阅读说明：本技术 云的开户、认证及访问方法和设备 (Cloud account opening, authentication and access method and device ) 是由 王楠楠 黄国强 罗斌 于 2018-08-15 设计创作，主要内容包括：本申请公开了一种开户认证访问方法,包括：第一云获取用户的第一访问请求,其中,所述第一访问请求包括目标令牌,所述目标令牌由背书主体对所述用户的用户信息进行背书而生成的,所述第一云属于云联盟,所述云联盟包括多朵云；从联盟区块链上获取联盟令牌,并将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果,其中,所述联盟区块链可被所述云联盟中的任意一朵云访问；根据匹配结果确定所述用户为合法用户,并允许所述用户对所述第一云进行访问。上述方法能够实现云联盟的用户可以随意访问云联盟中的任意一朵云的资源。(The application discloses an account opening authentication access method, which comprises the following steps: a first cloud acquires a first access request of a user, wherein the first access request comprises a target token, the target token is generated by endorsement of an endorsement agent on user information of the user, the first cloud belongs to a cloud alliance, and the cloud alliance comprises a plurality of clouds; acquiring a alliance token from an alliance block chain, and matching the target token with the alliance token to obtain a matching result, wherein the alliance block chain can be accessed by any cloud in the cloud alliance; and determining that the user is a legal user according to the matching result, and allowing the user to access the first cloud. The method can realize that the user of the cloud alliance can randomly access the resource of any cloud in the cloud alliance.)

云的开户、认证及访问方法和设备

技术领域

本申请涉及云技术，尤其涉及一种云的开户、认证及访问方法、设备以及存储介质。

背景技术

随着云技术的快速发展，全球范围内出现了越来越多的云。不同云可能由不同的企业运营，如果用户希望访问这些云的资源，就必须在每朵云上都分别注册一个账户，并使用账户登录对应的云，才能够访问账户对应的云的资源。为了打破这些云之间的隔阂，实现资源的共享，人们提出了构建云联盟的设想。

但是，如何实现云联盟的用户可以随意访问云联盟中的任意一朵云的资源是一个尚未解决的问题。

发明内容

本申请提供了一种访问方法、设备以及存储介质，能够实现云联盟的用户可以访问云联盟中的任意一朵云的资源。

第一方面，提供了一种用户对云的访问方法，包括：

第一云获取用户的第一访问请求，其中，所述第一访问请求包括目标令牌，所述目标令牌由背书主体对所述用户的用户信息进行背书而生成的，所述第一云属于云联盟，所述云联盟包括多朵云；

从联盟区块链上获取联盟令牌，并将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果，其中，所述联盟区块链可被所述云联盟中的任意一朵云访问；

根据匹配结果确定所述目标用户为合法用户，并允许所述目标用户对所述第一云进行访问。

结合第一方面，第一方面的第一种可能的实施方式中，所述背书主体包括云联盟中的任一云或者第三方公证机构。

结合第一方面的上述任一方式，第一方面的第二种可能的实施方式中，在第四云和所述第一云是同一朵云的情况下，所述背书主体包括所述第一云；在第四云和所述第一云不是同一朵云的情况下，所述背书主体包括第四云和所述第一云。

结合第一方面的上述任一方式，第一方面的第三种可能的实施方式中，所述方法还包括：在所述联盟令牌的生命周期大于失效周期的情况下，所述第一云重新生成新的联盟令牌，并将所述新的联盟令牌上传到所述联盟区块链中。

