本發明公開了一種基于數字證書以及CA認證體系的聯盟鏈權限控制方法。在聯盟鏈中，通過分層的數字證書簽發體系，實現聯盟鏈的準入控制和自動權限認證。本發明預先定義了三種權限機制，分別用于控制聯盟鏈節點之間的準入權限，聯盟鏈節點的角色權限以及區塊鏈用戶的訪問權限。利用三種數字證書：準入證書、角色證書以及交易證書分別控制節點準入，角色鑒別以及客戶端準入三種權限。采用國際通用的橢圓曲線數字簽名算法或是國密數字簽名算法實現數字證書的生成及安全消息的簽名及驗證，解決了傳統區塊鏈的權限粒度大甚至沒有準入功能等缺陷，并為區塊鏈用戶提供了匿名交易特性，提高了區塊鏈交易的安全性并滿足了用戶的隱私需求。

技術領域

本發明涉及去中心化的區塊鏈賬本技術和權限控制方法，尤其涉及一種基于數字證書以及CA認證體系的聯盟鏈權限控制方法。

背景技術

區塊鏈技術，區塊鏈是一種新型去中心化協議，能安全地存儲數字貨幣交易或其他數據，信息不可偽造和篡改，區塊鏈上的交易確認由區塊鏈上的所有節點共同完成，由共識算法保證其一致性，區塊鏈上維護一個公共的賬本，用于存儲區塊鏈網絡上所有用戶的余額，公共賬本位于存儲區塊上任何節點可見，從而保證其不可偽造和篡改。

傳統區塊鏈上，所有的用戶都是匿名且沒有準入權限控制，任何人都可以加入或者退出，在聯盟鏈的特殊場景當中，需要對加入聯盟鏈的節點進行準入權限控制。但是傳統的區塊鏈技術并不涉及該功能。在傳統的區塊鏈中，節點的加入和退出是非常隨意的，節點之間的角色也可以隨意變換，驗證節點和非驗證節點之間可以隨意切換，任意用戶都可以隨意訪問區塊鏈，并取得區塊鏈上的數據，在實際應用當中，很多機密信息是不能公開，并限定在一定權限范圍之內的。

在處理較高加密級別的數據或者較為關鍵的信息的區塊鏈上，對區塊鏈的訪問需要進行權限控制，因此，我們利用數字證書和CA認證機制實現聯盟鏈的權限控制。

數字簽名是廣泛應用在互聯網上用于鑒別身份的一種加密技術，數字證書在數字簽名的基礎上實現了身份的可信鑒別，在信任一個第三方可信機構的前提下，實現雙方的可信身份鑒別，并在此基礎上實現消息的安全傳輸。

發明內容

本發明的目的是針對現有技術的不足，提供一種基于數字證書以及CA認證體系的聯盟鏈權限控制方法，在聯盟鏈中，通過分層的數字證書簽發體系，實現聯盟鏈的準入控制和自動權限認證。本發明預先定義了三種權限機制，分別用于控制聯盟鏈節點之間的準入權限，聯盟鏈節點的角色權限以及區塊鏈用戶的訪問權限。利用三種數字證書：準入證書、角色證書以及交易證書分別控制節點準入，角色鑒別以及客戶端準入三種權限。采用國際通用的橢圓曲線數字簽名算法或是國密數字簽名算法實現數字證書的生成及安全消息的簽名及驗證，解決了傳統區塊鏈的權限粒度大甚至沒有準入功能等缺陷，并為區塊鏈用戶提供了匿名交易特性，提高了區塊鏈交易的安全性并滿足了用戶的隱私需求。

本發明的目的是通過以下技術方案來實現的：一種基于數字證書以及CA認證體系的聯盟鏈權限控制方法，包括如下步驟：

1)根證書生成：由一個聯盟鏈各方信任的第三方機構RTCA生成全聯盟鏈全網根數字證書RTCERT,由該機構向下簽發相應的代理證書簽發機構子根證書，代理數字證書簽發機構包括準入代理簽發機構EACA和角色代理簽發機構RACA，EACA和RACA持有代理簽發根證書，代理簽發根證書包括準入代理簽發根證書EARTCERT和角色代理簽發根證書RARTCERT。

2)準入證書簽發：需要加入聯盟鏈的節點或者客戶端，向EACA提供公鑰和身份信息，EACA利用EARTCERT與其相對應的私鑰，對需要加入聯盟鏈的節點頒發準入證書ECERT，所有的節點和客戶端都需要申請ECERT。

3)角色證書簽發：需要加入聯盟鏈的驗證節點VP將自己的公鑰和身份信息線下提供給RACA，RACA利用RARTCERT與其對應的私鑰，結合對需要加入的聯盟鏈的驗證節點VP頒發角色證書，非驗證節點NVP不需要申請。