Hyperledger fabric智能合约编写(三)背书策略

于 2023-10-26 00:11:15 发布
阅读量295 收藏 2
点赞数
文章标签: fabric 智能合约 区块链 golang web3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzelong046/article/details/134044772
版权

1、背书策略概念

节点通过背书策略来确定一个交易是否被正确背书。当一个peer接受一个交易后,就会调用与该交易Chaincode相关的VSCC(Validation System Chaincode)作为交易验证流程的一部分,确认交易的有效性。因此,一个交易包含一个或者多个来自背书节点的背书,VSCC的背书校验包括:

  • 所有的背书都是有效的(即有效证书做的有效签名)
  • 满足要求的背书数量
  • 背书来自预期的背书节点

本文提到的背书策略则是用于约束上述校验中的第二和第三点。

每一个链码都有一个背书策略,其规定了channel上执行chaincode的节点们必须都认可(背书)执行结果,交易才能被视为有效。背书策略定义了需要哪些组织的认可(背书)才能执行交易。

作为节点执行交易验证步骤时,每个节点都要检查交易是否包括满足策略要求数量的背书,以及这些背书是否来自指定的来源(上文VSCC的背书校验规定2和3)。此外还要检查交易中背书是否有效(即是否来自有效证书的有效签名,上文VSCC的背书校验规定1)

2、Fabric中三种粒度的背书策略

根据Fabric2.0后的官方文档,背书策略共分为以下三类

  • 链码级背书策略
  • 集合级背书策略
  • 键值级背书策略

2.1 如何使用链码级背书策略?

当通道成员为其组织批准链码定义时批准链码级背书策略。需要满足足够数量的通道成员批准链码定义以满足通道背书策略Channel/Application/Endorsement(默认设置为大多数通道成员),定义才能提交到通道。定义提交后,chaincode即可以使用,任何向账本中写入数据的链码调用都需要经过满足数量的通道郑源验证,来满足背书策略的要求。

在使用 Fabric 对等二进制文件批准和提交链码定义时,您可以使用 --signature-policy 标志从 CLI 创建背书策略。

PS:背书策略语法(Org1MSP.member等)将在下一节详细介绍。

peer lifecycle chaincode approveformyorg --channelID mychannel --signature-policy "AND('Org1MSP.member', 'Org2MSP.member')" --name mycc --version 1.0 --package-id mycc_1:3a8c52d70c36313cfebbaf09d8616e7a6318ababa01c7cbe40603c373bcfe173 --sequence 1 --tls --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --waitForEvent

上述命令通过AND(Org1MSP.memberOrg2MSP.member)策略批准了mycc的链码定义,该策略要求Org1和Org2均有一名成员签署交易。在足够多的通道成员批准mycc的链码定义后,可以使用一下命令将链码定义和背书策略提交到通道:

peer lifecycle chaincode commit -o orderer.example.com:7050 --channelID mychannel --signature-policy "AND('Org1MSP.member', 'Org2MSP.member')" --name mycc --version 1.0 --sequence 1 --init-required --tls --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --waitForEvent --peerAddresses peer0.org1.example.com:7051 --tlsRootCertFiles /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org1.example.com/peers/peer0.org1.example.com/tls/ca.crt --peerAddresses peer0.org2.example.com:9051 --tlsRootCertFiles /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/peerOrganizations/org2.example.com/peers/peer0.org2.example.com/tls/ca.crt

PS: 如果启用了身份分类,可以进行更细粒度的访问控制和权限管理,比如使用 peer 角色来限制背书仅限于 peer,如:

peer lifecycle chaincode approveformyorg --channelID mychannel --signature-policy "AND('Org1MSP.peer', 'Org2MSP.peer')" --name mycc --version 1.0 --package-id mycc_1:3a8c52d70c36313cfebbaf09d8616e7a6318ababa01c7cbe40603c373bcfe173 --sequence 1 --tls --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --waitForEvent

除了通过CLI或SDK指定背书策略外,链码还可以使用通道配置中的策略作为背书策略。如–channel-config-policy标志来选择通道配置和ACLs使用的通道策略,如:

peer lifecycle chaincode approveformyorg --channelID mychannel --channel-config-policy Channel/Application/Admins --name mycc --version 1.0 --package-id mycc_1:3a8c52d70c36313cfebbaf09d8616e7a6318ababa01c7cbe40603c373bcfe173 --sequence 1 --tls --cafile /opt/gopath/src/github.com/hyperledger/fabric/peer/crypto/ordererOrganizations/example.com/orderers/orderer.example.com/msp/tlscacerts/tlsca.example.com-cert.pem --waitForEvent