结合第一方面的上述任一方式，第一方面的第四种可能的实施方式中，所述方法还包括：

接收用户的第二访问请求，其中，所述第二访问请求包括目标令牌；

所述第一云向所述第二云发送所述用户的第二访问请求，其中，所述第二云属于所述云联盟。

第二方面，提供了一种云用户的认证方法，包括：

第三云获取用户的认证请求，其中，所述认证请求包括所述用户的用户信息，所述第三云属于云联盟，所述云联盟包括多朵云；

根据所述认证请求向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

根据所述背书结果为所述目标用户生成目标令牌；

将所述目标令牌上传至联盟区块链中以作为联盟令牌，所述联盟区块链可被所述云联盟中的任意一朵云访问。

结合第二方面，第二方面的第二种可能的实施方式中，所述背书主体包括云联盟中的任一云或者第三方公证机构。

结合第二方面的上述任一方式，第二方面的第三种可能的实施方式中，所述方法还包括：

确定所述联盟令牌的失效周期，其中，所述失效周期用于在所述联盟令牌的生命周期大于失效周期时，使所述联盟令牌失效。

结合第二方面的上述任一方式，第二方面的第四种可能的实施方式中，所述用户信息包括联盟账号、密码、联盟标识中的一种或者多种。

第三方面，提供一种云用户的开户方法，包括：

第四云接收用户的开户请求，其中，所述开户云属于云联盟，所述云联盟包括多朵云；

根据所述开户请求为所述用户生成用户信息；

向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

根据所述背书结果将所述背书结果上传至联盟区块链中，所述联盟区块链可被所述云联盟中的任意一朵云访问。

结合第三方面，第三方面的第一种可能的实施方式中，所述背书主体包括云联盟中的任一云或者第三方公证机构。

结合第三方面的上述一种方式，第三方面的第二种可能的实施方式中，所述用户信息包括联盟账号、密码、联盟标识中的一种或者多种。

第四方面，提供了一种访问设备，包括：获取模块、匹配模块以及确定模块，

所述获取模块用于获取用户的第一访问请求，其中，所述第一访问请求包括目标令牌，所述目标令牌由背书主体对所述用户的用户信息进行背书而生成的，所述第一云属于云联盟，所述云联盟包括多朵云；

所述匹配模块用于从联盟区块链上获取联盟令牌，并将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果，其中，所述联盟区块链可被所述云联盟中的任意一朵云访问；

所述确定模块用于根据匹配结果确定所述目标用户为合法用户，并允许所述目标用户对所述第一云进行访问。

结合第四方面，第四方面的第一种可能的实施方式中，所述背书主体包括云联盟中的任一云或者第三方公证机构。

结合第四方面的上述任一方式，第四方面的第二种可能的实施方式中，在第四云和所述第一云是同一朵云的情况下，所述背书主体包括所述第一云；在第四云和所述第一云不是同一朵云的情况下，所述背书主体包括第四云和所述第一云。

结合第四方面的上述任一方式，第四方面的第三种可能的实施方式中，所述方法还包括：在所述联盟令牌的生命周期大于失效周期的情况下，所述第一云重新生成新的联盟令牌，并将所述新的联盟令牌上传到所述联盟区块链中。

结合第四方面的上述任一方式，第四方面的第四种可能的实施方式中，所述访问设备还包括接收模块以及发送模块，

所述接收模块还用于接收用户的第二访问请求，其中，所述第二访问请求包括目标令牌；

所述发送模块还用于向所述第二云发送所述用户的第二访问请求，其中，所述第二云属于所述云联盟。

第五方面，提供了一种认证设备，包括：获取模块、发送模块以及生成模块

所述获取模块用于获取用户的认证请求，其中，所述认证请求包括所述用户的用户信息，所述第三云属于云联盟，所述云联盟包括多朵云；

所述发送模块用于根据所述认证请求向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

所述生成模块用于根据所述背书结果为所述目标用户生成目标令牌；

所述发送模块还用于将所述目标令牌上传至联盟区块链中以作为联盟令牌，所述联盟区块链可被所述云联盟中的任意一朵云访问。

结合第五方面，第五方面的第二种可能的实施方式中，所述背书主体包括云联盟中的任一云或者第三方公证机构。

结合第五方面的上述任一方式，第五方面的第三种可能的实施方式中，所述装置还包括确定模块，

所述确定模块用于确定所述联盟令牌的失效周期，其中，所述失效周期用于在所述联盟令牌的生命周期大于失效周期时，使所述联盟令牌失效。

结合第五方面的上述任一方式，第五方面的第四种可能的实施方式中，所述用户信息包括联盟账号、密码、联盟标识中的一种或者多种。

第六方面，提供一种开户设备，包括：接收模块、生成模块以及发送模块，

所述接收模块用于接收用户的开户请求，其中，所述开户云属于云联盟，所述云联盟包括多朵云；

所述生成模块用于根据所述开户请求为所述用户生成用户信息；

所述发送模块用于向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

所述发送模块还用于根据所述背书结果将所述背书结果上传至联盟区块链中，所述联盟区块链可被所述云联盟中的任意一朵云访问。

结合第六方面，第六方面的第一种可能的实施方式中，所述背书主体包括云联盟中的任一云或者第三方公证机构。

结合第六方面的上述一种方式，第六方面的第二种可能的实施方式中，所述用户信息包括联盟账号、密码、联盟标识中的一种或者多种。

第七方面，提供了一种云系统，包括：多个计算机设备，其中，所述计算机设备包括存储器以及与所述存储器耦合的处理器、通信模块，其中：所述通信模块用于发送或者接收外部发送的数据，所述存储器用于存储程序代码，所述处理器用于调用所述存储器存储的程序代码以执行如第一方面任一项描述的方法。

