深度探索区块链/基于数字证书的成员管理服务(8)

最新推荐文章于 2022-12-26 19:16:06 发布
最新推荐文章于 2022-12-26 19:16:06 发布
阅读量466 收藏
点赞数
文章标签: 区块链 数据库 ldap
原文链接:http://www.cnblogs.com/kaixinyufeng/p/9534258.html
版权

基于数字证书的成员管理服务

hyperledger Fabric 1.0基于PKI体系,生成数字证书以标识用户的身份。每个身份和成员管理服务提供商(Membership Service Provider,MSP)的编号进行关联。

一。实现成员管理的MSP

MSP(Membership Service Provider):成员管理服务提供商,是Hyperledger Fabric1.0中引入的一个组件。目的:抽象化各成员之间的控制结构关系。

MSP将证书颁发,用户认证,后台的加密机制和协议都进行了抽象。

每个MSP可以定义自己的规则,包括:身份认证,签名生成和认证。

每个Hyperledger Fabric 1.0区块链网络可引入一个/多个MSP来进行网络管理。这样即将成员本身和成员之间的操作、规则、流程都模块化了。

1。MSP成员验证

//MSP成员身份及身份标识符定义
type identity struct{
   id *IdentityIdentifier    //身份标识符
   cert *509.Certificate    //x.509证书
   pk bccsp.key   //公钥
   msp *bccspmsp //所属的MSP    
}

type IdentityIdentifier struct{
  Mspid string //MSP标识
  Id String //身份编号    
}

说明:

成员身份是基于标准的X.509证书的

得用PKI体系给每个成员颁发数字证书,结合所属的MSP进行身份认证和权限控制。

根CA证书(root Certificate)是自签名的证书,用根CA证书的私钥签名生成的证书还可以签发新的证书,形成一个树型结构。

中间CA证书(Intermediate Certificate)是由其他CA证书签发的,也可利用自己的私钥签发新的证书。

签发证书是一个信任背书的过程,从根CA证书到最终用户证书形成一个证书信任链。

在PKI体中,可利用CRL/OCSP管理证书有效性。

超级账本中,MSP利用PKI的部份特性来管理证书的有效性。

(1)MSP标识的检查:

身份证书都是和MSP绑定的,必须有相同的MSP标识才能验证证书的有效性。

peer节点的Gossip通信和部分系统链码的调用都要求调用者身份和本地MSP标识相同。背书请求在通道管理策略验证的时候也会检查MSP成员是否有写入权限。

(2)证书路径检查:

除MSP标识检查,还会对证书签名有效性检查,主要是:

证书路径检查、校验根CA证书、中间CA证书是否有效,是否有从身份证书到可信根CA证书的有效路径。

注:在证书验证时并不校验证书的有效期,会强制设置当前时间为证书起始时间的下一秒,这确保有效期验证通过。

MSP目录下的cacerts和intermediatecerts子目录签发的证书都是有效的,证书校验的时候需要检查是否有到可信根证书的有效路径。

(3)CRL的检查

最后检查证书是否被吊销,现仅支持CRL不支持OCSP。

CRL会包含在本地MSP的crls子目录下,是由CA证书签发的包含被吊销证书序列号的证书文件。

在通道的MSP配置中,也会包含CRL列表。在更新通道配置时可发布吊销的证书。

2。MSP目录结构

(1)MSP的配置说明

在每一个Peer节点的排序服务节点上设置MSP目录后,Peer节点和排序服务节点就有了签名证书。在通道节点之间传输数据时,要验证节点的签名。

为了能够标识MSP,每个MSP需要指定一个名称,如org1,org2等。

在通道的MSP成员规则中可以用MSP名称来代表一个联盟(Consortium)、组织(Organization)或部门(Organization Division)