2.2 链码级背书策略的更新

如果不指定策略,链码定义将默认使用Channel/Application/Endorsement策略,即要求交易由大多数通道成员验证。该策略取决于通道成员,因此当组织从通道中删除会添加成员时,该策略会自动更新。

如果使用 --signature-policy 指定背书策略,则需要在组织加入或离开通道时更新策略。在链码定义后加入通道的新组织可以查询链码(前提是查询具有通道策略定义的适当授权和链码执行的任何应用级检查),但不能执行或背书链码。只有背书策略语法中列出的组织才能签署交易。

2.3、背书策略语法

策略是以principals(与角色匹配的身份)来表示的。即MSP.ROLE,其中MSP代表所需的MSP ID,ROLE代表以下四种角色之一:member, admin, client, and peer

例如:
Org0MSP.admin:Org0MSP的任何管理员
Org1MSP.member:Org1MSP的任何成员
Org1MSP.client:Org1MSP的任何客户
Org1MSP.peer:Org1MSP的任何节点

该语言的语法是:EXPR(E[, E...])

其中:EXPR是AND,OR,OutOf,E是principal或另一个EXPR的嵌套调用

例如:

  • AND('Org1MSP.member','Org2MSP.member','Org3MSP.member')要求三个组织成员各签一次。
  • OR('Org1MSP.member','Org2MSP.member','Org3MSP.member')要求两个组织成员中的任何一个签一次。
  • OR('Org1MSP.member',AND('Org2MSP.member','Org3MSP.member'))要求组织1的人员签名,或者组织2和3的人员各签一次。
  • OutOf('Org1MSP.member','Org2MSP.member')OR('Org1MSP.member', 'Org2MSP.member')相同
  • 同样的OutOf(2, 'Org1MSP.member', 'Org2MSP.member')等同于AND('Org1MSP.member', 'Org2MSP.member'),并且OutOf(2, 'Org1MSP.member', 'Org2.member', 'Org3.member')等同于OR(AND('Org1MSP.member', 'Org2MSP.member'), AND('Org1MSP.member', 'Org3MSP.member'), AND('Org2MSP.member', 'Org3MSP.member'))

2.4、集合级背书策略

与链码级背书策略类似,在批准和提交链码定义时,也可以指定链码的私有数据集合和相应的集合级背书策略。如果设置了集合级认可策略,写入私有数据集合密钥的事务将要求指定的组织节点认可(背书)该事务。

可以使用集合级背书策略来限制哪些组织节点可以写入私有数据集合Key namespace,例如,确保非授权组织不能写入集合,并确信私有数据集合中的任何状态都已获得所需集合组织的背书。

同链码级背书策略相比,集合级背书策略限制性更小些,我们可以二者结合使用,比如即要求大多数组织认可(背书)链码交易,也要求特定组织认可(背书)包含特定集合Key的交易。

如果不指定集合级背书策略,则将使用链码级背书策略来保护对私有数据集合密钥命名空间的写入。如果一组符合链码级背书策略的组织被授权在其他组织的私有数据集中创建数据,是可行的。

集合级背书策略的语法与链码级背书策略的语法完全相同–在集合配置中,您可以用签名策略(signaturePolicy)或通道配置策略(channelConfigPolicy)指定背书策略。

2.5 键值级背书策略

设置常规链码级或集合级背书策略与相应链码的生命周期相关。只有在通道上定义链码时才能设置或修改它们。相比之下,键值级背书策略可以在链码中以更精细的方式进行设置和修改。

shim API 提供以下功能,用于设置和检索键值级背书策略。用ep来代表上文中的背书策略语法,生成二进制版本的背书策略,可供基本的 shim API 使用。
对于账本的键值,提供以下接口:

SetStateValidationParameter(key string, ep []byte) error
GetStateValidationParameter(key string) ([]byte, error)

对于私有数据的键值,提供以下接口:

SetPrivateDataValidationParameter(collection, key string, ep []byte) error
GetPrivateDataValidationParameter(collection, key string) ([]byte, error)

为了助于设置背书策略并将其应用到验证中,Go shim提供了一个便于使用的扩展接口KeyEndorsementPolicy ,允许链码开发人员根据组织的MSP标识符来处理背书策略,如:

type KeyEndorsementPolicy interface {
    // Policy returns the endorsement policy as bytes
    Policy() ([]byte, error)