第八方面，提供了一种云系统，包括：多个计算机设备，其中，所述计算机设备包括存储器以及与所述存储器耦合的处理器、通信模块，其中：所述通信模块用于发送或者接收外部发送的数据，所述存储器用于存储程序代码，所述处理器用于调用所述存储器存储的程序代码以执行如第二方面任一项描述的方法。

第九方面，提供了一种云系统，包括：多个计算机设备，其中，所述计算机设备包括存储器以及与所述存储器耦合的处理器、通信模块，其中：所述通信模块用于发送或者接收外部发送的数据，所述存储器用于存储程序代码，所述处理器用于调用所述存储器存储的程序代码以执行如第三方面任一项描述的方法。

第十方面，提供了一种计算机非瞬态存储介质，包括指令，当所述指令在设备上运行时，使得所述设备执行如第一方面任一项所述的方法。

第十一方面，提供了一种计算机非瞬态存储介质，包括指令，当所述指令在设备上运行时，使得所述设备执行如第二方面任一项所述的方法。

第十二方面，提供了一种计算机非瞬态存储介质，包括指令，当所述指令在设备上运行时，使得所述设备执行如第三方面任一项所述的方法。

上述方案中，在用户端需要访问第一云的情况下，第一云接收用户发送的第一访问请求，其中，第一访问请求中包括目标令牌。第一云从联盟区块链上获取联盟令牌，将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果，根据匹配结果确定所述目标用户为合法用户，并允许所述目标用户对所述第一云进行访问。由于目标令牌是由背书主体对所述用户的用户信息进行背书而生成的，具有良好的公信力，因此，只要用户端发送的访问请求中携带了目标令牌，并且，对目标令牌的验证也顺利通过，就可以确定用户的身份是合法的，允许用户进行访问。所以，只要携带了目标令牌，云联盟的用户就可以随意访问云联盟中的任意一朵云的资源。

附图说明

图1是本申请实施例涉及的一种云联盟的结构示意图；

图2是本申请实施例涉及的另一种云联盟的结构示意图；

图3是本申请提供的一种开户方法的流程交互图；

图4是本申请提供的一种认证方法的流程交互图；

图5是本申请提供的一种访问方法的流程交互图；

图6是本申请提供的一种访问方法的流程交互图；

图7是本申请提供的又一种云联盟的结构示意图；

图8是本申请提供的再一种云联盟的结构示意图。

具体实施例

如图1所示，设想中的云联盟包括多朵云，在云联盟之上构建了属于云联盟的联盟区块链，其中，所述联盟区块链可被云联盟中的任意一朵云访问。可以理解，云联盟的规模可以根据实际需要进行设置，例如，云联盟可以是多个企业的云之间构成的联盟，可以是多个城市的云之间构成的联盟，也可以是多个国家的云之间构成的联盟，甚至可以是全球的云之间构成的联盟，此处不作具体限定。

云可以包括多个云节点(见图2中纯白色的圆点)。具体地，云包括至少一个数据中心以及连接数据中心的网络设备。每个数据中心内包括硬件层，例如服务器、存储阵列、网络设备等；以及运行于硬件层之上的软件层。提供云服务的厂商，基于云的软件和硬件资源，向用户提供出租或托管服务，包括计算、存储、网络等硬件服务，或者人工智能、数据库等软件服务。

联盟区块链包括至少一个排序服务节点(order node)(如图2中纯黑色的圆点)以及连接排序服务节点的记账节点(peer node)(如图2中带点纹的圆点)。其中，排序服务节点可以是由云联盟中的各个云之外的节点组成的，记账节点可以是由云联盟中每个朵云中的部分云节点组合而成的。排序服务节点用于将需要存储到联盟区块链中的信息进行排序，将排序好的信息打包成区块，然后，将打包好的区块广播给所有记账节点。记账节点用于存储打包好的区块。并且，排序服务节点可以指定部分记账节点为背书节点(如图2中带斜纹的圆点)。

