各个技术特征、在下文各个实施方式和例子中公开的各技术特征、以及附图中公开的各个技术特征，都可以自由地互相组合，从而构成各种新的技术方案(这些技术方案均因视为在本说明书中已经记载)，除非这种技术特征的组合在技术上是不可行的。例如，在一个例子中公开了特征A+B+C，在另一个例子中公开了特征A+B+D+E，而特征C和D是起到相同作用的等同技术手段，技术上只要择一使用即可，不可能同时采用，特征E技术上可以与特征C相组合，则，A+B+C+D的方案因技术不可行而应当不被视为已经记载，而A+B+C+E的方案应当视为已经被记载。

附图说明

图1是根据本申请第一实施方式的身份核实方法流程示意图

图2是根据本申请第二实施方式的身份核实方法流程示意图

图3是根据本申请第二实施方式的发布和订阅身份核实服务的流程示意图

图4是根据本申请第二实施方式的将经过身份核实服务端验证的身份核实类型上链的流程示意图

图5是根据本申请第三实施方式的身份核实***结构示意图

图6是根据本申请第四实施方式的身份核实方法信息传递示意图

具体实施方式

在以下的叙述中，为了使读者更好地理解本申请而提出了许多技术细节。但是，本领域的普通技术人员可以理解，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。

部分概念的说明：

应用：指具备特定功能的应用软件***。本申请实施例中的应用一般指需要身份核实服务的应用。

数字身份客户端，用于进行数字身份验证的客户端。在一个实施例中，该数字身份客户端是一个应用软件，且具有账号体系，每个人都可以注册其户籍国的账号体系，由本国本地身份核实服务提供账户登录等功能。在一个实施例中，该数字身份客户端也是用户的数字身份钱包，钱包里面的证件是存在本国的服务器的。身份钱包中有护照、本国身份证等信息，当在网站上以某个证件注册时，会首先校验其身份钱包中是否有该证件，再访问本国的实人实证服务(identification)。当进行本国身份认证(identification)结束后，数字身份客户端可以通过自己管理的TEE/SE等安全区产生公私钥对，公钥的地址发到区块链上，钱包也会记录公钥、当前的版本号等信息，对应的私钥会被保存到安全区。可选地，公钥地址的计算方式为(Base58(version+ripemd160(SHA256(public key))+checksum)，采用这个计算方式可以防止公钥公开后被过多破解。

身份核实服务端，提供身份核实服务的服务方。在一个实施例中，身份核实服务是在本地(国内或地区内)提供的。在一个实施例中，身份核实服务端是在云端实现的。在一个实施例中，身份核实服务主要提供两个功能，一个功能是对本国/本地区公民的身份进行实人实证校验，并将对用户进行了哪些校验及用户唯一标识索引上链。另一个功能是将本国/本地区的身份核实服务发布至身份核实服务发布区块链(即第二区块链)，以供其他国家/地区需要该服务的服务订阅。各个国家对于数据出境都要求较为严格，因此各国家可以在本国部署身份核实服务，所需要的身份核实数据源都部署在本国境内，但可以接受他国的直连服务，保证敏感数据不能出境。同时本国的身份核实服务也提供对于本国用户的账户管理。只有联盟节点(即认证过的服务商)才可以发布服务，每次发布服务需要加上自己的签名。

身份核实区块链，即第一区块链。在一个实施例中，该区块链承载了用户公钥地址的存储，用户当前公钥进行了哪些身份核实服务的验证，用于用户当前提交的authentication(证明)对应的公钥地址的比对和验签，本区块链上的数据是实现跨国验证的关键数据。该区块链的重要功能是PKI基础服务，包含：1、用户公钥地址的存储；2、对数字签名的验签操作；3、计算上传上来的公钥与公钥地址是否匹配。

身份核实服务发布区块链，即第二区块链。在一个实施例中，本区块链承载了各个国家不同的服务商对外提供的服务，各个国家的服务商也可以订阅其他国家的身份认证服务，原则上该服务只提供身份核验服务(仅返回是或否)。调用国的服务使用方可以自定义哪些服务是符合其业务强度要求的。每个国家对于自己的公民都有一些政府提供的，或者某些公司提供的一些身份认证(identification)的工具，以便确定你是谁，举例来说，中国公安部门提供了公民姓名，身份证号，人脸的比对等服务，如果甲提供的静态信息及生物信息均与公安部门比对源一致，则可以认为甲的信息可信，并被认定为实人实证，确定了提供信息的人就是甲本人。然而各个国家对于公民的敏感信息都有一定程度的强管控，例如A国家不希望其他国家获取到(或留存)本国公民的人脸数据，而B国家的应用出于风险等方面的考虑，希望进行人脸级别的强身份核实操作，这时A国家的服务商AS只要将本国的人脸核验服务发布到身份核实服务发布区块链上，其他国家，例如B国，的服务商BS可以订阅到该服务，如果BS认为AS可靠，就可以借助数字身份客户端完成对AS的访问，而不用留存数据。

