信息处理方法、装置、设备、存储介质和计算机程序产品与流程

1.本技术涉及区块链技术领域，特别是涉及一种信息处理方法、装置、计算机设备、存储介质和计算机程序产品。


背景技术：

2.随着信息技术的发展，人们进行业务办理的便捷性逐渐提高。当目标对象(如用户)需要向不同的身份验证机构证明自己的身份从而获得使用某种服务的授权时，目标对象会向权威机构等身份提供者申请颁发凭证文件来获得权威的身份证明文件，在目标对象需要使用某项服务时只需向服务机构提供对应的凭证文件即可，而无需传输自身的信息。
3.但是，因为不同服务机构在提供服务时要求验证的信息不同，不同服务机构只需验证凭证中的部分信息，造成目标对象自身的信息非必要公开或泄露，所以通过该传统技术进行信息处理无法有效地保护目标对象的隐私。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种信息处理方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
5.第一方面，本技术提供了一种信息处理方法。所述方法包括：
6.获取目标对象的对象属性信息；对象属性信息中包括各预设属性的属性信息；
7.从区块链网络中获取预存的属性加密密钥和属性加密列表；属性加密列表中记录有各预设属性对应的属性权限条件；
8.根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证；对象凭证用于上传至区块链网络中与目标对象关联的身份验证机构；
9.根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥，并将属性解密密钥发送至身份验证机构对应的终端，使终端利用属性解密密钥解密对象凭证，得到目标属性信息；目标属性信息为各预设属性的属性信息中，对应的属性权限条件满足属性权限条件集合的预设属性的属性信息。
10.在其中一个实施例中，根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证，包括：
11.根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的密文；
12.利用身份提供机构的身份信息对应的第一私钥信息对密文进行签名，将包含第一私钥签名的密文作为对象凭证；第一私钥签名用于终端从区块链网络中获取身份提供机构的身份信息对应的第一公钥信息，利用第一公钥信息对第一私钥签名进行验证，在验证通过的情况下执行利用属性解密密钥解密对象凭证的步骤。
13.在其中一个实施例中，在得到与对象属性信息对应的对象凭证之后，方法还包括：
14.将对象凭证对应的第一哈希值上传至区块链网络，使终端从区块链网络中获取第一哈希值，利用第一哈希值对对象凭证对应的第二哈希值进行验证，在验证通过的情况下执行利用属性解密密钥解密对象凭证的步骤。
15.在其中一个实施例中，获取目标对象的对象属性信息之后，方法还包括：
16.根据对象属性信息，对目标对象进行数字身份注册，得到目标对象的身份信息对应的第二私钥信息和第二公钥信息；
17.将第二私钥信息发送至目标对象对应的终端，并将第二公钥信息上传至区块链网络；第二私钥信息用于目标对象利用第二私钥信息对对象凭证进行签名，得到对象凭证对应的第二私钥签名，并将第二私钥签名发送至身份验证机构对应的终端，使身份验证机构对应的终端从区块链网络中获取第二公钥信息，利用第二公钥信息对第二私钥签名进行验证，在验证通过的情况下执行利用属性解密密钥解密对象凭证的步骤。
18.在其中一个实施例中，在根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥之后，方法还包括：
19.发送身份验证机构对应的身份信息至区块链网络，使区块链网络将身份验证机构对应的身份信息记录在权限机构集合中；权限机构集合用于区块链网络允许权限机构集合中的各身份验证机构从区块链网络中获取第一公钥信息，或第一哈希值，或第二公钥信息。
20.在其中一个实施例中，获取目标对象的对象属性信息，包括：
21.获取目标对象的对象信息；
22.对对象信息进行属性信息分类处理，得到对象属性信息。
23.第二方面，本技术还提供了一种信息处理装置。所述装置包括：
24.对象属性信息获取模块，用于获取目标对象的对象属性信息；所述对象属性信息中包括各预设属性的属性信息；
25.密钥和列表获取模块，用于从区块链网络中获取预存的属性加密密钥和属性加密列表；所述属性加密列表中记录有所述各预设属性对应的属性权限条件；
26.对象凭证得到模块，用于根据所述属性加密密钥和所述属性加密列表，对所述对象属性信息进行加密处理，得到与所述对象属性信息对应的对象凭证；所述对象凭证用于上传至所述区块链网络中与所述目标对象关联的身份验证机构；