云联盟可以是通过如下方式搭建而成的：云1首先创建云联盟，并制定云联盟需要遵循的智能合约。如果其他的云(例如云2)认可云1制定的智能合约，则其他的云可以加入到云联盟中。在云1创建云联盟的时候，可以在自身的基础上创建联盟区块链，当其他的云加入区块链时，其他的云可以在自己的基础上创建分区块链，并将分区块链与原来的联盟区块链连通，以构成新的联盟区块链。联盟区块链是云联盟的私有区块链，也就是说，当任意一朵云将数据上传至区块链时，上传的数据会被迅速同步至整个联盟区块链中，并可以被云联盟中的其他云下载。应理解，上述搭建方式仅仅是一种示例，不应构成具体限定。

设想中云联盟的用户就可以随意访问云联盟中的任意一朵云的资源。具体来说，用户可以在云联盟中的任意一朵云上开设联盟账户。在联盟账户开设完毕后，用户可以在云联盟中的任意一朵云上使用联盟账户进行登录并进行身份验证。在验证完成后，用户可以通过联盟账户访问云联盟中的任意一朵云。下面以举例的形式说明两种具体的应用场景：

在第一种场景中，用户在云联盟中的A云上开设联盟账户。然后，用户可以在云联盟中的B云上使用联盟账户进行登录并进行身份验证。在验证完成后，用户可以通过联盟账户访问云联盟中的B云的资源。用户还可以在云联盟中的C云上使用联盟账户进行登录并进行身份验证。在验证完成后，用户可以通过联盟账户访问云联盟中的C云的资源。以此类推，用户可以使用同样的方式访问云联盟中的每一朵云(包括A云)。

在第二种场景中，用户在云联盟中的A云上开设联盟账户。然后，用户可以在云联盟中的B云上使用联盟账户进行登录并进行身份验证。在验证完成后，用户可以访问B云，以及，可以通过B云去访问云联盟中的每一朵云(包括A云)。

其中，用户直接访问的云可以称之为第一云，用户通过第一云访问的云可以称之为第二云，用户验证身份的云可以称之为第三云，用户开设联盟账户的云可以称之为第四云。应理解，上述第一云、第三云和第四云可以是同一朵云；第三云和第四云可以是同一朵云，第一云可以不是同一朵云；第四云和第一云可以是同一朵云，第三云可以不是同一朵云；第一云和第四云可以是同一朵云，第三云可以不是同一朵云；第一云、第三云和第四云可以不是同一朵云，此处不作具体限定。

为了实现用户可以随意访问云联盟中任意一朵云的资源，用户可以携带目标令牌去访问云联盟中任意一朵云。当用户携带目标令牌去访问云联盟中任意一朵云时，被访问的云(第一云)对目标令牌进行验证。在第一云对目标令牌验证通过的情况下，可以确定用户为合法用户，并允许用户进行访问。

用户携带目标令牌就可以去访问云联盟中任意一朵云的原因在于：目标令牌是云联盟的背书主体根据背书策略对用户的用户信息进行背书而生成的令牌。由于目标令牌能够证明背书主体对目标用户的用户信息进行了背书，也就是说，目标令牌能够证明背书主体对目标用户的可信性进行了担保，因此，只要对目标令牌验证通过，就可以确定目标用户为合法用户。其中，所述用户信息包括联盟账号、密码、联盟标识中的一种或者多种。背书主体可以包括云联盟中的任意一朵云或者第三方公证机构。更具体地，在背书主体包括云联盟中的其中一朵云的情况下，背书主体包括该云的背书节点。第三方公证机构可以是云联盟认可的机构，例如，***验证机构以及其他信用机构等等。背书策略可以根据实际需要进行设置，举例来说，在第四云和所述第一云是同一朵云的情况下，所述背书主体包括所述第一云；在第四云和所述第一云不是同一朵云的情况下，所述背书主体包括第四云和所述第一云，此处不作具体限定。应理解，上述用户信息、背书主体和背书策略的举例仅仅是作为一种示例，不应构成具体限定。

