基于联盟链的多云平台统一身份认证方法及装置转让专利
申请号 : CN201810873658.1
文献号 : CN109088866A
文献日 : 2018-12-25
发明人 : 邵洪润 , 张建伟 , 朱新超 , 邓林青
申请人 : 北京百悟科技有限公司
摘要 :
本发明实施例公开一种基于联盟链的多云平台统一身份认证方法及装置,能提高用户身份信息存储的安全性。方法包括:S1、接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点;S2、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点;S3、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
权利要求 :
1.一种基于联盟链的多云平台统一身份认证方法,其特征在于,包括:
S1、接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;
S2、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;
S3、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
2.根据权利要求1所述的方法,其特征在于,所述S2,还包括:
若所述身份验证结果为第一身份验证未通过消息,发出表示服务商非法的告警信息。
3.根据权利要求1所述的方法,其特征在于,所述S3,还包括:
若所述身份验证结果中不存在第二身份验证通过消息,发出表示用户非法的告警信息。
4.根据权利要求1所述的方法,其特征在于,每个区块节点中还预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端注册过的云平台的标识;
其中,所述S3,还包括:
从所述区块节点中获取所述用户终端注册过的云平台的标识,向除自身外的云平台发送告知消息,以使所述除自身外的云平台根据所述告知消息向所述用户终端开放登陆接口。
5.根据权利要求1所述的方法,其特征在于,在所述S1之前,还包括:
S4、接收所述用户终端发送的注册请求信息,若根据所述注册请求信息判断获知所述用户终端不是第一次在云平台上注册,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果;
S5、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述注册请求信息中携带的加密后的注册信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的注册信息进行身份验证,并反馈身份验证结果;
S6、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,将自身的标识添加到以记录形式存储的所述用户终端的注册信息对应记录的相应字段中。
6.根据权利要求5所述的方法,其特征在于,所述S4,还包括:
若根据所述注册请求信息判断获知所述用户终端是第一次在云平台上注册,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果;
接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,向所述用户终端发送私钥,利用向所述用户终端发送的私钥对所述注册请求信息中携带的注册信息进行加密,并将加密后的注册信息和向所述用户终端发送的私钥对应的公钥存储到自身对应的区块节点中。
7.根据权利要求1所述的方法,其特征在于,还包括:
S7、接收用户终端发送的变更身份请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述变更身份请求信息中携带有加密后的新的身份信息;
S8、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的新的身份信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的新的身份信息进行身份验证,并反馈身份验证结果;
S9、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,利用所述新的身份信息对所述用户终端的注册信息进行更新。
8.一种基于联盟链的多云平台统一身份认证装置,其特征在于,包括:
第一发送单元,用于接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;
第二发送单元,用于接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;
接收单元,用于接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
9.一种电子设备,其特征在于,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
说明书 :
基于联盟链的多云平台统一身份认证方法及装置
技术领域
[0001] 本发明实施例涉及云技术领域,具体涉及一种基于联盟链的多云平台统一身份认证方法及装置。
背景技术
[0002] 在当前“云化”十分普及的大环境下,单一的私有云或者公有云已不能满足云用户尤其是企业用户的需求,“多云”(多云管理平台应该包含公有云、混合云、多个混合云、异构环境四个部分)已然成为云发展的新态势,2018年1月有研究报告指出,81%的企业采用了多云。其中,用户身份认证管理即如何确保多云环境下不同云用户身份信息的安全存储和管理是亟待解决问题之一。
