一种数字身份及其账号的认证方法、装置及存储介质与流程

1.本发明涉及计算机领域，尤其涉及一种数字身份及其账号的认证方法、装置及存储介质。


背景技术：

2.随着互联网的发展，通过在互联网环境中将身份信息作为公民身份的标志，能够在网络上确认每个公民的真实身份。在多租户下的应用场景中，各个应用可能归属于同一平台，也可能归属于不同平台，各应用间有时需要进行用户身份认证，例如：应用a需要获取用户1在应用b中的相关数据时，此处应用b相对应用1的身份进行认证，查找到用户1在应用b中所对应的账号，然后调取该账号的相关数据后，传输给应用a，为实现这一过程中的用户身份认证，在现有的多租户场景下，各平台均存储有用户的明文身份信息，然后按下述流程进行用户身份认证：首先获取用户1在应用a中的第一账号id，然后根据第一账号id查询到第一账号id所对应的用户明文身份信息，然后根据所查询到的用户明文身份信息，查询用户明文身份信息在应用b中所对应的第二账号id，完成用户身份认证，然后应用b将第二账号id所对应的相关数据传输给应用a。
3.在上述处理过程中，用户明文身份信息存储在各平台内，在身份信息的认证过程中依靠用户明文身份信息完成用户身份认证，采用这种方式，会存在用户明文身份信息泄露的风险。


技术实现要素：

4.本发明提供了一种数字身份及其账号的认证方法、装置及存储介质，以解决使用明文身份信息进行身份认证容易导致明文信息暴露的技术问题。
5.为了解决上述技术问题，本发明实施例提供了一种用户身份的认证方法，包括：
6.接收第一应用的认证凭证申请请求以及当前第一应用下的第一应用级数字身份账号；
7.根据所述第一应用级数字身份账号，生成第一认证凭证，将所述第一认证凭证返回至第一应用，以使所述第一应用在接收所述第一认证凭证后，将所述第一认证凭证与业务数据获取请求发送至第二应用；
8.接收第二应用提交的第二认证凭证以及当前第二应用下的第二应用级数字身份账号，并对所述第二认证凭证进行校验，判断所述第一认证凭证与所述第二认证凭证是否一致，若是，则校验通过，若否，则校验失败；
9.在校验通过后，根据所述第一应用级数字身份账号查找到所诉第一数字身份账号所对应的预设的第一可信数字身份根；根据所述第二应用级数字身份账号查找到所述第二数字身份账号所对应的预设的第二可信数字身份根；其中，所述第一可信数字身份根和所述第二可信数字身份根与网证平台对应的网证标识绑定；
10.判断所述第一可信数字身份根和所述第二可信数字身份根是否一致，若是，则将
所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果；
11.若否，则查询所述第一可信数字身份根在所述第二应用下的第三应用级数字身份账号，将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果。
12.作为优选方案，对所述第二认证凭证进行校验，包括：
13.判断所述第一认证凭证与所述第二认证凭证是否一致，若是，则校验通过；若否，则校验失败。
14.作为优选方案，根据应用级数字身份账号查找到应用级数字身份账号所对应的预设的可信数字身份根，包括：
15.根据应用级数字身份账号查找到与应用级的数字身份账号关联的公司级的数字身份账号；
16.根据公司级的数字身份账号查找到与公司级的数字身份账号关联的组织级的数字身份账号；
17.根据组织级的数字身份账号查找到与组织级的数字身份账号关联的平台级的数字身份账号；
18.根据平台级的数字身份账号查找到与平台级的数字身份账号关联的数字身份账号根；
19.根据数字身份账号根查找到与数字身份账号根关联的可信数字身份账号根。
20.作为优选方案，在将第二应用级数字身份账号作为第一应用级数字身份账号所对应的用户在第二应用下的应用级数字身份账号，生成认证结果之后，还包括：
21.返回认证结果至所述第二应用，以使所述第二应用根据所述第二应用级数字身份账号以及所述业务数据获取请求，提取所述第二应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第一应用；
22.在将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果之后，还包括：
23.返回认证结果与所述第三应用级数字身份根至所述第二应用，以使所述第二应用根据所述第三应用级数字身份账号以及所述业务数据获取请求，提取所述第三应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第一应用。
24.作为优选方案，可信数字身份根的生成方法，包括：
25.采集用户的身份信息；
26.根据用户的身份信息经过网证平台认证获取用户的网证标识；
27.根据用户的身份信息和一随机数生成第一字符串；
