fabric1.2.1新特性-访问控制列表

最新推荐文章于 2022-10-14 11:12:09 发布
最新推荐文章于 2022-10-14 11:12:09 发布
阅读量2.7k 收藏 5
点赞数
分类专栏: HyperLedge 1.2.1特性 文章标签: fabric 区块链 hyperledger

访问控制列表 Access Control Lists(ACL)

什么是访问控制列表?

fabric 使用访问控制列表来通过将策略(在给定一组身份的情况下指定评估为“真”或“假”的规则)与资源关联来管理对资源的访问。在这篇文档中,我们将讨论如何格式化访问控制列表以及如何覆盖默认值。

在做这些之前,必须先了解一些资源和策略的相关知识。

资源

用过通过定位用户链码、系统链码、或者事件流源与fabric进行交互。
应用程序开发人员,需要了解这些资源以及与之关联的默认策略。在configtx.yaml文件中有完整的资源列表。这里有一份configtx.yaml的样例
在configtx.yaml文件中指定的资源是fabric当前定义的所有内部资源的详尽列表。资源被定义为<组件>/<资源>。例如,cscc/GetConfigBlock 就是表达cscc组件中的资源GetConfigBlock。

策略

策略是fabric工作方式的基础,因为它们允许根据与完成请求所需资源相关联的策略来检查与请求关联的身份(或身份集合)。背书侧裂用于确定交易是否得到适当认可。通道配置中定义的策略被引用为修改策略以及访问控制,并在通道配置本身中定义。
策略类型分为:
* 签名策略
* ImplicitMeta 策略

签名策略

这些策略标识必须签署的特定用户才能满足策略。如:

Policies:
  MyPolicy:
    Type: Signature
    Rule: “Org1.Peer OR Org2.Peer

样例中的策略构造可以解释为:命名为 MyPolicy的策略需要满足组织Org1或者Org2中的peer节点身份的签名。
签名策略支持”AND、OR、NOutOf”的任意组合,允许建立极其强大的规则,比如:组织A的管理员和另外两名管理员,或者20位组织管理员中的11位。

ImplicitMeta策略

ImplicitMeta策略聚合配置层次结构中更深层次的策略结果,这些策略最终由签名策略定义。它们支持默认规则,例如“大多数组织管理员”。与签名策略相比,这些策略使用不同但任然非常简单的语法:

Policies:
  AnotherPolicy:
    Type: ImplicitMeta
    Rule: "MAJORITY Admins"

这里,策略AnotherPolicy可以由“MAJORITY of Admins”满足,其中管理员最终由较低级别的签名策略制定。

访问控制在哪被指定

访问控制默认定义在configtx.yaml,configtxgen使用该文件构建通道配置。
访问控制升级有两种方法:
* 通过编辑configtx.yaml本身,可以将ACL修改传播到任何新通道
* 通过更新特定通道的通道配置中的访问控制来更新访问控制

如何在configtx.yaml中格式化ACL

ACL被格式化为键值对,由资源函数名称后跟字符串组成。这里有个configtx.yaml的例子
这里有两个样例:

#在peer节点提交链码的ACL策略
peer/Propose: /Channel/Application/Writers
# 发送区块事件的ACL策略
event/Block: /Channel/Application/Readers

这些ACL定义对”peer/Propose”和”event/Block”资源的访问限制为分别满足在规范路径”Channel/Application/Writers”和”/Channel/Application/Readers”中定义的策略的身份。

在configtx.yaml中更新ACL默认值

如果在引导网络时需要覆盖ACL默认值,或者在引导通道之前更改ACL,最佳做法是更新configtx.yaml。
假设你需要修改”peer/Propose”ACL默认值(在peer节点调用链码的特点策略),在路径”/Channel/Application/Writers”下名为MyPolicy的策略。
这是通过添加名为MyPolicy(这里只是个举例命名)的策略来完成的。该策略在configtx.yaml内的Application.Policies部分中定义,并指定要检查以授权或拒绝用户访问权限的规则。对于这个例子,我们将要创建一个标识SampleOrg.admin的签名策略。

Policies: &ApplicationDefaultPolicies
    Readers:
        Type: ImplicitMeta
        Rule: "ANY Readers"
    Writers:
        Type: ImplicitMeta
        Rule: "ANY Writers"
    Admins:
        Type: ImplicitMeta
        Rule: "MAJORITY Admins"
    MyPolicy:
        Type: Signature
        Rule: "OR('SampleOrg.admin')"