若在创世区块中检测到两个MSP用同一个MSP名称,则排序服务节点将启动失效。

MSP默认实现是基于X.509证书格式的,根据RFC5280文档内容,给一些MSP配置参考。

节点需要进行如下配置才能使用MSP进行签名/验签

【1】。用于节点签名的签名密钥(目前只支持ECDSA密钥)

【2】。通过MSP验证是有效的X.509证书将作为节点证书

MSP有效身份需要满足条件:

【1】身份证书符合X.509证书标准,且有到根CA证书/中间CA证书可验证的证书路径

【2】身份证书不在吊销列表中

【3】在X.509证书的OU字段至少包含一个在MSP中配置的部门

和普通X.509证书不同的是:MSP身份证书是没有有效期的,除非被添加到证书吊销列表中。

(2)生成MSP证书

(3)配置节点的MSP证书

3。MSP配置最佳实践

二。颁发数字证书的Fabric CA

可选的Fabric CA服务,这是官方提供数字证书管理的一个默认实现。

1。概述

 

2。Fabric CA服务端的安装部署

【1】。基于mysql的数据存储

【2】。基于PostgreSQL的数据存储

【3】。基于LDAP的数据存储

3。Fabric CA服务端的操作使用

【1】。Fabric CA客户端的使用

 

【2】。Fabric CA的RESTful接口

 

