统一身份认证方法、装置及电子设备

技术领域

本申请涉及区块链技术领域，具体涉及一种统一身份认证方法、装置及电子设备。

背景技术

随着信息技术的发展，在线业务系统逐渐增多，为避免多系统、多账户之间存在的资源重复浪费问题，提出了4A(认证Authentication、授权Authorization、账号Account、审计Audit)系统即统一安全管理平台的解决方案，可以实现多系统之间统一的用户身份认证功能。现有的4A系统包括集中化4A和省4A等不同层级的系统，用户在访问权限范围内的集中化应用(即由集中化4A统一部署、维护的应用)时，需要集中化4A管理员统一创建集中化4A帐号、授权集中化应用权限，用户在省4A侧访问权限内的集中化应用时，同样需要经过集中化4A进行身份认证和权限校验。由集中化4A集中进行身份认证存在以下问题：

1、由于所有的省4A用户在访问集中化应用时，都需要经过集中化4A进行身份认证，并发量大，认证时容易出现问题。而一旦集中化4A的身份认证出现问题，所有的下游4A系统用户均无法访问集中化应用，容易导致大量业务中断，对业务产生巨大影响。

2、当省4A侧想要进行更细粒度的认证，从而产生特殊的认证需求时，需要对集中化4A和省4A单独进行一对一的合约、接口和策略开发，大量的定制化需求给集中化4A带来巨大的开发压力，需要对集中化4A进行频繁改动，开发量大，因此，集中化4A难以支持各个省4A的定制化认证需求。

3、当有新的集中化应用接入时，集中化4A和省4A都需要开发相应的认证接口进行改造。

发明内容

本申请实施例提供一种统一身份认证方法、装置及电子设备，用以解决现有的由集中化4A统一进行身份认证的方式存在的上述技术问题。

第一方面，本申请实施例提供一种统一身份认证方法，应用于统一安全管理平台的区块链网络中的区域认证节点，所述区块链网络包括集中化认证节点、多个区域认证节点和多个集中化应用节点；所述方法包括：

接收所述集中化认证节点转发的认证请求；

所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

基于所述登录信息对所述目标用户进行身份认证。

在一个实施例中，所述认证请求包括所述目标用户的登录信息；所述对所述目标用户进行身份认证之后，还包括：

根据所述认证请求中的登录信息生成认证状态数据；

对所述认证状态数据进行上链存证，并将所述认证状态数据保存至本地数据库。

在一个实施例中，所述对所述认证状态数据进行上链存证的步骤，包括：

获取预设的公钥；

利用所述公钥对所述认证状态数据进行加密处理，得到认证状态数据密文；

计算所述认证状态数据的哈希值，并利用所述公钥对所述哈希值进行加密处理；

基于加密处理后的哈希值对所述认证状态数据密文进行上链存证。

在一个实施例中，所述区块链网络中还包括各所述区域认证节点的监听节点；

所述将所述认证状态数据保存至本地数据库的步骤，包括：

在所述监听节点监听到所述区块链网络中的认证状态数据的上链事件后，获取所述区块链网络中上链存证的认证状态数据密文；

利用所述公钥对应的私钥对所述认证状态数据密文进行解密处理，得到认证状态数据明文；

将所述认证状态数据明文保存至本地数据库。

在一个实施例中，所述登录信息包括认证信息和所述目标用户的帐户信息；所述对所述目标用户进行身份认证的步骤，包括：

基于所述登录信息中的认证信息，对所述目标用户进行登录校验；所述认证信息包括认证方式、登录IP策略和登录时间策略中的至少一项；

若登录校验通过，基于所述目标用户的帐户信息，对所述目标用户进行身份认证；所述帐户信息包括帐号和密码。

在一个实施例中，所述基于所述登录信息对所述目标用户进行身份认证之后，还包括：

若所述目标用户的身份认证通过，生成所述目标用户的身份认证有效期；所述身份认证有效期用于使所述目标用户对任意所述集中化应用节点进行免密登录。

在一个实施例中，所述对所述目标用户进行身份认证之前，还包括：

基于所述集中化认证节点，或任一所述区域认证节点，或任一所述集中化应用节点，获取所述目标用户的注册信息；

根据所述注册信息创建所述目标用户的帐户信息，并对所述帐户信息进行上链广播。

第二方面，本申请实施例提供一种统一身份认证方法，应用于统一安全管理平台的区块链网络中的集中化认证节点，所述区块链网络包括集中化认证节点、多个区域认证节点和多个集中化应用节点；所述方法包括：