[0003] 当前,将云用户托管于第三方是一个解决手段,但其中必然存在很大的安全隐患,将所有的云用户共同存储在一个第三方平台上,很有可能发生以下危险情况:第三方暗中成为贩卖身份信息来谋取利益的黑色服务商;第三方发生意外情况致使所有数据丢失;存储技术不佳,造成用户数据混乱;黑客等恶意攻击,获取所有用户信息。云服务商通过技术手段,获取其他云服务商用户的信息。一旦用户身份信息被泄露,对云用户的损失是无法衡量的。
发明内容
[0004] 针对现有技术存在的不足和缺陷,本发明实施例提供一种基于联盟链的多云平台统一身份认证方法及装置。
[0005] 一方面,本发明实施例提出一种基于联盟链的多云平台统一身份认证方法,包括:
[0006] S1、接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;
[0007] S2、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;
[0008] S3、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
[0009] 另一方面,本发明实施例提出一种基于联盟链的多云平台统一身份认证装置,包括:
[0010] 第一发送单元,用于接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;
[0011] 第二发送单元,用于接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;
[0012] 接收单元,用于接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
[0013] 第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
[0014] 其中,所述处理器,存储器通过所述总线完成相互间的通信;
[0015] 所述处理器执行所述计算机程序时实现上述方法。
[0016] 第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述方法。
[0017] 本发明实施例提供的基于联盟链的多云平台统一身份认证方法及装置,首先,区块链自身的安全技术可以对用户身份信息增加一层屏障;其次,每一个云平台提供至少一个区块节点,用户的注册信息存储在注册的云平台对应的区块节点中,即用户信息分散存储在各个区块节点中,因而能够在一定程度上有效避免因信息存储过于集中而导致信息泄露、丢失、存储混乱等危害的发生;另外,在用户登录云平台时,首先需要经创始块节点进行身份验证,在经过创始块节点的身份验证后,需要经区块节点进行身份验证,在经过区块节点的身份验证后,才允许用户登录,因而能够在一定程度上防止普通用户或者其他攻击者的非法获取信息等行为,而且各个云服务商都要提供节点,保证云服务商对于用户身份信息掌控的平等性,服务商之间彼此制约,相互监督,避免服务商的恶意企图,更协同提供服务。
附图说明
[0018] 图1为本发明基于联盟链的多云平台统一身份认证方法一实施例的流程示意图;
[0019] 图2为多云联盟链逻辑结构图;
[0020] 图3为用户注册及信息修改示意图;
[0021] 图4为用户注册/登录/变更身份信息流程图;
[0022] 图5为本发明基于联盟链的多云平台统一身份认证装置一实施例的结构示意图;
[0023] 图6为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
[0024] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
[0025] 参看图1,本实施例公开一种基于联盟链的多云平台统一身份认证方法,包括:
[0026] S1、接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;
[0027] S2、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;
[0028] S3、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
[0029] 本实施例中,联盟链由创始块节点和至少一个区块节点组成,创始块节点中预先存储有各个云平台的信息,包括云平台的标识、必要身份信息和公钥,各个云平台的信息以创始块体的结构存储,具体结构如图2所示。图2中,cloud-p和cloud-q分别表示云平台P和q,cloud_id表示云平台的标识,cloud-info表示云平台的必要身份信息,cloud_pub_key表示云平台的公钥。区块节点中预先存储有通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息、该云平台的信息和该用户终端的公钥,区块节点中的信息以区块体的结构存储,具体结构如图2所示。图2中,user1表示用户终端1,pub_key表示用户终端的公钥。
[0030] 整个身份认证的过程如下:
[0031] (1)、用户在登录多云平台中的一个云平台时,利用所述用户的私钥对账户信息进行加密,得到加密后的账户信息,生成携带有所述加密后的账户信息的登录请求信息,并将所述登录请求信息发送给所述云平台;
[0032] (2)、所述云平台接收所述用户发送的登录请求信息,利用所述云平台的私钥对所述云平台的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点;
[0033] (3)、所述创始块节点接收所述云平台发送的加密后的身份信息,利用预先存储的云平台公钥对所述加密后的身份信息进行身份验证,在身份验证通过后,向所述云平台发送第一身份验证通过消息;
[0034] (4)、所述云平台接收所述创始块节点发送的第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点;
