一种基于去中心化身份的多重身份管理方法及装置

本说明书涉及区块链技术领域，尤其涉及一种基于去中心化身份的多重身份管理方法及装置。

在日常生活中，人们从社会中获取的服务常常取决于人们是否具备某种身份，而为了证明自己具备某种身份则需要使用对应的证件或者证明；随着社会服务的丰富化、多样化、严谨化，人们往往需要持有多个证件或者证明来保证其能在多个场景中灵活使用多重身份，但显然，传统的身份证、员工卡等实体证件在数量较多的情况下很难随身携带。

在相关技术中，一些具有社会服务性质的软件可以提供数字卡包功能来解决上述问题；具体而言，这些软件可以在得到用户授权的情况下，采集上述多个证件的图像、文字、防伪标识等信息，并以数字文件形式存储在客户端或者服务器中，形成包含多个数字证件的数字卡包，在用户需要出示证件时，则可以快捷地从上述数字卡包功能中调取对应的数字证件。

但是，上述方案只是将证件的载体进行了数字化，本质上仍然是在使用各个中心化平台的证件，因此并不能根本上解决一个自然人多重身份、多个证件的管理需求。

有鉴于此，本说明书公开了一种基于去中心化身份的多重身份管理方法和装置。

根据本说明书实施例的第一方面，公开了一种基于去中心化身份的多重身份管理方法，包括：

接收身份绑定请求，所述身份绑定请求中携带与区块链既有的第一去中心化身份对应的第一签名、以及与待申请的第二去中心化身份 对应的申请信息；其中，所述申请信息中包括用于授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份的授权指令；

校验所述第一签名、以及所述申请信息的合法性；

若所述第一签名、以及所述申请信息的合法性校验通过，则 基于所述申请信息，在所述区块链中申请所述第二去中心化身份，并授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份。

可选的，所述授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份，包括：

将所述第二去中心化身份的标识，添加到所述第一去中心化身份的子身份标识集合中；并

将所述第二去中心化身份的私钥，导入 所述第一去中心化身份名下用于以其他去中心化身份签名的可信执行环境中。

可选的，所述第二去中心化身份的标识中，携带所述第二去中心化身份的身份类型标签；

所述方法还包括：

接收子身份查阅请求，其中，所述子身份查阅请求中携带待查阅的父身份对应的签名，以及待查阅的子身份的类型；

在所述待查阅的父身份对应的签名合法性校验通过的情况下，从所述待查阅的父身份的子身份标识集合中，查身份类型标签与所述待查阅的子身份的类型匹配的目标去中心化身份标识 ；

生成并返回与所述目标去中心化身份对应的查阅结果。

可选的，所述子身份查阅请求中携带有预设的全文出示标识；

所述生成并返回与所述目标去中心化身份对应的查阅结果，包括：

获取所述目标去中心化身份的属性全文；

在所述待查阅的父身份名下用于以其他去中心化身份签名的可信执行环境中，生成基于所述目标去中心化身份对所述属性全文的目标签名；

返回所述目标去中心化身份的属性全文、以及所述目标签名。

可选的，所述方法还包括：

向所述目标去中心化身份的信息提供机构发送信息复核请求，以使所述信息提供机构对所述目标去中心化身份的属性全文进行复核，并在所述复核通过的情况下返回针对所述目标去中心化身份的属性全文的合法性签名；

向发送所述子身份查阅请求的客户端返回所述合法性签名。

根据本说明书实施例的第二方面，公开了一种基于去中心化身份的多重身份管理装置，包括：

接收模块，接收身份绑定请求，所述身份绑定请求中携带与区块链既有的第一去中心化身份对应的第一签名、以及与待申请的第二去中心化身份对应的申请信息；其中，所述申请信息中包括用于授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份的授权指令；

校验模块，校验所述第一签名、以及所述申请信息的合法性；

授权模块，若所述第一签名、以及所述申请信息的合法性校验通过，则基于所述申请信息，在所述区块链中申请所述第二去中心化身份，并授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份。