28.对所述第一字符串中的用户的身份信息进行加密，生成第二字符串；
29.将所述第二字符串作为可信数字身份根；
30.将所述可信数字身份根与所述网证标识进行绑定；
31.其中，所述用户的身份信息，包括以下任意一项或多项：姓名、身份号码和证件有效期。
32.作为优选方案，数字身份根的生成方法，包括：
33.采集用户的手机号码和生物特征；
34.通过特征提取算法对所述手机号码进行特征提取处理，生成第一特征；
35.通过特征提取算法对所述生物特征进行特征提取处理，生成第二特征；
36.根据所述第一特征和所述第二特征生成数字身份根；
37.将所述数字身份根与所述可信数字身份根进行关联；
38.其中，所述生物特征，包括以下任意一项或多项：人像、虹膜、声纹和指纹。
39.作为优选方案，平台级数字身份账号的生成，包括：
40.根据平台名称、平台密钥、预设的平台id，生成平台级数字身份账号，并将所述平台级的数字身份账号与所述数字身份根进行关联；
41.所述组织级数字身份账号的生成，包括：
42.根据组织名称、预设的组织id，生成组织级数字身份账号，并将所述组织级的数字身份账与所述平台级的数字身份账号进行关联；
43.所述公司级数字身份账号的生成，包括：
44.根据公司名称、公司的社会统一信用代码、预设的公司id，生成公司级数字身份账号，并将所述公司级数字身份账号与所述组织级数字身份账进行关联；
45.所述应用级数字身份账号的生成，包括：
46.根据应用名称，应用类型，预设的应用id，生成应用级数字身份账号，并将所述应用级数字身份账号与所述公司级数字身份账号进行关联。
47.本发明还提供一种用户身份的认证系统，包括：
48.请求接收模块，用于接收第一应用的认证凭证申请请求以及当前第一应用下的第一数字身份账号；
49.认证凭证处理模块，用于根据所述第一应用级数字身份账号，生成第一认证凭证，将所述第一认证凭证返回至第一应用，以使所述第一应用在接收所述第一认证凭证后，将所述第一认证凭证与业务数据获取请求发送至第二应用；
50.校验模块，用于接收第二应用提交的第二认证凭证以及当前第二应用下的第二应用级数字身份账号，并对所述第二认证凭证进行校验；
51.身份查询模块，用于在校验通过后，根据所述第一应用级数字身份账号查找到所诉第一数字身份账号所对应的预设的第一可信数字身份根；根据所述第二应用级数字身份账号查找到所述第二数字身份账号所对应的预设的第二可信数字身份根；其中，所述第一可信数字身份根和所述第二可信数字身份根与网证平台对应的网证标识绑定；
52.认证模块，用于判断所述第一可信数字身份根和所述第二可信数字身份根是否一致，若是，则将所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果；若否，则查询所述第一可信数字身份根在所述第二应用下的第三应用级数字身份账号，将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果。
53.本发明还提供一种存储介质，包括存储的计算机程序，其中，在所述计算机程序运行时控制所述存储介质所在设备执行上述用户身份的认证方法。
54.相比于现有技术，本发明实施例具有如下有益效果：
55.本发明提供了一种用户身份的认证方法，所述方法包括：为申请认证的应用生成认证凭证并返回，以使该应用将认证凭证与业务数据获取请求发送至另一应用；校验接收到的认证凭证；校验通过后，通过可信数字身份根确认上述申请认证凭证与发送认证凭证的应用级数字身份账号是否对应为同一人，若是则认证应用级身份信息并生成认证结果；若否，则查找到对应为同一人的应用级身份信息后再认证应用级身份信息并生成认证结果。本发明通过将可信数字身份根与网证平台对应的网证标识进行绑定，并利用可信数字身份根代替现有技术中明文身份信息的角色实现同一用户在不同应用下的数字身份账号之间的身份认证，从而降低了明文身份信息在身份认证过程中泄露的风险。
附图说明
56.图1为本发明实施例提供的一种用户身份认证方法的流程示意图；
57.图2为本发明实施例提供的一种用户身份认证系统的结构示意图；
58.图3为本发明实施例提供的一种用户身份账号的构成图；
59.图4为本发明实施例提供的一种用户身份认证的流程图；
60.图5为本发明实施例提供的一种用户身份账号的架构图。
具体实施方式
61.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
62.实施例一
63.请参照图1，为本发明实施例提供的一种用户身份的认证方法，包括如下步骤：
64.步骤s1：接收第一应用的认证凭证申请请求以及当前第一应用下的第一应用级数字身份账号；
65.优选的上述认证方法适用于在多租户架构中各个应用之间在需要进行业务数据交流的情况下，对用户身份进行身份认证。
