身份验证方法、身份验证系统、客户端和服务端与流程

1.本发明涉及通信技术领域，尤其涉及一种身份验证方法、身份验证系统、客户端和服务端。


背景技术：

2.在大多数网络应用进程中，用户操作的客户端与服务器端之间都需要进行身份验证。
3.传统的认证方式多为集中式存储和集中式服务，很容易发生管控者舞弊操纵客户认证数据的风险，即认证信息容易被篡改；另外一旦服务瘫痪或认证数据遭到破坏就会完全丧失应有功能，即容易出现单机故障。


技术实现要素：

4.本发明的实施例提供了一种身份验证方法、身份验证系统、客户端和服务端，以解决目前认证方式的认证信息容易被篡改，且单机故障风险较大的技术问题。
5.第一方面，本发明的实施例提供了一种身份验证方法，应用于身份验证系统，所述身份验证系统包括由至少一个验证服务器构成的验证服务器集群、数据库服务器和区块链系统，其中，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；所述方法包括：所述验证服务器接收客户端发送的身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识；所述验证服务器通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，并生成令牌，所述令牌包括客户端标识、服务端标识和所述目标身份类型；所述验证服务器将所述目标身份类型和所述令牌发送给客户端；所述验证服务器接收客户端发送的与所述目标身份类型对应的待验证身份信息和所述令牌，并根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文；所述验证服务器将所述验证报文发送给区块链系统；所述区块链系统上的智能合约根据预先注册的客户端信息对待验证身份信息进行身份验证；在身份验证通过的情况下，所述验证服务器生成验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息；所述验证服务器将所述验证票据发送给客户端，以使客户端对所述验证票据进行电子签名，并将电子签名后的验证票据发送给服务端；所述验证服务器接收服务端转发的所述电子签名后的验证票据，并对所述电子签名后的验证票据进行票据验证，获得票据验证结果；所述验证服务器发送所述票据验证结果给服务端，以使服务端根据所述票据验证结果确定最终身份验证结果，并将所述最终身份验证结果发送给客户端。
6.第二方面，本技术实施例提供一种身份验证方法，应用于客户端，所述方法包括：向身份验证系统中的验证服务器发送身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识，其中，所述身份验证系统包括由至少一个所述验证服务器构成的验
证服务器集群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；接收所述验证服务器发送的目标身份类型和令牌，所述目标身份类型是验证服务器根据所述服务端标识从所述数据库服务器查询出的，所述令牌包括客户端标识、服务端标识和目标身份类型；获取与所述目标身份类型对应的待验证身份信息，并将所述待验证身份信息和所述令牌发送给验证服务器，以使所述验证服务器根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，并将所述验证报文发送给区块链系统，并通过区块链系统上的智能合约基于预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息；接收验证服务器发送的验证票据，并对所述验证票据进行电子签名；将电子签名后的验证票据发送给服务端，以使所述服务端转发所述电子签名后的验证票据给验证服务器进行票据验证，获得票据验证结果，并将票据验证结果发送给服务端；接收服务端根据所述票据验证结果确定的最终身份验证结果。
7.第三方面，本技术实施例提供一种身份验证方法，应用于服务端，所述方法包括：接收客户端发送的经过电子签名后的验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息；转发所述电子签名后的验证票据给身份验证系统中的验证服务器，以使所述验证服务器对所述电子签名后的验证票据进行票据验证；接收验证服务器发送的票据验证结果，并根据所述票据验证结果确定最终身份验证结果；向所述客户端发送所述最终身份验证结果；其中，所述身份验证系统包括由至少一个所述验证服务器构成的验证服务器集群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；所述验证票据是所述身份验证系统中的验证服务器接收客户端发送的身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识，通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，并生成令牌，所述令牌包括客户端标识、服务端标识和目标身份类型，将所述目标身份类型和所述令牌发送给客户端，接收客户端发送的与所述目标身份类型对应的待验证身份信息和所述令牌，并根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，将所述验证报文发送给区块链系统，所述区块链系统上的智能合约根据预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成的。
8.第四方面，本发明实施例提供一种身份验证系统，包括由至少一个验证服务器构成的验证服务器集群、数据库服务器和区块链系统；其中，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；所述身份验证系统用于执行第一方面任一项所述的身份验证方法的步骤。
9.第五方面，本发明实施例提供一种客户端，包括：第一发送模块，用于向身份验证系统中的验证服务器发送身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识，其中，所述身份验证系统包括由至少一个所述验证服务器构成的验证服务器集