可选的，所述授权模块进一步：

将所述第二去中心化身份的标识，添加到所述第一去中心化身份的子身份标识集合中；并

将所述第二去中心化身份的私钥，导入所述第一去中心化身份名下用于以其他去中心化身份签名的可信执行环境中。

可选的，所述第二去中心化身份的标识中，携带所述第二去中心化身份的身份类型标签；

所述装置还包括查阅模块，用于：

接收子身份查阅请求，其中，所述子身份查阅请求中携带待查阅的父身份对应的签名，以及待查阅的子身份的类型；

在所述待查阅的父身份对应的签名合法性校验通过的情况下，从所述待查阅的父身份的子身份标识集合中，查身份类型标签与所述待查阅的子身份的类型匹配的目标去中心化身份标识；

生成并返回与所述目标去中心化身份对应的查阅结果。

可选的，所述子身份查阅请求中携带有预设的全文出示标识；

所述查阅模块进一步：

获取所述目标去中心化身份的属性全文；

在所述待查阅的父身份名下用于以其他去中心化身份签名的可信执行环境中，生成基于所述目标去中心化身份对所述属性全文的目标签名；

返回所述目标去中心化身份的属性全文、以及所述目标签名。

可选的，所述装置还包括：

复核模块，向所述目标去中心化身份的信息提供机构发送信息复核请求，以使所述信息提供机构对所述目标去中心化身份的属性全文进行复核，并在所述复核通过的情况下返回针对所述目标去中心化身份的属性全文的合法性签名；向发送所述子身份查阅请求的客户端返回所述合法性签名。

根据本说明书实施例的第三方面，公开了一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现上述任一方面实施例所述的方法。

根据本说明书实施例的第四方面，公开了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一方面实施例所述的方法。

以上技术方案中，一方面，由于用户使用的身份不再是基于中心化系统的传统机构认证的身份，而是在区块链中申请的去中心化身份；去中心化身份相对传统方案而言，既有利于身份在对接到区块链的多个系统或者应用场景中互通，也有利于用户通过其私钥真正掌握其身份的所有权。

另一方面，由于在校验身份绑定请求中的第一签名以及上述申请信息的合法性通过后，新申请的第二去中心化身份成为了既有的第一去中心化身份的子身份，能够便于自然人用户通过使用第一去中心化身份来间接使用上述第二去中心化身份，用户不再需要管理多个去中心化身份，显著简化了多重去中心化身份的使用流程。

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书文本一同用于解释原理。

图1是本说明书示出的一种多重身份和证件的情景示例图；

图2是本说明书示出的一种基于去中心化身份的多重身份管理方法的流程示例图；

图3是本说明书示出的一种对去中心化身份的属性进行复核的交互示例图；

图4是本说明书示出的一种基于去中心化身份的多重身份管理装置的结构示例图；

图5是本说明书示出的一种用于基于去中心化身份的多重身份管理的计算机设备的结构示例图。

为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是一部分实施例，而不是全部的实施例。基于本说明书一个或多个实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与本说明书的一些方面相一致的系统和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在日常生活中，人们从社会中获取的服务常常取决于人们是否具备某种身份，而为了证明自己具备某种身份则需要使用对应的证件或者证明；随着社会服务的丰富化、多样化、严谨化，人们往往需要持有多个证件或者证明来保证其能在多个场景中灵活使用多重身份。

请参见图1，图1是本说明书示出的一种多重身份和证件的情景示例图；在该示例中，自然人张三可以同时具备某校大学生、某市市民、某运动会志愿者三重身份，其中，某校大学生这一身份又可以对应到学生证、校园卡、学籍证明共三种证件；如果张三需要购买学生票，则其需要使用学生证来证明其具有某校大学生的身份，如果张三需要通过校园门禁，则其需要使用校园卡来证明其具有某校大学生的身份，如果张三需要进行实习申请，则其需要使用学籍证明来证明其具有某校大学生的身份。

即使上述图中的某市市民、某运动会志愿者对应的证件并未示出，亦可以显然看出，传统的身份证、员工卡等实体证件在数量较多的情况下很难随身携带，也很难在具体的应用场景中准确地到。