66.对应于多租户架构层级中的平台级、组织级、公司级和应用级，本系统会为用户生成平台级数字身份账号、组织级数字身份账号、公司级数字身份账号和应用级数字身份账号。
67.当用户需要在第一应用与第二应用之间进行业务数据交流，例如说第一应用需要发送业务数据获取请求给第二应用，那么第一应用会向系统发送认证凭证申请请求以及第一应用级数字身份账号，所述第一应用级数字身份账号是指所述用户在第一应用下的应用级数字身份账号。
68.示例性的，如图4、图5所示，当用户张三需要在应用e与应用f之间进行业务信息交流，例如说应用e需要发送业务数据获取请求给应用f，那么应用e会向系统发送认证凭证申请请求以及张三在应用e下的应用级数字身份账号openid_a_1_1_1_1。
69.步骤s2：根据所述第一应用级数字身份账号，生成第一认证凭证，将所述第一认证
凭证返回至第一应用，以使所述第一应用在接收所述第一认证凭证后，将所述第一认证凭证与业务数据获取请求发送至第二应用；
70.系统接收到来自第一应用发来的认证凭证申请请求和所述第一应用级数字身份账号后，会根据所述第一应用级数字身份账号生成某一随机且不重复的字符串，将该字符串作为第一认证凭证。系统生成了所述第一认证凭证之后，将所述第一认证凭证返回给第一应用。第一应用在接收到来自系统的第一认证凭证之后，将所述第一认证凭证与相关业务数据获取请求发送至第二应用。
71.在系统生成了所述认证凭证之后，还会登记所述认证凭证的生成信息，认证凭证的生成信息包括认证凭证、第一应用级数字身份账号以及所述认证凭证与所述第一应用级数字身份账号之间的对应关系。
72.示例性的，如前述示例所述，系统接收到来自应用e发来的认证凭证申请请求和应用级数字身份账号openid_a_1_1_1_1后，会根据openid_a_1_1_1_1生成某一随机且不重复的字符串，将该字符串作为认证凭证credential_1，系统生成了认证凭证credential_1之后，将credential_1返回给应用e。应用e在接收到来自系统的credential_1之后，将credential_1与相关业务数据获取请求发送至应用f。
73.步骤s3：接收第二应用提交的第二认证凭证以及当前第二应用下的第二应用级数字身份账号，并对所述第二认证凭证进行校验，判断所述第一认证凭证与所述第二认证凭证是否一致，若是，则校验通过，若否，则校验失败；
74.第二应用在接受到来自某一应用的第二认证凭证之后，将所述第二认证凭证和第二应用级数字身份账号发送给系统，所述第二应用数字身份账号是指第二应用当下的用户在所述第二应用下的应用级数字身份账号。
75.系统接收到了来自第二应用的第二认证凭证和第二应用级数字身份账号后，会对第二认证凭证进行校验，判断所述第一认证凭证与所述第二认证凭证是否一致，如果一致，则校验通过，继续执行之后的操作，如果不一致，则校验失败，停止执行后续操作。校验通过后，还要提取所述第一认证凭证生成信息中的所述第一应用级数字身份账号。
76.采用校验的方式来确定需要进行身份认证的第一应用和第二应用，使得认证过程更加稳定、可靠。
77.示例性的，如前述示例所述，应用f在接受到来自某一应用的认证凭证credential_2之后，将credential_2和应用f当下的用户在应用下f的应用级数字身份账号openid_x_2_1_1_1发送给系统；系统接收到了来自应用f的认证凭证credential_2和应用级数字身份账号openid_x_2_1_1_1后，会对credential_2进行校验，判断credential_1与credential_2是否一致，如果一致，则校验通过，继续执行之后的操作，如果不一致，则校验失败，停止执行后续操作；校验通过后，还要提取认证凭证credential_1所谓生成信息中的应用级数字身份账号openid_a_1_1_1_1。
78.步骤s4：在校验通过后，根据所述第一应用级数字身份账号查找到所诉第一数字身份账号所对应的预设的第一可信数字身份根；根据所述第二应用级数字身份账号查找到所述第二数字身份账号所对应的预设的第二可信数字身份根；其中，所述第一可信数字身份根和所述第二可信数字身份根与网证平台对应的网证标识绑定；
79.在一个优选的实施例中，根据应用级数字身份账号查找到所诉应用级数字身份账
号所对应的预设的可信数字身份根，包括：
80.根据应用级数字身份账号查找到与所述应用级的数字身份账号关联的公司级的数字身份账号；
81.根据所述公司级的数字身份账号查找到与所述公司级的数字身份账号关联的组织级的数字身份账号；
82.根据所述组织级的数字身份账号查找到与所述组织级的数字身份账号关联的平台级的数字身份账号；
83.根据所述平台级的数字身份账号查找到与所述平台级的数字身份账号关联的数字身份账号根；
84.根据所述数字身份账号根查找到与所述数字身份账号根关联的可信数字身份账号根。