转载于:https://www.cnblogs.com/kaixinyufeng/p/9534258.html

weixin_33756418
关注
基于区块链技术的版权服务平台应用方案的研究
qq_61890005的博客
06-09 154
区块链技术具有去中心、难以篡改、共享账本、分布式等特点,在新的技术变革和产业链转型过程中发挥着重要作用,将区块链技术和知识产权保护相融合,构建基于知识产权大数据平台和知识产权保护平台,可助力知识产权局等监管部门接入,通过“监管融入技术”,获得全面、可靠、可信的监管数据,并且有利于知识产权行业实现安全、高效、低成本的原创作品认证,提升权利维护效率,从而解放知识产权行业的生产力,促进全行业优化业务流程、降低运营成本,为提升知识产权行业服务水平与管理能力提供强劲动能。7×24h,随时随地、在线申请。
互联网技术架构全栈的核心能力:如何提升自己的区块链能力?
最新发布
程序员光剑
07-01 283
互联网技术架构全栈的核心能力:如何提升自己的区块链能力? 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming / TextGenWebUILLM 互联网技术架
基于区块链的PKI数字证书系统.pdf
12-11
基于区块链的PKI证书系统,讲述如何将区块链技术应用到PKI证书的管理当中,利用区块链不可篡改的特性,来构建高安全的、可溯源的PKI证书管理体系。
区块链系统之《基于区块链的PKI数字证书系统》
thefist的专栏
05-11 2579
摘要 本文提出了一种基于区块链技术构建PKI数字证书系统的方法,利用区块链去中心化、不可篡改等特点,解决了传统PKI技术中存在的单点失败问题以及多CA互信难等问题,可降低传统PKI技术中CA中心建设、运营及维护成本,提高证书申请及配置的效率,提升用户使用体验。该系统作为安全基础设施可以应用于多个领域,如4G小基站设备认证、网络切片认证、多CA互信等。 1. 背景 单点失败问题 :处于核心的 CA 极易遭受攻击,一旦被控制,CA 根证书以及该 CA 已经签发的证书都不再可信。 多 CA 互信难问题 :用户证书
区块链技术之密码学技术之数字证书
dianpancang9663的博客
03-09 497
数字证书 数字证书用来证明某个公钥是谁的,并且内容是正确的。 对于非对称加密算法和数字签名来说,很重要的一点就是公钥的分发。一旦公钥被人替换(典型的如中间人攻击),则整个安全体系将被破坏掉。 怎么确保一个公钥确实是某个人的原始公钥? 这就需要数字证书机制。 顾名思义,数字证书就是像一个证书一样,证明信息和合法性。由证书认证机构(CertificationAuthority,CA)来签发...
区块链之加解密算法&数字证书
weixin_62775913的博客
07-23 4903
2022/07/23
一种基于区块链的数字身份认证方案
热门推荐
Dawn的博客
06-07 1万+
一种基于区块链的数字身份认证方案
区块链在车联网数据共享领域的研究进展
qq_61890005的博客
12-26 1821
区块链技术与车联网相结合,在促进车联网数据共享和隐私保护改善方面都有巨大的潜力,但仍然存在区块链技术如何保证车联网数据安全共享的问题。针对这一问题,对区块链和车联网技术融合的最新研究与车联网数据共享的应用进行了系统的整理和分析。其次,从共享数据可靠性、共享数据安全性、激励机制、访问控制、可扩展性和储存方式六方面介绍基于区块链的车联网数据安全共享现状;现有的研究发现基于区块链的车联网数据共享实现数据存储方式有四种:第一种是将收集的数据存储在云服务中。改善车联网中区块链的访问控制的性能有三种方案:第一。
应用加速,数字人民币接入多地交通出行场景 | 产业区块链发展周报
陀螺财经
07-05 3296
摘要产业动态:微众银行多方大数据隐私计算平台通过信通院权威评测欧洲最大移动运营商沃达丰将为AI智能协议移动终端提供移动通信服务汇丰银行加入迪拜经济的阿联酋KYC区块链平台重庆市先进区块链研...
微众银行区块链张开翔:数字时代的身份基础设施建设
张开翔的博客
06-30 1077
6月24日,中钞区块链技术研究院、飞天诚信科技股份有限公司、微众银行等17家单位共同发起成立分布式数字身份产业联盟(DID-Alliance,简称DIDA),共建分布式数字身份基础设施,打造可信开放数字新生态。 本文系微众银行区块链首席架构师张开翔在 DIDA成立大会上的分享,也是微众银行区块链团队在分布式数字身份领域技术研究和应用实践的一些思考和积累。谨以此抛砖引玉,希望能和更多行业专家、同道中人,在开源开放、互联互通的基础上聚力前行。 1. 数字化趋势对分布式数字身份体系的需求 从现...
区块链证书管理组件区块链世界的“身份证"
微众区块链的博客
07-07 839
区块链历经10余年的发展,基础技术框架逐渐完善,链上承载的业务越来越丰富,参与方越来越多。多方协作能否顺畅进行、业务摩擦能否得到有效解决、既往治理策略和实践能否满足日后高速发展的需求……行...
区块链 用户身份权限模式 方案
软件工程小施同学 的专栏