在相关技术中，一些具有社会服务性质的软件可以提供数字卡包功能来解决上述问题；具体而言，这些软件可以在得到用户授权的情况下，采集上述多个证件的图像、文字、防伪标识等信息，并以数字文件形式存储在客户端或者服务器中，形成包含多个数字证件的数字卡包，在用户需要出示证件时，则可以快捷地从上述数字卡包功能中调取对应的数字证件。

但是，上述方案只是将证件的载体进行了数字化，本质上仍然是在使用各个中心化平台的证件，因此并不能根本上解决一个自然人多重身份、多个证件的管理需求。

基于此，本说明书提出一种通过去中心化身份机制代替传统中心化机构管理的传统身份机制、并通过绑定的方式使用户有权使用既有的第一去中心化身份来调用新申请的第二去中心化身份的技术方案。

在实现时，在区块链中申请第二去中心化身份之前，可以通过授权指令来授权第一去中心化身份的合法持有者使用上述第二去中心化身份，从而使得第二去中心化身份在被申请后即能够被第一去中心化身份的合法持有者使用。

在以上技术方案中，一方面，由于用户使用的身份不再是基于中心化系统的传统机构认证的身份，而是在区块链中申请的去中心化身份；去中心化身份相对传统方案而言，既有利于身份在对接到区块链的多个系统或者应用场景中互通，也有利于用户通过其私钥真正掌握其身份的所有权。

另一方面，由于在校验身份绑定请求中的第一签名以及上述申请信息的合法性通过后，新申请的第二去中心化身份成为了既有的第一去中心化身份的子身份，能够便于自然人用户通过使用第一去中心化身份来间接使用上述第二去中心化身份，用户不再需要管理多个去中心化身份，显著简化了多重去中心化身份的使用流程。

下面通过具体实施例并结合具体的应用场景对本说明书进行描述。

请参考图2，图2是本说明书一实施例提供的一种基于去中心化身份的多重身份管理方法，可以包括以下步骤：

S201，接收身份绑定请求，所述身份绑定请求中携带与区块链既有的第一去中心化身份对应的第一签名、以及与待申请的第二去中心化身份对应的申请信息；其中，所述申请信息中包括用于授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份的授权指令；

S202，校验所述第一签名、以及所述申请信息的合法性；

S203，若所述第一签名、以及所述申请信息的合法性校验通过，则基于所述申请信息，在所述区块链中申请所述第二去中心化身份，并授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份。

可以理解的是，上述方法可以既可以通过类似于BaaS（Blockchain as aService，区块链即服务）平台的去中心化身份管理平台完成，也可以通过在区块链中预先部署对应的智能合约，通过智能合约的逻辑直接实现；又或者，将上述两种技术结合，由BaaS平台提供链内外交互功能，由智能合约完成链上操作，等等；本说明书对此无需作出严格限定。

在本说明书中的区块链，可以包括任意形式的区块链。区块链技术，也被称之为分布式账本技术，是一种由若干台计算设备共同参与“记账”，共同维护一份完整的分布式数据库的技术；通常，区块链具有去中心化、公开透明、每台计算设备可以参与数据库记录、并且各计算设备之间可以快速的进行数据同步的特性。区块链一般被划分为三种类型：公有链（Public Blockchain），私有链（Private Blockchain）和联盟链（ConsortiumBlockchain）。此外，还可以有上述多种类型的结合，比如私有链+联盟链、联盟链+公有链等。通常各种类型的区块链性质可能存在差异，进而可以用于满足不同的技术需求；例如，如果希望获得最高的去中心化程度，则可以选用公有链；如果希望兼顾去中心化程度和性能，则可以选用联盟链等等。各种形式的区块链各有优势，本领域技术人员可以根据具体的需求自行选择上述区块链的类型，本说明书不限定上述区块链的具体类型。