85.在校验通过后，系统会根据第一应用级数字身份账号反查与所述第一应用级数字身份账号关联的第一公司级数字身份账号，然后，根据所述第一公司级数字身份账号反查与所述第一公司级数字身份账号关联的第一组织级数字身份账号，然后，根据所述第一组织级数字身份账号反查与所述第一组织级数字身份账号关联的第一平台级数字身份账号，然后，根据所述第一平台级数字身份账号反查与所述平台级数字身份账号管理的第一数字身份根，然后，根据所述第一数字身份根反查与所述第一数字身份根关联的第一可信数字身份根。同时，系统会根据第二应用级数字身份账号反查与所述第二应用级数字身份账号关联的第二公司级数字身份账号，然后，根据所述第二公司级数字身份账号反查与所述第二公司级数字身份账号关联的第二组织级数字身份账号，然后，根据所述第二组织级数字身份账号反查与所述第二组织级数字身份账号关联的第二平台级数字身份账号，然后，根据所述第二平台级数字身份账号反查与所述平台级数字身份账号关联的第二数字身份根，然后，根据所述第二数字身份根反查与所述第二数字身份根关联的第二可信数字身份根。
86.示例性的，如前述示例所述，在校验通过后，系统会根据openid_a_1_1_1_1反查与openid_a_1_1_1_1关联的公司级数字身份账号unionid_a_1_1_1，然后，根据unionid_a_1_1_1反查与unionid_a_1_1_1关联的组织级数字身份账号userid_a_1_1，然后，根据所userid_a_1_1反查与userid_a_1_1关联的平台级数字身份账号oneid_a_1，然后，根据oneid_a_1反查与oneid_a_1关联的数字身份根phoneid_a，然后，根据phoneid_a反查与phoneid_a关联的第一可信数字身份根rootid_a；同时，系统会根据应用级数字身份账号openid_x_2_1_1_1反查与openid_x_2_1_1_1关联的公司级数字身份账号unionid_x_2_1_1，然后，根据unionid_x_2_1_1反查与unionid_x_2_1_1关联的组织级数字身份账号userid_x_2_1，然后，根据userid_x_2_1反查与userid_x_2_1关联的平台级数字身份账号oneid_x_2，然后，根据oneid_x_2反查与oneid_x_2关联的数字身份根phoneid_x，然后，根据phoneid_x反查与phoneid_x关联的可信数字身份根rootid_x。
87.如图3所示，在本发明中，可信数字身份根根据网证平台信息和用户身份信息生成；数字身份根根据用户社会属性和生物特征生成；平台级数字身份账号根据平台名称、平台id和平台密钥生成；组织级数字身份根据组织名称和组织id生成；公司级数字身份账号根据公司名称、公司id和公司统一信用代码生成；应用级数字身份账号根据应用名称、应用id和应用类型生成。
88.在一个优选的实施例中，可信数字身份根的生成方法，包括：
89.采集用户的身份信息；
90.根据用户的身份信息经过网证平台认证获取用户的网证标识；
91.根据用户的身份信息和一随机数生成第一字符串；
92.对所述第一字符串中的用户的身份信息进行加密，生成第二字符串；
93.将所述第二字符串作为可信数字身份根；
94.将所述可信数字身份根与所述网证标识进行绑定；
95.其中，所述用户的身份信息，包括以下任意一项或多项：姓名、身份号码和证件有效期。
96.系统采集用户的身份信息，根据所述用户身份信息经过网证平台的认证，确定到某一网证平台的用户，获取该用户的某一网证标识，与此同时，系统会根据用户的身份信息和某一个随机数，生成一个字符串，得到的字符串会经过系统的加密隐去用户的身份信息，得到另一新的字符串，这一新的字符串便作为该用户的可信数字身份根。系统在得到用户的网证标识和可信数字身份根后，将所述可信数字身份根和所述网证标识进行绑定。
97.需要说明的是，系统获取用户的网证标识之后，对明文信息进行不可逆的特征提取，得到明文特征信息，存储所述明文特征信息、所述网证标识以及所述明文特征信息与所述网证标识的对应关系；可信数字身份根生成之后，保存所述可信数字身份根并彻底删除用户的明文身份信息以及所述第一字符串。及时删除明文身份信息，可信数字身份作为明文身份信息的替代角色，降低了明文身份信息暴露的风险。
98.当用户首次进行可信数字身份认证时，即首次为用户生成可信数字身份根时，才会采集用户的身份信息；之后用户重复进行可信数字身份认证时，会对用户尝试提交的用户身份信息进行不可逆的特征提取，得到明文特征信息；根据所述明文特征信息查询是否已经存储过所述明文特征信息与对应的网证标识；若是，则不会重复进行可信数字身份认证；若否，则认为用户为首次进行可信数字身份认证并为所述用户进行可信数字身份认证。确保了每位用户只能拥有一个可信数字身份根，提高了可信数字身份根的稳定性和可靠性。