接收目标应用节点发送的认证请求；

所述认证请求是所述目标应用节点根据目标用户的访问请求生成的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

将所述认证请求转发至所述区域认证节点，以供所述区域认证节点响应于所述认证请求，对所述目标用户进行身份认证。

第三方面，本申请实施例提供一种统一身份认证装置，包括：

认证接收模块，用于接收集中化认证节点转发的认证请求；

所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

认证处理模块，用于响应于所述认证请求，对所述目标用户进行身份认证。

第四方面，本申请实施例提供一种电子设备，包括处理器和存储有计算机程序的存储器，所述处理器执行所述程序时实现第一方面和第二方面所述的统一身份认证方法的步骤。

第五方面，本申请实施例提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面和第二方面所述的统一身份认证方法的步骤。

本申请实施例提供的统一身份认证方法、装置及电子设备，通过接收集中化认证节点转发的认证请求，并响应于所述认证请求，对所述目标用户进行身份认证；所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点。通过集中化认证节点将目标用户的认证请求转发至对应的区域认证节点，通过区域认证节点对目标用户进行身份认证，将集中化4A认证转化为区域认证，由省4A与集中化应用直接对接，集中化4A仅进行认证转发，避免了集中化4A因并发量大而出现认证问题，在某一个省4A的认证出现问题时，不会对其他省4A的认证造成影响，保证了业务的正常进行。并且，由省4A进行身份认证，相比于集中化4A的集中式认证，便于各省4A在省4A侧进行改造，实现定制化认证需求，以便在身份认证时，实现更细粒度的权限校验，提高省4A用户访问集中化应用过程的安全度，从而解决了由集中化4A集中进行身份认证存在的一系列问题。

附图说明

为了更清楚地说明本申请或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是现有技术提供的统一身份认证方法的流程示意图；

图2是本申请实施例提供的统一身份认证方法的流程示意图；

图3是本申请实施例提供的统一身份认证方法的另一流程示意图；

图4是本申请实施例提供的统一身份认证方法的认证状态数据上链流程示意图；

图5是本申请实施例提供的统一身份认证方法的又一流程示意图；

图6是本申请实施例提供的统一身份认证装置的结构示意图；

图7是本申请实施例提供的电子设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合图1至图7描述本申请的统一身份认证方法、装置及电子设备。

需要说明的是，本申请提供的统一身份认证方法，应用于统一安全管理平台的区块链网络中的区域认证节点，统一安全管理平台即4A系统，该系统包括集中化4A系统、多个区域4A系统和多个集中化应用程序，依托区块链服务平台，构建认证链，集中化4A、区域4A、集中化应用等系统作为区块链节点通过互信接入，因此，统一安全管理平台的区块链网络包括集中化4A系统对应的集中化认证节点、各区域4A系统对应的区域认证节点以及各集中化应用对应的集中化应用节点。其中，区域4A系统为集中化4A系统下游不同级别的行政区域的4A系统，如省4A系统和市4A系统等，是部署在不同行政区域的集中化4A系统的子系统，为便于描述，以下以省4A作为区域4A系统进行说明。

本申请提供的统一身份认证方法与现有方案不同，具体地，参照图1所示的现有方案的认证流程示意图，在现有方案中，省用户在终端输入省4A帐号密码等信息，请求访问集中化应用；集中化应用向集中化4A请求认证，认证通过，则用户成功登录集中化应用，认证不通过，则结束访问流程；对于用户本次的访问记录相关的认证数据进行认证数据上链，各省4A监听链上认证数据变化。也即，现有方案采用集中式认证，由集中化4A系统对所有访问集中化应用的用户统一进行身份认证，与现有方案不同，本申请提供的统一身份认证方法，由省4A对各省用户访问集中化应用的请求进行身份认证，不再集中指向集中化4A进行认证，身份认证时的权限校验更加细化，安全度更高。集中化4A仅承担认证转发的角色，将省4A的认证请求转发给对应的省4A处理，由省4A与集中化应用直接对接，集中化4A不再作为唯一认证中心。