27.属性解密密钥发送模块，用于根据所述身份验证机构对应的属性权限条件集合和所述属性加密密钥，生成与所述对象凭证对应的属性解密密钥，并将所述属性解密密钥发送至所述身份验证机构对应的终端，使所述终端利用所述属性解密密钥解密所述对象凭证，得到目标属性信息；所述目标属性信息为所述各预设属性的属性信息中，对应的属性权限条件满足所述属性权限条件集合的预设属性的属性信息。
28.第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
29.获取目标对象的对象属性信息；对象属性信息中包括各预设属性的属性信息；从区块链网络中获取预存的属性加密密钥和属性加密列表；属性加密列表中记录有各预设属性对应的属性权限条件；根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证；对象凭证用于上传至区块链网络中与目标对象关联的身份验证机构；根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成
与对象凭证对应的属性解密密钥，并将属性解密密钥发送至身份验证机构对应的终端，使终端利用属性解密密钥解密对象凭证，得到目标属性信息；目标属性信息为各预设属性的属性信息中，对应的属性权限条件满足属性权限条件集合的预设属性的属性信息。
30.第四方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
31.获取目标对象的对象属性信息；对象属性信息中包括各预设属性的属性信息；从区块链网络中获取预存的属性加密密钥和属性加密列表；属性加密列表中记录有各预设属性对应的属性权限条件；根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证；对象凭证用于上传至区块链网络中与目标对象关联的身份验证机构；根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥，并将属性解密密钥发送至身份验证机构对应的终端，使终端利用属性解密密钥解密对象凭证，得到目标属性信息；目标属性信息为各预设属性的属性信息中，对应的属性权限条件满足属性权限条件集合的预设属性的属性信息。
32.第五方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
33.获取目标对象的对象属性信息；对象属性信息中包括各预设属性的属性信息；从区块链网络中获取预存的属性加密密钥和属性加密列表；属性加密列表中记录有各预设属性对应的属性权限条件；根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证；对象凭证用于上传至区块链网络中与目标对象关联的身份验证机构；根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥，并将属性解密密钥发送至身份验证机构对应的终端，使终端利用属性解密密钥解密对象凭证，得到目标属性信息；目标属性信息为各预设属性的属性信息中，对应的属性权限条件满足属性权限条件集合的预设属性的属性信息。
34.上述信息处理方法、装置、计算机设备、存储介质和计算机程序产品，获取目标对象的对象属性信息，对象属性信息中包括各预设属性的属性信息，从区块链网络中获取预存的属性加密密钥和属性加密列表，属性加密列表中记录有各预设属性对应的属性权限条件，根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证，对象凭证用于上传至区块链网络中与目标对象关联的身份验证机构，根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥，并将属性解密密钥发送至身份验证机构对应的终端，使终端利用属性解密密钥解密对象凭证，得到目标属性信息，目标属性信息为各预设属性的属性信息中，对应的属性权限条件满足属性权限条件集合的预设属性的属性信息。该方案的身份提供机构的终端获取目标对象的各预设属性的属性信息，从区块链网络中获取预存的属性加密密钥和属性加密列表，根据属性加密密钥和属性加密列表对属性信息进行属性加密，得到对象凭证，根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成属性解密密钥，将属性解密密钥发送至身份验证机构对应的终端，在目标对象提供对象凭证至身份验证机构对应的终端时，身份验证机构对应的终端利用属性解密密钥解密对象凭证，得到凭证中与属性权限条件集合对应的部分属性信息，从而防止目标对象自身的信息非必要公开或泄露，有效地保护目标对象的隐私，提高信息处理的准确性和便捷性。