IFAA:IFAA(internet finance authentication alliance)，互联网金融认证联盟。为适应生物特征校验等新型校验方式的发展，提供安全并具有更优秀用户体验认证方式，为迅速发展的互联网金融业务提供支持。通过和设备厂商、芯片厂商、算法厂商、安全厂商、标准机构、检测机构合作，创造一种使用生物特征授权访问的一套解决方案。

FIDO:FIDO(Fast Identity Online)联盟，即线上快速身份验证联盟。FIDO联盟为于2012年7月成立的行业协会，其宗旨为满足市场需求和应付网上验证要求。该协议为在线与数码验证方面的首个开放行业标准，可提高安全性、保护私隐及简化用户体验。用户可以使用智能手机指纹采集器、USB令牌等多种方式登录，服务商无需再维护复杂且成本高昂的认证后台。

Hash：中文称为哈希或散列，是一种将任意长度的信息压缩到某一固定长度的消息摘要的函数。

公钥地址：根据公钥进行特定的哈希运算得到的数据。

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请的实施方式作进一步地详细描述。

本申请的第一实施方式涉及一种身份核实方法，其流程如图1所示，该方法包括以下步骤：

在步骤101中，需要身份核实服务的应用向数字身份客户端发送第一请求，其中包括身份标识和第一信息。可选地，第一信息包括业务标识。在第一信息中包括业务标识可以使得身份核实的行为与特定的业务相关联。可选地，第一信息包括业务标识和一个随机数，该随机数也可以被称为挑战值。在用于签名的第一信息中包括一个随机数可以防止重放攻击。可选地，第一信息包括业务的一个或多个特征信息。

此后进入步骤102，应用接收数字身份客户端返回的签名信息和身份标识对应的公钥，其中签名信息由数字身份客户端使用公钥对应的私钥对第一信息数字签名得到。在一个实施例中，数字身份客户端运行在用户终端中。在一个实施例中，数字身份客户端与身份核实对象属于同一国家或地区。身份核实对象就是需要核实身份的人。在另一个实施例中，数字身份客户端与身份核实对象也可以不属于同一国家或地区，只要法律上不禁止该数字身份客户端获取身份核实对象的与身份核实相关的敏感信息即可。

此后进入步骤103，应用向第一区块链的第一节点发送第二请求，其中包括签名信息和公钥，供第一节点根据签名信息和公钥进行校验。在一个实施例中，第一节点与应用属于同一国家或地区，或者说第一节点也可以被称为调用国/地区节点。在另一个实施例中，第一节点与应用也可以不属于同一国家或地区，只要法律上不禁止该应用访问第一节点即可。

此后进入步骤104，应用接收第一节点返回的校验的校验结果，根据该校验结果进行身份核实。

本申请的第二实施方式涉及一种身份核实方法，其流程如图2所示。第一实施方式描述的主要是应用这一端在身份核实过程中的行为，第二实施方式是从整个***的角度(该***包括应用、数字身份客户端、区块链、和身份核实服务端等)描述各个部分如何相互交互实现身份核实的。

在步骤201中，需要身份核实服务的应用向数字身份客户端发送第一请求，其中包括身份标识和第一信息。该步骤与步骤101相同。

此后进入步骤202，数字身份客户端收到第一请求后，根据其中的身份标识获取对应的公钥和私钥，使用私钥对第一信息进行数字签名得到签名信息。可选地，在数字签名之前还需要进行账户级别验证。

此后进入步骤203，数字身份客户端将公钥和签名信息发送给应用。可选地，同时将该公钥和私钥生成时使用的版本号一起发送给应用。

此后进入步骤204，应用向第一区块链的第一节点发送第二请求，其中包括签名信息和公钥。可选地，第二请求中还包括身份标识的哈希值。

此后进入步骤205，第一节点收到第二请求后，根据其中的签名信息和公钥进行校验。可选地，该步骤进一步包括：第一节点根据公钥计算公钥地址，在第一区块链上找到该公钥地址对应的身份标识哈希值和验证成功的身份核实类型。第一节点使用公钥对签名信息进行签名验证，如果签名验证通过并且第一区块链上找到的身份标识哈希值和第二请求中的身份标识哈希值相同，则将验证成功的身份核实类型作为校验结果发送给应用，否则向该应用返回标识身份校验失败的信息。在一个实施例中，第二请求中也可以没有身份标识哈希值，相应地，第一节点也可以不进行第二请求中的身份标识哈希值和第一区块链中身份标识哈希值是否一致的验证。

此后进入步骤206，数字身份客户端向应用返回校验结果，其中包括验证成功的身份核实类型。

此后进入步骤207，应用判断校验结果中的验证成功的身份核实类型是否满足业务需要，如果满足则身份核实成功，结束身份核实的流程，如果不满足则进入步骤208。在一些实施例中，验证成功的身份核实类型也可以被称为身份核实的强度。