具体地，图2为本申请实施例提供的统一身份认证方法的流程示意图。参照图2，本申请实施例提供的统一身份认证方法，包括：

步骤100，接收所述集中化认证节点转发的认证请求；

所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

首先，省4A系统接收集中化4A转发的对目标用户的认证请求；该认证请求包括目标用户的登录信息和区域标识；该认证请求由目标应用节点根据用户的访问请求生成，并由集中化4A根据目标用户的区域标识转发至对应的省4A节点。目标用户为区域4A系统用户，即省4A用户；目标应用节点为多个集中化应用节点中的任一节点，省4A用户在终端发起对任一集中化应用的访问请求，请求登录集中化应用，该访问请求包括目标用户的登录信息和区域标识，目标用户的登录信息包括帐号和密码等，该帐号密码为省4A系统的帐号密码。集中化应用根据目标用户的登录请求向集中化4A系统发起认证请求，从而对目标用户进行身份认证。其中，对于目标用户的区域标识，可以是在用户初次登录时，根据用户选择的归属区域确定，并在用户后续登录时，默认为用户选择的归属区域标识；也可以根据用户发起访问请求时的终端设备的IP地址、帐号归属区域等确定，在此不做具体限定。

对于目标用户发起的访问请求，通过集中化认证节点将该访问请求转发至区域标识对应的目标区域认证节点。具体地，根据访问请求中的区域标识，确定目标用户的归属区域，即用户所属的省4A，目标区域认证节点即目标用户所属省4A节点，根据目标用户所属的省4A，通过集中化认证节点将目标用户的访问请求转发到该省4A节点。集中化认证节点将目标用户的访问请求转发至目标用户所属的省4A节点时，首先由集中化应用根据目标用户的访问请求，向集中化4A发起认证请求，集中化4A将认证请求转发到目标用户所属的省4A节点，以便省4A进行处理。

步骤200，响应于所述认证请求，对所述目标用户进行身份认证。

省4A基于目标用户的登录信息，响应于目标应用节点的认证请求，对目标用户进行身份认证，在对目标用户进行身份认证时，不仅可以对目标用户的身份信息进行认证，还可以对目标用户的登录合规性进行认证，对于不同的省4A而言，需要认证的具体内容可以相同也可以不同，具体可以由各省4A根据实际需要进行定制化设置。

需要说明的是，对于现有方案中的由集中化4A集中认证的方式，集中化4A只具备对省用户输入的集中化4A帐号、密码的校验能力，以及对集中化应用的访问权限的校验能力，无法对用户进行更细粒度的安全策略校验，如用户登录IP限制等，无法保证用户访问集中化应用的过程安全性；并且，由于所有省4A用户在访问集中化应用时，都需要经过集中化4A认证，如果某个省4A想要定制更加细粒度的认证需求，则需要对集中化4A进行改造，当大量的省4A对集中化4A分别提出不同的个性化的认证要求时，为了区分各个省4A的认证请求，则需要对集中化4A的认证逻辑进行频繁改动。而通过省4A进行身份认证时，集中化4A则仅进行认证请求的转发，当省4A有个性化的认证需求时，仅在省4A侧进行相应认证逻辑的改动即可，而不需要对集中化4A以及其他省4A进行改动，便于实现各省4A的个性化认证需求，从而对用户进行更细粒度的权限校验，保证用户访问集中化应用时的过程安全性。并且，当有新的集中化应用接入时，仅需要在省4A侧开发相应的认证接口即可，而不需要对集中化4A进行认证接口的开发，减少了开发工作量。

在本实施例中，通过接收集中化认证节点转发的认证请求，并响应于该认证请求，对所述目标用户进行身份认证；所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点。通过集中化认证节点将对目标用户的认证请求转发至对应的区域认证节点，通过区域认证节点对目标用户进行身份认证，将集中化4A认证转化为区域认证，由省4A与集中化应用直接对接，集中化4A仅进行认证转发，避免了集中化4A因并发量大而出现认证问题，在某一个省4A的认证出现问题时，不会对其他省4A的认证造成影响，保证了业务的正常进行。

进一步地，由省4A进行身份认证，相比于集中化4A的集中式认证，便于各省4A在省4A侧进行改造，实现定制化认证需求，以便在身份认证时，实现更细粒度的权限校验，提高省4A用户访问集中化应用过程的安全度，从而解决了由集中化4A集中进行身份认证存在的一系列问题。

