MSP通过列出成员的身份或通过标识来确定哪些RCA和ICA受信任,来定义信任域的成员。
MSP可以识别参与者可能在MSP代表的组织范围内扮演的特定角色,并在网络上下文和通道(channel 管理员,作者,读者)中定义访问权限设置
除了channel MSP外,peer,order和client也维护本地MSP,用于在channel上下文之外对成员消息进行身份验证,并定义特定组件的权限。
MSP有两种配置形式:单个MSP定义组织成员列表、使用不同MSP代表具有不同信任域从属关系的不同组织组。
一个组织通常分为多个组织单位(OU),每个OU都有一定的职责集,以此来反应单独的业务线。CA颁发X.509证书时,证书中的OU字段指定身份所属的业务范围。
MSP分为通道MSP(channelMSP)和本地MSP(localMSP)。客户端(用户)和节点(peer、order)都必须定义本地MSP。本地MSP定义了节点的权限,和允许用户作为通道成员或系统中特定角色的所有者进行身份验证和交易。channelMSP定义了管理权和参与权。
peer和order的MSP是本地的,而channelMSP由所有参与者共享,如:peer和order共享相同的channelMSP,因此能够正确的验证channel参与者。
本地MSP和channelMSP的区别不在于功能,而在于范围。
高级MSP处理网络管理问题,低级MSP处理身份管理等私有资源。
网络MSP:定义组织成员,以及授权某些成员执行管理任务(如创建channel)。
channelMSP:channel需要维护其成员的MSP,channel在一组特定的组织之间提供私人通信。channelMSP上下文中定义了谁有能力参与该channel上的某些操作,如添加组织或实例化链码。
peerMSP:定义在peer的文件系统上,每个peer都有一个MSP实例,且仅适用于定义它的peer。
orderMSP:order由单个组织所拥有,因此MSP列出其信任的参与者或节点。
MSP的最重要元素是根或中间CA的规范,用于在各个组织中建立参与者或节点的成员资格。但是,还有更多元素与这两个元素结合使用以辅助成员资格功能。
RCAs:此文件夹包含由该MSP代表的组织所信任的RCA的自签名X.509证书列表。因为该文件夹标识了其他所有从该文件的自签名证书衍生的组织的CAs。
ICAs:此文件夹包含受组织信任的所有ICA的X.509证书,每个证书必须由MSP中的某一个RCA签名。
OUs:此文件夹中包含所有组织单位的X.509证书,若未列出OU,则所有具有MSP标识的成员都将被视为组织的成员。
Administrators:此文件夹中包含所有该组织管理员角色参与者的X.509证书列表。具有管理员角色的参与者并不一定拥有管理系统资源的权限。具体管理权限由channel策略赋予。(X.509证书中的ROLE字段表示的是其所有者在组织中的角色,而不是在区块链网络中的角色)
RCs:概念与CRL相同,MSP的管理员可以通过公示CA已更新的被撤销证书的CRL来实现快速撤销组织中某个参与者或节点。
Signing Certificates:此文件夹包含节点的身份,即节点对应的签名证书,用于节点别允许向channel或其他网络参与者发送的消息中对自己进行身份验证。
Private Keys:此文件用于peer节点和order节点(或客户端)的本地MSP定义,包含节点的签名私钥。此密钥以密码方式对节点身份与节点身份文件进行匹配,并用于对数据进行签名。该文件夹的访问权限仅限于对peer节点负有管理责任的用户身份。
TLS RCAs:此文件包含本组织信任的,用于TLS通信的RCA的自签名X.509证书列表。如当一个peer节点需要连接到一个order节点,以便接收账本更新数据。
TLS ICAs:此文件包含所属MSP代表的组织用于TLS通信的受信任的ICA证书的列表。
1225
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