附图说明
35.图1为一个实施例中信息处理方法的流程示意图；
36.图2为一个实施例中信息处理方法的系统结构图；
37.图3为一个实施例中区块链节点的内部结构图；
38.图4为一个实施例中信息处理装置的结构框图；
39.图5为一个实施例中计算机设备的内部结构图。
具体实施方式
40.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
41.在一个实施例中，如图1所示，提供了一种信息处理方法，本实施例以该方法应用于终端(如身份提供机构对应的终端)进行举例说明，包括以下步骤：
42.步骤s101，获取目标对象的对象属性信息。
43.本步骤中，目标对象可以是用户；对象属性信息中包括各预设属性的属性信息，其中，各预设属性可以是各预先设置的属性类型，例如名称、证件类型、证件编号、所在区域等。
44.具体的，获取目标对象提供的目标对象自身的对象属性信息，并进行对象属性信息的核实，确保对象属性信息无误。
45.步骤s102，从区块链网络中获取预存的属性加密密钥和属性加密列表。
46.本步骤中，属性加密列表中记录有各预设属性对应的属性权限条件；如图2所示，区块链网络可以是联盟链(联盟链网络)，例如数字身份联盟链1，其中数字身份联盟链1为根据外部的联盟机构业务系统4的跨机构身份互认需求组建而成，链上包括多个区块链节点2，均属于数字身份联盟链的成员节点，并且归属不同的联盟机构，成员节点上均部署有与数字身份服务节点3进行数字身份id(名称)管理及凭证管理服务进行交互的数字身份智能合约，数字身份服务节点3也为分布式部署架构，在每个联盟机构均有部署，联盟机构业务系统4通过数字身份服务节点3调用对应的数字身份管理及凭证管理服务(也可理解为身份提供机构对应的终端中包括身份提供机构对应的联盟机构业务系统4和数字身份服务节点3，同样的，身份验证机构对应的终端中也可包括身份验证机构对应的联盟机构业务系统4和数字身份服务节点3)，数字身份联盟链1中区块链节点总数可为3f 1个，其中f表示可支持的容错节点个数，最小值为1，请求和业务请求均采用pbft(拜占庭容错)算法进行共识，一笔共识请求必须在业务链中的每个验证节点收到至少2f 1个来自其他验证节点(其他区块链节点2)的一致的确认消息后，该笔交易才能完成当前阶段的共识，拜占庭容错算法三个阶段的共识都完成后才共识成功，系统数据访问控制策略更新请求和业务请求才被执行，执行结果才能作为合法数据生成新的区块并进行持久化；区块链节点2用于接收数字身份服务节点3发起的数字身份id注册、数字身份凭证签发及验证、及凭证属性加密控制策略更新请求，所有验证节点内部结构均一致，对交易进行权限验证并完成重复及参数合法性校验，校验通过后将交易广播至数字身份联盟链1中的其他所有区块链节点2，接收其他区块链节点2的待共识的区块广播通知，对待共识交易进行参数合法性校验，校验通过后则进
入三段式共识过程，第一阶段为pre-prepare(预准备)共识，第二阶段为prepare(准备)共识，第三阶段为commit(保证)共识，三个阶段为顺序执行，当前一阶段累计收到2f 1个其他交易共识节点的一致确认消息后当前阶段的共识完成并进入下一阶段，三个阶段的共识全部完成后代表区块共识消息合法，按合约中的逻辑处理后的数据生成新的区块数据，并触发合约执行后的相关系统流程；数字身份服务节点3是数字身份联盟链1上面向各联盟机构的，与区块链节点2配套提供跨机构间身份互认的服务节点，通常支持不同的数字身份联盟链1联盟运营成员方各自访问，数字身份服务节点3提供数字身份相关的数字身份id注册、数字身份凭证签发及验证、凭证属性加密控制策略更新等基础服务，并由联盟机构业务系统4触发服务调用，每个数字身份服务节点3的内部结构均一致，但需要根据联盟机构不同的联盟角色进行服务权限控制，如身份提供机构才有凭证签发的权限；联盟机构业务系统4是需要进行跨机构身份互认并根据身份互认结果对外提供服务的业务系统，在数字身份联盟链1上由不同的联盟机构组成，包括身份签发者(身份提供机构)、身份验证者(身份验证机构)两种不同的角色，身份签发者一般是能够对用户实际身份进行权威认证的权威机构，为目标对象签发对应的身份凭证信息，并作为联盟管理员身份为联盟内的身份验证者签发对应的属性加密密钥，控制不同机构对目标对象属性信息的不同知情权限，身份验证者是为目标对象提供业务服务的服务机构，通过验证权威机构为目标对象签发的身份凭证信息来鉴别是否能为该目标对象提供对应的服务，目标对象的身份凭证根据最小范围披露原则对目标对象属性信息进行披露，并对披露信息进行属性加密来保护目标对象的身份属性隐私，身份验证机构通过申请不同的属性解密密钥来解密凭证中的加密属性来获取对应的目标对象身份信息，凭证摘要及凭证使用流程全程在数字身份联盟链1的区块链节点2上共识及背书，保障凭证的真实性及凭证流转的全流程可溯。