99.在一个优选的实施例中，数字身份根的生成方法，包括：
100.采集用户的手机号码和生物特征；
101.通过特征提取算法对所述手机号码进行特征提取处理，生成第一特征；
102.通过特征提取算法对所述生物特征进行特征提取处理，生成第二特征；
103.根据所述第一特征和所述第二特征生成数字身份根；
104.将所述数字身份根与所述可信数字身份根进行关联；
105.其中，所述生物特征，包括以下任意一项或多项：人像、虹膜、声纹和指纹。
106.系统会采集用户的手机号码和生物特征，对采集到的所述手机号码进行特征提取，得到第一特征，同时，系统会对采集到的生物特征也进行特征提取，得到第二特征，在系统得到所述第一特征和所述第二特征之后，会根据所述第一特征和所述第二特征生成数字身份根，并将数字身份根与上述可信数字身份根关联。
107.在一个优选的实施例中，所述平台级数字身份账号的生成，包括：
108.根据平台名称、平台密钥、预设的平台id，生成平台级数字身份账号，并将所述平
台级的数字身份账号与所述数字身份根进行关联；
109.所述组织级数字身份账号的生成，包括：
110.根据组织名称、预设的组织id，生成组织级数字身份账号，并将所述组织级的数字身份账与所述平台级的数字身份账号进行关联；
111.所述公司级数字身份账号的生成，包括：
112.根据公司名称、公司的社会统一信用代码、预设的公司id，生成公司级数字身份账号，并将所述公司级数字身份账号与所述组织级数字身份账进行关联；
113.所述应用级数字身份账号的生成，包括：
114.根据应用名称，应用类型，预设的应用id，生成应用级数字身份账号，并将所述应用级数字身份账号与所述公司级数字身份账号进行关联。
115.系统在生成用户的数字身份根的之后，会为用户依次生成平台级数字身份账号、组织级数字身份账号、公司级数字身份账号和应用级数字身份账号；并对相邻层级之间的数字身份账号彼此进行关联。具体为，系统会根据平台名称、平台密钥、预设的平台id和某一不重复的随机数，生成平台及数字身份账号，并将生成的平台级数字身份账号与上述数字身份根进行关联；系统在得到所述平台级数字身份账号后，会根据组织名称、预设的组织id和某一不重复随机数，生成组织级数字身份账号，并将所述组织级数字身份账号与上述平台级数字身份账号进行关联；系统在得到所述组织级数字身份账号之后，会根据公司名称、公司的社会统一信用代码、预设的公司id和某一不重复随机数，生成公司级数字身份账号，并将所述公司级身份账号与上述组织级数字身份账号进行关联；系统在得到所述公司级数字身份账号之后，会根据应用名称、应用类型、预设的应用id和某一不重复随机数，生成应用级数字身份账号，并将所述应用级数字身份账号与上述公司级数字身份账号进行关联。
116.步骤s5：判断所述第一可信数字身份根和所述第二可信数字身份根是否一致，若是，则将所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果。
117.步骤s6：若否，则查询所述第一可信数字身份根在所述第二应用下的第三应用级数字身份账号，将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果；
118.在一个优选的实施例中，在将所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果之后，还包括：
119.返回认证结果至所述第二应用，以使所述第二应用根据所述第二应用级数字身份账号以及所述业务数据获取请求，提取所述第二应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第一应用；
120.在将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果之后，还包括：
121.返回认证结果与所述第三应用级数字身份至所述第二应用，以使所述第二应用根据所述第三应用级数字身份账号以及所述业务数据获取请求，提取所述第三应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第
一应用。
122.系统在通过所述第一应用级数字身份账号与所述第二应用级数字身份账号查询到所述第一可信数字身份根和所述第二可信数字身份根之后，判断所述第一可信数字身份根与所述第二可信数字身份根是否一致，如果一致，则说明所述第一应用级数字身份账号与所述第二应用级数字身份账号属于同一用户，即用户身份认证成功，将所述第二应用级数字身份账号作为所述第一应用级数字身份账号对应的用户在所第二应用下的数字身份账号，并生成认证结果；系统将所述认证结果返回至第二应用。所述第二应用在接收到认证结果后，根据所述第二应用级数字身份账号以及来自第一应用的业务数据获取请求，提取所述第二应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第一应用。