参照图3所示的身份认证流程示意图，在一较佳的实施方式中，省4A用户在终端输入省4A帐号密码，首次访问时选择归属省，请求访问集中化应用；集中化应用服务端向集中化4A请求认证，集中化4A将认证请求转发至对应的省4A进行身份认证；认证通过，则用户成功登录集中化应用，认证不通过，则结束流程；对于省4A用户的本次访问集中化应用的认证结果，对其认证状态数据进行上链存证，各省4A监听链上认证数据变化。基于图3，步骤200中，在对目标用户进行身份认证之后，还可以包括：

步骤301，根据所述认证请求中的登录信息生成认证状态数据；步骤302，对所述认证状态数据进行上链存证，并将所述认证状态数据保存至本地数据库。

在对目标用户进行身份验证之后，根据目标用户的登录信息，生成目标用户本次访问集中化应用的认证状态数据，该认证状态数据包括区域标识、帐户信息、认证状态、认证通过时间、应用标识、登录设备信息和认证方式。其中，区域标识用于表征目标用户的归属区域；认证状态包括认证通过和认证不通过；应用标识用于表征目标用户请求访问的集中化应用；登录设备信息包括设备编码，用于表征目标用户发起访问请求的终端信息，登录设备可以是手机或平板电脑等移动终端，也可以是个人电脑，在此不做具体限定；认证方式包括集中化认证和区域认证。

对生成的认证状态数据进行上链存证，生成目标用户访问集中化应用的认证票据，并将认证状态数据保存至区域认证节点的本地数据库，即各省4A的本地数据库。对目标用户的身份认证通过后，目标用户成功登录集中化应用，省4A本地数据库中保存的认证通过的认证状态数据，可以作为对集中化应用的访问记录。

优选地，为保证区块链中的数据不被篡改，在对数据进行上链时，对上链数据进行加密处理，具体地，步骤302中，对认证状态数据进行上链存证，包括：

步骤3021，获取预设的公钥；

步骤3022，利用所述公钥对所述认证状态数据进行加密处理，得到认证状态数据密文；

步骤3023，计算所述认证状态数据的哈希值，并利用所述公钥对所述哈希值进行加密处理；

步骤3024，基于加密处理后的哈希值对所述认证状态数据密文进行上链存证。

省4A在对认证状态数据进行上链存证时，首先获取省4A预设的公钥，利用该公钥对认证状态数据进行加密处理，得到认证状态数据密文，计算该认证状态数据密文的哈希值，利用目标区域认证节点的公钥对哈希值进行加密处理，基于加密处理后的哈希值，对认证状态数据密文进行上链存证。

如图4所示的认证状态数据的认证状态数据上链流程示意图，统一安全管理平台中的区块链为联盟链，A省4A、B省4A以及X省4A等各省4A通用一份智能合约，实现省4A与区块链间的数据传输。用户在终端发起对集中化应用的访问请求，集中化应用的服务端发起身份认证请求；省4A对用户进行身份认证后，将认证状态数据写入到认证链中，对认证状态数据进行上链存证；其他省4A及集中化4A对链上认证状态数据进行监听，按需获取链上的认证状态数据。对于目标区域认证节点对应的省4A节点，在认证状态数据上链存证时，省4A通过自身的公钥对认证状态数据进行加密处理，生成认证状态数据密文，将认证状态数据密文写入认证连，触发认证状态数据上链事件，并对认证状态数据密文进行上链存证。上链的认证状态数据密文在各省4A与集中化4A之间进行广播，以便各省4A与集中化4A按需获取上链数据。

进一步地，在区块链网络中，还包括各省4A创建的监听节点，用于监听区块链中的认证状态数据上链事件，步骤302中，将认证状态数据保存至各区域认证节点的本地数据库，具体包括：

步骤3025，在所述监听节点监听到所述区块链网络中的认证状态数据的上链事件后，获取所述区块链网络中上链存证的认证状态数据密；

步骤3026，利用所述公钥对应的私钥对所述认证状态数据密文进行解密处理，得到认证状态数据明文；

步骤3027，将所述认证状态数据明文保存至本地数据库。

各省4A创建有监听节点，省4A基于自身创建的监听节点，当监听到区块链网络中的认证状态数据上链事件时，获取区块链网络中上链存证的认证状态数据密文。省4A根据自身公钥对应的私钥，对获取的认证状态数据密文进行解密处理，得到认证状态数据明文，将该认证状态数据明文保存至本地数据库中，以便于区块链中的数据在特殊情况下缺损或丢失时，有利于数据的快速恢复和找回。