47.其中，如图3所示为区块链节点2的内部结构图，各区块链节点2包含交易路由及数据处理装置11和智能合约共识及执行装置12，交易路由及数据处理装置11用于接收数字身份服务节点3发起的数字身份did(decentralized identity，去中心化身份，简称did)及凭证管理服务的背书请求，根据交易证书对交易进行验密，检测相关智能合约是否已正常部署且运行在当前网络节点上，同时启动交易超时计算，如果在超时时间等待窗口内仍未接收到该交易的处理结果则返回交易超时信息至数字身份服务节点3，同时对智能合约进行路由判断，并主控交易进入对应的合约共识路由，智能合约调用请求格式为invoke(stub，function，args)，其中stub为智能合约对应的安全沙箱编号，funtion为交易类型，args为合约函数对应的输入参数，每笔智能合约调用请求均有一个全业务链唯一的交易id；智能合约共识及执行装置12是根据数字身份服务节点3发起的属性加密权限调整需求进行业务合约的属性加密规则解析、共识及持久化装置，包括凭证中目标对象属性的密文加密策略、目标对象属性解密密钥签发及撤销、数字身份等信息维护，具体包括交易校验模块121、交易共识模块122、属性加密控制模块123、持久化模块124；交易校验模块121是对业务请求参数进行校验并进行交易预处理的模块，负责校验交易请求参数及来源等信息，校验交易发起方是否具备对应的交易权限，如果在权限许可范围内则根据交易请求参数中的方法类型判断交易是查询类还是更新类，如果是查询类交易则通过持久化模块124从数据持久化模块124中获取对应的数据，如果是更新类交易则将业务请求区块的哈希值、区块共识消息保存到本地磁盘中，将区块序号加1，将区块共识消息广播到数字身份联盟链1中所有验证节
点2中。
48.具体的，如图2所示，先由可提供身份证明的权威身份提供机构和为目标对象提供服务的身份验证机构组成跨机构身份互认的数字身份联盟链1，身份提供机构的终端向区块链网络中的区块链节点发起机构数字身份注册及角色权限初始化，区块链网络中的区块链节点为身份验证机构注册凭证验证权限，区块链节点同时完成属性加密控制权限初始化请求，即区块链网络初始化生成属性加密密钥(属性加密密钥可以是属性加密主密钥和公共密钥，属性加密主密钥和公共密钥可分别称为mainkey和publickey)，可由数字身份联盟链1的运营人员完成审核后由验证节点2的智能合约共识及执行装置12根据属性加密请求数据生成对应的属性加密列表map《event，attrlist》，其中，属性加密请求数据可以是各预设属性，event代表属性加密控制事件(可理解为各预设属性)，可根据凭证中披露属性集的实际权限控制需求进行粒度拆分(可理解为，例如各预设属性为属性1、属性2和属性3，属性1、属性2和属性3可分别为名称、证件编号和所在区域，每一event可对应一个属性，例如属性加密列表中有3个event，各event可分别为属性1、属性2和属性3)，attrlist代表属性控制列表门限表达式(可理解为各预设属性对应的属性权限条件)，例如(ttr1 and attr2)and(attr3 or attr4)就表示需具有attr1、attr2两个属性并同时具有attr3或attr4其中之一属性才具备访问权限，如图3所示，该请求需要经过交易共识模块122共识后并由持久化模块123持久化为世界状态数据。
49.步骤s103，根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证。
50.本步骤中，对象凭证用于上传至区块链网络中与目标对象关联的身份验证机构；加密处理可以是属性加密处理；对象凭证可以是电子凭证或实体凭证。
51.具体的，根据目标对象的对象属性信息中各属性信息所对应的预设属性(可称为eventid)，从属性加密列表map《event，attrlist》中访问策略关联的访问控制结构，并利用公共密钥publickey对对象属性信息进行属性加密处理，输出基于属性加密的密文(可称为encryptedclaim)，该密文可作为对象属性信息对应的对象凭证，可用身份提供机构did对应的私钥信息对凭证进行签名，并将凭证的hash(哈希值)进行上链(上传至区块链网络中)，经过交易共识模块122共识后并由持久化模块124持久化为世界状态数据，在凭证中可包含目标对象身份did、身份提供机构did、属性加密后的目标对象的对象属性信息、身份提供机构对凭证的签名，示例性的，在目标对象需要在身份验证机构进行业务办理(如需要获得使用某种服务的授权)时，目标对象可向身份验证机构(如身份验证机构对应的终端)提供对象凭证。