第一云对目标令牌进行验证的过程可以是：第一云获取目标用户的第一访问请求，并从所述第一访问请求中获取索引以及目标令牌。第一云将所述索引发送给联盟区块链。相应地，联盟区块链接收第一云发送的所述索引。联盟区块链根据所述索引查找联盟令牌。联盟区块链将联盟令牌发送给第一云。相应地，第一云接收联盟区块链发送的联盟令牌。第一云将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果。在所述匹配结果为成功匹配时，第一云确定所述目标用户为合法用户，并允许所述目标用户对所述第一云进行访问。

目标令牌的生成过程可以是：第三云获取用户的认证请求，其中，所述认证请求包括所述用户的用户信息。然后，第三云根据所述认证请求向背书主体发送背书请求。其中，所述背书请求包括所述用户信息。相应地，背书主体接收第三云发送的背书请求。背书主体根据背书策略对用户信息进行背书从而得到背书结果。背书主体将背书结果发送给第三云。相应地，第三云接收所述背书主体返回的背书结果。在背书结果为背书成功时，第三云为所述用户生成目标令牌。第三云将所述目标令牌上传至联盟区块链中以作为联盟令牌。相应地，联盟区块链接收第三云发送的目标令牌，并将所述目标令牌作为联盟令牌进行存储。联盟区块链向第三云发送联盟令牌的索引。相应地，第三云接收联盟区块链发送的索引。第三云将所述目标令牌发送给用户的用户端。相应地，用户的用户端接收第三云发送的所述目标令牌。不难理解，由于联盟区块链具有分布式存储以及去中心化存储的特点，所以，存储在联盟区块链中的联盟令牌是不可能被篡改的，具有极高的可靠性。

用户信息的生成过程可以是：开户云接收目标用户的开户请求，其中，开户请求可以包括开户的必要信息，例如，护照号码、身份证号码以及姓名等等中的一种或者多种。然后，开户云根据所述开户请求为所述目标用户生成用户信息。开户云向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果。在背书结果为背书成功时，开户云将所述用户信息上传至联盟区块链中。类似地，由于联盟区块链具有分布式存储以及去中心化存储的特点，所以，存储在联盟区块链中的用户信息具有极高的可靠性。

针对上述的两种不同的应用场景，用户可以携带目标令牌去访问云联盟中任意一朵云可以是通过如下的方式实现的：

针对第一种应用场景来说，用户在云联盟中的A云上开设联盟账户。然后，用户可以在云联盟中的B云上使用联盟账户进行登录并进行身份验证从而生成目标令牌。在验证完成后，用户可以携带目标令牌访问云联盟中的B云的资源。用户还可以在云联盟中的C云上使用联盟账户进行登录并进行身份验证从而生成目标令牌。在验证完成后，用户可以通过携带目标令牌访问云联盟中的C云的资源。以此类推，用户可以使用同样的方式访问云联盟中的每一朵云(包括A云)。

针对第二种应用场景来说，用户在云联盟中的A云上开设联盟账户。然后，用户可以在云联盟中的B云上使用联盟账户进行登录并进行身份验证从而生成目标令牌。在验证完成后，用户可以携带目标令牌访问B云，以及，可以携带目标令牌去访问云联盟中的每一朵云(包括A云)。

下面结合图3至图6以及具体的实施例对本发明进行进一步的说明。

如图3所示，图3是本申请提供的一种开户方法的流程交互图。本实施例的开户方法包括：

S101：第四云接收用户的开户请求。

在本申请具体的实施例中，所述开户请求包括身份信息，所述开户信息护照号码、身份证号码以及姓名等等中的一种或者多种。

S102：第四户云对所述身份信息进行验证。

在本申请具体的实施例中，所述身份信息可以由第四云提交给第三方验证机构进行验证。第三方验证机构可以是具有良好公信力的机构，例如，户政局、公安机关或者银行机构等等，此处不作具体限定。

S103：在身份信息验证成功的情况下，第四云为所述用户生成用户信息。

在本申请具体的实施例中，所述用户信息包括联盟账户、密码和联盟标识中的一种或者多种。联盟账户可以是用户在云联盟中的通行的账号，也就是说，用户可以在云联盟中的任意一朵云上登录联盟账户。密码是目标用户登录联盟账户时输入的验证信息。联盟标识是云联盟的标识。

S104：第四云向背书主体发送所述背书请求。相应地，背书主体接收第四云发送的背书请求。

在本申请的具体的实施例中，背书请求可以以开户提案的形式发送。具体地，开户云将开户提案上传到联盟区块链，联盟区块链在接收到开户提案之后，将开户提案在整个联盟区块链内进行同步。背书节点接收到开户提案之后，对开户提案进行背书。

S105：背书主体根据背书策略对用户信息进行背书以得到背书结果。

S106：背书主体将背书结果发送给第四云。相应地，第四云接收背书主体发送的背书结果。

S107：在背书结果为背书成功时，第四云将背书结果上传联盟区块链。

S108：第四云向用户的用户端发送用户信息。相应地，用户的用户端接收第四云返回的用户信息。

如图4所示，图4是本申请提供的一种认证方法的流程交互图。本实施例的认证方法包括：

S201：第三云获取用户的认证请求。

在本申请具体的实施例中，所述认证请求包括所述用户的用户信息，所述用户信息包括联盟账户、密码和联盟标识中的一种或者多种。

S202：第三云根据联盟账户以及密码对用户的身份进行验证。其中，所述身份信息可以由第三云或者第三方验证机构进行验证。

S203：在验证成功的情况下，第三云根据认证请求生成背书请求，其中，所述背书请求包括用户信息。

S204：第三云向背书主体提交背书请求。相应地，背书主体接收认证云提交的背书请求。

在本申请的具体的实施例中，背书请求可以以认证提案的形式发送。具体地，第四云将认证提案上传到联盟区块链，联盟区块链在接收到认证提案之后，将认证提案在整个联盟区块链内进行同步。背书节点接收到认证提案之后，对认证提案进行背书。

S205：背书主体根据背书策略对用户信息进行背书以得到背书结果。

S206：背书主体将背书结果发送给第三云。相应地，第三云接收背书主体发送的背书结果。

S207：在背书结果为背书成功时，第三云生成目标令牌，并将目标令牌作为联盟令牌。

S208：第三云将联盟令牌上传至联盟区块链。相应地，联盟区块链接收第三云发送的联盟令牌。

S209：第三云将所述目标令牌发送给用户的用户端。相应地，用户的用户端接收第三云发送的所述目标令牌。

如图5所示，图5是本申请提供的一种访问方法的流程交互图。本实施例的访问方法包括：

S301：第一云接收目标用户的第一访问请求，其中，所述第一访问请求包括索引和目标令牌，所述目标令牌是背书主体对所述用户的用户信息进行背书而生成的令牌。

S302：第一云向联盟区块链发送索引。相应地，联盟区块链接收第一云发送的索引。

S303：联盟区块链根据所述索引查找所述索引对应的联盟令牌。

在本申请的具体的实施例中，联盟区块链中的联盟令牌具有失效周期。其中，在联盟令牌的生命周期小于失效周期的情况下，联盟令牌是有效的；在联盟令牌的生命周期大于或者等于失效周期时，联盟令牌将会失效。联盟令牌的失效周期可以保证联盟令牌不会因为存在的时间太长而导致失去作用，提高联盟令牌的可靠性。

S304：联盟区块链向所述第一云发送联盟令牌。相应地，所述第一云接收所述联盟区块链发送的联盟令牌。

S305：第一云将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果。

S306：在匹配结果为匹配成功时，第一云确定所述用户为合法用户，并允许所述用户对所述第一云进行访问。

S307：在匹配结果为匹配失败并且失败原因为令牌失效时，第一云重新生成新的联盟令牌。

S308：第一云将联盟令牌上传至联盟区块链。相应地，联盟区块链接收第一云发送的联盟令牌。

如图6所示，图6是本申请提供的一种访问方法的流程交互图。本实施例的访问方法包括：

S401：第一云向第二云发送用户的第二访问请求，其中，所述第一访问请求包括索引和目标令牌。

S402：第二访问云向联盟区块链发送索引。相应地，联盟区块链接收第二云发送的索引。

S403：联盟区块链根据所述索引查找所述索引对应的联盟令牌。

在本申请的具体的实施例中，联盟区块链中的联盟令牌具有失效周期。其中，在联盟令牌的生命周期小于失效周期的情况下，联盟令牌是有效的；在联盟令牌的生命周期大于或者等于失效周期时，联盟令牌将会失效。联盟令牌的失效周期可以保证联盟令牌不会因为存在的时间太长而导致失去作用，提高联盟令牌的可靠性。

