区块链hyperledger-fabric之 权限管理

Fabric 身份管理
1.Fabric 权限管理基于身份管理
2.Fabric 身份管理基于PKI体系
3.Fabric 成员身份基于标准的X.509证书
4.Fabric 中CA提供成员服务管理
区块链hyperledger-fabric之 权限管理_第1张图片
**Fabric MSP(成员管理服务提供商) **
Fabric提出了MSP(Membership Service Provide)的概念,MSP(成员管理服务提供商) ,MSP是一个提供虚拟成员操作的管理框架的组件,MSP抽取出签发和验证证书以及用户认证背后的所有加密机制和协议。 MSP可以定义自己的身份概念,以及这些身份管理的规则(身份验证)和身份验证(签名生成和验证),一个Fabric网络能够被一个或更多的MSP控制。这提供了会员操作的模块化,以及跨不同会员标准和体系结构的互操作性。

1.MSP抽象各成员之间的控制结构关系
2.MSP将证书颁发、用户认证、后台加密和协议抽象化
3.一个Fabric网络可以有多个MSP
4.实现Fabric网络操作、规则和流程模块化
5.一般情况下建议一个组织对应一个MSP,当然技术上也支持一个组织对应多个MSP,多个组织对应一个MSP

Ca:根ca证书和秘钥
Msp:msp的配置
Orderers or Peers:orderers的配置或者peers的配置
Tlsca:TLS的中间CA证书和秘钥
Users:用户配置,默认有1个管理员和1个普通用户

Fabric CA
Fabric CA提供如下功能:

1.用户信息注册
2.数字证书发行
3.数字证书延期和吊销

区块链hyperledger-fabric之 权限管理_第2张图片
FabricCA 证书信任链
由根CA和中间CA 到最终用户组成一个证书信任链
区块链hyperledger-fabric之 权限管理_第3张图片
Fabric MSP实现权限管理
前面讲到Gossip协议只在1个组织内部进行数据同步和分发,更准确的说应该是Gossip协议只在1个MSP内部进行数据同步和分发,所以我们在设计网络时,需要考虑组织和MSP的对应关系

11个组织对应1MSP,方便管理,数据只在组织内部同步,一定程度保护了隐私
(21个组织对应多个MSP,这种情况一般是组织内部存在多个部门,为了实现管理方便和隐私保护,为每个部门单独设置一个MSP,这样组织内部的部门之间不会同步数据,同时可以实现基于部门的交易背书策略和通道管理策略
(3)多个组织对应1MSP,一般在同一个联盟的不同组织之间需要实现数据的同步

区块链hyperledger-fabric之 权限管理_第4张图片

你可能感兴趣的:(区块链,区块链,fabric)