在步骤208中，应用向用于发布身份核实服务的第二区块链的第二节点查询能够提供的身份核实服务。可选地，第二节点与需要身份核实的对象属于同一国家或地区。

此后进入步骤209，应用从第二节点返回的查询结果中选择符合业务需要的身份核实服务。

此后进入步骤210，应用向数字身份客户端发送第三请求，该第三请求中包括被选择的身份核实服务的类型。

此后进入步骤211，数字身份客户端根据第三请求中身份核实服务的类型，向相应的身份核实服务端发送第四请求，该第四请求中包括签名信息和公钥。

此后进入步骤212，身份核实服务端进行身份验证。

此后进入步骤213，身份核实服务端将所收到的公钥地址、验证成功的身份核实类型和身份标识的哈希值更新到第一区块链。在一个实施例中，本步骤进一步包括：身份核实服务端将所收到的公钥、验证成功的身份核实类型和签名信息发送到第一区块链的一个节点，该节点根据收到的签名信息和公钥进行校验，如果校验通过则更新第一区块链中该公钥对应的验证成功的身份核实类型。在图2中身份核实服务端是通过调用国/ 地区节点更新第一区块链的，在其他实施例中身份核实服务端可以通过第一区块链中的任意节点更新区块链。

此后进入步骤214，应用向第一区块链的第一节点发送第五请求，其中包括签名信息和公钥。

此后进入步骤215，第一节点根据第五请求中的签名信息和公钥进行校验并在步骤216返回校验结果。

此后进入步骤217，应用接收根据第一节点返回校验结果进行身份核实。

第二区块链是用于发布和订阅身份核实服务的区块链。上述步骤208和209实质上是对身份核实服务的订阅。下面结合图3说明发布和订阅身份核实服务的流程。

在步骤301中，身份核实服务端将能够提供的身份核实服务的信息发送到第二区块链的第三节点，其中该第三节点与该身份核实服务端属于同一国家或地区(或者可称为户籍国/地区节点)。身份核实服务的类型可以是多种多样的，例如人脸验证等。可选地，身份核实服务端发送的信息可以是发布机构标识，身份核实服务的类型，相关的校验数据等。

此后进入步骤302，第三节点身份核实服务的信息保存到第二区块链。此步骤可以称为身份核实服务的信息的上链(上链即保存到区块链)。

此后进入步骤303，第三节点将上链的身份核实服务的信息传播到第二区块链的其他节点，其中包括第二节点(或可称为调用国/地区节点)。至此身份核实服务的发布就完成了。

此后进入步骤304，需要身份核实服务的应用向第二节点订阅已经上链的身份核实服务。

此后进入步骤305，第二节点向该应用返回身份核实服务的信息。之后如果被订阅的身份核实服务的信息有更新，更新的内容也会自动发送至进行订阅的应用。至此完成身份核实服务的订阅。

步骤201至206可以看作通过第一区块链查询已经上链的经过身份核实服务端验证的身份核实类型。下面说明如何将经过身份核实服务端验证的身份核实类型上链。该流程如图4所示。

在步骤401中，数字身份客户端接收身份标识。在一个实施例中，根据传入的校验人标识，先进行账户级别验证(例如手势解密、密码解密或指纹解密等)，查询该数字身份客户端中是否有该校验人标识对应的标识。

此后进入步骤402，数字身份客户端向用于发布身份核实服务的第二区块链的第二节点查询可用的身份核实服务。在一个实施例中，第二节点是户籍国/地区节点。

此后进入步骤403，第二节点返回可用的身份核实服务。

此后进入步骤404，数字身份客户端根据查询结果通过与身份核实服务端的交互完成身份验证。其中包括数字身份客户端发送请求身份验证的消息，以及其他必要的交互。

此后进入步骤405，身份核实服务端返回身份验证结果。

此后进入步骤406，数字身份客户端接收来自身份核实服务端的身份验证结果，在本地安全环境生成与身份标识对应的一对密钥(包括公钥和私钥)。在一个实施例中，数字身份客户端基于安全的ECC椭圆曲线算法，在手机的安全区(如TEE、SE等)生成公私钥对，私钥存储在本地安全区，公钥存储在本地，公钥长度为64byte(ecc算法公钥，x、y强制32byte，不足补零，首位>1不补零，全部为正数)，(Base58(version+ripemd160(SHA256(public key))+checksum)。Base58是Base64的子集，过滤了一些容易引起混淆的字符，例如0(数字零)，O(大写o)，l(小写L)，I(大写i)，以及“+”和“/”符号，ripemd160、sha256为两种hash算法，version是版本号，默认01，checksum采用ripemd160之后值的CRC16校验码(2字节)。生成公私钥后，基于IFAA、FIDO等生物验证方式，保护私钥的访问。

此后进入步骤407，数字身份客户端计算公钥地址并将该公钥地址发送给身份核实服务端。可选地，可以将版本号也一起发送给身份核实服务端。

此后进入步骤408，身份核实服务端将所收到的公钥地址、验证成功的身份核实类型和身份标识的哈希值上链(即保存到第一区块链)。公钥地址、验证成功的身份核实类型和身份标识的哈希值是一条记录，可以通过公钥地址查询对应的验证成功的身份核实类型和身份标识的哈希值。可选地，身份核实服务端可以将版本号也一起上链。

本申请的第三实施方式涉及一种身份核实***，其结构如图5所示，该身份核实***包括：需要身份核实服务的应用50、数字身份客户端51和第一区块链52，第二区块链53，身份核实服务端54。