123.如果所述第一可信数字身份根与所述第二可信数字身份根不一致，则说明所述第一应用级数字身份账号与所述第二应用级数字身份账号不属于同一用户，即用户身份认证失败，此时系统会根据第一可信数字身份根查询对应的运用在第二应用下的第三应用级数字身份账号，将所述第三应用级数字身份账号作为用户在所述第二应用下对应的应用级数字身份账号，并生成认证结果；系统将所述认证结果与所述第三应用级数字身份账号返回至第二应用。所述第二应用在接收到认证结果与所述第三应用级数字身份账号后，根据所述第三应用级数字身份账号以及来自第一应用的业务数据获取请求，提取所述第三应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第一应用。
124.示例性的，如前述示例所述，系统在通过openid_a_1_1_1_1与openid_x_2_1_1_1查询到rootid_a和rootid_x之后，判断rootid_a和rootid_x是否一致，如果一致，则说明rootid_x就是rootid_a，openid_x_2_1_1_1就是openid_a_2_1_1_1，则openid_a_1_1_1_1与openid_x_2_1_1_1(即openid_a_2_1_1_1)属于张三，即用户身份认证成功，将openid_x_2_1_1_1(即openid_a_2_1_1_1)作为张三在所应用f下的数字身份账号，并生成认证结果；
125.系统将认证结果返回至应用f。应用f在接收到认证结果后，根据openid_a_2_1_1_1以及来自应用e的业务数据获取请求，提取openid_a_2_1_1_1所对应的在应用f中对应的业务数据，将所述业务数据和认证结果传输至应用e。
126.如果rootid_a与所述rootid_x不一致，则说明openid_a_1_1_1_1与openid_x_2_1_1_1不属于同一用户，即用户身份认证失败，此时系统会根据rootid_a查询对应的运用在应用f下的应用级数字身份账号openid_a_2_1_1_1，将openid_a_2_1_1_1作为张三在应用f下对应的应用级数字身份账号，并生成认证结果；系统将所述认证结果与openid_a_2_1_1_1返回至应用f。应用f在接收到认证结果与openid_a_2_1_1_1后，根据openid_a_2_1_1_1以及来自应用e的业务数据获取请求，提取openid_a_2_1_1_1所对应的在所述应用f中对应的业务数据，将所述业务数据和所述认证结果传输至应用e。
127.本实施例提供了一种用户身份的认证方法，所述方法包括：为申请认证的应用生成认证凭证并返回，以使该应用将认证凭证与业务数据获取请求发送至另一应用；校验接收到的认证凭证；校验通过后，通过可信数字身份根确认上述申请认证凭证与发送认证凭证的应用级数字身份账号是否对应为同一人，若是则认证应用级身份信息并生成认证结果；若否，则查找到对应为同一人的应用级身份信息后再认证应用级身份信息并生成认证
结果。本实施例通过将可信数字身份根与网证平台对应的网证标识进行绑定，并利用可信数字身份根代替现有技术中明文身份信息的角色实现同一用户在不同应用下的数字身份账号之间的身份认证，从而降低了明文身份信息在身份认证过程中泄露的风险。
128.在上述方法项实施例的基础上，本发明对应提供了系统项实施例：
129.请参照图2，为本发明实施例提供的一种用户身份的认证系统，包括：
130.请求接收模块100，用于接收第一应用的认证凭证申请请求以及当前第一应用下的第一数字身份账号；
131.认证凭证处理模块200，用于根据所述第一应用级数字身份账号，生成第一认证凭证，将所述第一认证凭证返回至第一应用，以使所述第一应用在接收所述第一认证凭证后，将所述第一认证凭证与业务数据获取请求发送至第二应用；
132.校验模块300，用于接收第二应用提交的第二认证凭证以及当前第二应用下的第二应用级数字身份账号，并对所述第二认证凭证进行校验；
133.身份查询模块400，用于在校验通过后，根据所述第一应用级数字身份账号查找到所诉第一数字身份账号所对应的预设的第一可信数字身份根；根据所述第二应用级数字身份账号查找到所述第二数字身份账号所对应的预设的第二可信数字身份根；其中，所述第一可信数字身份根和所述第二可信数字身份根与网证平台对应的网证标识绑定；
134.认证模块500，用于判断所述第一可信数字身份根和所述第二可信数字身份根是否一致，若是，则将所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果；若否，则查询所述第一可信数字身份根在所述第二应用下的第三应用级数字身份账号，将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果。