基于各省4A创建的监听节点，当任一省4A对认证状态数据进行上链广播后，其他省4A通过监听节点检测到认证状态数据上链事件，则从区块链中同步获取上链存证的认证状态数据密文。各省4A利用自身私钥对获取的认证状态数据密文进行解密处理，得到认证状态数据明文，并写入到本地数据库。利用区块链的广播、监听模式，实现各省4A帐号的认证数据上链，凡是在链上有节点的省4A均可监听到链上数据的变化情况，从而可以按需获取上链的认证数据。进一步地，由各个省4A与区块链对接，省4A将自身认证状态数据上链广播，可以实现各区域的灵活上链、灵活设置广播内容及监听方，与集中化4A的集中式认证相比，可以避免集中化4A面向各省4A基于区块链的认证数据上链的定制化需求开发。

优选地，目标用户在请求访问集中化应用时的登录信息，包括认证信息和目标用户的帐户信息，该帐户信息为目标用户的区域4A帐户，即省4A帐户。进一步地，认证信息包括认证方式、登录IP策略和登录时间策略中的至少一项，用于对目标用户进行登录合规性验证；帐户信息包括帐号和密码，用于对目标用户进行身份认证。步骤200中，基于目标用户的登录信息对目标用户进行身份认证，具体包括：

步骤201，基于所述登录信息中的认证信息，对所述目标用户进行登录校验；所述认证信息包括认证方式、登录IP策略和登录时间策略中的至少一项；

步骤202，若登录校验通过，基于所述目标用户的帐户信息，对所述目标用户进行身份认证；所述帐户信息包括帐号和密码。

首先，基于登录信息中的认证信息，省4A对目标用户进行登录合规性验证，当登录合规性验证通过时，基于目标用户的帐户信息，对目标用户进行身份认证，若目标用户的身份认证通过，则允许目标用户访问集中化应用，否则，结束目标用户的访问流程，或者，向目标用户返回认证未通过的提示信息后，结束访问流程。对目标用户的登录合规性验证，可以对用户进行更细粒度的安全校验，提高用户访问集中化应用的过程安全性。

具体地，由集中化4A进行身份认证时，集中化4A仅对各省4A用户的帐号密码进行验证，省4A拥有省4A主帐号的所有信息，包括帐号、密码等帐户信息，以及认证方式、登录IP策略、登录时间策略等认证信息，因此省4A可以直接对用户进行登录合规性验证；而集中化4A缺少这部分信息，因此，无法对省4A用户进行登录合规性验证。对于省4A侧的一些特殊需求仅面向个别省4A提供状态变更情况，需要对集中化4A进行一对一的合约、接口和策略开发，当各省4A的个性化需求增多，且各省4A的需求不同时，则需要对集中化4A进行频繁改动；当有新的集中化应用接入集中化4A时，需要同时对集中化4A和各省4A进行改造，开发相应的认证接口。因此，集中化4A集中认证的方式，难以支持各省4A基于区块链的定制化认证需求。当由各省4A进行认证时，各省4A对区块链的个性化认证需求，可以在省4A侧进行独立开发，集中化4A仅用于转发认证请求，而无需面向各省4A的定制化认证需求进行改造，减少了集中化4A与省4A间基于区块链的定制化需求开发。并且，当有新的集中化应用接入集中化4A时，只需要在省4A侧开发认证接口即可，而无需对集中化4A进行认证接口开发。

进一步地，在对目标用户的身份认证通过之后，基于当前的认证状态，在预设时长内，允许用户对任意集中化应用进行免密登录。步骤200之后，还包括：

步骤401，若所述目标用户的身份认证通过，生成所述目标用户的身份认证有效期；所述身份认证有效期用于使所述目标用户对任意所述集中化应用节点进行免密登录。

若目标用户的身份认证通过，允许目标用户登录其要访问的集中化应用，同时，生成目标用户的身份认证有效期，在该身份认证有效期内，允许目标用户对任意集中化应用进行免密登录。也即，目标用户在成功访问集中化应用1后，在预设时长内，不需要再次输入登录信息，仅需通过点击“登录”按钮等方式触发访问请求，即可登录集中化应用2，或再次登录集中化应用1。