群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；第一接收模块，用于接收所述验证服务器发送的目标身份类型和令牌，所述目标身份类型是验证服务器根据所述服务端标识从所述数据库服务器查询出的，所述令牌包括客户端标识、服务端标识和目标身份类型；所述第一接收模块，还用于获取与所述目标身份类型对应的待验证身份信息，并将所述待验证身份信息和所述令牌发送给验证服务器，以使所述验证服务器根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，并将所述验证报文发送给区块链系统，并通过区块链系统上的智能合约基于预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息；所述第一接收模块还用于接收验证服务器发送的验证票据，并对所述验证票据进行电子签名；所述第一发送模块，还用于将电子签名后的验证票据发送给服务端，以使所述服务端转发所述电子签名后的验证票据给验证服务器进行票据验证，获得票据验证结果，并将票据验证结果发送给服务端；所述第一接收模块，还用于接收服务端根据所述票据验证结果确定的最终身份验证结果。
10.第六方面，本发明实施例提供一种服务端，包括：第二接收模块，还用于接收客户端发送的经过电子签名后的验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息；第二发送模块，还用于转发所述电子签名后的验证票据给身份验证系统中的验证服务器，以使所述验证服务器对所述电子签名后的验证票据进行票据验证；第二接收模块，接收验证服务器发送的票据验证结果，并根据所述票据验证结果确定最终身份验证结果；第二发送模块，还用于向所述客户端发送所述最终身份验证结果；其中，所述身份验证系统包括由至少一个所述验证服务器构成的验证服务器集群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；所述验证票据是所述身份验证系统中的验证服务器接收客户端发送的身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识，通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，并生成令牌，所述令牌包括客户端标识、服务端标识和目标身份类型，将所述目标身份类型和所述令牌发送给客户端，接收客户端发送的与所述目标身份类型对应的待验证身份信息和所述令牌，并根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，将所述验证报文发送给区块链系统，所述区块链系统上的智能合约根据预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成的。
11.第七方面，本发明实施例提供一种电子设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序时，实现第一至第三方面任一项所述的身份验证方法的步骤。
12.第八方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一至第三方面任一项所述的身份验证方法的步骤。
13.本发明的实施例提供的身份验证方法、身份验证系统、客户端和服务端，通过将客
户端多种身份类型的身份信息、访问服务端所需验证的身份类型预先存储到区块链系统上，在后续客户端访问服务端进行身份验证时，通过调用区块链系统上的智能合约进行身份验证，降低了传统认证方式中认证信息容易被篡改的风险，且通过验证服务器集群，降低了传统中心化存储的单机故障风险。
附图说明
14.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。
15.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
16.图1为本发明实施例提供的一种身份验证方法的应用场景示意图；图2为本发明实施例提供的一种身份验证方法的流程示意图；图3为本发明实施例提供的另一种身份验证方法的流程示意图；图4a为本发明实施例提供的一种密码本索引的结构示意图；图4b为本发明实施例提供的一种密码本的结构示意图；图5为本发明实施例提供的再一种身份验证方法的流程示意图；图6为本发明实施例提供的又一种身份验证方法的流程示意图；图7为本发明实施例提供的一种智能合约的组成示意图；图8为本发明实施例提供的又一种身份验证方法的流程示意图；图9为本发明实施例提供的又一种身份验证方法的流程示意图；图10为本发明实施例提供的一种用户注册的流程示意图；图11为本发明实施例提供的一种身份验证方法的交互示意图；图12为本发明实施例提供的一种客户端的结构示意图；图13为本发明实施例提供的一种服务端的结构示意图；图14为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
17.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.图1为本发明实施例提供的一种身份验证方法的应用场景示意图，如图1所示，该应用场景包括身份验证系统101、客户端102和服务端103，其中，身份验证系统101包括由至少一个验证服务器构成的验证服务器集群、数据库服务器和区块链系统，所述验证服务器集群分别与数据库服务器和区块链系统通信连接，客户端102和服务端103通过验证服务器集群与身份验证系统101进行信息交互。
19.更进一步的，客户端与验证服务器之间、客户端与服务端之间、服务端与验证服务器之间的通讯过程采用超文本传输安全协议（hypertext transfer protocol secure，简
称http）；验证服务器集群中的验证服务器可跨机房跨地域进行部署，且可以互相通讯同步数据；验证服务器还自有或对接多个具有公信力的身份验证类服务，例如生物认证识别服务、数字证书服务、户籍查验类服务、印章查验类服务以及其他辅助验证服务，验证服务器均接入同一密钥管理服务系统（key management service，简称kms），其中，身份验证类服务和kms可以为网页服务（web server）；区块链系统上的多个区块链节点位于同一公链或联盟链上；数据库服务器包括源数据库服务器和缓存数据库，其中，源数据库可以为传统数据库，缓存数据库可实现数据的高速缓存。
20.上述身份验证系统101、客户端102和服务端103可以配合执行下述实施例中的身份验证方法，上述身份验证系统101、客户端102和服务端103可以分别执行下述实施例中的身份验证方法。
21.图2为本发明实施例提供的一种身份验证方法的流程示意图，应用于如图1所示的身份验证系统，所述身份验证系统包括由至少一个验证服务器构成的验证服务器集群、数据库服务器和区块链系统，其中，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型。如图2所示，该身份验证方法包括：步骤s201、所述验证服务器接收客户端发送的身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识。
22.具体地，当客户端需要访问服务端时，客户端先向身份验证系统中的验证服务器发送身份验证请求，该身份验证请求中会携带客户端标识和待访问的服务端标识，其中，客户端标识可以为客户端预先在身份验证系统上注册的客户端账户，服务端标识可以为服务端预先在身份验证系统上注册的服务端账户，或者服务端的互联网协议（internet protocol address，简称ip）地址。
23.步骤s202、所述验证服务器通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，并生成令牌，所述令牌包括客户端标识、服务端标识和所述目标身份类型。
24.具体地，身份验证类型包括多种，如传统的账户密码、证书证件认证(身份证、软硬件证书等)、行为认证(签名、手势、习惯性行为等)以及生物认证(人脸、指纹、声纹、虹膜、dna等)等。数据库服务器上存储了客户端访问服务端所需验证的目标身份类型，其中，目标身份类型可以是单个身份类型，也可以是多个身份类型的组合。当验证服务器接收到客户端发送的身份验证请求后，会根据身份验证请求中的待访问的服务端标识从数据库服务器上查询出访问该服务端时所需验证的目标身份类型，并且生成令牌，令牌包括客户端标识、服务端标识和目标身份类型。
25.进一步的，在数据库服务器包括源数据库和缓存数据库的情况下，验证服务器首先根据身份验证请求中的服务端标识从缓存数据库中查询是否存在对应的服务端信息，若有，则从缓存数据库中查询对应的目标身份类型，若没有，则再从源数据库中查询对应的目标身份类型。缓存数据库的设计减少了源数据库的访问压力，并且提高了查询效率。
26.步骤s203、所述验证服务器将所述目标身份类型和所述令牌发送给客户端。
27.步骤s204、所述验证服务器接收客户端发送的与所述目标身份类型对应的待验证
身份信息和所述令牌，并根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文。
28.具体地，客户端接收到验证服务器发送的目标身份类型和令牌后，通过信息采集设备获取用户与目标身份类型对应的待验证身份信息，并将获取的待验证身份信息和令牌再一起发送给验证服务器；验证服务器接收到待验证身份信息和令牌后，根据待验证身份信息和令牌中的客户端标识、目标身份类型生成验证报文。
29.步骤s205、所述验证服务器将所述验证报文发送给区块链系统。
30.步骤s206、所述区块链系统上的智能合约根据预先注册的客户端信息对待验证身份信息进行身份验证。
31.具体地，区块链系统上智能合约根据验证报文中的客户端标识确定对应的客户端信息，并从客户端至少一种身份类型的身份信息中挑选出与所述目标身份类型对应的身份信息，并将其与待验证身份信息进行比对，若两者相同，则身份验证通过，否则不通过。
32.步骤s207、在身份验证通过的情况下，所述验证服务器生成验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息。
33.步骤s208、所述验证服务器将所述验证票据发送给客户端，以使客户端对所述验证票据进行电子签名，并将电子签名后的验证票据发送给服务端。
34.具体地，客户端可将电子签名后的验证票据携带在客户端向服务端发起的登录请求中，从而实现将电子签名后的验证票据发送给服务端。
35.步骤s209、所述验证服务器接收服务端转发的所述电子签名后的验证票据，并对所述电子签名后的验证票据进行票据验证，获得票据验证结果。
36.具体地，票据验证主要包括对验证票据的签名验签，以保证验证票据的真实性。票据验证结果主要包括票据验证通过和票据验证不通过两种情况。
37.步骤s210、所述验证服务器发送所述票据验证结果给服务端，以使服务端根据所述票据验证结果确定最终身份验证结果，并将所述最终身份验证结果发送给客户端。
38.具体地，验证服务器将票据验证结果发送给服务端。若票据验证结果为通过，则服务端认为客户端通过了身份验证，向客户端返回身份验证通过信息，优选的，可附带客户端登陆服务端成功的信息；若票据验证结果为不通过，则服务端认为客户端没有通过身份验证，向客户端返回身份验证失败信息。
39.在一些实施例中，所述令牌，和/或验证票据经过加密处理，且经过加密处理的令牌，和/或验证票据只能被身份验证系统解密。具体地，验证开始阶段验证服务器向客户端返回的令牌，以及验证中后期阶段验证服务器向客户端返回的验证票据，均为验证服务器内部特殊加密的信息(仅身份认证系统可读取)，有效隔绝了客户端被监听或信息盗取后，认证时传递过程中伪造请求的问题。
40.在一些实施例中，所述令牌还包括生成令牌对应的第一时间信息；所述步骤s204，包括：在根据所述第一时间信息确定未超过第一预设时间阈值的情况下，根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文。
41.具体地，为了进一步提高隐私数据安全性，验证服务器在接收到客户端反馈的待验证身份信息和令牌后会进行时效性验证，即验证服务器会根据令牌生成时对应的时间戳和接收该令牌时对应的时间确定是否超时，若未超时，则执行生成验证报文等后续步骤，若
超时，则向客户端反馈身份验证失败消息，客户端可根据需要确定是否再次向身份验证系统发送身份验证请求。
42.在一些实施例中，所述验证票据还包括生成验证票据对应的第二时间信息；步骤s209中的对所述电子签名后的验证票据进行票据验证，包括：在根据所述第二时间信息确定未超过第二预设时间阈值的情况下，对所述电子签名后的验证票据进行票据验证。
43.类似地，验证服务器会对客户端反馈的电子签名后的验证票据进行时效性验证，即根据验证票据生成时的时间戳和接收到电子签名后的验证票据的时间确定是否超时，若未超时，则继续进行后续步骤，若超时，则向客户端反馈票据验证失败消息。
44.在一些实施例中，所述客户端信息还包括用于表征客户端信息是否启用的第一标识，所述服务端信息还包括用于表征服务端信息是否启用的第二标识；所述步骤s202中的验证服务器通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，包括：所述验证服务器通过所述数据库服务器确定客户端标识对应的第一标识和服务端标识对应的第二标识；在所述第一标识和第二标识均为预设标识的情况下，通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型。
45.具体地，存储到区块链系统上的客户端信息和服务端信息无法被删除，但客户端信息和服务端信息具有一定时效性，因此可以设置用于表征客户端信息和服务端信息是否处于启用状态的标识。验证服务器在收到客户端发送的身份验证请求后，会根据身份验证请求中的客户端标识确定对应的客户端信息中的第一标识是否为启用状态，同时根据身份验证请求中的服务端标识确定对应的服务端信息中的第二标识是否为启用状态，若均为启用状态，则可查询服务端信息中的访问服务端所需的目标身份类型。
46.本发明实施例提供的身份验证方法，通过将客户端多种身份类型的身份信息、访问服务端所需验证的身份类型预先存储到区块链系统上，在后续客户端访问服务端进行身份验证时，通过调用区块链系统上的智能合约进行身份验证，降低了传统认证方式中认证信息容易被篡改的风险，且通过验证服务器集群，降低了传统中心化存储的单机故障风险。
47.图3为本发明实施例提供的另一种身份验证方法的流程示意图，在图2所示实施例的基础上，在步骤s201之前，还包括如下步骤：步骤s301、验证服务器响应于客户端发起的注册请求，获取客户端至少一种身份类型的身份信息，并生成对应的客户端标识。
48.步骤s302、验证服务器将所述客户端标识、客户端至少一种身份类型的身份信息作为客户端信息存储到数据库服务器和区块链系统上。
49.具体地，客户端提前在身份验证系统中进行注册，即客户端向身份验证系统中的验证服务器发送注册请求，并向验证服务器发送客户端多个身份类型对应的身份信息，验证服务器收到注册请求后，为客户端生成对应的客户端账户，并将客户端账户、客户端多个身份类型的身份信息分别存储到数据库和区块链系统上，以便于后续客户端在访问服务端时进行身份验证。
50.在一些实施例中，所述步骤s301中的获取客户端至少一种身份类型的身份信息之前，还包括：获取客户端基本信息，并对所述客户端基本信息进行验重处理；在验重通过的情况下，执行所述获取客户端至少一种身份类型的身份信息的步骤。
51.具体地，客户端基本信息包括用户名称、手机号、证件号、年龄等；客户端在发起注
册请求后，会填写相应的客户端基本信息发送给验证服务器，验证服务器会对客户端基本信息进行验重，若验重通过，验证服务器会再获取客户端多个身份类型对应的身份信息并存储到数据库和区块链系统上，若验重不通过，则说明客户端已经注册过，不需要重复注册。
52.在一些实施例中，所述身份验证系统还包括与所述验证服务器集群通信连接的密钥管理系统，所述密钥管理系统生成身份验证系统对应的第一加解密钥；所述步骤s301中的响应于客户端发起的注册请求，还包括：所述验证服务器通过所述密钥管理系统生成客户端对应的第二加解密钥，以使客户端与身份验证系统之间的交互信息通过所述第一加解密钥、第二加解密钥进行加密或解密处理。
53.具体地，kms系统会生成身份验证系统对应的第一加解密钥，并且会在收到客户端的注册请求后，生成客户端对应的第二加解密钥。可选的，第一加解密钥和第二加解密钥为非对称密钥，即第一加解密钥包括身份验证系统公钥和身份验证系统私钥，第二加解密钥包括客户端公钥和客户端私钥。验证服务器将kms生成的身份验证系统公钥和客户端私钥发送给客户端，以便于客户端和身份验证系统之间进行信息传递时，使用非对称密钥技术对信息进行处理，例如步骤s201、s204中验证服务器接收到的客户端发送的消息是经过身份验证系统公钥进行加密后的，验证服务器基于身份验证系统私钥对其进行解密；又如步骤s203验证服务器发送给客户端的消息是经过客户端公钥进行加密后的，客户端基于客户端私钥对其进行解密。需要说明的是，公私钥对是在客户端注册过程中进行交换，防止中间人监听产生的信息泄露。
54.在一些实施例中，所述步骤s302包括：将所述客户端标识、客户端至少一种身份类型的身份信息按照第一预设格式的第一密码本索引和第一密码本存储到区块链系统上；其中，所述第一密码本索引包括第一索引头部信息和第一索引内容信息，所述第一索引头部信息包括客户端标识，所述第一索引内容信息包括客户端至少一种身份类型对应的第一密码本的区块链存储地址；所述第一密码本包括第一密码本头部信息和第一密码本内容信息，所述第一密码本头部信息包括客户端标识和身份类型，所述第一密码本内容信息包括对应身份类型的身份信息。
55.在一些实施例中，所述第一索引头部信息还包括：区块链协议信息、客户端的加密算法标识、第二加解密密钥地址以及第一标识，所述第一索引内容信息还包括客户端基本信息；所述第一密码本头部信息还包括：区块链协议信息、客户端的加密算法标识、第一标识和第一预设有效时间，所述第一密码本内容信息还包括身份信息摘要，身份信息摘要签名。
56.具体地，客户端信息在区块链系统上存储为具有一定格式的密码本索引和密码本，如图4a为本发明实施例提供的一种密码本索引的结构示意图，图4b为本发明实施例提供的一种密码本的结构示意图。参考图4a所示，密码本索引主要由头部信息和内容信息两部分构成，头部信息主要包括协议类型、协议版本、加密算法标识、使用的加密密钥索引(即使用的加密密钥id)、用户id和数据启用标识，内容信息主要包含：用户名称、用户类型、用户公钥哈希摘要和身份特征索引map: key为身份类型，value 为身份信息在区块链内的地址。参考图4b所示，密码本也主要由头部信息和内容信息两部分构成，其头部信息主要包含: 协议类型、协议版本、加密算法标识、身份类型、用户id和数据启用标识、内容信息的有
效期开始日和有效期结束日，其内容信息主要包含：身份信息详细内容(如密码，脸部模型，声纹模型等)，身份信息摘要和针对该摘要的的用户签名。
57.在用户为客户端的情况下，用户id为客户端预先在身份验证系统中注册的客户端账户，协议类型和协议版本为客户端所遵循的相关协议标准，加密算法标识为客户端采用的加密算法标识，使用的加密密钥索引为客户端第二加解密钥的存储地址，数据启用与否的标识为客户端对应的第一标识，用户类型为客户端。
58.综上，客户端在身份验证系统上的整个注册流程如下：客户端向身份验证系统中的验证服务器发起注册请求，并向服务器发送客户端基本信息；验证服务器对客户端基本信息进行验重处理，验重通过后，接收客户端发送的多个身份类型对应的身份信息，并且通过kms系统确定客户端的加解密钥，将整个注册过程中的客户端信息分别存储到数据库服务器和区块链系统上，其中，区块链系统上的客户端信息是按照一定格式的密码本索引和密码本进行存储的。
59.在前述实施例的基础上，通过将客户端多种身份类型的身份信息提前注册存储到区块链系统上，方便后续客户端在访问服务端时进行身份验证。
60.图5为本发明实施例提供的再一种身份验证方法的流程示意图，在图2或图3所示实施例的基础上，在步骤s201之前，还包括如下步骤：步骤s501、验证服务器响应于服务端发起的注册请求，获取访问服务端所需验证的目标身份类型，并生成对应的服务端标识。
61.步骤s502、验证服务器将所述服务端标识、目标身份类型作为服务端信息存储到数据库服务器和区块链系统上。
62.具体地，服务端预先在身份验证系统中进行注册，即服务端向身份验证系统中的验证服务器发送注册请求，并向验证服务器发送访问服务端所需的目标身份类型（单个身份类型或者多个身份类型的组合）；验证服务器根据注册请求，生成对应的服务端标识，并将服务端标识、访问服务端所需验证的目标身份类型分别存储到数据库服务器和区块链系统上。
63.在一些实施例中，所述步骤s501中的响应于服务端发起的注册请求，还包括：获取服务端的互联网协议地址，并将所述服务端的互联网协议地址存储到数据库服务器和区块链系统上。
64.具体地，服务端在向验证服务器发起的注册请求时，还可以向验证服务器发送服务端ip地址，验证服务器将服务端ip地址也分别存储到数据库服务器和区块链系统上。
65.在一些实施例中，所述步骤s501中的获取访问服务端所需验证的目标身份类型之前，还包括：获取服务端基本信息，并对所述服务端基本信息进行验重处理；在验重通过的情况下，获取服务端至少一种身份类型对应的身份信息，并执行所述获取访问服务端所需验证的目标身份类型的步骤。
66.具体地，服务端基本信息包括服务端名称、证书证件信息等；服务端在向验证服务器发起注册请求后，首先对服务端基本信息进行验重处理，若验重通过，则可以继续获取访问服务端所需的目标身份类型、服务端的多种身份类型对应的身份信息等，并分别存储到数据库服务器和区块链系统上；若验重不通过，则说明该服务端已经注册过，不需要重复注册。
67.在一些实施例中，所述身份验证系统还包括与所述验证服务器集群通信连接的密钥管理系统；所述响应于服务端发起的注册请求，还包括：所述验证服务器通过所述密钥管理系统生成服务端对应的第三加解密钥。
68.具体地，服务端发起注册请求后，验证服务器还通过kms生成服务端的第三加解密钥。可选的，第三加解密钥为非对称密钥，包括服务端公钥和服务端私钥；验证服务器会将身份验证系统公钥和服务端私钥发送给服务端，服务端和身份验证系统之间的信息交互才进行相应的加密或解密处理。
69.在一些实施例中，所述步骤s502，包括：将所述服务端标识、目标身份类型按照第二预设格式的第二密码本索引和第二密码本存储到区块链系统上；其中，所述第二密码本索引包括第二索引头部信息和第二索引内容信息，所述第二索引头部信息包括服务端标识，所述第二索引内容信息包括访问服务端所需的目标身份类型和服务端至少一种身份类型对应的第二秘密本的区块链存储地址；所述第二密码本包括第二密码本头部信息和第二密码本内容信息，所述第二密码本头部信息包括服务端标识、服务端的身份类型，所述第二密码本内容信息包括服务端对应身份类型的身份信息。
70.在一些实施例中，所述第二索引头部信息还包括：区块链协议信息、服务端的加密算法标识、第三加解密密钥地址以及第二标识，所述第二索引内容信息还包括服务端基本信息和服务端的互联网协议地址；所述第二密码本头部信息还包括：区块链协议信息、服务端的加密算法标识、第二标识和第二预设有效时间，所述第二密码本内容信息还包括身份信息摘要，身份信息摘要签名。
71.具体地，服务端信息对应的密码本索引和密码本结构与客户端信息类似，可参考图4a和图4b所示，在用户为服务端的情况下，用户id为服务端预先在身份验证系统中注册的服务端账户，协议类型和协议版本为服务端所遵循的相关协议标准，加密算法标识为服务端采用的加密算法标识，使用的加密密钥索引为服务端第三加解密钥的存储地址，数据启用标识为服务端对应的第二标识，用户类型为服务端。另外，还包括访问服务端所需验证的身份类型列表list和服务端的域名或ip。
72.综上，服务端在身份验证系统上的整个注册流程如下：服务端向身份验证系统中的验证服务器发起注册请求，并向服务器发送服务端基本信息；验证服务器对服务端基本信息进行验重处理，验重通过后，接收服务端发送的多个身份类型对应的身份信息、访问服务端所需验证的目标身份类型以及服务端ip地址，并且通过kms系统确定服务端的加解密钥，将整个注册过程中的服务端信息分别存储到数据库服务器和区块链系统上。
73.在前述实施例的基础上，将服务端信息预先注册到身份验证系统上，当客户端访问服务端时，能够方便确定对客户端的哪些身份类型的身份信息进行验证。
74.图6为本发明实施例提供的又一种身份验证方法的流程示意图，在图2、图3或图5所示实施例的基础上，所述步骤s206的一种具体实现方式如下：步骤s601、所述区块链系统上的智能合约根据验证报文中的客户端标识确定对应的第一密码本索引。
75.步骤s602、根据所述第一密码本索引确定与所述目标身份类型对应的第一密码本的区块链存储地址。
76.步骤s603、根据所述第一密码本的区块链存储地址确定对应的第一密码本，并根
据所述第一密码本存储的身份信息对所述待验证身份信息进行验证。
77.图7为本发明实施例提供的一种智能合约的组成示意图，如图7所示，智能合约主要包括入口方法、合约参数格式和内容校验方法、身份验证方法和判定并组装返回信息的方法，其中，身份验证方法又具体包括获取指定用户密码本索引方法、获取指定用户身份信息方法和调用预言机比对身份信息方法。