然后,在configtx.yaml文件中编辑Application:ACLs部分,编辑资源”peer/Propose”从
“peer/Propose: /Channel/Application/Writers”
修改为
“peer/Propose: /Channel/Application/MyPolicy”

在configtx.yaml中更改了这些字段后,configtxgen工具将使用创建通道创建事务时定义的策略和ACL。当联盟成员的一个管理员适当地签名和提交时,将创建具有已定义的ACL和策略的新通道。
一旦MyPolicy被引导到通道配置中,它也可以被引用以覆盖其他ACL默认值。比如:

SampleSingleMSPChannel:
    Consortium: SampleConsortium
    Application:
        <<: *ApplicationDefaults
        ACLs:
            <<: *ACLsDefault
            event/Block: /Channel/Application/MyPolicy

这将限制订阅区块事件到SampleOrg.admin的能力。
如果已创建了要使用此ACL的通道,则必须使用以下流程一次更新一个通道配置:

在通道配置中更新ACL默认值

如果已经创建了希望使用MyPolicy策略来限制访问资源”peer/Propose”的通道(或者如果他们想要创建ACL,他们不希望其他通道了解),他们必须通过配置更新事务一次更新一个通道配置。

注意:通道配置事务是一个我们不会再深入研究的过程。如果您想了解更多关于他们的信息,请查看关于通道配置更新的文档以及“向通道添加组织”的教程。

在提取,转换并剥离其元数据的配置块之后,您可以通过Application: policies下添加MyPolicy策略来编辑配置,其中Admins,Writers和Readers策略已经存在。

"MyPolicy": {
  "mod_policy": "Admins",
  "policy": {
    "type": 1,
    "value": {
      "identities": [
        {
          "principal": {
            "msp_identifier": "SampleOrg",
            "role": "ADMIN"
          },
          "principal_classification": "ROLE"
        }
      ],
      "rule": {
        "n_out_of": {
          "n": 1,
          "rules": [
            {
              "signed_by": 0
            }
          ]
        }
      },
      "version": 0
    }
  },
  "version": "0"
},

请特别注意这里的”msp_identifer”和”role”。
然后,在配置中的ACL部分,更改资源”peer/Propose”的ACL,从:

"peer/Propose": {
  "policy_ref": "/Channel/Application/Writers"

更改为:

"peer/Propose": {
  "policy_ref": "/Channel/Application/MyPolicy"

注意:如果您的通道配置中未定义ACL,则必须添加整个ACL结构。
配置更新后,需要通过常用通道更新流程提交。

满足需要访问多个资源的ACL

如果成员发出调用多个系统链码的请求,则必须满足这些系统链码的所有ACL。
例如,资源”peer/Propose”引用通道上的任何提议请求。如果特定的提案请求一个需要满足Writers权限的标识和一个满足MyPolicy权限的标识的两个系统链码,然后,提交提案的成员必须具有对Writers和MyPolicy权限评估为”true”的标识。
在默认配置中,Writers是一个规则为SampleOrg.member的签名策略。意识就是”组织中的任意成员”。上面提到的策略”MyPolicy”,具有”SampleOrg.admin”规则,意思就是”组织中的任意管理员用户”。为了满足这些ACL,成员必须是组织SampleOrg的管理员和成员。默认情况下,所有的管理员也是成员(虽然并非所有管理员都是成员),但是可以将这些策略重写为您想要的任何内容。因此,非常有必要跟踪这些策略,以确保无法满足peer节点提案的ACL(除非这是有意的)。

使用实验性ACL特性功能的客户的迁移注意事项

以前,访问控制列表的管理是在通道创建事务的isolated_data部分中完成的,并通过PEER_RESOURCE_UPDATE事务进行更新。起初,认为资源树将处理多个函数的更新,这些函数最终以其他方式处理,因此维护单独的并行peer节点配置树被认为是不必要的。
可以使用v1.1中的实验资源树进行客户迁移。由于官方v1.2版本不支持旧的ACL方法,因此fabric网络运营方需要关闭所有的peer节点。然后,他们应该将peer节点升级到v1.2,提交一个通道重新配置事务,该事务启用v1.2功能并设置所需的ACL,然后最终重新启动升级的peer节点。重新启动的peer节点将立即使用新的通道配置并根据需要强制执行ACL。