[0035] (5)、所述区块节点接收所述云平台发送的加密后的账户信息,利用预先存储的用户公钥对所述加密后的账户信息进行身份验证,在身份验证通过后,向所述云平台发送第二身份验证通过消息;
[0036] (6)、所述云平台接收所述区块节点发送的第二身份验证通过消息,向所述用户开放登陆接口,允许所述用户登录所述云平台。
[0037] 本发明实施例提供的基于联盟链的多云平台统一身份认证方法,首先,区块链自身的安全技术可以对用户身份信息增加一层屏障;其次,每一个云平台提供至少一个区块节点,用户的注册信息存储在注册的云平台对应的区块节点中,即用户信息分散存储在各个区块节点中,因而能够在一定程度上有效避免因信息存储过于集中而导致信息泄露、丢失、存储混乱等危害的发生;另外,在用户登录云平台时,首先需要经创始块节点进行身份验证,在经过创始块节点的身份验证后,需要经区块节点进行身份验证,在经过区块节点的身份验证后,才允许用户登录,因而能够在一定程度上防止普通用户或者其他攻击者的非法获取信息等行为,而且各个云服务商都要提供节点,保证云服务商对于用户身份信息掌控的平等性,服务商之间彼此制约,相互监督,避免服务商的恶意企图,更协同提供服务。
[0038] 在前述方法实施例的基础上,所述S2,还可以包括:
[0039] 若所述身份验证结果为第一身份验证未通过消息,发出表示服务商非法的告警信息。
[0040] 在前述方法实施例的基础上,所述S3,还可以包括:
[0041] 若所述身份验证结果中不存在第二身份验证通过消息,发出表示用户非法的告警信息。
[0042] 在前述方法实施例的基础上,每个区块节点中还预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端注册过的云平台的标识;
[0043] 其中,所述S3,还可以包括:
[0044] 从所述区块节点中获取所述用户终端注册过的云平台的标识,向除自身外的云平台发送告知消息,以使所述除自身外的云平台根据所述告知消息向所述用户终端开放登陆接口。
[0045] 本实施例中,在用户通过二重身份验证后,使用户注册过的所有云平台向用户终端开放登陆接口,能在确保用户身份安全的基础上,进行用户对于多云平台的无缝登录,用户像在使用一个云平台一样使用不同的服务商的服务,如此提升用户体验,在一定程度上可以减轻用户对云服务商的绑定与妥协。同时,有利于各个服务商发挥自己的优势,提升服务质量。服务商和用户彼此获利,有利于云产业的稳健发展。而在用户退出所有的云服务商时,所有的接口关闭。
[0046] 在前述方法实施例的基础上,在所述S1之前,还可以包括:
[0047] S4、接收所述用户终端发送的注册请求信息,若根据所述注册请求信息判断获知所述用户终端不是第一次在云平台上注册,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果;
[0048] S5、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述注册请求信息中携带的加密后的注册信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的注册信息进行身份验证,并反馈身份验证结果;
[0049] S6、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,将自身的标识添加到以记录形式存储的所述用户终端的注册信息对应记录的相应字段中。
[0050] 本实施例中,可以理解的是,用户终端发送的注册请求信息是经过编码的,如果云平台对其进行解码仍然不能得到实际信息,则确定为注册请求信息在编码之前经私钥进行加密,即用户终端已拥有私钥,说明用户终端不是第一次在云平台上注册,否则,则说明用户终端是第一次在云平台上注册。
[0051] 在前述方法实施例的基础上,所述S4,还可以包括:
[0052] 若根据所述注册请求信息判断获知所述用户终端是第一次在云平台上注册,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果;
[0053] 接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,向所述用户终端发送私钥,利用向所述用户终端发送的私钥对所述注册请求信息中携带的注册信息进行加密,并将加密后的注册信息和向所述用户终端发送的私钥对应的公钥存储到自身对应的区块节点中。
[0054] 本实施例中,用户注册的流程图如图3和图4所示。用户X-Man第一次在多云的云平台Cloud-P上注册,Cloud-P使用密钥通过创始块验证服务商身份,在验证通过后,完成X-Man注册,返回密钥给X-Man,将X-Man信息和公钥更新到区块链上。
[0055] X-Man注册Cloud-Q,Cloud-Q使用私钥通过创始块认证,拿着X-Man经私钥加密后的注册信息去任意区块节点进行验证,验证通过,将Cloud-Q添加到X-Man的clouds字段中。
[0056] 在前述方法实施例的基础上,所述方法还可以包括:
[0057] S7、接收用户终端发送的变更身份请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述变更身份请求信息中携带有加密后的新的身份信息;
[0058] S8、接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的新的身份信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的新的身份信息进行身份验证,并反馈身份验证结果;
[0059] S9、接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,利用所述新的身份信息对所述用户终端的注册信息进行更新。