52.步骤s104，根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥，并将属性解密密钥发送至身份验证机构对应的终端，使终端利用属性解密密钥解密对象凭证，得到目标属性信息。
53.本步骤中，目标属性信息为各预设属性的属性信息中，对应的属性权限条件满足属性权限条件集合的预设属性的属性信息，其中，属性权限条件集合表示身份验证机构(身份验证机构的终端)可查看或获取对象凭证中的哪些对象属性信息的权限，例如，属性加密列表中有三个属性(event)，或者各预设属性总共有三个属性(event)，分别是属性1(event1)、属性2(event2)、属性3(event3)，分别表示目标对象的对象属性信息中的名称、
证件和所在区域对应的信息，对应的权限分别是权限1(attr1)、权限2(attr2)、权限3(attr3)，而身份验证机构的属性权限条件集合中包含权限1(attr1)、权限3(attr3)对应的权限，则身份验证机构可查看或获取属性1(event1)、属性3(event3)对应的信息，即可查看或获取名称和所在区域对应的信息。
54.具体的，根据身份验证机构提供的身份验证机构对应的属性权限条件集合(可称为userattrlist，例如该属性权限条件集合可由身份验证机构对应的终端发送至身份提供机构对应的终端或服务器，或者身份验证机构对应的终端将属性权限条件集合上传至区块链网络，由身份提供机构对应的终端从区块链网络中获取)，和属性加密密钥(如属性加密主密钥mainkey、公共密钥publickey，可由身份提供机构对应的终端从区块链网络中的区块链节点中获取)，为身份验证机构生成与属性权限条件集合关联的属性解密密钥(可称为privatekey)，并将属性解密密钥privatekey发送至身份验证机构对应的终端，身份验证机构对应的终端在获取了对象凭证和属性解密密钥后，可利用属性解密密钥解密对象凭证中的对象属性信息，就可获取到目标对象对身份验证机构披露的对象属性信息，身份验证机构对对象属性信息验证通过后可为目标对象提供服务。
55.上述信息处理方法中，获取目标对象的对象属性信息，对象属性信息中包括各预设属性的属性信息，从区块链网络中获取预存的属性加密密钥和属性加密列表，属性加密列表中记录有各预设属性对应的属性权限条件，根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证，对象凭证用于上传至区块链网络中与目标对象关联的身份验证机构，根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥，并将属性解密密钥发送至身份验证机构对应的终端，使终端利用属性解密密钥解密对象凭证，得到目标属性信息，目标属性信息为各预设属性的属性信息中，对应的属性权限条件满足属性权限条件集合的预设属性的属性信息。该方案的身份提供机构的终端获取目标对象的各预设属性的属性信息，从区块链网络中获取预存的属性加密密钥和属性加密列表，根据属性加密密钥和属性加密列表对属性信息进行属性加密，得到对象凭证，根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成属性解密密钥，将属性解密密钥发送至身份验证机构对应的终端，在目标对象提供对象凭证至身份验证机构对应的终端时，身份验证机构对应的终端利用属性解密密钥解密对象凭证，得到凭证中与属性权限条件集合对应的部分属性信息，从而防止目标对象自身的信息非必要公开或泄露，有效地保护目标对象的隐私，提高信息处理的准确性和便捷性。
56.在一个实施例中，上述步骤s101的获取目标对象的对象属性信息具体包括：获取目标对象的对象信息；对对象信息进行属性信息分类处理，得到对象属性信息。
57.具体的，目标对象可向身份提供机构对应的终端(如身份提供机构的联盟机构业务系统4)申请签发对象凭证，身份提供机构对应的终端获取目标对象提供的目标对象的对象信息，根据区块链网络需要设定的属性密级标签，如top-secret(绝密)、secret(秘密)、common(常见的)，对对象信息进行属性信息分类处理，得到对象属性信息。
58.本实施例的技术方案，通过对对象信息进行属性信息分类处理，得到对象属性信息，从而实现对目标对象提供的对象信息进行整合分类处理，得到满足后续形成对象凭证的格式要求，从而有利于有效地保护目标对象的隐私，提高信息处理的准确性。
59.在一个实施例中，上述方法还可以通过如下步骤将第二私钥信息发送至目标对象对应的终端，并将第二公钥信息上传至区块链网络，具体包括：根据对象属性信息，对目标对象进行数字身份注册，得到目标对象的身份信息对应的第二私钥信息和第二公钥信息；将第二私钥信息发送至目标对象对应的终端，并将第二公钥信息上传至区块链网络。