如图5所示的认证流程示意图，在一较佳的实施方式中，省4A用户请求访问集中化应用1，输入帐号、密码等登录信息，首次登录时选择归属区域，即归属省；集中化应用1向集中化4A发起认证请求，集中化4A将认证请求转发至对应的省4A；省4A对用户进行身份认证，认证通过，将认证状态数据进行上链存证。该用户在同一终端中发起对集中化应用2的访问请求，集中化应用2向集中化4A发起认证请求，集中化4A将认证请求转发给省4A；省4A获取该用户在区块链上的认证票据，并利用自身私钥对认证票据进行解密并保存至本地数据库，从认证票据中解析出用户的手机号码、登录设备编码、认证状态和认证通过时间等认证数据；查询本地数据库对比登录设备编码或用户手机号码，若一致，且认证票据中的认证状态为通过，继续比对当前登录请求时间与认证通过时间的时间间隔，若时间间隔小于或等于预设时长，则信任用户的认证状态，允许用户免密登录集中化应用2；若时间间隔大于预设时长，为确保登录安全性，需要用户输入登录信息再次进行身份认证。也即，当用户身份认证通过后，在预设时长内，当检测到用户对任意集中化应用的访问请求时，可以通过认证票据进行免密登录，换句话说，当对用户进行一次身份认证，且认证通过后，在规定时间内，用户可以访问任意集中化应用而无需再次输入登录信息进行身份认证，在确保访问安全性的前提下，提高了统一身份认证的便捷性。

优选地，在用户发起对集中化应用，对用户进行身份认证之前，首先需要创建用户对应的省4A帐户。在集中化4A集中认证的方案中，所有省4A用户由集中化4A的管理员统一为所有用户创建集中化4A帐户，分配集中化应用的访问权限；省4A用户使用集中化4A管理员创建的帐户登录权限范围内的集中化应用，请求集中化4A认证，帐户创建不灵活。本申请提供的统一身份认证方法中，省4A用户的帐户，可以在任一节点创建，步骤200中，对目标用户进行身份认证之前，还可以包括：

步骤001，基于所述集中化认证节点，或任一所述区域认证节点，或任一所述集中化应用节点，获取所述目标用户的注册信息；

步骤002，根据所述注册信息创建所述目标用户的帐户信息，并对所述帐户信息进行上链广播。

基于区块链网络中的集中化认证节点，或者，任一省4A节点，或者任一集中化应用节点，获取目标用户的注册信息，该注册信息包括目标用户设置的帐号、密码，还可以包括目标用户的归属区域，即归属省。根据获取的注册信息，创建目标用户的省4A帐户，得到目标用户的帐户信息，并对该帐户信息进行上链广播，便于后续对该目标用户进行身份认证。省4A用户的帐户，可以由省4A用户本人创建，例如，省4A用户在首次访问集中化应用时注册的帐户，还可以由省4A管理员或集中化4A管理员批量创建帐户，由用户本人创建帐户时，可以由省4A管理员对创建的帐户及用户访问集中化应用的权限范围进行审核，创建方式灵活。并且，注册信息的获取节点，与帐户创建节点可以相同，也可以不同，在此均不做具体限定。

基于区块链间的数据传输、广播和监听等特性，由省4A对用户进行身份认证，可以分别在各省4A创建用户帐户，省4A可以根据需要选择需要上链存证的数据，以及需要广播、监听的数据，提高了统一身份认证的应用场景的适用性。

本申请还提供一种统一身份认证方法，应用于统一安全管理平台区块链网络中的集中化认证节点，即集中化4A，以下同样以省4A作为区域认证节点为例，对本申请提供的应用于集中化4A的统一身份认证方法进行说明。本申请提供的应用于集中化4A的统一身份认证方法，具体包括：

步骤S1，接收目标应用节点发送的认证请求；

所述认证请求是所述目标应用节点根据目标用户的访问请求生成的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

步骤S2，将所述认证请求转发至所述区域认证节点，以供所述区域认证节点响应于所述认证请求，对所述目标用户进行身份认证。

接收目标应用节点发送的认证请求，该认证请求包括目标用户的登录信息和区域标识，其中，认证请求是由目标应用节点根据目标用户的访问请求生成的，目标应用节点为该目标用户请求访问的集中化应用节点。

根据认证请求中的区域标识，将认证请求转发至对应的区域认证节点，即省4A，以供省4A响应于该认证请求，对目标用户进行身份认证。进一步地，省4A对目标用户的身份认证的具体过程，可参照上述应用于区域认证节点的统一身份认证方法各实施例的描述，在此不再赘述。

