Fabric 1.3的新功能:身份混合器(Identity Mixer)
什么是身份混合器(缩写Idemix)?
Idemix是一套协议加密组件。它可以提供强大的身份验证和隐私保护特性。如匿名性、在不透露交易者身份的情况下进行交易的能力、以及不可链接性、单个身份发送多个交易的能力。Idemix有三种角色:用户、发行者、验证者。
发行者将一组用户的属性以一个数字证书的形式发布,以下简称“身份证书”。
用户随后生成一个“零知识证明”的身份证书,并且还可以自己选择公开哪些属性。因为是零知识证明,所以它没有向验证者、发行者或任何其他人透露额外的信息。
举一个例子:假设“Alice”需要向Bob(一个店员)证明,她拥有DMV颁发的一张驾照。注:DMV是Department of Vehicles(车管所)的缩写。
在这种情况下,Alice是用户,DMV是发行者,Bob是验证者。为了向Bob证明Alice有驾驶执照,她可以向他展示。可是这样Bob会看到爱丽丝的姓名,地址,实际年龄等信息,这些信息其实Bob不需要知道。
解决这个问题的方法是, Alice可以使用Idemix生成Bob的“零知识证明”,这个证明只能表明她有一个有效的驾驶执照,没有其他任何用途。
所以从证明中可以得知:
Bob除了知道Alice有一个有效驾照(匿名)以外,不知道任何关于她的附加信息。
如果Alice多次访问商店,并且每次都为Bob生成证明,那Bob无法确定这是同一个人(不可链接性)。
Idemix身份验证技术提供了类似于标准X.509证书所保证的信任模型和安全保证。但是与X.509相比,Idemix提供了底层密码算法。这些算法有效地提供了高级隐私特征。我们将在下面的技术部分详细地比较Idemix和X.509。
如何使用Idemix
为了理解如何在Hyperledger Fabric中使用Idemix,我们需要查看哪些Fabric组件与Idemix中的用户、发行者和验证者有关。
用户是Java SDK API。未来Fabric的其他SDK也将支持Idemix。
Fabrci提供了两种可能的Idemix发行人:
1、用于生产或开发环境的Fabric CA
2、用于开发环境的idemixgen生成工具
验证者是Fabric中的一个Idemix MSP。
为了在Hyperledger Fabric中使用Idemix,需要以下三个基本步骤:
将这张图中的角色与上面一张图的角色进行比较。
1、发行者(Issuers):
Fabric CA(版本1.3或更高)已被增强为自动成为Idemix发行者。当Fabric CA服务器启动的时候(或通过CA服务器初始化命令初始化时),以下两个文件是会在fabric-ca-server的Home目录下自动创建:IssuerPublicKey和IssuerRevocationPublicKey。在步骤2中需要使用这些文件。
对于开发环境,如果不使用Fabric CA,则可以使用“idemixgen”来创建这些文件。
2、验证者(Verifier):
你需要使用第一步创建的IssuerPublicKey 和 IssuerRevocationPublicKey来创建Idemix的MSP
例如,在Hyperledger Java SDK例子的configtx.yaml中有这么一段:
- &Org1Idemix
# defaultorg defines the organization which is used in the sampleconfig
# of the fabric.git development environment
name: idemixMSP1
# id to load the msp definition as
id: idemixMSPID1
msptype: idemix
mspdir: crypto-config/peerOrganizations/org3.example.com msptype被设置到idemix中,mspdir目录(在这里是crypto-config/peerOrganizations/org3.example.com)中则包含IssuerPublicKey 和IssuerRevocationPublicKey文件
注意在这个例子中Org1Idemix代表针对Org1(不显示)的Idemix MSP,其中也包含一个X509的MSP
3、用户(User)
使用Java SDK调用Idemix只需要一个额外的API:
org.hyperledger.fabric_ca.sdk.HFCAClient类中的idemixEnroll方法。
例如:假设hfcaClient是你的HFCAClient对象,x509Enrollment是org.hyperledger.fabric.sdk.Enrollment的对象,它与你的X509证书相关联。下面的调用将返回一个org.hyperledger.fabric.sdk.Enrollment对象,它与你的Idemix证书相关联: