1.一種基于數字證書以及CA認證體系的聯盟鏈權限控制方法，其特征在于，包括如下步驟：

1）根證書生成：由一個聯盟鏈各方信任的第三方機構RTCA生成全聯盟鏈全網根數字證書RTCERT,由該機構向下簽發相應的代理證書簽發機構子根證書，代理數字證書簽發機構包括準入代理簽發機構EACA和角色代理簽發機構RACA，EACA和RACA持有代理簽發根證書，代理簽發根證書包括準入代理簽發根證書EARTCERT和角色代理簽發根證書RARTCERT；

2）準入證書簽發：需要加入聯盟鏈的節點或者客戶端，向EACA提供公鑰和身份信息，EACA利用EARTCERT與其相對應的私鑰，對需要加入聯盟鏈的節點頒發準入證書ECERT，所有的節點和客戶端都需要申請ECERT；

3）角色證書簽發：需要加入聯盟鏈的驗證節點VP將自己的公鑰和身份信息線下提供給RACA，RACA利用RARTCERT與其對應的私鑰，結合對需要加入的聯盟鏈的驗證節點VP頒發角色證書，非驗證節點NVP不需要申請；

4） 節點準入鑒權：在聯盟鏈節點完成節點之間的相互連接的過程中，記連接發起節點為B,被動連接節點記為A，在聯盟鏈建立之時或新節點加入時，節點A需要驗證所有向自己連接的節點的權限；節點B在發起連接的同時將ECERT發送到被動連接節點A處，節點A驗證節點B的證書的合法性以及附帶信息的來源，驗證B的身份信息，若通過則允許節點B連接到節點A；

5） 節點角色鑒權：聯盟鏈節點相互連接之時需要對節點角色進行鑒別，如果是驗證節點，則該節點連接之時會附帶RCERT，在被動連接節點A驗證通過之后，節點A會將連接發起節點B標記為驗證節點，并將驗證消息轉發至B；RCERT表示角色證書；

6） 客戶端準入鑒權：聯盟鏈權限體系在邏輯上是一個整體，所有需要訪問聯盟鏈的SDK及客戶端應用都需要持有由EACA頒發的ECERT，客戶端訪問聯盟鏈應用接口之前，被訪問的節點需要對該客戶端進行鑒權；節點對所有訪問自己的客戶端進行身份驗證，并對該客戶端身份信息進行記錄，所有客戶端的行為都將由該節點A進行代理；客戶端通過訪問節點A發起的交易將在節點端用節點證書及其對應私鑰替換交易簽名，并進行轉發；

7）交易證書簽發：客戶端在利用ECERT在節點A通過準入鑒權之后，節點A將為該客戶端在線簽發短期交易證書TCERT,客戶端在下次訪問的時候利用該TCERT對交易信息進行簽名；而TCERT中將不會包含詳細的客戶端身份信息，僅包含身份指紋，該TCERT以節點A的ECERT作為根證書進行簽發；

8）偽匿名交易：客戶端利用TCERT實現相對匿名交易，客戶端利用ECERT通過身份認證之后，取得節點在線簽發的短期TCERT，利用該短期TCERT，客戶端獲取更多的TCERT,而TCERT中的身份標識將會動態變化，客戶端在每次發起交易請求時利用不同的TCERT所對應的私鑰進行消息簽名。