    // AddOrgs adds the specified orgs to the list of orgs that are required
    // to endorse
    AddOrgs(roleType RoleType, organizations ...string) error

    // DelOrgs delete the specified channel orgs from the existing key-level endorsement
    // policy for this KVS key. If any org is not present, an error will be returned.
    DelOrgs(organizations ...string) error

    // ListOrgs returns an array of channel orgs that are required to endorse changes
    ListOrgs() ([]string)
}

比如,设置需要两个特定组织背书的键值级背书策略,可将两个组织的MSPID传递给AddOrgs(),然后调用Policy()构造认可策略的字节数组,并将其传递给SetStateValidationParameter()

2.6 背书策略生效优先级

在提交时,设置Key的值与设置Key的背书策略并无不同–两者都会更新Key的状态,并根据相同的规则进行验证。

验证无键值级背书策略有键值级背书策略
修改值检查链码级背书策略或集合级背书策略检查键值级背书策略
修改键值级背书策略检查链码级背书策略或集合级背书策略检查键值级背书策略

如果键值被修改且存在键值级背书策略,则键值级背书策略优先于链码级或集合级背书策略。
如果删除了某个键值的背书策略(设置为零),链码级或集合级背书策略将重新成为默认策略。

如果一个交易修改了具有不同关联键值级背书策略的多个键,则需要满足所有键值级策略才能使交易有效。

奇点与原石
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Hyperledger Fabric 官网翻译架构篇--之背书(endorsement)策略
dreamslike的专栏
08-15 3567
3. Endorsement policies/背书(endorsement)策略 3.1. Endorsement policy specification/背书(endorsement)策略规范 An endorsement policy, is a condition on what endorses a transaction. Blockchain peers have a pre...
Hyperledger2.0 链码安装
qq_36566262的博客
01-04 1万+
简介 以Hyperldger2.0为例,链码的安装主要分为以下几部分: package :打包源代码 install: 安装链码 approveformyorg: 节点所在组织审批链码 commit: 提交链码 在完成之后可以执行链码的查询和调用 package 首先需要对合约进行编译,首先把我们写的go语言合约放到chaincode下新建的test文件夹下。 root@lamaxiya:/opt/gopath/src/github.com/hyperledger/fabric-samples/ch
Hyperledger Fabric 背书策略
baidu_39649815的博客
07-28 6983
背书策略背书策略是为了告知peer节点,交易是否被正确的背书。当peer接收到一个交易到时候,它将会invoke与交易相关的chaincode的VSCC(Validation System Chaincode))作为交易验证流的一部分,来验证交易的有效性。
关于(七)Fabric2.0智能合约实践-设置背书策略的修正
好一个区块链
04-13 1242
1.背书策略的定义 每个链码都有背书策略背书策略指定了通道上的一组 Peer 节点必须执行链码,并且为执行结果进行背书,以此证明交易是有效的。这些背书策略指定了必须为提案进行背书的组织。 作为 Peer 节点进行交易验证的一部分,每个 Peer 节点的检查确保了交易保存了合适 数量 的背书,并且是指定背书节点的背书。这些背书结果的检查,同样确保了它们是有效的(比如,从有效的证书得到的有效签名)。 2.背书策略的分类 根据fabric2.0的官方文档,背书策略共分为类:链码级别的背书策略、集合级别的背书
(七)Fabric2.0智能合约实践-设置背书策略
富强说
02-18 6981
目录1.背书策略定义2. 背书策略语法3. 设置背书策略3.1 合约级别背书策略设置3.1.2 提交合约3.1.3 验证背书策略3.2 键级别背书策略设置3.2.1 编辑合约提供修改背书策略3.2.2 升级合约3.2.3 验证背书策略4.总结 1.背书策略定义 智能合约背书策略用来定义交易是否合法的判断条件,策略以主体的形式表示。主体格式为’MSP.ROLE’, MSP代表所要求的MSPID, R...
区块链学习8:超级账本项目Fabric中的背书背书节点、背书策略背书签名
老猿Python
09-09 7628
介绍Hyperledger Fabric中的背书背书节点、背书策略 以及背书签名的概念,并通过背书节点参与交易的过程来说明相关功能
HyperLedger Fabric开发实战——快速掌握区块链技术-配套资源.zip