78.具体地，验证报文主要包括客户端标识、由目标身份类型和待验证身份信息构成的待验证身份map，key表示请求校验的身份类型，value表示请求校验的待验证身份信息。将该验证报文发送给区块链系统，区块链系统上的智能合约首先通过入口方法接收验证报文，然后基于合约参数格式和内容校验方法校验入参格式正确性和内容完整性，并拆分待校验的身份类型和待验证身份信息，然后基于获取指定客户密码本索引方法实现根据客户端标识确定对应的密码本索引，并根据密码本索引中的身份类型map确定对应的密码本的存储地址，然后基于获取指定用户身份信息方法实现根据密码本地址查找到对应的密码本，通过密码本获取对应身份类型的身份信息，然后基于调用预言机比对身份信息方法实现通过预言机调用外部验证服务，将身份信息和待验证身份信息一并上送，获取身份验证结果，最后采用判定并组装返回信息的方法实现将身份验证结果返回给验证服务器。
79.在前述实施例的基础上，通过智能合约中方法的使用、验证和格式化的存储，可以兼容多种格式标准，对执行数据进行了有效的内容校验，对参与方进行了有效的限制和验证，同时保障了存储数据可溯源。
80.图8为本发明实施例提供的又一种身份验证方法的流程示意图，应用于如图1所示的客户端。如图8所示，该身份验证方法包括：步骤s801、向身份验证系统中的验证服务器发送身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识。
81.其中，所述身份验证系统包括由至少一个所述验证服务器构成的验证服务器集群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型。
82.步骤s802、接收所述验证服务器发送的目标身份类型和令牌，所述目标身份类型是验证服务器根据所述服务端标识从所述数据库服务器查询出的，所述令牌包括客户端标识、服务端标识和目标身份类型。
83.步骤s803、获取与所述目标身份类型对应的待验证身份信息，并将所述待验证身份信息和所述令牌发送给验证服务器，以使所述验证服务器根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，并将所述验证报文发送给区块链系统，并通过区块链系统上的智能合约基于预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息。
84.步骤s804、接收验证服务器发送的验证票据，并对所述验证票据进行电子签名。
85.步骤s805、将电子签名后的验证票据发送给服务端，以使所述服务端转发所述电子签名后的验证票据给验证服务器进行票据验证，获得票据验证结果，并将票据验证结果发送给服务端。
86.步骤s806、接收服务端根据所述票据验证结果确定的最终身份验证结果。
87.本实施例提供的身份验证方法，其实现原理和技术效果与上述实施例类似，此处不再赘述。
88.图9为本发明实施例提供的又一种身份验证方法的流程示意图，应用于如图1所示的服务端端。如图9所示，该身份验证方法包括：步骤s901、接收客户端发送的经过电子签名后的验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息。
89.步骤s902、转发所述电子签名后的验证票据给身份验证系统中的验证服务器，以使所述验证服务器对所述电子签名后的验证票据进行票据验证。
90.步骤s903、接收验证服务器发送的票据验证结果，并根据所述票据验证结果确定最终身份验证结果。
91.步骤s904、向所述客户端发送最终身份验证结果。
92.其中，所述身份验证系统包括由至少一个所述验证服务器构成的验证服务器集群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；所述验证票据是所述身份验证系统中的验证服务器接收客户端发送的身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识，通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，并生成令牌，所述令牌包括客户端标识、服务端标识和目标身份类型，将所述目标身份类型和所述令牌发送给客户端，接收客户端发送的与所述目标身份类型对应的待验证身份信息和所述令牌，并根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，将所述验证报文发送给区块链系统，所述区块链系统上的智能合约根据预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成的。
93.本实施例提供的身份验证方法，其实现原理和技术效果与上述实施例类似，此处不再赘述。
94.图10为本发明实施例提供的一种用户注册的流程示意图，图11为本发明实施例提供的一种身份验证方法的交互示意图。为了进一步了解本发明实施例，现结合图1、图10和图11，对本发明实施例进行详细说明。
95.首先参考图10，对用户注册过程进行详细说明。如图10所示，首先建立链接，即用户设备（客户端或者服务端）与验证服务器之间建立链接；然后确定用户是否注册，即用户可根据自身需求确定是否进行注册，若用户确定注册，则登记用户基本信息，并对用户基本信息进行验重处理，若验重不通过，则结束本实施例，若验重通过，则登记用户的基本验证信息（通常为账户密码信息）；若用户确定不注册，则验证服务器可继续通过用户设备向用户提问是否修改或补充用户基本信息，若用户仍选择否，则结束本实施例，若用户选择是，则接收用户对其基本信息的修改或补充，并对已有登记信息进行校验，即对修改补充后的用户基本信息进行验重，验重不通过，则结束本实施例，若验重通过，则登记用户的基本验证信息。然后用户（客户端或服务端）可根据自身需求确定是否登记其他验证信息，若需要，则录入其他验证信息，通常包括生物验证信息、行为验证信息和硬件验证信息，若用户不需
要，则继续判断用户设备是否为服务端，若不是服务端，则创建对应的用户账户，若是服务端，则再登记访问服务端所需验证的身份类型/身份类型组合后创建账户。最后将注册过程中获得用户信息分别存储到区块链系统和数据库服务器中，同时，生成对应的加解密钥（一般为公私钥对），并发送给用户设备，结束本实施例。