135.本实施例提供了一种用户身份的认证系统，包括：请求接收模块、认证凭证处理模块、校验模块、身份查询模块和认证模块。本实施例通过将可信数字身份根与网证平台对应的网证标识进行绑定，并利用可信数字身份根代替现有技术中明文身份信息的角色实现同一用户在不同应用下的数字身份账号之间的身份认证，从而降低了明文身份信息在身份认证过程中泄露的风险。
136.需说明的是，以上所描述的系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本发明提供的系统实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
137.领域的技术人员可以清楚地了解到，为的方便和简洁，上述描述的系统的具体工作过程，可参考前述方法实施例中对应的过程，在此不再赘述。
138.在上述方法项实施例的基础上，本发明对应提供了存储介质项实施例：
139.相应地，本发明实施例提供了一种存储介质，其特征在于，所述存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述存储介质所在设备执行上述用户
身份的认证方法。
140.存储介质为计算机可读存储介质，计算机程序存储在计算机可读存储介质中，该计算机程序在被处理器执行时，可以实现上述各个方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
141.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步的详细说明，应当理解，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围。特别指出，对于本领域技术人员来说，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种用户身份的认证方法，其特征在于，包括：接收第一应用的认证凭证申请请求以及当前第一应用下的第一应用级数字身份账号；根据所述第一应用级数字身份账号，生成第一认证凭证，将所述第一认证凭证返回至第一应用，以使所述第一应用在接收所述第一认证凭证后，将所述第一认证凭证与业务数据获取请求发送至第二应用；接收第二应用提交的第二认证凭证以及当前第二应用下的第二应用级数字身份账号，并对所述第二认证凭证进行校验，判断所述第一认证凭证与所述第二认证凭证是否一致；若是，则校验通过；若否，则校验失败；在校验通过后，根据所述第一应用级数字身份账号查找到所诉第一数字身份账号所对应的预设的第一可信数字身份根；根据所述第二应用级数字身份账号查找到所述第二数字身份账号所对应的预设的第二可信数字身份根；其中，所述第一可信数字身份根和所述第二可信数字身份根与网证平台对应的网证标识绑定；判断所述第一可信数字身份根和所述第二可信数字身份根是否一致，若是，则将所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果；若否，则查询所述第一可信数字身份根在所述第二应用下的第三应用级数字身份账号，将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果。2.如权利要求1所述的用户身份的认证方法，其特征在于，所述对所述第二认证凭证进行校验，包括：判断所述第一认证凭证与所述第二认证凭证是否一致，若是，则校验通过；若否，则校验失败。3.如权利要求1所述的用户身份的认证方法，其特征在于，根据应用级数字身份账号查找到所诉应用级数字身份账号所对应的预设的可信数字身份根，包括：根据应用级数字身份账号查找到与所述应用级的数字身份账号关联的公司级的数字身份账号；根据所述公司级的数字身份账号查找到与所述公司级的数字身份账号关联的组织级的数字身份账号；根据所述组织级的数字身份账号查找到与所述组织级的数字身份账号关联的平台级的数字身份账号；根据所述平台级的数字身份账号查找到与所述平台级的数字身份账号关联的数字身份账号根；根据所述数字身份账号根查找到与所述数字身份账号根关联的可信数字身份账号根。4.如权利要求1所述的用户身份的认证方法，其特征在于，在将所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果之后，还包括：返回认证结果至所述第二应用，以使所述第二应用根据所述第二应用级数字身份账号以及所述业务数据获取请求，提取所述第二应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第一应用；