应用包括请求发送模块和身份核实模块。请求发送模块用于向数字身份客户端发送第一请求，其中包括身份标识和第一信息，并向第一区块链的第一节点发送第二请求，其中包括数字身份客户端返回的签名信息和公钥。身份核实模块用于根据第一节点返回的校验结果进行身份核实。可选地，第一信息包括业务标识。在第一信息中包括业务标识可以使得身份核实的行为与特定的业务相关联。可选地，第一信息包括业务标识和一个随机数，该随机数也可以被称为挑战值。在用于签名的第一信息中包括一个随机数可以防止重放攻击。可选地，第一信息包括业务的一个或多个特征信息。

数字身份客户端包括签名模块和发送模块。签名模块用于使用第一请求中的身份标识对应的私钥对第一信息进行数字签名而得到签名信息。发送模块用于将签名信息和身份标识对应的公钥返回给应用。可选地，数字身份客户端运行在用户终端中。数字身份客户端与身份核实对象属于同一国家或地区。

第一节点包括校验模块，用于根据第二请求中的签名信息和公钥进行校验，并向应用返回校验结果。可选地，第一节点与应用属于同一国家或地区。

可选地，数字身份客户端还包括：账户验证模块，用于在收到第一请求后，根据身份标识进行账户级别验证。签名模块，用于在账户级别验证通过后，根据身份标识获取对应的公钥和私钥，使用私钥对第一信息进行数字签名得到签名信息。发送模块，用于将公钥和签名信息发送给应用。

可选地，第二请求中还包括身份标识的哈希值。第一节点还包括查找模块和验证模块，其中，查找模块用于对公钥进行哈希运算得到公钥地址，在第一区块链上找到对应该公钥地址的身份标识哈希值和验证成功的身份核实类型。验证模块用于使用公钥对签名信息进行签名验证，如果签名验证通过并且第一区块链上找到的身份标识哈希值和第二请求中的身份标识哈希值相同，则将验证成功的身份核实类型作为校验结果发送给应用。否则向该应用返回标识身份校验失败的信息。在一个实施例中，第二请求中也可以没有身份标识哈希值，第一节点也可以不进行第二请求中的身份标识哈希值和第一区块链中身份标识哈希值是否一致的验证。

可选地，应用还包括：核身强度判别模块，用于判断校验结果中的验证成功的身份核实类型是否满足业务需要。服务查询模块，用于在校验结果中的验证成功的身份核实类型不满足业务需要时，向用于发布身份核实服务的第二区块链的第二节点查询能够提供的身份核实服务，从查询结果中选择符合业务需要的身份核实服务。请求发送模块还用于向数字身份客户端发送第三请求，该第三请求中包括被选择的身份核实服务的类型。数字身份客户端还包括验证请求模块，用于根据第三请求中身份核实服务的类型，向相应的身份核实服务端发送第四请求，该第四请求中包括签名信息、公钥。身份核实服务端包括更新模块，用于根据第三请求进行身份验证，将所收到的公钥地址、验证成功的身份核实类型和身份标识的哈希值更新到第一区块链。第二节点与需要身份核实的对象属于同一国家或地区。

可选地，更新模块将所收到的公钥、验证成功的身份核实类型和签名信息发送到第一区块链的一个节点，供该节点根据收到的签名信息和公钥进行校验，如果校验通过则更新第一区块链中该公钥对应的验证成功的身份核实类型。

可选地，身份核实服务端还包括服务发布模块，用于将能够提供的身份核实服务的信息发送到第二区块链的第三节点，其中该第三节点与该身份核实服务端属于同一国家或地区。第三节点用于将身份核实服务的信息保存到第二区块链，并传播到第二区块链的其他节点，其中包括第二节点。

可选地，数字身份客户端还包括查询模块和密钥生成模块，其中，查询模块用于根据所接收的身份标识，向用于发布身份核实服务的第二区块链的第二节点查询可用的身份核实服务，并根据查询结果通过与身份核实服务端的交互完成身份验证，接收来自身份核实服务端的身份验证结果。密钥生成模块用于生成与身份标识对应的一对公钥和私钥，计算公钥地址。数字身份客户端的发送模块还用于将公钥地址发送给身份核实服务端。身份核实服务端包括验证模块，用于进行身份验证，并将所收到的公钥地址、验证成功的身份核实类型和身份标识的哈希值保存到第一区块链。

第一和第二实施方式是与本实施方式相对应的方法实施方式，第一和第二实施方式中的技术细节可以应用于本实施方式，本实施方式中的技术细节也可以应用于第一和第二实施方式。

本申请的第四实施方式涉及一种身份核实方法，其流程如图6所示。

本实施方式需要验证一个待验证信息是否属于一个用户(待核实身份者)。例如，需要验证一个用户的指纹是否与身份核实服务端中该用户的指纹一致。但是，该用户户籍国/地区的法律可能禁止指纹信息出境，那么在该户籍国/地区之外就无法进行指纹验证了。本实施方式中，身份核实服务端把指纹的哈希值上传到区块链的户籍国/地区节点，通过该节点将指纹的哈希值扩散到该区块链在户籍国/地区之外的其他节点，需要验证指纹的调用国/地区的应用可以将采集到的指纹的哈希值发送到该区块链在调用国/地区的节点，该调用国/地区节点将从该应用收到的指纹哈希值和区块链中保存的指纹哈希值进行比较，如果相同就向该应用返回身份核实成功信息，否则返回身份核实失败信息。通过这种方式，在符合户籍国/地区数据管制法规的前提下，成功地实现了指纹验证。