可以理解的是，上述区块链可以通过区块链即服务（BaaS，Blockchain as aService)平台对外交互。通常，BaaS平台可以通过为区块链上发生的活动（诸如订阅和通知、用户验证、数据库管理和远程更新），提供预先编写的应用的方式，面向与BaaS平台连接的客户端侧计算设备，提供灵活可定制的区块链服务。例如，在一个例子中，区块链之外的客户端需要与区块链进行数据通信，则BaaS平台可以提供诸如MQ（Message Queue，消息队列）服务应用；与BaaS平台连接的去中心化身份管理平台，可以订阅BaaS平台连接的区块链系统中某一区块链上部署的智能合约，在触发执行后在区块链上产生的合约事件；而BaaS平台可以监听该智能合约在触发执行后在区块链上产生的事件，再基于MQ服务相关的软件，将该合约事件以通知消息的形式添加到消息队列中，使得订阅该消息队列的去中心化身份管理平台能够得到与上述合约事件相关的通知。

在本领域中，去中心化身份（Decentralized Identity，DID）通常被理解为一种可以包含标识Identifier和文档document的身份认证机制，具有全局唯一性、高可用性可解析性和加密可验证性。如果一个去中心化身份依赖于某一个区块链实现，则可以称该去中心化身份是与该区块链相关联的。在实现时，一个典型的去中心化身份标识可以如下字符串所示：

did:example:123123123123abcabcabc

其中，did部分为体系标识，用于表明该字符串是一个去中心化身份标识；example部分为DID方法标识符，用于指示DID具体依赖的区块链上的方法；123123123123abcabcabc部分则为DID 方法中所规定的标识符，通常与身份对应的个体所持有的一对公私钥相对应。而去中心化身份文档则可以包含DID对应的身份公钥以及对应的加密算法等等信息，可以用于对去中心化身份标识进行校验。举例而言，假设用户张三发出了一份信息，其携带有一个去中心化身份的签名以及DID标识符，则其他用户只需根据该DID标识符，从区块链中到张三的去中心化身份公钥，即可对该去中心化身份签名进行合法性校验，若校验通过，则可以证明该信息的发送方为持有用户张三的私钥的人，也即张三本人。

在本说明书中，可以首先接收身份绑定请求，该身份绑定请求中携带与区块链既有的第一去中心化身份对应的第一签名、以及与待申请的第二去中心化身份对应的申请信息；其中，该申请信息中包括用于授权该第一去中心化身份的合法持有者使用该第二去中心化身份的授权指令；假设当前场景下，用户张三需要申请新注册一个去中心化身份形式的志愿者身份，并希望使用同样为去中心化身份形式的市民身份来调用上述志愿者身份以便操作，则该市民身份即为第一去中心化身份，志愿者身份则为第二去中心化身份，张三为上述市民身份的合法持有者；张三可以通过其持有的客户端向对接到区块链的去中心化身份管理平台发送上述身份绑定请求，以期将该志愿者身份绑定到张三的市民身份上。

从上述各种信息的作用角度分析，上述与待申请的第二去中心化身份对应的申请信息，不仅包含了上述授权指令，在后续步骤中还可以用于申请上述第二去中心化身份，例如用于申请上述志愿者身份时所需的志愿服务时间、志愿服务地点、志愿服务事项等等；而上述与第一去中心化身份对应的第一签名则用于证实授权该第一去中心化身份的合法持有者使用该第二去中心化身份的授权指令，确为该第一去中心化身份的合法持有者签发，避免出现恶意挂靠的情况。

可以理解的是，上述各种信息的具体表示形式，例如使用的语言、编码、格式等等，均可以由本领域普通技术人员自行根据业务需求确定，例如为方便理解可以采用中文文本表示，为了增强扩展性则可以采用动态数组保存数据，等等，可见，本说明书无需作出严格限定或者列举。

在本说明书中，可以进一步校验上述第一签名以及上述申请信息的合法性；其中，针对上述第一签名，具体的签名校验方法可以根据具体采用的加密算法进行设计，本领域技术人员可以自行确定，本说明书对此无需限定；而针对上述申请信息，如前所述，上述申请信息既可以用于提供注册第二去中心化身份所需的信息，也可以携带上述授权指令，那么在本步骤中，即可对上述申请信息中携带的内容进行合法性校验；例如，校验其中记录的志愿者中英文姓名是否匹配、志愿服务地点与项目是否属于预设的合法地点和项目，等等。

可以理解的是，上述校验既可以是本机的校验，也可以是与其他系统或者平台合作完成的校验；例如，校验上述志愿服务地点与项目是否属于预设的合法地点和项目时，可以通过与管理预设的合法地点和项目的列表的第三方进行交互，从而得到校验结果。本领域技术人员可以根据具体业务需求自行设计上述合法性校验的具体流程，本说明书无需进行进一步描述或限定。

在本说明书中，如果上述第一签名、以及该申请信息的合法性校验通过，则可以基于该申请信息，在该区块链中申请该第二去中心化身份，并授权该第一去中心化身份的合法持有者使用该第二去中心化身份。基于上述描述可知，经过上述过程，新申请的第二去中心化身份的内容由上述申请信息指定，而第一去中心化身份的合法持有者则获得了使用上述第二去中心化身份的权限；从数据的逻辑结构角度来看，可以认为上述第一去中心化身份与上述第二去中心化身份形成了一个层级结构，也就是说，根据“第一去中心化身份的合法持有者有权使用所述第二去中心化身份”这一事实，可认为上述第一去中心化身份是第二去中心化身份的父身份，而第二去中心化身份则是第一去中心化身份的子身份。

可以理解的是，上述过程可以进行迭代，则原本由两个去中心化身份组成的二层结构就可以扩展为一个去中心化身份树结构，每一个去中心化身份都可以作为这个去中心化身份树结构中的节点；这样，就可以通过管理树结构的方式，对存在依赖、授权关系的多个去中心化身份进行高效管理和使用。继续以前述自然人张三为例，他可以持有一个最高级的、由他本人持有的自然人去中心化身份，该自然人去中心化身份之下又可以关联有大学生身份、市民身份、志愿者身份三种子去中心化身份，而其中大学生身份下又可以进一步关联学生证、校园卡、学籍证明几种去中心化身份；这样，在自然人张三需要出示学生证购买学生票时，只需要出示其自然人身份或者学生身份等上述学生证的任意上层身份，就能够通过树结构的查询算法，快速获取到学生证对应的去中心化身份，并通过去中心化身份的验证机制完成后续的业务。

在示出的一种实施方式中，为实现上述去中心化身份树结构，可以在作为父身份的去中心化身份的属性中，添加子身份标识集合字段，用于存储作为子身份的去中心化身份的标识，并通过可信执行环境的方式间接管理子身份的私钥，方便开具子身份的签名；具体以上述第一去中心化以及第二去中心化身份为例，则该授权该第一去中心化身份的合法持有者使用该第二去中心化身份的过程可以包括：将该第二去中心化身份的标识，添加到该第一去中心化身份的子身份标识集合中；并将该第二去中心化身份的私钥，导入该第一去中心化身份名下用于以其他去中心化身份签名的可信执行环境中。

应用上述方案，可以实现上述多重去中心化身份的结构和功能的进一步完善，使得作为父身份的第一去中心化身份不仅可以通过其子身份标识集合快速访问到作为子身份的第二去中心化身份，而且能够通过其名下的可信执行环境，间接调用上述第二去中心化身份的私钥，以上述第二去中心化身份进行数字签名。

在示出的一种实施方式中，上述多重身份的管理方案中还可以支持根据子身份的类型进行查询；具体而言，在上述第二去中心化身份的标识中，可以携带上述第二去中心化身份的身份类型标签；也就是说，在实现上述去中心化身份之间的绑定时，作为子身份的去中心化身份的类型就随标识存储在了父身份的子身份标识集合中。

