Hyperledger Fabric（身份）

ConardLi 發(fā)布于2019-06-27 18:36 / 1423人閱讀

摘要：的證書撤銷列表構(gòu)成不再有效的證書的參考，證書的撤銷可能由于多種原因而發(fā)生，例如，因為與證書關(guān)聯(lián)的加密私有材料已被公開導(dǎo)致證書可能會被撤銷。描述一個名為的當(dāng)事人的數(shù)字證書，是證書的，高亮的文本顯示了關(guān)于的關(guān)鍵事實。

身份 什么是身份？

區(qū)塊鏈網(wǎng)絡(luò)中的不同參與者包括對等點(diǎn)、排序者、客戶端應(yīng)用程序，管理員等。這些參與者中的每一個 — 網(wǎng)絡(luò)內(nèi)部或外部能夠使用服務(wù)的活動元素 — 都具有封裝在X.509數(shù)字證書中的數(shù)字身份，這些身份確實很重要，因為它們確定了對資源的確切權(quán)限以及對參與者在區(qū)塊鏈網(wǎng)絡(luò)中擁有的信息的訪問權(quán)限。

此外，數(shù)字身份還具有Fabric用于確定權(quán)限的一些附加屬性，并且它為身份和關(guān)聯(lián)屬性的聯(lián)合提供了一個特殊名稱 - 主體。主體就像userID或groupID，但更靈活一點(diǎn)，因為它們可以包含參與者的身份的各種屬性，例如參與者的組織，組織單位，角色甚至是參與者的特定身份，當(dāng)我們談?wù)撝黧w時，它們是決定其權(quán)限的屬性。

要使身份可以驗證，它必須來自可信任的權(quán)威機(jī)構(gòu)，成員資格服務(wù)提供商（MSP）是這個功能如何在Fabric中實現(xiàn)的。更具體地說，MSP是定義治理該組織的有效身份的規(guī)則的組件，F(xiàn)abric中的默認(rèn)MSP實現(xiàn)使用X.509證書作為身份，采用傳統(tǒng)的公鑰基礎(chǔ)設(shè)施（PKI）分層模型（稍后將詳細(xì)介紹PKI）。

一個簡單的場景來解釋身份的使用

想象一下，你去超市購買一些雜貨，在結(jié)賬時，你會看到一個標(biāo)志，表示只接受Visa、Mastercard和AMEX卡，如果你嘗試使用其他卡付款 - 我們將其稱為“ImagineCard” - 無論該卡是否真實且你的帳戶中有足夠的資金都無關(guān)緊要，它不會被接受。

擁有有效的信用卡是不夠的 - 它也必須被商店接受！PKI和MSP以相同的方式協(xié)同工作 - PKI提供身份列表，MSP表示哪些是參與網(wǎng)絡(luò)的給定組織的成員。

PKI證書頒發(fā)機(jī)構(gòu)和MSP提供了一個類似的功能組合，PKI就像一個卡提供商 - 它分配了許多不同類型的可驗證身份，另一方面，MSP就像商店接受的卡提供商列表，確定哪些身份是商店支付網(wǎng)絡(luò)的可信成員（參與者），MSP將可驗證的身份轉(zhuǎn)變?yōu)閰^(qū)塊鏈網(wǎng)絡(luò)的成員。

讓我們更詳細(xì)地深入研究這些概念。

什么是PKI？

公鑰基礎(chǔ)設(shè)施（PKI）是在網(wǎng)絡(luò)中提供安全通信的互聯(lián)網(wǎng)技術(shù)集合，它是將S放入HTTPS的PKI - 如果你在Web瀏覽器上閱讀此文檔，你可能正在使用PKI來確保它來自經(jīng)過驗證的源。

公鑰基礎(chǔ)設(shè)施（PKI）的要素。PKI由證書頒發(fā)機(jī)構(gòu)組成，它們向各方（例如，服務(wù)、服務(wù)提供商的用戶）頒發(fā)數(shù)字證書，然后使用它們在其環(huán)境中交換的消息中對他們自己進(jìn)行認(rèn)證。CA的證書撤銷列表（CRL）構(gòu)成不再有效的證書的參考，證書的撤銷可能由于多種原因而發(fā)生，例如，因為與證書關(guān)聯(lián)的加密私有材料已被公開導(dǎo)致證書可能會被撤銷。

雖然區(qū)塊鏈網(wǎng)絡(luò)不僅僅是一個通信網(wǎng)絡(luò)，但它依賴于PKI標(biāo)準(zhǔn)來確保各個網(wǎng)絡(luò)參與者之間的安全通信，并確保在區(qū)塊鏈上發(fā)布的消息得到正確地認(rèn)證。因此，了解PKI的基礎(chǔ)知識以及為什么MSP如此重要是非常重要的。

PKI有四個關(guān)鍵要素：

數(shù)字證書

公鑰和私鑰

證書頒發(fā)機(jī)構(gòu)

證書撤銷列表

讓我們快速描述這些PKI基礎(chǔ)知識，如果你想了解更多細(xì)節(jié)，維基百科是一個很好的起點(diǎn)。

數(shù)字證書

數(shù)字證書是包含與證書持有者有關(guān)的一組屬性的文檔，最常見的證書類型是符合X.509標(biāo)準(zhǔn)的證書，它允許在其結(jié)構(gòu)中編碼一方的識別細(xì)節(jié)。

例如，Detroit Mitchell汽車制造部門的Mary Morris，Michigan可能有一個SUBJECT屬性為C=US，ST=Michigan，L=Detroit，O=Mitchell Cars，OU=Manufacturing，CN=Mary Morris /UID=123456的數(shù)字證書，Mary的證書類似于她的政府身份證 - 它提供了Mary的信息，她可以用它來證明關(guān)于她的關(guān)鍵事實。X.509證書中還有許多其他屬性，但現(xiàn)在讓我們專注于這些。

描述一個名為Mary Morris的當(dāng)事人的數(shù)字證書，Mary是證書的SUBJECT，高亮的SUBJECT文本顯示了關(guān)于Mary的關(guān)鍵事實。如你所見，證書還包含更多信息，最重要的是，Mary的公鑰是在她的證書中分發(fā)的，而她的私人簽名密鑰則不是，此簽名密鑰必須保密。

重要的是，Mary的所有屬性都可以使用稱為密碼學(xué)（字面意思，“秘密寫作”）的數(shù)學(xué)技術(shù)進(jìn)行記錄，因此篡改將使證書無效，只要對方信任證書頒發(fā)者（稱為證書頒發(fā)機(jī)構(gòu)（CA）），密碼學(xué)就允許Mary將證書提交給其他人以證明自己的身份。只要CA安全地保存某些加密信息（意味著它自己的私人簽名密鑰），任何閱讀證書的人都可以確定關(guān)于Mary的信息沒有被篡改 - 它將始終具有Mary Morris的特定屬性，將Mary的X.509證書視為無法改變的數(shù)字身份證。

認(rèn)證、公鑰和私鑰

下一篇：成員資格