S404：联盟区块链向所述第二云发送联盟令牌。相应地，所述第二云接收所述联盟区块链发送的联盟令牌。

S405：第二云将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果。

S406：在匹配结果为匹配成功时，第二云确定所述用户为合法用户，并允许所述用户对所述第二云进行访问。

S407：在匹配结果为匹配失败并且失败原因为令牌失效时，第二云重新生成新的联盟令牌。

408：第二云将联盟令牌上传至联盟区块链。相应地，联盟区块链接收第二云发送的联盟令牌。

参阅图7，图7是是本申请提供的又一种云联盟的结构示意图。本申请的云联盟包括第一云、第三云和第四云，其中，第一云、第三云和第四云之上构建了云联盟区块链。其中，第一云、第三云和第四云可以是完全不同的云，部分相同的云或者完全相同的云，此处不作具体限定。

如图7所示，第一云可以包括多个云节点，每个云节点包括接收模块101、生成模块102以及发送模块130。

所述接收模块101用于接收用户的开户请求，其中，所述开户云属于云联盟，所述云联盟包括多朵云；

所述生成模块102用于根据所述开户请求为所述用户生成用户信息；

所述发送模块103用于向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

所述发送模块103还用于根据所述背书结果将所述背书结果上传至联盟区块链中，所述联盟区块链可被所述云联盟中的任意一朵云访问。

如图7所示，第三云可以包括多个云节点，每个云节点包括获取模块201、发送模块202以及生成模块203。

所述获取模块201用于获取用户的认证请求，其中，所述认证请求包括所述用户的用户信息，所述第三云属于云联盟，所述云联盟包括多朵云；

所述发送模块202用于根据所述认证请求向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

所述生成模块203用于根据所述背书结果为所述目标用户生成目标令牌；

所述发送模块203还用于将所述目标令牌上传至联盟区块链中以作为联盟令牌，所述联盟区块链可被所述云联盟中的任意一朵云访问。

如图7所示，第四云可以包括多个云节点，每个云节点包括获取模块301、匹配模块302以及确定模块303。

所述获取模块301用于获取用户的第一访问请求，其中，所述第一访问请求包括目标令牌，所述目标令牌由背书主体对所述用户的用户信息进行背书而生成的，所述第一云属于云联盟，所述云联盟包括多朵云；

所述匹配模块302用于从联盟区块链上获取联盟令牌，并将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果，其中，所述联盟区块链可被所述云联盟中的任意一朵云访问；

所述确定模块303用于根据匹配结果确定所述目标用户为合法用户，并允许所述目标用户对所述第一云进行访问。

上述实施例中并没有对第一云、第三云和第四云展开描述，具体请参见图2至图6以及相关陈述，此处不再展开赘述。

参阅图8，图8是是本申请提供的再一种云联盟的结构示意图。本申请的云联盟包括第一云系统、第三云系统和第四云系统，其中，第一云系统、第三云系统和第四云系统之上构建了云联盟区块链。其中，第一云系统、第三云系统和第四云系统可以是不同的云系统，部分相同的云系统或者完全相同的云系统，此处不作具体限定。第一云系统、第三云系统、第四云系统可以属于不同公司，也可以属于相同公司运营的不同国家运营的云。

如图8所示，本申请的第一云系统包括多个计算设备，每个计算设备包括一个或多个处理器401、通信接口402和存储器403。其中，处理器401、通信接口402和存储器403之间可以通过总线404连接。

处理器401包括一个或者多个通用处理器，其中，通用处理器可以是能够处理电子指令的任何类型的设备，包括中央处理器(central processing unit，CPU)、微处理器、微控制器、主处理器、控制器以及专用集成电路(application specific integratedcircuit，ASIC)等等。处理器401执行各种类型的数字存储指令，例如存储在存储器403中的软件或者固件程序，它能使计算设备提供较宽的多种服务。例如，处理器401能够执行程序或者处理数据，以执行本文介绍的方法的部分或者全部。

通信接口402可以为有线接口(例如以太网接口)或无线接口(例如蜂窝网络接口或使用无线局域网接口)，用于与其他计算设备或用户进行通信。

存储器403可以包括内部存储器和外部存储器。内部存储器可以包括如下至少一项中的一项或者多项：易失性存储器(例如动态随机存取器(DRAM)、静态RAM(SRAM)、同步动态RAM(SDRAM))和非易失性存储器(例如一次性可编程只读存储器(OTPROM)、可编程ROM(PROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、掩膜ROM、与非(NAND)闪存、或非(NOR)闪存等)。内部存储器可以具有固态驱动器(SSD)的形式。外部存储器还可以包括闪驱，例如高密度闪存、安全数字、微型SD、迷你型SD、极限数据(xD)、存储棒等。外部存储器可以采用集中式存储，也可以采用分布式存储，此处不作具体限定。