96.然后参考图11（省略了身份验证系统中的数据库服务器），对客户端登录服务端的身份验证过程进行详细说明，包括如下步骤：步骤s1101、客户端向身份验证系统中的验证服务器发送身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识。
97.相对应的，所述验证服务器接收客户端发送的身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识。
98.具体地，客户端向验证服务器发起身份验证请求，并使用身份验证系统公钥加密。身份验证请求中包含该该客户端在身份验证系统中注册的客户端账户，需要被访问的服务端的ip地址或该服务端在身份验证系统中注册的注册的服务端账户。
99.步骤s1102、验证服务器通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，并生成令牌，所述令牌包括客户端标识、服务端标识和所述目标身份类型。
100.具体地，验证服务器使用身份验证系统私钥解密客户端发送的身份验证请求，并通过数据库服务器检测客户端账户和服务端账户是否存在且是否启用，在确实双方账户存在且启用后，将访问服务端所需要验证的目标身份类型作为响应返回给客户端，同时附带一枚加密令牌，令牌内容由客户端账户、服务端账户、需要验证的目标身份类型、生成令牌的时间戳、该访问发起的ip等信息以固定格式组成。目标身份类型和加密令牌作为整体响应由验证服务器使用留存的客户端公钥进行加密，其中，加密令牌只能被身份验证系统解密。
101.步骤s1103、验证服务器将所述目标身份类型和所述令牌发送给客户端。
102.步骤s1104、客户端获取与所述目标身份类型对应的待验证身份信息，并将所述待验证身份信息和所述令牌发送给验证服务器。
103.相对应的，所述验证服务器接收客户端发送的与所述目标身份类型对应的待验证身份信息和所述令牌。
104.具体地，客户端使用客户端私钥解密响应后，使用固定的信息采集设备等方式，填充指定的验证信息，并将获取的加密令牌一起，使用身份验证系统公钥进行加密后发送给验证服务器。
105.步骤s1105、验证服务器根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文。
106.步骤s1106、所述验证服务器将所述验证报文发送给区块链系统。
107.具体地，验证服务器收到加密的待验证身份信息和加密令牌后，先使用身份验证系统私钥对其进行第一层解密，后对加密令牌进行解密。获取令牌中的时间戳，验证未超时的情况下，使用令牌中存储的目标身份类型，对映待验证信息组装成验证报文，并将验证报文发送区块链上的智能合约中进行验证。
108.步骤s1107、所述区块链系统上的智能合约根据预先注册的客户端信息对待验证身份信息进行身份验证，并向所述验证服务器返回身份验证结果。
109.具体地，区块链系统上的智能合约调用预言机对待验证身份信息进行验证。
110.步骤s1108、在身份验证通过的情况下，所述验证服务器生成验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息。
111.步骤s1109、所述验证服务器将所述验证票据发送给客户端。
112.相对应的，客户端接收验证服务器发送的验证票据。
113.具体地，智能合约校验成功后，将身份验证结果返回给验证服务器，验证服务器会产出一张加密的验证票据返回给客户端，验证票据主要包含客户端账户、服务端账户、身份验证通过、时间戳等信息。
114.步骤s1110、客户端对所述验证票据进行电子签名，并将电子签名后的验证票据发送给服务端。
115.相对应的，服务端接收客户端发送的经过电子签名后的验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息。
116.步骤s1111、服务端转发所述电子签名后的验证票据给身份验证系统中的验证服务器。
117.相对应的，所述验证服务器接收服务端转发的所述电子签名后的验证票据。
118.具体地，客户端对验证票据进行电子签名后，将电子签名后的验证票据发送给服务端，服务端将电子签名后的验证票据转发给验证服务器验证票据真伪。
119.步骤s1112、验证服务器对所述电子签名后的验证票据进行票据验证，获得票据验证结果。
120.步骤s1113、验证服务器发送所述票据验证结果给服务端。
121.步骤s1114、服务端根据所述票据验证结果确定最终身份验证结果，并向客户端返回所述最终身份验证结果。
122.具体地，验证服务器解密电子签名后的验证票据，对电子签名验签，并对验证票据的时效性和票据真实性校验，验证成功后返回给服务端，此时服务端可以认可客户端通过了身份校验，此时服务端将返回给客户端认证通过的结果，或可附带其他登陆成功信息。
123.综上所述，本发明实施例具有如下效果：第一，认证方式多样化。本发明实施例提供的身份验证系统支持传统的账户密码认证、证书证件认证、行为认证、生物认证等多种方式，即身份验证系统底层存储的身份信息不限制格式。
124.第二，认证信息不易被篡改。将客户端多种身份类型对应的身份信息存储到区块链系统上，不易被篡改。
125.第三，认证过程中的交互信息不易被监听。在建立连接时候采用https作为通讯方式；除https外,采用非对称密钥方式，对数据内容进行加密，即便侦听截取到数据，在没有私钥的情况下,依旧难以获取可读信息；公私钥在注册时交换，防止中间人监听产生的信息泄露；令牌和验证票据，均为服务器内部特殊加密的信息(仅认证中心可读取)，有效隔绝了客户端被监听或信息盗取后，认证时传递过程中伪造请求的问题。
126.第四，降低单机故障和中心化篡改的风险。本发明实施例提供的身份验证系统应用层采用可异地部署的集群，极大提高在抗能力，系统存储层采用区块链，即便应用层丧失服务能力，依旧可以提供稳定的查验能力；传统中心化数据存储，容易发生管控者舞弊操纵
客户数据的风险，本发明实施例因采用区块链存储数据和智能合约查验，有效的降低了风险，提高了公信力，隐私性和安全性。
127.本发明实施例还提供一种身份验证系统。如图1所示，该身份验证系统包括由至少一个验证服务器构成的验证服务器集群、数据库服务器和区块链系统；其中，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；所述身份验证系统用于执行图2、图3、图5任一项所述的身份验证方法的步骤。