在步骤601中，身份核实服务端向第三区块链的一个节点(这里称为第四节点)发送身份核实信息。其中包括待核实身份者的标识信息和待验证信息的哈希值(这里称为第一哈希值)。待验证信息可以是指纹信息(或者指纹的特征信息)、人脸特征信息、银行账户信息，等等。待核实身份者的标识信息是可以唯一标识待核实身份者的信息，例如身份证号、驾驶证号、社会保险号等，也可以是将身份证号、驾驶证号、社会保险号等经过某种算法(例如某种哈希算法)变换后的值(以起到保密作用)，例如身份证号的哈希值，等等。

此后进入步骤602，第三区块链的第四节点接收来自身份核实服务端的身份核实信息，将身份核实信息保存到第三区块链，并将身份核实信息传播到第三区块链的其他节点。

此后进入步骤603，需要进行身份核实的第一应用获取待验证信息，对其作哈希运算，向第三区块链的一个节点(这里可以称为第五节点)发送身份核实请求，其中包括待验证信息的哈希值(这里称为第二哈希值)和待核实身份者的标识信息。通常第一哈希值和第二哈希值是通过相同的哈希算法得到的。

此后进入步骤604，第五节点接收来自第一应用的身份核实请求，对该请求中的第一哈希值和第三区块链中保存的第二哈希值进行比较，并根据比较结果向第一应用返回身份核实结果。在一个实施例中，如果相同则第五节点向第一应用返回表示身份核实通过的信息，如果不同则第五节点向第一应用返回表示身份核实未通过的信息。在一个实施例中，第五节点根据身份核实请求中的标识信息在第三区块链保存的信息中查找具有相同标识信息的身份核实信息，从而找到第一哈希值。

可选地，第四节点和身份核实服务端属于同一国家或地区。第五节点和身份核实服务端不属于同一国家或地区。第五节点和第一应用属于同一国家或地区。

本申请的第五实施方式涉及一种身份核实***，如图6所示，该***包括身份核实服务端，第三区块链(其中包括第四和第五节点)和第一应用：

身份核实服务端71用于向第三区块链的第四节点72发送身份核实信息，身份核实信息中包括待验证信息的第一哈希值和核实身份者的标识信息。待验证信息可以是指纹信息(或者指纹的特征信息)、人脸特征信息、银行账户信息等等。待核实身份者的标识信息是可以唯一标识待核实身份者的信息，例如身份证号、驾驶证号、社会保险号等，也可以是将身份证号、驾驶证号、社会保险号等经过某种算法(例如某种哈希算法)变换后的值，例如身份证号的哈希值，等等。

第四节点72用于将身份核实信息保存到第三区块链，并通过第三区块链将身份核实信息传播到第三区块链的其他节点，其中包括第五节点。

第一应用74用于向第五节点73发送身份核实请求，其中包括待验证信息的第二哈希值和核实身份者的标识信息。在一个实施例中，第一哈希值和第二哈希值是通过相同的哈希算法得到的。

第五节点73用于对第一哈希值和第二哈希值进行比较，并根据比较结果向第一应用返回身份核实结果。在一个实施例中，第五节点在比较结果相同时向第一应用返回表示身份核实通过的信息，在比较结果不同时向第一应用返回表示身份核实未通过的信息。在一个实施例中，第五节点根据身份核实请求中的标识信息在第三区块链保存的信息中查找具有相同标识信息的身份核实信息，从而找到第一哈希值。

在一个实施例中，第四节点和身份核实服务端属于同一国家或地区。第五节点和身份核实服务端不属于同一国家或地区。在一个实施例中，第五节点和第一应用属于同一国家或地区。

第四实施方式是与本实施方式相对应的方法实施方式，第四实施方式中的技术细节可以应用于本实施方式，本实施方式中的技术细节也可以应用于第四实施方式。

需要说明的是，本领域技术人员应当理解，所述身份核实***的实施方式中所示的各模块的实现功能可参照前述身份核实方法的相关描述而理解。所述身份核实***的实施方式中所示的各模块的功能可通过运行于处理器上的程序(可执行指令)而实现，也可通过具体的逻辑电路而实现。本申请实施例所述身份核实***如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本申请实施例不限制于任何特定的硬件和软件结合。

相应地，本申请实施方式还提供一种计算机可读存储介质，其中存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现本申请的各方法实施方式。计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于，相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读存储介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