songbin830
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fabric部署,运行e2e_cli出现的问题:ERRO 001
mx1222的博客
07-02 6096
fabric部署,运行e2e_cli出现的问题:最常见的就是ERRO 001 cannot run peer because error when setting up MSP from directory /opt/gopath/src/......。出现这个问题主要是由于镜像没下全以及缺少ltdl.h文件的原因,当然还要确定你的fabric版本与你下的镜像版本一致,我使用的是v1.0.0。解决...
HyperLedger Fabric 查询机制
Yigimasu的博客
06-22 1054
引言 随着区块链技术的日趋成熟,更多企业开始探索区块链的实际使用场景。HyperLedger Fabric(下称Fabric),由Apache社区开发的开源的,企业级的,带权限的分布式账本平台,被广泛应用于学术研究和企业应用领域。其查询技术是使用和开发Fabric不可或缺的一项功能模块,但由于区块链技术的去中心化特性,其查询机制的设计和常规分布式系统存在较大差异,并且存在一定的技术理解门槛。目前官方文档或相关资料对查询章节的描述通常与其它技术(如系统部署,更新等)一同描述,没有单独对查询进行描述...
解决超级账本测试网络配置中 Cannot run peer because error when setting up MSP of type bccsp from directory 的问题
wybnmsl的博客
02-07 9543
具体错误如下: 在执行完如下指令后出现 peer chaincode query -C mychannel -n fabcar -c '{"Args":["queryAllCars"]}' Cannot run peer because error when setting up MSP of type bccsp from directory .........KeyMaterial not found in SigningIdentityInfo 的问题 我到对应的目录下去找了一下发...
定义策略
万里长城永不倒的博客
11-27 341
参照 https://hyperledger-fabric-cn.readthedocs.io/zh/1.3.0_zh-cn/access_control.html https://hyperledger-fabric-cn.readthedocs.io/zh/1.3.0_zh-cn/policies.html?highlight=ImplicitMeta 1.定义策有两种方法 Signatur...
peer执行出错整理
06-26 4068
执行peer 执行错误: 1:报错:Cannot run peer because error when setting up MSP of type bccsp from directory /etc/hyperledger/msp: signing identity expired 2623h16m32.675625837s ago   解决办法:当前peer的版本太低了,需要进行升级。去官网...
Fabric基础配置文件解析(二)
weixin_44617722的博客
04-07 699
  上一篇博客分析了crypto-config配置文件的主要内容和各个属性的意义,现在我们来看一看更加复杂的configtx.yaml文件,官方给的模板文件很长,注释很多,这里我就不粘贴内容了,直接拿出一个实际的配置过的文件来分析一下(可以先看分析回头再看这段配置代码): Profiles: OrdererGenesis: # 网络启动时,必须首先创建Orderer系统通道 P...
hyperledger-fabric-linux-amd64-1.4.0.tar hyperledger-fabric-ca
03-22
fabric二进制文件-hyperledger-fabric-linux-amd64-1.4.0.tar 和hyperledger-fabric-ca-linux-amd64-1.4.0.tar
fabric-java-sdk-demo.zip
09-02
通过`fabric-java-sdk`,开发者可以编写代码来创建新的通道,定义参与节点,设置通道配置文件,最终生成并广播通道创世区块。这一过程涉及到了对`Channel`类的使用,以及`ChannelEventHub`的连接,确保通道上的通信...
Fabric 1.4新特性介绍及环境搭建
01-17
Hyperledger Fabric 1.4新特性详解与环境配置指南》 Hyperledger Fabric v1.4作为首个长期支持版本,其主要目标在于提升系统的稳定性和优化生产环境的运维体验。这个版本不仅支持无缝升级到后续的v1.4补丁版本,...
fabric-serverside-mods:Fabric服务器端Mod列表
04-05
如果列表中的Mod是Minecraft的两个主要主要版本,则此列表中的Mod被标记为已过时-例如,如果最新版本为1.16,则认为1.14和较旧的Mod已过时。 建筑 表现 (实验性) (实验性) (实验性) (实验性) Bug修复 ...
vue-fabric-h5-editor.rar
08-10
Vue+Fabric.js实现H5 移动端简单的图片的可视化编辑、预览、下载等功能。 文本编辑:实现画布上的文本框的添加、字体属性的设置、样式风格编辑、背景颜色个性化设置、文本内容的设置等; 图片上传:点击上传图片,...