下面对本申请实施例提供的统一身份认证装置进行描述，下文描述的统一身份认证装置与上文描述的统一身份认证方法可相互对应参照。

参照图6，本申请实施例提供的统一身份认证装置，包括：

认证接收模块，用于接收集中化认证节点转发的认证请求；

所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

认证处理模块20，用于响应于所述认证请求，对所述目标用户进行身份认证。

在一个实施例中，所述统一身份认证装置还包括上链存证模块，用于：

根据所述认证请求中的登录信息生成认证状态数据；

对所述认证状态数据进行上链存证，并将所述认证状态数据保存至本地数据库。

在一个实施例中，所述上链存证模块，还用于：

获取预设的公钥；

利用所述公钥对所述认证状态数据进行加密处理，得到认证状态数据密文；

计算所述认证状态数据的哈希值，并利用所述公钥对所述哈希值进行加密处理；

基于加密处理后的哈希值对所述认证状态数据密文进行上链存证。

在一个实施例中，所述区块链网络中还包括各所述区域认证节点的监听节点；所述上链存证模块，还用于：

在所述监听节点监听到所述区块链网络中的认证状态数据的上链事件后，获取所述区块链网络中上链存证的认证状态数据密文；

利用所述公钥对应的私钥对所述认证状态数据密文进行解密处理，得到认证状态数据明文；

将所述认证状态数据明文保存至本地数据库。

在一个实施例中，所述登录信息包括认证信息和所述目标用户的帐户信息；所述认证处理模块20，还用于：

基于所述登录信息中的认证信息，对所述目标用户进行登录校验；所述认证信息包括认证方式、登录IP策略和登录时间策略中的至少一项；

若登录校验通过，基于所述目标用户的帐户信息，对所述目标用户进行身份认证；所述帐户信息包括帐号和密码。

在一个实施例中，所述统一身份认证装置还包括免密登录模块，用于：

若所述目标用户的身份认证通过，生成所述目标用户的身份认证有效期；所述身份认证有效期用于使所述目标用户对任意所述集中化应用节点进行免密登录。

在一个实施例中，所述统一身份认证装置还包括帐户创建模块，用于：

基于所述集中化认证节点，或任一所述区域认证节点，或任一所述集中化应用节点，获取所述目标用户的注册信息；

根据所述注册信息创建所述目标用户的帐户信息，并对所述帐户信息进行上链广播。

图7例了一种电子设备的实体结构示意图，如图7所示，该电子设备可以包括：处理器(processor)710、通信接口(Communication Interface)720、存储器(memory)730和通信总线740，其中，处理器710，通信接口720，存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的计算机程序，以执行统一身份认证方法的步骤，例如包括：

接收集中化认证节点转发的认证请求；

所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

响应于所述认证请求，对所述目标用户进行身份认证。

还可以包括：

接收目标应用节点发送的认证请求；

所述认证请求是所述目标应用节点根据目标用户的访问请求生成的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

将所述认证请求转发至所述区域认证节点，以供所述区域认证节点响应于所述认证请求，对所述目标用户进行身份认证。

此外，上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本申请实施例还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各实施例所提供的统一身份认证方法的步骤，例如包括：

接收集中化认证节点转发的认证请求；

所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

响应于所述认证请求，对所述目标用户进行身份认证。

还可以包括：

接收目标应用节点发送的认证请求；

所述认证请求是所述目标应用节点根据目标用户的访问请求生成的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

将所述认证请求转发至所述区域认证节点，以供所述区域认证节点响应于所述认证请求，对所述目标用户进行身份认证。

另一方面，本申请实施例还提供一种处理器可读存储介质，所述处理器可读存储介质存储有计算机程序，所述计算机程序用于使处理器执行上述各实施例提供的方法的步骤，例如包括：

接收集中化认证节点转发的认证请求；

所述认证请求是目标应用节点根据目标用户的访问请求生成，并由所述集中化认证节点进行转发的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

响应于所述认证请求，对所述目标用户进行身份认证。

还可以包括：

接收目标应用节点发送的认证请求；

所述认证请求是所述目标应用节点根据目标用户的访问请求生成的；所述目标应用节点为所述目标用户请求访问的集中化应用节点；

将所述认证请求转发至所述区域认证节点，以供所述区域认证节点响应于所述认证请求，对所述目标用户进行身份认证。

所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。