处理器401通过读取存储器403中的程序，可以执行如下步骤：

通过通信接口402接收用户的开户请求，其中，所述第四云属于云联盟，所述云联盟包括多朵云；

通过处理器401根据所述开户请求为所述用户生成用户信息；

通过通信接口402向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

通过通信接口402根据所述背书结果将所述背书结果上传至联盟区块链中，所述联盟区块链可被所述云联盟中的任意一朵云访问。

可选地，所述背书主体包括云联盟中的任一云或者第三方公证机构。

可选地，所述用户信息包括联盟账号、密码、联盟标识中的一种或者多种。

如图8所示，本申请的第三云系统的结构与第一云系统相似，包括多个计算设备，每个计算设备包括一个或多个处理器501、通信接口502和存储器503。其中，处理器501、通信接口502和存储器503之间可以通过总线504连接。

处理器501通过读取存储器503中的程序，可以执行如下步骤：

通过通信接口502获取用户的认证请求，其中，所述认证请求包括所述用户的用户信息，所述第三云属于云联盟，所述云联盟包括多朵云；

通过通信接口502根据所述认证请求向背书主体发送背书请求，并接收所述背书主体返回的背书结果，其中，所述背书请求包括所述用户信息，所述背书结果为所述背书主体对所述用户信息进行背书得到的结果；

通过处理器501根据所述背书结果为所述目标用户生成目标令牌；

通过通信接口502将所述目标令牌上传至联盟区块链中以作为联盟令牌，所述联盟区块链可被所述云联盟中的任意一朵云访问。

可选地，所述背书主体包括云联盟中的任一云或者第三方公证机构。

可选地，通过处理器501确定所述联盟令牌的失效周期，其中，所述失效周期用于在所述联盟令牌的生命周期大于失效周期时，使所述联盟令牌失效。

可选地，所述用户信息包括联盟账号、密码、联盟标识中的一种或者多种。

如图8所示，本申请的第三云系统的结构与第一云系统相似，包括多个计算设备，每个计算设备包括一个或多个处理器601、通信接口602和存储器603。其中，处理器601、通信接口602和存储器603之间可以通过总线604连接。

处理器601通过读取存储器603中的程序，可以执行如下步骤：

通过通信接口602获取用户的第一访问请求，其中，所述第一访问请求包括目标令牌，所述目标令牌由背书主体对所述用户的用户信息进行背书而生成的，所述第一云属于云联盟，所述云联盟包括多朵云；

通过通信接口602从联盟区块链上获取联盟令牌，并将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果，其中，所述联盟区块链可被所述云联盟中的任意一朵云访问；

通过处理器601根据匹配结果确定所述目标用户为合法用户，并允许所述目标用户对所述第一云进行访问。

可选地，所述背书主体包括云联盟中的任一云或者第三方公证机构。

可选地，在所述联盟令牌的生命周期大于失效周期的情况下，处理器601重新生成新的联盟令牌，并将所述新的联盟令牌上传到所述联盟区块链中。

可选地，通过通信接口602接收用户的第二访问请求，其中，所述第二访问请求包括目标令牌；通过通信接口602向所述第二云发送所述用户的第二访问请求，其中，所述第二云属于所述云联盟。

上述方案中，在用户端需要访问第一云的情况下，第一云接收用户发送的第一访问请求，其中，第一访问请求中包括目标令牌。第一云从联盟区块链上获取联盟令牌，将所述目标令牌和所述联盟令牌进行匹配以得到匹配结果，根据匹配结果确定所述目标用户为合法用户，并允许所述目标用户对所述第一云进行访问。由于目标令牌是由背书主体对所述用户的用户信息进行背书而生成的，具有良好的公信力，因此，只要用户端发送的访问请求中携带了目标令牌，并且，对目标令牌的验证也顺利通过，就可以确定用户的身份是合法的，允许用户进行访问。所以，只要携带了目标令牌，云联盟的用户就可以随意访问云联盟中的任意一朵云的资源。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、终端和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的

具体实施方式

，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。