HyperledgerFabric问题及解决.txt
07-24
HyperledgerFabric问题及解决 UTC [main] main -> ERRO 001 Cannot run peer because error when setting up MSP from directory Error:can't read the block:&{SERVICE_UNAVAILABLE} Error:Error endorsing chaincode:rpc error:code = Unknown desc = Error starting container: API error (404): {"message":"network e2ecli_default not found"} Error: got unexpected status: BAD_REQUEST -- error authorizing update: error validating ReadSet: readset expected key [Group] /Channel/Application at version 0, but got version 1 等问题的解决
Hyperledger Fabric 03 超详细图解——通过Fabric测试网络深入理解联盟链
最新发布
LP1325308489的博客
10-14 525
导读超级账本,作为最火热的联盟链技术,得到了广泛地使用,也得到了很多科研人员的青睐。今天这篇文章,我们一起来安装go环境,并通过测试网络来对联盟链Fabric有更深刻地理解。我们也针对安装过程中出现的一些问题做了详细的说明,并提供解决方案。让我们一起走进文章,来感受Fabric并深入理解联盟链吧!1说在前面的话。
Fabric权限管理和策略
phymat.nico的专栏
04-14 1234
权限管理是区块链网络十分重要的功能,负责控制某个身份在某个场景下是否允许采取某个操作(如读写某个资源)。 超级账本 Fabric 项目通过策略(Policy)来灵活指定各场景下的操作权限。 策略应用场景 具体来看,常见的策略场景包括如下表所示。其中,大部分都与系统配置链码相关,可以在通道配置中进行指定;部分为代码中的规定。 对于存储在通道配置中的策略,可以利用 configtx.yaml 指...
3.5 策略管理和访问控制
测试
10-15 476
Hyperledger Fabric 1.0中,较多的地方都使用策略进行管理,它是一种权限管理的方法,包括交易背书策略、链码的实例化策略、通道管理策略等。3.5.1 策略定义及其类型策略定义了一些规则,验证签名数据是否符合定义的条件,结果为TRUE或者FALSE。策略的定义如下:type Policy struct { Type int32 // 策略的类型 Value []...
Hyperledger Fabric访问控制列表(ACL)
pigff的博客
06-10 1556
参考资料: 官方文档——访问控制列表(ACL) 文章目录访问控制列表(ACL)是 What资源策略`Signature` 策略`ImplicitMeta` 策略在哪里定义访问控制权限如何在 `configtx.yaml`中格式化ACL更新 `configtx.yaml`中的默认 ACL从源码来看ACL 访问控制列表(ACL)是 What 之前写了很多文章一直没有介绍访问控制列表(以下统称为 ACL )这个东西,在 peer node start命令源码很前面的地方就有 ACL 相关的代码。这是 Fabr
Fabric 1.0源代码分析(39) policy(背书策略)
尹成的技术博客
05-21 1695
# Fabric 1.0源代码笔记 之 policy(背书策略)## 1、policy概述policy代码分布在core/policy、core/policyprovider、common/policies目录下。目录结构如下:* core/policy/policy.go,PolicyChecker接口定义及实现、PolicyCheckerFactory接口定义。* core/policypro...
超级账本Fabric中的权限管理和策略
yeasy的专栏
03-13 7468
权限管理是区块链网络十分重要的功能,负责控制某个身份在某个场景下是否允许采取某个操作(如读写某个资源)。 超级账本 Fabric 项目通过策略(Policy)来灵活指定各场景下的操作权限。 策略应用场景 具体来看,常见的策略场景包括如下表所示。其中,大部分都与系统配置链码相关,可以在通道配置中进行指定;部分为代码中的规定。 对于存储在通道配置中的策略,可以利用 configtx.yaml ...
fabric项目设置用户权限,实现链码层次不同级别的权限控制
fangdengfu123的博客
06-05 9702
在项目中一般需要设置不同用户的不同权限,fabric中的链码执行同样如此,可以通过用户标签来实现。 流程:sdk申请用户时,指定用户标签,链码执行时获取对应标签实现链码调用权限验证。 sdk代码(注册用户): /** * 注册用户并进行登记 * @param orgName 所在组织 * @param userName ...
Hyperledger Fabric 2.0 集群部署详解:新特性和步骤指南
本文档深入探讨了Hyperledger Fabric 2.0 的分布式集群部署方法,针对该版本的新特性、单机与多机部署流程进行了详细的讲解。Hyperledger Fabric 2.0 是一个模块化设计的分布式账本平台,强调安全性、弹性和灵活性,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值