06-26
2. **智能合约**:在Hyperledger Fabric中,智能合约被称为Chaincode,它是由Golang、Node.js或Java编写的程序,负责处理交易请求并更新账本状态。Chaincode的生命周期包括安装、初始化和升级等阶段,通过提案...
fabcar_HyperledgerFabric_fabcarinvokequery_fabric_hyperledger_
10-03
Hyperledger Fabric中,智能合约被称为链码(Chaincode),它们负责执行业务逻辑并更新区块链状态。 FabCar是Hyperledger Fabric官方提供的一款基础示例应用,旨在帮助开发者快速理解如何在Fabric网络上部署和...
hyperledger-fabric-darwin-amd64-1.2.0.tar.gz
08-21
1. **架构**:Hyperledger Fabric采用了模块化的架构,包括排序服务、智能合约(链码)、通道、节点和成员服务等核心组件。 2. **通道**:频道是Fabric中的隐私机制,不同频道的参与者可以进行私密的交易,互不干扰...
hyperledger-fabric-darwin-amd64-1.4.1.tar.gz
06-15
《深入解析Hyperledger Fabric v1.4.1》 Hyperledger Fabric是Linux基金会下的一个开源项目,致力于构建企业级的区块链平台,它以其模块化、可扩展性和隐私性等特点,吸引了全球众多企业和开发者关注。本篇文章将...
poc-hyperledger-smartcontract:Poc Hyperledger智能合约
04-03
- **了解Hyperledger Fabric架构**:理解网络中的组织、通道、背书策略、排序服务等基本概念。 - **链码开发**:研究JavaScript链码的编写,了解如何定义交易操作和状态存储。 - **部署流程**:学习如何使用Fabric...
HyperLedger Fabric开发实战 -智能合约
张亚平的博客
02-02 1445
第6章 智能合约
区块链hyperledger fabric背书策略深入剖析详解
qq_30505673的博客
08-23 4188
背书策略背书策略就是需要什么节点背书交易才能生效。chaincode在实例化的时候,需要指定背书策略。 发起交易的时候,发起端(一般是SDK),需要指定交易发给哪些节点进行背书验证(fabric不会自动发送),而是由sdk发送。发送后等待背书节点的返回,收集到足够的背书后将交易发送给orderer(排序节点或称共识节点)进行排序打包分发。最后,当每个Peer接受到block数据后,会对其中的交...
hyperledger fabric 1.4 背书背书策略
u013782473的博客
10-20 1654
hyperledger fabric中的背书是一个较为复杂的概念,如需视频学习fabric,可以参考视频教程。 背书就是在执行某些操作之前,进行数字签名的过程,在fabric中的所有上块的所有操作都需要进行背书。进行背书的节点就是背书节点。背书的规则叫做背书策略。 在fabric中的策略分为种: 系统级别的策略 Chaincode级别的策略 Key级别的策略(较少用) 系统级别的策略指的...
Fabric背书策略相关概念与背书验证过程
一颗贪婪的星
06-06 1万+
目录 背书策略 CLI中背书策略语法 为chaincode指定背书策略 背书策略的验证过程 背书策略 节点通过背书策略来确定一个交易是否被正确背书。当一个peer接收一个交易后,就会调用与该交易Chaincode相关的VSCC(validator system chaincode实例化时指定的)作为交易验证流程的一部分来确定交易的有效性。为此,一个交易包含一个或多个来自背书节点的背书。...
Hyperledger Fabric 交易背书的基本工作流程详解
予衡飞翔
10-18 3472
本文内容精选自华章鲜读专栏《Hyperledger-Fabric-源代码分析与深入解读》一书第二章“架构分析”。   《Hyperledger-Fabric-源代码分析与深入解读》纸书预计出版时间:2018年9月 华章鲜读上线:2018年7月(按章更新,纸书出版前更完本书全部内容) 我们概述一个交易的请求流程。如图2-5所示。 图2-5 交易的请求流程     图字翻译: ...
fabric shim安装合约_Fabric 2.0 实战 - 设置背书策略
weixin_39884738的博客
12-22 1133
Fabric 2.0 实战系列 第6篇 - 设置背书策略本系列文章如下:[HyperLedger Fabric 2.0 测试网络部署](https://learnblockchain.cn/article/581)[Fabric2.0 样例 first-network 生成配置说明](https://learnblockchain.cn/article/582)[Fabric2.0启动网络脚本配置...
HyperLedgerFabric智能合约速成.pdf
12-21
Hyperledger Fabric中,智能合约又称为链码(chaincode),是用于描述合约条款、交易条件和业务逻辑的计算机语言,通过调用链码实现交易的自动执行和对账本数据的操作。智能合约的目的是作为应用程序与底层区块链...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值