此外，本申请实施方式还提供一种身份核实***，其中包括用于存储计算机可执行指令的存储器，以及，处理器；该处理器用于在执行该存储器中的计算机可执行指令时实现所述各方法实施方式中的步骤。其中，该处理器可以是中央处理单元(Central Processing Unit，简称“CPU”)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，简称“DSP”)、专用集成电路(Application Specific Integrated Circuit，简称“ASIC”)等。前述的存储器可以是只读存储器(read-only memory，简称“ROM”)、随机存取存储器(random access memory，简称“RAM”)、快闪存储器(Flash)、硬盘或者固态硬盘等。本发明各实施方式所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

需要说明的是，在本专利的申请文件中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本专利的申请文件中，如果提到根据某要素执行某行为，则是指至少根据该要素执行该行为的意思，其中包括了两种情况：仅根据该要素执行该行为、和根据该要素和其它要素执行该行为。多个、多次、多种等表达包括2个、2次、2种以及2个以上、2次以上、2种以上。

在本申请提及的所有文献都被认为是整体性地包括在本申请的公开内容中，以便在必要时可以作为修改的依据。此外应理解，以上所述仅为本说明书的较佳实施例而已，并非用于限定本说明书的保护范围。凡在本说明书一个或多个实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例的保护范围之内。

Claims

一种身份核实方法，其特征在于，包括：

需要身份核实服务的应用向数字身份客户端发送第一请求，其中包括身份标识和第一信息；

所述应用接收所述数字身份客户端返回的签名信息和所述身份标识对应的公钥，其中所述签名信息由所述数字身份客户端使用所述公钥对应的私钥对所述第一信息数字签名得到；

所述应用向第一区块链的第一节点发送第二请求，其中包括所述签名信息和公钥，供所述第一节点根据所述签名信息和公钥进行校验；

所述应用接收所述第一节点返回的所述校验的校验结果，根据该校验结果进行身份核实。
如权利要求1所述的方法，其特征在于，所述第一节点与所述应用属于同一国家或地区。
如权利要求1所述的方法，其特征在于，所述数字身份客户端运行在用户终端中；所述数字身份客户端与身份核实对象属于同一国家或地区。
如权利要求1所述的方法，其特征在于，所述第一信息包括业务标识。
如权利要求4所述的方法，其特征在于，所述第一信息还包括一个随机数。
如权利要求1所述的方法，其特征在于，所述应用向数字身份客户端发送第一请求之后，还包括：

所述数字身份客户端根据所述身份标识进行账户级别验证；

所述账户级别验证通过后，所述数字身份客户端获取所述身份标识对应的公钥和私钥，使用所述私钥对所述第一信息进行数字签名得到所述签名信息；

所述数字身份客户端将所述公钥和所述签名信息发送给所述应用。
如权利要求1所述的方法，其特征在于，所述应用向第一区块链的第一节点发送第二请求之后，还包括：

所述第一节点根据所述签名信息和公钥进行校验。
如权利要求7所述的方法，其特征在于，所述第二请求中还包括所述身份标识的哈希值；

所述第一节点根据所述签名信息和公钥进行校验，进一步包括：

所述第一节点对所述公钥进行哈希运算得到公钥哈希值，在所述第一区块链上找到对应该公钥哈希值的身份标识哈希值和验证成功的身份核实类型；

所述第一节点使用所述公钥对所述签名信息进行签名验证，如果签名验证通过并且所述第一区块链上找到的身份标识哈希值和所述第二请求中的身份标识哈希值相同，则将所述验证成功的身份核实类型作为校验结果发送给所述应用。
如权利要求8所述的方法，其特征在于，所述应用接收所述第一节点返回的所述校验的校验结果之后，还包括：

所述应用判断所述校验结果中的验证成功的身份核实类型是否满足业务需要，如果不满足，则向用于发布身份核实服务的第二区块链的第二节点查询能够提供的身份核实服务，从查询结果中选择符合所述业务需要的身份核实服务，向所述数字身份客户端发送第三请求，该第三请求中包括被选择的身份核实服务的类型；

所述数字身份客户端根据所述第三请求中身份核实服务的类型，向相应的身份核实服务端发送第四请求，该第四请求中包括所述签名信息、所述公钥；

所述身份核实服务端进行身份验证，将所收到的公钥哈希值、验证成功的身份核实类型和所述身份标识的哈希值更新到所述第一区块链。
如权利要求9所述的方法，其特征在于，所述将所收到的公钥哈希值、验证成功的身份核实类型和所述身份标识的哈希值更新到所述第一区块链，进一步包括：

所述身份核实服务端将所收到的公钥、验证成功的身份核实类型和所述签名信息发送到所述第一区块链的一个节点，该节点根据收到的签名信息和公钥进行签名校验，如果校验通过则更新所述第一区块链中该公钥对应的验证成功的身份核实类型。
如权利要求10所述的方法，其特征在于，所述将所收到的公钥哈希值、验证成功的身份核实类型和所述身份标识的哈希值更新到所述第一区块链之后，还包括：

所述应用向第一区块链的第一节点发送第五请求，其中包括所述签名信息和所述公钥；

所述第一节点根据所述第五请求中的签名信息和公钥进行校验并返回校验结果；

所述应用接收根据所述第一节点返回校验结果进行身份核实。
如权利要求9所述的方法，其特征在于，所述第二节点与需要身份核实的对象属于同一国家或地区。
如权利要求9所述的方法，其特征在于，所述第二区块链的身份核实服务的发布方式如下：