在将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果之后，还包括：返回认证结果与所述第三应用级数字身份根至所述第二应用，以使所述第二应用根据所述第三应用级数字身份账号以及所述业务数据获取请求，提取所述第三应用级数字身份所对应的在所述第二应用中对应的业务数据，将所述业务数据和所述认证结果传输至第一应用。5.如权利要求1所述的用户身份的认证方法，其特征在于，可信数字身份根的生成方法，包括：采集用户的身份信息；根据用户的身份信息经过网证平台认证获取用户的网证标识；根据用户的身份信息和一随机数生成第一字符串；对所述第一字符串中的用户的身份信息进行加密，生成第二字符串；将所述第二字符串作为可信数字身份根；将所述可信数字身份根与所述网证标识进行绑定；其中，所述用户的身份信息，包括以下任意一项或多项：姓名、身份号码和证件有效期。6.如权利要求3所述的用户身份的认证方法，其特征在于，数字身份根的生成方法，包括：采集用户的手机号码和生物特征；通过特征提取算法对所述手机号码进行特征提取处理，生成第一特征；通过特征提取算法对所述生物特征进行特征提取处理，生成第二特征；根据所述第一特征和所述第二特征生成数字身份根；将所述数字身份根与所述可信数字身份根进行关联；其中，所述生物特征，包括以下任意一项或多项：人像、虹膜、声纹和指纹。7.如权利要求3所述的用户身份的认证方法，其特征在于，所述平台级数字身份账号的生成，包括：根据平台名称、平台密钥、预设的平台id，生成平台级数字身份账号，并将所述平台级的数字身份账号与所述数字身份根进行关联；所述组织级数字身份账号的生成，包括：根据组织名称、预设的组织id，生成组织级数字身份账号，并将所述组织级的数字身份账与所述平台级的数字身份账号进行关联；所述公司级数字身份账号的生成，包括：根据公司名称、公司的社会统一信用代码、预设的公司id，生成公司级数字身份账号，并将所述公司级数字身份账号与所述组织级数字身份账进行关联；所述应用级数字身份账号的生成，包括：根据应用名称，应用类型、预设的应用id，生成应用级数字身份账号，并将所述应用级数字身份账号与所述公司级数字身份账号进行关联。8.一种用户身份的认证系统，其特征在于，包括：请求接收模块，用于接收第一应用的认证凭证申请请求以及当前第一应用下的第一数字身份账号；
认证凭证处理模块，用于根据所述第一应用级数字身份账号，生成第一认证凭证，将所述第一认证凭证返回至第一应用，以使所述第一应用在接收所述第一认证凭证后，将所述第一认证凭证与业务数据获取请求发送至第二应用；校验模块，用于接收第二应用提交的第二认证凭证以及当前第二应用下的第二应用级数字身份账号，并对所述第二认证凭证进行校验；身份查询模块，用于在校验通过后，根据所述第一应用级数字身份账号查找到所诉第一数字身份账号所对应的预设的第一可信数字身份根；根据所述第二应用级数字身份账号查找到所述第二数字身份账号所对应的预设的第二可信数字身份根；其中，所述第一可信数字身份根和所述第二可信数字身份根与网证平台对应的网证标识绑定；认证模块，用于判断所述第一可信数字身份根和所述第二可信数字身份根是否一致，若是，则将所述第二应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果；若否，则查询所述第一可信数字身份根在所述第二应用下的第三应用级数字身份账号，将所述第三应用级数字身份账号作为所述第一应用级数字身份账号所对应的用户在所述第二应用下的应用级数字身份账号，生成认证结果。9.一种存储介质，其特征在于，所述存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述存储介质所在设备执行如权利要求1至7中任意一项所述的用户身份的认证方法。

技术总结
本发明公开了一种数字身份及其账号的认证方法、装置及存储介质，所述方法包括：为申请认证的应用生成认证凭证并返回，以使该应用将认证凭证与业务数据获取请求发送至另一应用；校验认证凭证；校验通过后，通过可信数字身份根确认申请认证凭证与发送认证凭证的应用级数字身份账号是否对应为同一人，若是则认证应用级身份信息并生成认证结果；若否，则查找到对应为同一人的应用级身份信息后再认证并生成认证结果。本发明通过将可信数字身份根与网证平台对应的网证标识进行绑定，并利用可信数字身份根代替现有技术中明文身份信息的角色实现同一用户在不同应用下的数字身份账号之间的身份认证，从而降低了明文身份信息在身份认证过程中泄露的风险。认证过程中泄露的风险。认证过程中泄露的风险。


技术研发人员：续磊 张楠 冯德明 陈汉楠 王晓旭 祝黎 滕杰
受保护的技术使用者：广州大白互联网科技有限公司
技术研发日：2023.05.11
技术公布日：2023/10/8