01-08 2469
传统的中心化信息系统中,经常采用用户名或者手机号来标识用户,而区块链系统中,目前主要有以下几种用户标识方法: 1. 数字证书; 2. 公钥/地址; 3. 分布式数字身份(DID)。 长安链ChainMaker基于公钥用户标识的身份模式介绍 ...
数字证书不改革,区块链来终结
极客栈
01-19 2107
数字证书,作为权威的身份认证方式,往往意味着高价。区块链,内含数字证书的身份验证,加解密逻辑,可方便的应用于各种场合,闭环保证安全,不需要通过中心化的权威的认证机构,只需要彼此相互认证(共识机制)。这样,以权威认证方式的数字证书,如果不开放其生态,还怎么保证下一代的身份认证方式,大家不会都去选择共识机制,而继续选择昂贵的数字证书?打败你,却与你无关。恐怕区块链数字证书,也将会发生类似的关系了。
基于区块链的去中心化抗量子密钥管理系统
雀黑够呛哥
12-21 3142
摘要: 区块链技术在2008年被提出被称为比特币(我觉得应该是翻译为比特币应用了区块链技术),区块链技术是一种分布式的数据库。公钥基础设施PKI(Public Key Infrastructure)系统是一种中心化密钥管理系统。PKI系统很可能会出现单点故障。例如比特币和以太坊都用了经典的数字签名算法ECDSA。通过运用Shor的算法很容易会受到量子的攻击。在此文中,我们提出一种基于基于区块链的...
基于区块链技术的 PKI 域证书管理机制
weixin_49534236的博客
01-21 1923
基于联盟链的ISE信任域结构模型ISE-CBCM 区块链是一种由所有分布式节点来共同维护,保证数据透明不可篡改的数据库结构,基于区块链结构的优点设计 ISE 信任域结构模型,得到联盟链的 ISE 信任域结构模型 ISE-CBCM 。将各个信任域的中心信任 CA 设置为区块链中的分布式节点,如单信任节点中的信任 CA、根 CA 和桥 CA 等,这些节点拥有相对高的可信度并且拥有交易、记账、查询等全部功能,其他服务器作为辅助节点,只可以通过预定的接口查询数据。 优点: 减轻证书管理和维护的负担,证书的
区块链中的证书链是什么?
weixin_47228150的博客
06-06 2131
证书链是什么链么,能发币么? 我日常工作中,总要在手机里备一份CA的证书链文件,经常有人要我发一份我们的证书链文件。这时候我想说,“我们是权威的政务服务电子认证机构,我们的证书链是可以从网上下载到的。" 不要懵,证书链通常都是公开,不需要保密!此时你是不是感到疑惑,通常我们的证书不都是存在U盾中的么,怎么能轻易交给别人? 为了说明这些问题,我要讲一些概念。本着越基础,越不好讲的原则,我从公钥算法讲起,还有数字签名、PKI,还要介绍一下区块链、电子证照、密码机、签名验签服务器、和USBkey等概念。 公钥算法
区块链100讲:梅克尔树保障区块链数据不可篡改,想换根就要砍树!
weixin_33749131的博客
05-18 795
区块链100讲上期我们讲了哈希算法和公开密钥算法,说到哈希算法提到了一个名词“Merkle tree”,梅克尔树,这棵树是啥呢?它是如何工作的呢,它们又能够提供些什么价值呢,现在以及未来的?我们这期来讲讲“Merkle tree”。 1 Merkle tree 梅克尔树,又叫哈希树,顾名思义,就是存储hash值的一棵树。是一种二叉树,由一个根节点、一组中间节点和一组叶节点组成。最下面的叶节点包含...
证书链——区块链电子证书系统
03-22 1621
证书是由机关、学校、团体等发的证明资格或权力的文件,是指表明(或帮助断定)事理的一个凭证。我们生活中常见的证书有荣誉证书、资格证书、奖励证书、驾驶证、学生证等。证书最大的作用就是证明,但是由于造假水平的提高,目前90%以上的证书都急需证明。 高考录取季,几家欢喜几家愁。高考不仅是个人的大事,也是家庭的大事,甚至也一个村子的大事。考取理想名校,光耀门楣,额手称庆;落榜则压力山大,还可能面临各方指责。这是许多高中毕业生要面对的现实问题。压力之下,加之虚荣心作祟,一些考生“病急乱投医”,通过伪造大学录取通知书蒙骗
Hands-On Hyperledger Fabric——基于数字证书成员管理服务
No_Game_No_Life_的博客
11-18 469
文章目录实现成员管理的MSPFabric CA 实现成员管理的MSP Fabric1.0是基于PKI体系的,生成数字证书以标识用户身份。 MSP将证书颁发、用户认证、后台的加密机制和协议都进行了抽象。每个MSP可以定义自己的规则,这些规则包括身份的认证,签名的生成和认证。这样就将成员成员间的操作都模块化了。 关于PKI体系,之前聊的很清楚了,不再赘述。 Fabric CA ...
2021万向区块链峰会:探索数字化转型与区块链应用深度
"2021万向区块链全球峰会演讲合集是一份汇集了该年度区块链领域的重要会议精华内容的资料,主题围绕“数字化转型”。该峰会由万向区块链实验室主导,于10月26日至27日在上海市虹口区的虹口科技金融大厦举行。大会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值