本申請實施例公開了一種數字證書的處理方法及裝置，該方法包括：區塊鏈網絡的第一參與方的CA將第一參與方的CA公鑰記錄至區塊鏈網絡中；當第一參與方的CA接收到任一用戶的證書授權請求時，根據證書授權請求中攜帶的用戶身份信息確認是否為第一參與方的CA的用戶；若是則從證書授權請求中獲取用戶的公鑰，并根據環簽名證書簽發規則從區塊鏈網絡中獲取任意N個第二參與方的CA公鑰，N等于環簽名證書簽發規則中設定的公鑰數量；第一參與方的CA根據第一參與方的CA公鑰、私鑰和N個第二參與方的CA公鑰對用戶的用戶身份信息和公鑰進行環簽名形成數字證書并向用戶發送。采用本申請實施例，可增強數字證書的簽發方的身份私密性。

技術領域

本申請涉及區塊鏈技術領域，尤其涉及一種數字證書的處理方法及相關裝置。

背景技術

目前很多聯盟鏈應用都開始引入數字證書頒發機構(Certificate Authority，CA)為區塊鏈上的參與方頒發數字證書。由于很多參與方(例如大多數銀行)都有自己的CA，因此都會要求可以通過自己的CA為自己的客戶來頒發數字證書。例如，銀行A有自己的CA(例如CA-A)，銀行B有自己的CA(比如CA-B)，銀行C有自己的CA(比如CA-C)等等，各個銀行均可通過自己的CA為自己的客戶頒發數字證書。在聯盟鏈網絡中，銀行A、銀行B以及銀行C等任一參與方均會認同其他參與方的CA給其客戶頒發的數字證書。然而，由于所有聯盟鏈上的參與方也都可以通過一個客戶的數字證書來判斷該客戶的哪個參與方的客戶，比如銀行B可以通過一個企業的數字證書的簽發方來判斷這個企業是哪個銀行的客戶。比如說，該企業的數字證書是由銀行A頒發，銀行B則可確定該企業是銀行A的客戶等等。目前聯盟鏈上的這種數字證書的頒發方式導致聯盟鏈交易的交易信息對于聯盟鏈上的各個參與方是完全公開的，交易雙方的身份暴露無遺，難以滿足各個參與方的交易需求，適用性差。

發明內容

本申請實施例提供一種數字證書的處理方法及相關裝置，可實現數字證書的匿名簽發，增強數字證書的簽發方的身份私密性，適用性強。

第一方面，本申請實施例提供了一種數字證書的簽發方法，上述方法適用于數字證書的簽發方，上述方法包括：

區塊鏈網絡中的第一參與方的證書頒發機構CA將上述第一參與方的CA公鑰記錄至區塊鏈網絡中，上述第一參與方為上述區塊鏈網絡中數字證書的簽發方，上述區塊鏈網絡中還記錄了至少一個第二參與方的CA公鑰，上述第二參與方為上述區塊鏈網絡中除上述第二參與方之外的參與方；

當上述第一參與方的CA接收到任一用戶的證書授權請求時，根據上述證書授權請求中攜帶的用戶身份信息確認上述用戶是否為上述第一參與方的CA的用戶；

若上述簽發方的CA確認上述用戶是上述第一參與方的CA的用戶，則從上述證書授權請求中獲取上述用戶的公鑰，并根據預先設定的環簽名證書簽發規則，從上述區塊鏈網絡中獲取任意N個上述第二參與方的CA公鑰，其中，N等于上述環簽名證書簽發規則中設定的公鑰數量；

上述簽發方的CA根據上述第一參與方的CA的公鑰、私鑰和上述N個上述第二參與方的CA公鑰對上述用戶的用戶身份信息和公鑰進行環簽名并形成數字證書，并向上述用戶發送上述數字證書。

結合第一方面，在一種可能的實施方式中，上述環簽名證書簽發規則由上述第一參與方的CA自行制定，或者由上述區塊鏈網絡中的各個參與方的CA共同制定；上述環簽名證書簽發規則被記錄于上述區塊鏈網絡中。

結合第一方面，在一種可能的實施方式中，上述環簽名證書簽發規則中還包括由X509的數字證書構成的規范；上述X509中包括用于記錄環簽名的公鑰信息的預設字段；

上述第一參與方的CA根據上述第一參與方的CA的公鑰、私鑰和上述N個上述第二參與方的CA公鑰對上述用戶的用戶身份信息和公鑰進行環簽名并形成數字證書包括：