60.本实施例中，第二私钥信息用于目标对象利用第二私钥信息对对象凭证进行签名，得到对象凭证对应的第二私钥签名，并将第二私钥签名发送至身份验证机构对应的终端，使身份验证机构对应的终端从区块链网络中获取第二公钥信息，利用第二公钥信息对第二私钥签名进行验证，在验证通过的情况下执行利用属性解密密钥解密对象凭证的步骤。
61.具体的，身份提供机构对应的终端在获取目标对象的对象属性信息之后，对对象属性信息进行核实，若核实正确，则通过身份提供机构对应的数字身份服务节点3为目标对象完成数字身份注册，生成目标对象的目标对象身份did、目标对象身份did对应的第二私钥信息和第二公钥信息，将第二私钥信息发送至目标对象对应的终端(即由目标对象自行保管目标对象身份did对应的第二私钥信息)，并将第二公钥信息上传至区块链网络(上链)，该请求需要经过交易共识模块122共识后并由持久化模块124持久化为世界状态数据，示例性的，在目标对象需要在身份验证机构进行业务办理(如需要获得使用某种服务的授权)时，目标对象(目标对象对应的终端)利用第二私钥信息对对象凭证进行签名，得到对象凭证对应的第二私钥签名，并将第二私钥签名和对象凭证(也可以是包含第二私钥签名的对象凭证)发送至身份验证机构对应的终端，身份验证机构对应的终端在接收到该对象凭证时，可在利用属性解密密钥解密对象凭证之前，从区块链网络中获取目标对象身份did对应的第二公钥信息，利用第二公钥信息对第二私钥签名进行验证，验证该对象凭证是否由目标对象发出的，若验证失败，则表示该对象凭证为非目标对象提供，则拒绝提供服务，若验证成功，则表示该对象凭证为目标对象提供，则可执行利用属性解密密钥解密对象凭证的步骤。
62.本实施例的技术方案，通过将第二私钥信息发送至目标对象对应的终端，并将第二公钥信息上传至区块链网络，从而实现身份验证机构可验证对象凭证是否由目标对象提供，从而有利于提高信息处理的安全性。
63.在一个实施例中，上述步骤s102的根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的对象凭证具体包括：根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的密文；利用身份提供机构的身份信息对应的第一私钥信息对密文进行签名，将包含第一私钥签名的密文作为对象凭证。
64.本实施例中，第一私钥签名用于终端从区块链网络中获取身份提供机构的身份信息对应的第一公钥信息，利用第一公钥信息对第一私钥签名进行验证，在验证通过的情况下执行利用属性解密密钥解密对象凭证的步骤。
65.具体的，根据属性加密密钥和属性加密列表，对对象属性信息进行加密处理，得到与对象属性信息对应的密文(也可以是未包含第一私钥签名的对象凭证)，利用身份提供机构的身份信息did对应的第一私钥信息对密文进行签名，将包含第一私钥签名的密文作为对象凭证(包含第一私钥签名的对象凭证)，示例性的，在目标对象需要在身份验证机构进
行业务办理(如需要获得使用某种服务的授权)时，目标对象可向身份验证机构(如身份验证机构对应的终端)提供对象凭证，身份验证机构对应的终端在接收到该对象凭证时，可在利用属性解密密钥解密对象凭证之前，从区块链网络中获取预先存储的身份提供机构的身份信息did对应的第一公钥信息，利用第一公钥信息对第一私钥签名进行验证，根据验证结果可确认对象凭证中的对象属性信息是否由权威机构(权威机构可理解为预先协定的身份提供机构)认证(例如对象凭证是否由权威机构生成)，若对象凭证不是由权威机构认证，则拒绝提供服务，若对象凭证是由权威机构认证，则可执行利用属性解密密钥解密对象凭证的步骤。
66.本实施例的技术方案，通过在对象凭证中加入第一私钥签名，从而实现身份验证机构可验证对象凭证是否由权威机构认证(或生成)，从而有利于提高信息处理的安全性和准确性。
67.在一个实施例中，上述方法还可以通过如下步骤将对象凭证对应的第一哈希值上传至区块链网络，具体包括：将对象凭证对应的第一哈希值上传至区块链网络，使终端从区块链网络中获取第一哈希值，利用第一哈希值对对象凭证对应的第二哈希值进行验证，在验证通过的情况下执行利用属性解密密钥解密对象凭证的步骤。