[0060] 本实施例中,参看图4,合法用户更新身份信息时,需要依次经创始块节点和区块节点的身份验证,在创始块节点和区块节点均通过身份验证时,允许用户变更注册信息,否则,说明是恶意操作,发出告警信息。
[0061] 参看图3,恶意用户Haha-Man企图以两种方式更改用户注册信息:第一种,通过任意云平台cloud-p修改,cloud-p经过验证,但是Haha-Man无法经过验证,为非法操作,发出告警。如图3中短线段组成的虚线所示。
[0062] 第二种是,由于Haha-Man持有的私钥不对,以各种手段企图修改某用户的放在区块链上的公钥,由于区块链的去中心化机制以及区块信息记录的复杂性,致使其恶意企图失败。如图3中短线段和点组成的虚线所示。
[0063] 另外,需要说明的是,用户要注销某一个云平台账号时,需要经区块体节点进行身份验证,在通过验证后,由云平台更新用户对应的clouds字段。当用户注销了所有的云平台的时候,才从整个多云中注销。
[0064] 参看图5,本实施例公开一种基于联盟链的多云平台统一身份认证装置,包括:
[0065] 第一发送单元1,用于接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;
[0066] 第二发送单元2,用于接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;
[0067] 接收单元3,用于接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
[0068] 具体地,所述第一发送单元1接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点;所述第二发送单元2接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点;所述接收单元3接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
[0069] 本发明实施例提供的基于联盟链的多云平台统一身份认证装置,首先,区块链自身的安全技术可以对用户身份信息增加一层屏障;其次,每一个云平台提供至少一个区块节点,用户的注册信息存储在注册的云平台对应的区块节点中,即用户信息分散存储在各个区块节点中,因而能够在一定程度上有效避免因信息存储过于集中而导致信息泄露、丢失、存储混乱等危害的发生;另外,在用户登录云平台时,首先需要经创始块节点进行身份验证,在经过创始块节点的身份验证后,需要经区块节点进行身份验证,在经过区块节点的身份验证后,才允许用户登录,因而能够在一定程度上防止普通用户或者其他攻击者的非法获取信息等行为,而且各个云服务商都要提供节点,保证云服务商对于用户身份信息掌控的平等性,服务商之间彼此制约,相互监督,避免服务商的恶意企图,更协同提供服务。
[0070] 本实施例的基于联盟链的多云平台统一身份认证装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0071] 图6示出了本发明实施例提供的一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器11、存储器12、总线13及存储在存储器12上并可在处理器11上运行的计算机程序;
[0072] 其中,所述处理器11,存储器12通过所述总线13完成相互间的通信;
[0073] 所述处理器11执行所述计算机程序时实现上述各方法实施例所提供的方法,例如包括:接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
[0074] 本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例所提供的方法,例如包括:接收用户终端发送的登录请求信息,利用预设的私钥对预设的身份信息进行加密,得到加密后的身份信息,并将所述加密后的身份信息发送给联盟链的创始块节点,以使所述创始块节点利用预先存储的云平台的公钥对所述加密后的身份信息进行身份验证,并反馈身份验证结果,其中,所述登录请求信息中携带有加密后的账户信息,所述账户信息通过所述用户终端的私钥进行加密,所述创始块节点中预先存储有至少一个云平台的公钥;接收所述创始块节点发送的身份验证结果,若所述身份验证结果为第一身份验证通过消息,将所述加密后的账户信息发送给所述联盟链的区块节点,以使所述区块节点利用预先存储的用户终端的公钥对所述加密后的账户信息进行身份验证,并反馈身份验证结果,其中,一个云平台对应至少一个区块节点,每个区块节点中预先存储有第一次注册为通过该区块节点对应的云平台注册的用户终端的经加密后的注册信息和该用户终端的公钥;接收所述区块节点发送的身份验证结果,若所述身份验证结果中存在第二身份验证通过消息,向所述用户终端开放登陆接口。
[0075] 本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0076] 本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0077] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0078] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0079] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
[0080] 本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
[0081] 最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。