身份核实服务端将能够提供的身份核实服务的信息发送到所述第二区块链的第三节点，其中该第三节点与该身份核实服务端属于同一国家或地区；

所述第三节点所述身份核实服务的信息保存到所述第二区块链，并传播到所述第二区块链的其他节点，其中包括所述第二节点。
如权利要求1所述的方法，其特征在于，在所述需要身份核实服务的应用向数字身份客户端发送第一请求之前，还包括：

所述数字身份客户端接收所述身份标识；

所述数字身份客户端向用于发布身份核实服务的第二区块链的第二节点查询可用的身份核实服务，并根据查询结果通过与身份核实服务端的交互完成身份验证，接收来自所述身份核实服务端的身份验证结果，生成与所述身份标识对应的一对公钥和私钥，计算公钥哈希值并将该公钥哈希值发送给所述身份核实服务端；

所述身份核实服务端将所收到的公钥哈希值、验证成功的身份核实类型和所述身份标识的哈希值保存到所述第一区块链。
如权利要求14所述的方法，其特征在于，所述数字身份客户端接收所述身份标识之后，还包括：

根据所述身份标识进行账户级别验证。
一种身份核实***，其特征在于，包括：需要身份核实服务的应用、数字身份客户端和第一区块链；

所述应用包括请求发送模块和身份核实模块；所述请求发送模块用于向所述数字身份客户端发送第一请求，其中包括身份标识和第一信息，并向所述第一区块链的第一节点发送第二请求，其中包括所述数字身份客户端返回的签名信息和公钥；所述身份核实模块用于根据所述第一节点返回的校验结果进行身份核实；

所述数字身份客户端包括签名模块和发送模块；所述签名模块用于使用所述第一请求中的身份标识对应的私钥对所述第一信息进行数字签名而得到所述签名信息；所述发送模块用于将所述签名信息和所述身份标识对应的公钥返回给所述应用；

所述第一节点包括校验模块，用于根据所述第二请求中的签名信息和公钥进行校验，并向所述应用返回校验结果。
如权利要求16所述的***，其特征在于，所述第一节点与所述应用属于同一国家或地区。
如权利要求16所述的***，其特征在于，所述数字身份客户端运行在用户终端中；所述数字身份客户端与身份核实对象属于同一国家或地区。
如权利要求16所述的***，其特征在于，所述第一信息包括业务标识。
如权利要求19所述的***，其特征在于，所述第一信息还包括一个随机数。
如权利要求16所述的***，其特征在于，所述数字身份客户端还包括：

账户验证模块，用于在收到所述第一请求后，根据所述身份标识进行账户级别验证；

签名模块，用于在所述账户级别验证通过后，根据所述身份标识获取对应的公钥和私钥，使用所述私钥对所述第一信息进行数字签名得到所述签名信息；

发送模块，用于将所述公钥和所述签名信息发送给所述应用。
如权利要求16所述的***，其特征在于，所述第二请求中还包括所述身份标识的哈希值；

所述第一节点还包括：

查找模块，用于对所述公钥进行哈希运算得到公钥哈希值，在所述第一区块链上找到对应该公钥哈希值的身份标识哈希值和验证成功的身份核实类型；

验证模块，用于使用所述公钥对所述签名信息进行签名验证，如果签名验证通过并且所述第一区块链上找到的身份标识哈希值和所述第二请求中的身份标识哈希值相同，则将所述验证成功的身份核实类型作为校验结果发送给所述应用。
如权利要求22所述的***，其特征在于，

所述应用还包括：核身强度判别模块，用于判断所述校验结果中的验证成功的身份核实类型是否满足业务需要；服务查询模块，用于在所述校验结果中的验证成功的身份核实类型不满足业务需要时，向用于发布身份核实服务的第二区块链的第二节点查询能够提供的身份核实服务，从查询结果中选择符合所述业务需要的身份核实服务；所述请求发送模块还用于向所述数字身份客户端发送第三请求，该第三请求中包括被选择的身份核实服务的类型；

所述数字身份客户端还包括验证请求模块，用于根据所述第三请求中身份核实服务的类型，向相应的身份核实服务端发送第四请求，该第四请求中包括所述签名信息、所述公钥；

所述身份核实服务端包括更新模块，用于根据所述第三请求进行身份验证，将所收到的公钥哈希值、验证成功的身份核实类型和所述身份标识的哈希值更新到所述第一区块链。
如权利要求23所述的***，其特征在于，所述更新模块将所收到的公钥、验证成功的身份核实类型和所述签名信息发送到所述第一区块链的一个节点，供该节点根据收到的签名信息和公钥进行校验，如果校验通过则更新所述第一区块链中该公钥对应的验证成功的身份核实类型。
如权利要求23所述的***，其特征在于，所述第二节点与需要身份核实的对象属于同一国家或地区。
如权利要求23所述的***，其特征在于，