68.具体的，身份提供机构对应的终端在得到与对象属性信息对应的对象凭证之后，生成第一对象凭证对应的第一哈希值(即正确的对象凭证对应的哈希值)，将第一对象凭证对应的第一哈希值上传至区块链网络，示例性的，在目标对象需要在身份验证机构进行业务办理(如需要获得使用某种服务的授权)时，目标对象(目标对象对应的终端)可向身份验证机构(如身份验证机构对应的终端)提供待验证的第二对象凭证，身份验证机构对应的终端在接收到第二对象凭证时，可在利用属性解密密钥解密对象凭证之前，生成第二对象凭证对应的第二哈希值，并从区块链网络中获取第一哈希值，利用第一哈希值对第二哈希值进行验证，若验证结果为第一哈希值与第二哈希值不匹配(不相同)，则表示目标对象提供的待验证的第二对象凭证被篡改了(即与身份提供机构生成的第一对象凭证不相同)，则表示验证不通过并拒绝提供服务，若验证结果为第一哈希值与第二哈希值匹配(相同)，则表示目标对象提供的待验证的第二对象凭证没有被违规篡改(即与身份提供机构生成的第一对象凭证相同)，则表示验证通过并执行利用属性解密密钥解密对象凭证的步骤。
69.本实施例的技术方案，通过将对象凭证对应的第一哈希值上传至区块链网络，从而实现身份验证机构可验证对象凭证是否被违规篡改，从而有利于提高信息处理的安全性和准确性。
70.在一个实施例中，上述方法还可以通过如下步骤发送身份验证机构对应的身份信息至区块链网络，具体包括：发送身份验证机构对应的身份信息至区块链网络，使区块链网络将身份验证机构对应的身份信息记录在权限机构集合中。
71.本实施例中，权限机构集合用于区块链网络允许权限机构集合中的各身份验证机构从区块链网络中获取第一公钥信息，或第一哈希值，或第二公钥信息，其中，权限机构集合可以是映射表map《userid，userprime》，其中userid可表示身份验证机构的did，userprime可表示一个素数，其中所有的素数都记录在素数域p中。
72.具体的，身份提供机构对应的终端在根据身份验证机构对应的属性权限条件集合和属性加密密钥，生成与对象凭证对应的属性解密密钥之后，可在区块链网络中预存的素
数域p(例如，素数域p中包含不同的素数，每个素数只有一个)中为该身份验证机构申请一个素数userprime，然后可从素数域p中删除已分配的素数userprime，保证不同身份验证机构对应的素数userprime不一样，然后区块链网络将该素数userprime存入映射表map《userid，userprime》中(映射表map中记录了授权的不同身份验证机构及授权的不同身份验证机构对应的素数)，示例性的，在目标对象需要在身份验证机构进行业务办理(如需要获得使用某种服务的授权)时，目标对象(目标对象对应的终端)可向身份验证机构(如身份验证机构对应的终端)提供对象凭证，身份验证机构对应的终端在接收到对象凭证时，可在利用属性解密密钥解密对象凭证之前，可向区块链网络(区块链网络中的区块链节点)申请获取第一公钥信息、第一哈希值和/或第二公钥信息(如发送申请获取相应信息的指令至区块链网络)，区块链网络(区块链网络中的区块链节点)校验身份验证机构的did是否在映射表map《userid，userprime》中登记，校验通过后则允许反馈第一公钥信息、第一哈希值和/或第二公钥信息至身份验证机构(如身份验证机构对应的终端)，可选的，身份提供机构对应的终端可发送属性加密撤销请求至区块链网络(区块链网络中的区块链节点)，该请求需要经过指令共识模块122共识后并由持久化模块123持久化为世界状态数据，使区块链网络从映射表map《userid，userprime》中删除对应的身份验证机构的did，并在素数域p中恢复该身份验证机构的did原先对应的素数userprime。
73.本实施例的技术方案，通过发送身份验证机构对应的身份信息至区块链网络，从而实现区块链网络可验证身份验证机构是否具有获取相关信息的权限，从而防止目标对象自身的信息非必要公开或泄露，有效地保护目标对象的隐私，提高信息处理的安全性。
74.应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
75.基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的信息处理方法的信息处理装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个信息处理装置实施例中的具体限定可以参见上文中对于信息处理方法的限定，在此不再赘述。
76.在一个实施例中，如图4所示，提供了一种信息处理装置，该装置400可以包括：
77.对象属性信息获取模块401，用于获取目标对象的对象属性信息；所述对象属性信息中包括各预设属性的属性信息；
78.密钥和列表获取模块402，用于从区块链网络中获取预存的属性加密密钥和属性加密列表；所述属性加密列表中记录有所述各预设属性对应的属性权限条件；
79.对象凭证得到模块403，用于根据所述属性加密密钥和所述属性加密列表，对所述对象属性信息进行加密处理，得到与所述对象属性信息对应的对象凭证；所述对象凭证用于上传至所述区块链网络中与所述目标对象关联的身份验证机构；