128.本实施例提供的身份验证系统，其实现原理和技术效果与上述实施例类似，此处不再赘述。
129.图12为本发明实施例提供的一种客户端的结构示意图，如图12所示，所述客户端包括：第一发送模块1201，用于向身份验证系统中的验证服务器发送身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识，其中，所述身份验证系统包括由至少一个所述验证服务器构成的验证服务器集群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；第一接收模块1202，用于接收所述验证服务器发送的目标身份类型和令牌，所述目标身份类型是验证服务器根据所述服务端标识从所述数据库服务器查询出的，所述令牌包括客户端标识、服务端标识和目标身份类型；所述第一接收模块1202，还用于获取与所述目标身份类型对应的待验证身份信息，并将所述待验证身份信息和所述令牌发送给验证服务器，以使所述验证服务器根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，并将所述验证报文发送给区块链系统，并通过区块链系统上的智能合约基于预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成验证票据，所述验证票据包括客户端标识、服务端标识和身份验证通过信息；所述第一接收模块1202，还用于接收验证服务器发送的验证票据，并对所述验证票据进行电子签名；所述第一发送模块1201，还用于将电子签名后的验证票据发送给服务端，以使所述服务端转发所述电子签名后的验证票据给验证服务器进行票据验证，获得票据验证结果，并将票据验证结果发送给服务端；所述第一接收模块1202，还用于接收服务端根据所述票据验证结果确定的最终身份验证结果。
130.本发明实施例提供的客户端，其实现原理和技术效果与上述实施例类似，此处不再赘述。
131.图13为本发明实施例提供的一种服务端的结构示意图，如图12所示，所述服务端包括：第二接收模块1301，还用于接收客户端发送的经过电子签名后的验证票据，所述
验证票据包括客户端标识、服务端标识和身份验证通过信息；第二发送模块1302，还用于转发所述电子签名后的验证票据给身份验证系统中的验证服务器，以使所述验证服务器对所述电子签名后的验证票据进行票据验证；第二接收模块1301，还用于接收验证服务器发送的票据验证结果，并根据所述票据验证结果确定最终身份验证结果；第二发送模块1302，还用于向所述客户端发送最终身份验证结果；其中，所述身份验证系统包括由至少一个所述验证服务器构成的验证服务器集群、数据库服务器和区块链系统，所述数据库服务器和区块链系统均预先存储客户端信息和服务端信息，所述客户端信息包括客户端标识、客户端至少一种身份类型的身份信息，所述服务端信息包括服务端标识、访问所述服务端需验证的目标身份类型；所述验证票据是所述身份验证系统中的验证服务器接收客户端发送的身份验证请求，所述身份验证请求包括客户端标识和待访问的服务端标识，通过所述数据库服务器查询出与所述服务端标识对应的目标身份类型，并生成令牌，所述令牌包括客户端标识、服务端标识和目标身份类型，将所述目标身份类型和所述令牌发送给客户端，接收客户端发送的与所述目标身份类型对应的待验证身份信息和所述令牌，并根据所述待验证身份信息和所述令牌中的客户端标识、目标身份类型生成验证报文，将所述验证报文发送给区块链系统，所述区块链系统上的智能合约根据预先注册的客户端信息对待验证身份信息进行身份验证，在身份验证通过的情况下生成的。
132.本发明实施例提供的服务端，其实现原理和技术效果与上述实施例类似，此处不再赘述。
133.如图14所示，本发明实施例提供了一种电子设备，包括处理器1401、通信接口1402、存储器1403和通信总线1404，其中，处理器1401，通信接口1402，存储器1403通过通信总线1404完成相互间的通信，存储器1403，用于存放计算机程序；在本发明一个实施例中，处理器1401，用于执行存储器1403上所存放的程序时，实现前述任意一个方法实施例提供的身份验证方法的步骤。
134.本发明实施例提供的电子设备，其实现原理和技术效果与上述实施例类似，此处不再赘述。
135.上述存储器1403可以是诸如闪存、eeprom（电可擦除可编程只读存储器）、eprom、硬盘或者rom之类的电子存储器。存储器1403具有用于执行上述方法中的任何方法步骤的程序代码的存储空间。例如，用于程序代码的存储空间可以包括分别用于实现上面的方法中的各个步骤的各个程序代码。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，光盘（cd）、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为便携式或者固定存储单元。该存储单元可以具有与上述电子设备中的存储器1403类似布置的存储段或者存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括用于执行根据本发明的实施例的方法步骤的程序，即可以由例如诸如1401之类的处理器读取的代码，这些代码当由电子设备运行时，导致该电子设备执行上面所描述的方法中的各个步骤。
136.本发明的实施例还提供了一种计算机可读存储介质。上述计算机可读存储介质上
存储有计算机程序，上述计算机程序被处理器执行时实现如上所述的身份验证方法的步骤。
137.该计算机可读存储介质可以是上述实施例中描述的设备/装置中所包含的；也可以是单独存在，而未装配入该设备/装置中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本发明实施例的方法。
138.根据本发明的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、便携式紧凑磁盘只读存储器（cd-rom）、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
139.以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。