所述身份核实服务端还包括服务发布模块，用于将能够提供的身份核实服务的信息发送到所述第二区块链的第三节点，其中该第三节点与该身份核实服务端属于同一国家或地区；

所述第三节点用于将所述身份核实服务的信息保存到所述第二区块链，并传播到所述第二区块链的其他节点，其中包括所述第二节点。
如权利要求16所述的***，其特征在于，所述数字身份客户端还包括查询模块和密钥生成模块，其中，

所述查询模块，用于根据所接收的所述身份标识，向用于发布身份核实服务的第二区块链的第二节点查询可用的身份核实服务，并根据查询结果通过与身份核实服务端的交互完成身份验证，接收来自所述身份核实服务端的身份验证结果；

所述密钥生成模块，用于生成与所述身份标识对应的一对公钥和私钥，计算公钥哈希值；

所述数字身份客户端的发送模块还用于将所述公钥哈希值发送给所述身份核实服务端；

所述身份核实服务端包括验证模块，用于进行身份验证，并将所收到的公钥哈希值、验证成功的身份核实类型和所述身份标识的哈希值保存到所述第一区块链。
一种身份核实方法，其特征在于，包括：

第三区块链的第四节点接收来自身份核实服务端的身份核实信息，所述身份核实信息中包括待验证信息的第一哈希值；

所述第四节点将所述身份核实信息保存到所述第三区块链，并通过所述第三区块链将所述身份核实信息传播到所述第三区块链的第五节点；

所述第五节点接收来自第一应用的身份核实请求，其中包括待验证信息的第二哈希值；

所述第五节点对所述第一哈希值和所述第二哈希值进行比较，并根据比较结果向所述第一应用返回身份核实结果。
如权利要求28所述的身份核实方法，其特征在于，所述第四节点和所述身份核实服务端属于同一国家或地区；

所述第五节点和所述身份核实服务端不属于同一国家或地区。
如权利要求29所述的身份核实方法，其特征在于，所述第五节点和所述第一应用属于同一国家或地区。
如权利要求28所述的身份核实方法，其特征在于，所述第一哈希值和所述第二哈希值是通过相同的哈希算法得到的。
如权利要求28所述的身份核实方法，其特征在于，所述根据比较结果向所述第一应用返回身份核实结果，进一步包括：

如果相同则所述第五节点向所述第一应用返回表示身份核实通过的信息，如果不同则所述第五节点向所述第一应用返回表示身份核实未通过的信息。
如权利要求28至32中任意一项所述的身份核实方法，其特征在于，所述身份核实信息还包括待核实身份者的标识信息；

所述身份核实请求中还包括待核实身份者的标识信息；

所述第五节点对所述第一哈希值和所述第二哈希值进行比较之前，还包括：根据所述身份核实请求中的标识信息在所述第三区块链保存的信息中查找具有相同标识信息的身份核实信息，从而找到所述第一哈希值。
如权利要求28至32中任意一项所述的身份核实方法，其特征在于，所述待验证信息包括以下之一或其任意组合：

指纹信息，人脸特征信息，银行账户信息。
一种身份核实***，其特征在于，包括身份核实服务端，第三区块链和第一应用：

所述身份核实服务端用于向所述第三区块链的第四节点发送身份核实信息，所述身份核实信息中包括待验证信息的第一哈希值；

所述第四节点用于将所述身份核实信息保存到所述第三区块链，并通过第三区块链将所述身份核实信息传播到所述第三区块链的第五节点；

所述第一应用用于向所述第五节点发送身份核实请求，其中包括待验证信息的第二哈希值；

所述第五节点用于对所述第一哈希值和所述第二哈希值进行比较，并根据比较结果向所述第一应用返回身份核实结果。
如权利要求35所述的身份核实***，其特征在于，所述第四节点和所述身份核实服务端属于同一国家或地区；

所述第五节点和所述身份核实服务端不属于同一国家或地区。
如权利要求36所述的身份核实***，其特征在于，所述第五节点和所述第一应用属于同一国家或地区。
如权利要求35所述的身份核实***，其特征在于，所述第一哈希值和所述第二哈希值是通过相同的哈希算法得到的。
如权利要求35所述的身份核实***，其特征在于，所述第五节点在所述比较结果相同时向所述第一应用返回表示身份核实通过的信息，在所述比较结果不同时向所述第一应用返回表示身份核实未通过的信息。
如权利要求35至39中任意一项所述的身份核实***，其特征在于，所述身份核实信息还包括待核实身份者的标识信息；

所述身份核实请求中还包括待核实身份者的标识信息；

所述第五节点还用于根据所述身份核实请求中的标识信息在所述第三区块链保存的信息中查找具有相同标识信息的身份核实信息，从而找到所述第一哈希值。
如权利要求35至39中任意一项所述的身份核实***，其特征在于，所述待验证信息包括以下之一或其任意组合：

指纹信息，人脸特征信息，银行账户信息。
一种身份核实***，其特征在于，包括：

存储器，用于存储计算机可执行指令；以及，

处理器，用于在执行所述计算机可执行指令时实现如权利要求1至15、或28至34中任意一项所述的方法中的步骤。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器执行时实现如权利要求1至15、或28至34中任意一项所述的方法中的步骤。