80.属性解密密钥发送模块404，用于根据所述身份验证机构对应的属性权限条件集
合和所述属性加密密钥，生成与所述对象凭证对应的属性解密密钥，并将所述属性解密密钥发送至所述身份验证机构对应的终端，使所述终端利用所述属性解密密钥解密所述对象凭证，得到目标属性信息；所述目标属性信息为所述各预设属性的属性信息中，对应的属性权限条件满足所述属性权限条件集合的预设属性的属性信息。
81.在一个实施例中，对象凭证得到模块403，还用于根据所述属性加密密钥和所述属性加密列表，对所述对象属性信息进行加密处理，得到与所述对象属性信息对应的密文；利用身份提供机构的身份信息对应的第一私钥信息对所述密文进行签名，将包含第一私钥签名的密文作为所述对象凭证；所述第一私钥签名用于所述终端从所述区块链网络中获取所述身份提供机构的身份信息对应的第一公钥信息，利用所述第一公钥信息对所述第一私钥签名进行验证，在验证通过的情况下执行所述利用所述属性解密密钥解密所述对象凭证的步骤。
82.在一个实施例中，该装置400还包括：第一哈希值上传模块，用于将所述对象凭证对应的第一哈希值上传至所述区块链网络，使所述终端从所述区块链网络中获取所述第一哈希值，利用所述第一哈希值对所述对象凭证对应的第二哈希值进行验证，在验证通过的情况下执行所述利用所述属性解密密钥解密所述对象凭证的步骤。
83.在一个实施例中，该装置400还包括：第二公钥信息上传模块，用于根据所述对象属性信息，对所述目标对象进行数字身份注册，得到所述目标对象的身份信息对应的第二私钥信息和第二公钥信息；将所述第二私钥信息发送至所述目标对象对应的终端，并将所述第二公钥信息上传至所述区块链网络；所述第二私钥信息用于所述目标对象利用所述第二私钥信息对所述对象凭证进行签名，得到所述对象凭证对应的第二私钥签名，并将所述第二私钥签名发送至所述身份验证机构对应的终端，使所述身份验证机构对应的终端从所述区块链网络中获取所述第二公钥信息，利用所述第二公钥信息对所述第二私钥签名进行验证，在验证通过的情况下执行所述利用所述属性解密密钥解密所述对象凭证的步骤。
84.在一个实施例中，该装置400还包括：身份信息发送模块，用于发送所述身份验证机构对应的身份信息至所述区块链网络，使所述区块链网络将所述身份验证机构对应的身份信息记录在权限机构集合中；所述权限机构集合用于所述区块链网络允许所述权限机构集合中的各身份验证机构从所述区块链网络中获取所述第一公钥信息，或所述第一哈希值，或所述第二公钥信息。
85.在一个实施例中，对象属性信息获取模块401，还用于获取所述目标对象的对象信息；对所述对象信息进行属性信息分类处理，得到所述对象属性信息。
86.上述信息处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
87.需要说明的是，本技术提供的信息处理的方法和装置可用于金融领域涉及信息处理的应用领域中，也可用于除金融领域之外的任意领域涉及信息处理的处理中，本技术提供的信息处理的方法和装置的应用领域不做限定。
88.在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存
储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机设备还包括输入输出接口，输入输出接口是处理器与外部设备之间交换信息的连接电路，它们通过总线与处理器相连，简称i/o接口。该计算机程序被处理器执行时以实现一种信息处理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
89.本领域技术人员可以理解，图5中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
90.在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
91.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
92.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
93.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
94.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
95.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
96.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。