在具体进行查询时，可以首先接收携带待查阅的父身份对应的签名、以及待查阅的子身份的类型的子身份查阅请求；其中，该父身份对应的签名则用于确定该查询请求是得到父身份的持有者的同意的，避免其他人的越权查询；在上述待查阅的父身份对应的签名合法性校验通过的情况下，即可从上述待查阅的父身份的子身份标识集合中，查身份类型标签与上述待查阅的子身份的类型匹配的目标去中心化身份标识；在查到上述目标去中心化身份标识之后，即可生成并返回与上述目标去中心化身份对应的查阅结果。

当然可以理解的是，为了加速上述查阅过程，上述去中心化身份树中各节点的子身份标识集合，可以通过缓存的方式统一整理为一个快速查树，从而进一步提升上述查阅过程的速度；上述查阅结果的具体数据结构、编码方式均可由本领域普通技术人员根据具体需求完成设计，本说明书无需进行进一步限定。

在示出的一种实施方式中，上述多重身份的管理方案中还可以支持向第三方证明持有父身份的某人具备某子身份；在实现时，上述子身份查阅请求中携带有预设的全文出示标识；上述生成并返回与上述目标去中心化身份对应的查阅结果的过程，可以包括：获取上述目标去中心化身份的属性全文；在上述待查阅的父身份名下用于以其他去中心化身份签名的可信执行环境中，生成基于上述目标去中心化身份对上述属性全文的目标签名；返回上述目标去中心化身份的属性全文、以及上述目标签名。

经过上述过程，客户端获得的查阅结果中就包括了目标去中心化身份的属性全文、以及上述目标签名，而且该目标签名是由上述目标去中心化身份签发的，因此只需将该查阅结果向第三方出示，就能够使得第三方相信，该持有父身份的客户端不仅能够出示目标去中心化身份的属性全文，还能够以目标去中心化身份进行签名。

在示出的一种实施方式中，上述方法还可以包括对目标去中心化身份进行信息复核的过程；具体而言，上述去中心化身份管理平台可以向上述目标去中心化身份的信息提供机构发送信息复核请求，以使上述信息提供机构对上述目标去中心化身份的属性全文进行复核，并在上述复核通过的情况下返回针对上述目标去中心化身份的属性全文的合法性签名；再向发送上述子身份查阅请求的客户端返回上述合法性签名。

请参见图3，图3是本说明书示出的一种对去中心化身份的属性进行复核的交互示例图；在该示例中提供了一可能出现的、更为完整的交互流程，在该流程中，客户端可以首先向去中心化身份管理平台发出携带父身份签名的复核指示，再由上述去中心化身份管理平台在校验其携带的父身份签名合法的情况下，向需复核的目标去中心化身份对应的信息提供机构发出复核请求，其中，该复核请求中则既可以包括待核实的目标去中心化身份的属性全文，也可以是部分属性，使得该信息提供机构对需要复核的属性进行复核，若通过，则向上述去中心化身份管理平台发送对应的合法性签名，再由上述去中心化身份管理平台向上述客户端转发该合法性签名。至此，上述客户端就收到了上述信息提供机构对于目标去中心化身份中部分或者全部属性的合法性的确认签名，只需出示上述合法性签名，即可向任意第三方证明其持有的目标去中心化身份的部分或者全部信息的合法性。

上述内容即为本说明书针对所述基于去中心化身份的多重身份管理方法的全部实施例。基于以上内容可知，本说明书公开的上述方案既有利于身份在对接到区块链的多个系统或者应用场景中互通，也有利于用户通过其私钥真正掌握其身份的所有权，且能便于自然人用户通过使用第一去中心化身份来间接使用上述第二去中心化身份，用户不再需要管理多个去中心化身份，显著简化了多重去中心化身份的使用流程。

本说明书还提供了对应的基于去中心化身份的多重身份管理装置的实施例如下：

本说明书还提出一种基于去中心化身份的多重身份管理装置，请参见图4，图4为本说明书示出的一种基于去中心化身份的多重身份管理装置的结构示例图；该装置可以包括如下模块：

接收模块401，接收身份绑定请求，所述身份绑定请求中携带与区块链既有的第一去中心化身份对应的第一签名、以及与待申请的第二去中心化身份对应的申请信息；其中，所述申请信息中包括用于授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份的授权指令；

校验模块402，校验所述第一签名、以及所述申请信息的合法性；

授权模块403，若所述第一签名、以及所述申请信息的合法性校验通过，则基于所述申请信息，在所述区块链中申请所述第二去中心化身份，并授权所述第一去中心化身份的合法持有者使用所述第二去中心化身份。

在一种具体实施方式中，上述授权模块可以进一步：将上述第二去中心化身份的标识，添加到上述第一去中心化身份的子身份标识集合中；并将上述第二去中心化身份的私钥，导入上述第一去中心化身份名下用于以其他去中心化身份签名的可信执行环境中。应用该方案，可以实现上述多重去中心化身份的结构和功能的进一步完善，使得作为父身份的第一去中心化身份不仅可以通过其子身份标识集合快速访问到作为子身份的第二去中心化身份，而且能够通过其名下的可信执行环境，间接调用上述第二去中心化身份的私钥，以上述第二去中心化身份进行数字签名。

在一种具体实施方式中，上述第二去中心化身份的标识中，携带上述第二去中心化身份的身份类型标签；上述装置还可以包括查阅模块，用于：接收子身份查阅请求，其中，上述子身份查阅请求中携带待查阅的父身份对应的签名，以及待查阅的子身份的类型；上述待查阅的父身份对应的签名合法性校验通过的情况下，从上述待查阅的父身份的子身份标识集合中，查身份类型标签与上述待查阅的子身份的类型匹配的目标去中心化身份标识；生成并返回与上述目标去中心化身份对应的查阅结果。应用该方案，可以实现根据子身份的类型进行子身份查询。

在一种具体实施方式中，上述子身份查阅请求中携带有预设的全文出示标识；上述查阅模块可以进一步：取上述目标去中心化身份的属性全文；在上述待查阅的父身份名下用于以其他去中心化身份签名的可信执行环境中，生成基于上述目标去中心化身份对上述属性全文的目标签名；返回上述目标去中心化身份的属性全文、以及上述目标签名。应用该方案，客户端获得的查阅结果中就包括了目标去中心化身份的属性全文、以及上述目标签名，而且该目标签名是由上述目标去中心化身份签发的，因此只需将该查阅结果向第三方出示，就能够使得第三方相信，该持有父身份的客户端不仅能够出示目标去中心化身份的属性全文，还能够以目标去中心化身份进行签名。

在一种具体实施方式中，上述装置还可以包括：复核模块，向上述目标去中心化身份的信息提供机构发送信息复核请求，以使上述信息提供机构对上述目标去中心化身份的属性全文进行复核，并在上述复核通过的情况下返回针对上述目标去中心化身份的属性全文的合法性签名；向发送上述子身份查阅请求的客户端返回上述合法性签名。应用该方案，即实现了对于目标去中心化身份的属性全文的复核，并能使得发送上述子身份查阅请求的客户端能够向任意第三方证明上述目标去中心化身份的属性全文的合法性。

本说明书实施例还提供一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现前述的基于去中心化身份的多重身份管理方法。

图5示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU（Central Processing Unit，中央处理器）、微处理器、应用专用集成电路（Application Specific Integrated Circuit，ASIC）、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM（Read Only Memory，只读存储器）、RAM（Random AccessMemory，随机存取存储器）、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中（图中未示出），也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块（图中未示出），以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式（例如USB、网线等）实现通信，也可以通过无线方式（例如移动网络、WIFI、蓝牙等）实现通信。

总线1050包括一通路，在设备的各个组件（例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040）之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述的基于去中心化身份的多重身份管理方法。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存（PRAM）、静态随机存取存储器（SRAM）、动态随机存取存储器（DRAM）、其他类型的随机存取存储器（RAM）、只读存储器（ROM）、电可擦除可编程只读存储器（EEPROM）、快闪记忆体或其他内存技术、只读光盘只读存储器（CD-ROM）、数字多功能光盘（DVD）或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体（transitory media），如调制的数据信号和载波。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本说明书实施例的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本说明书实施例原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本说明书实施例的保护范围。