超级账本Fabric中的权限管理和策略

最新推荐文章于 2022-11-11 13:18:04 发布
最新推荐文章于 2022-11-11 13:18:04 发布
阅读量7.6k 收藏 26
点赞数 2
分类专栏: Tech Blockchain Fintech 文章标签: hyperledger blockchain fabric security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeasy/article/details/88536882
版权
本文详细探讨了超级账本Fabric的权限管理机制,包括策略应用场景、身份证书、身份集合、权限策略实现、通道策略、背书策略及实例化策略。Fabric通过策略控制操作权限,使用PKI进行身份管理,证书类型包括登记证书、交易证书和TLS证书。权限策略涉及读写操作、管理操作等,策略结构复杂,支持灵活的角色和组织定义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

权限管理是区块链网络十分重要的功能,负责控制某个身份在某个场景下是否允许采取某个操作(如读写某个资源)。

超级账本 Fabric 项目通过策略(Policy)来灵活指定各场景下的操作权限。

策略应用场景

具体来看,常见的策略场景包括如下表所示。其中,大部分都与系统配置链码相关,可以在通道配置中进行指定;部分为代码中的规定。

对于存储在通道配置中的策略,可以利用 configtx.yaml 指定,在生成新建通道交易时初始化到通道配置内。

操作场景 策略检查 相关实现文件
调用 Broadcast() 接口向 Orderer 发送交易信息 Orderer 会检查是否满足通道的 Writers 策略 orderer/multichain/chainsupport.go
调用 Deliver() 接口从 Orderer 获取区块结构 Orderer 会检查是否满足通道的 Readers 策略 orderer/common/deliver/deliver.go
新建应用通道 Orderer 会检查是否申请者满足系统通道的 Writers 策略 orderer/multichain/chainsupport.go
修改通道配置 Orderer 会检查所有的修改项需满足对应的 modPolicy 策略,默认为 Admins common/configtx/update.go
Peer 加入应用通道 配置管理系统链码(CSCC)会检查申请者是否为某个 MSP 的管理员身份 core/scc/cscc/configure.go
Peer 获取所加入通道列表 配置管理系统链码(CSCC)会检查申请者是否为某个 MSP 的成员身份 core/scc/cscc/configure.go
获取某应用通道的区块 配置管理系统链码会检查是否满足应用通道的 Readers 策略 core/scc/cscc/configure.go
安装链码 链码生命周期管理系统链码(LSCC)会检查安装提案中签名者是否为本地 MSP 的 Admin 身份 core/scc/lscc/lscc.go
实例化部署链码 链码生命周期管理系统链码(LSCC)默认会检查提案者是否是通道内成员 core/scc/lscc/lscc.go 和 core/committer/txvalidator/v20/plugindispatcher/dispatcher.go
调用链码 背书节点在背书过程中会检查链码是否满足应用通道的 Writers 策略和 Readers 策略;确认节点也会检查交易是否满足背书策略 core/endorser/endorser.go 和 core/scc/lscc/lscc.go
Peer 通过 Gossip 协议获取到区块 对区块进行校验,检查需要满足 BlockValidation 策略 peer/gossip/mcs.go
监听事件 Peer 会检查是否满足应用通道的 Readers 策略 core/peer/deliverevents.go

注:Readers、Writers、Admins、管理员、成员等都代表了一组事先定义的身份。

身份证书

实现权限管理的基础是身份证书机制。

通过基于 PKI 的成员身份管理,Fabric 网络可以对接入的节点和用户的各种能力进行限制。

Fabric 设计中考虑了三种类型的证书:登记证书(Enrollment Certificate)、交易证书(Transaction Certificate),以及保障通信链路安全的 TLS 证书。证书的默认签名算法为 ECDSA,Hash 算法为 SHA-256。

  • 登记证书(ECert):颁发给提供了注册凭证的用户或节点等实体,代表网络中身份。一般长期有效。
  • 交易证书(TCert):颁发给用户,控制每个交易的权限,不同交易可以不同,实现匿名性。短期有效。
  • 通信证书(TLSCert):控制对网络层的接入访问,可以对远端实体身份进行校验,防止窃听。
最低0.47元/天 解锁文章
Fabric与以太坊对比:企业级区块链与公链的技术选择
威哥说编程
02-14 663
特性以太坊网络类型许可链(Permissioned Blockchain)公链(Public Blockchain)隐私性支持私密通道,数据仅对授权成员可见公开透明,所有数据对所有人可见共识机制灵活支持多种共识算法(如 Raft)工作量证明(PoW),计划转向权益证明(PoS)智能合约使用 Go、Java 等编写链码(智能合约)使用 Solidity 编写智能合约交易确认时间较快,适合高频交易场景较慢,尤其在网络拥堵时吞吐量高吞吐量,适合企业级应用当前吞吐量有限,正在通过以太坊 2.0 改进。
Fabric权限管理策略
phymat.nico的专栏
04-14 1330
权限管理是区块链网络十分重要的功能,负责控制某个身份在某个场景下是否允许采取某个操作(如读写某个资源)。 超级账本 Fabric 项目通过策略(Policy)来灵活指定各场景下的操作权限。 策略应用场景 具体来看,常见的策略场景包括如下表所示。其中,大部分都与系统配置链码相关,可以在通道配置中进行指定;部分为代码中的规定。 对于存储在通道配置中的策略,可以利用 configtx.yaml 指...
超级账本Hyperledger Fabric)之权限管理浅析
weixin_44172023的博客
08-22 3055
链客,专为开发者而生,有问必答! 此文章来自区块链技术社区,未经允许拒绝转载。 超级账本Hyperledger Fabric)之权限管理浅析 超级账本是联盟链的代表,而其相对于共链(例如比特币,以太坊)一个较大的区别在于其强大的角色管理权限把控上,本文主要介绍其角色管理权限把控的一些核心机制。 证书生成 证书认证是超级账本权限管理体系的最基础的机制,而所有证书的生成超级账本提供了一个工具...
Fabric网络的权限体系
当人走的太快的时候就要停下来,让灵魂能够跟上。
09-20 481
Fabric权限体系的简介 为什么需要权限体系 权限体系的作用 Fabric权限的维护方式 配置文件文件 ChainCode代码 Fabric权限体系的组成部分 用户身份体系 访问策略体系 用户访问控制列表 Fabric权限管理粒度 操作粒度 读 写 系统功能粒度 系统权限列表 用户业务粒度 Chaincode代码 Fabric权限体系的层次结构 ...
Hyperledger Fabric 1.1 -- Policy 构成
weixin_34233679的博客
09-21 263
Policy 规则设计 本文主要是讲解一下在fabric中Policy的规则写法,让大家有一个初步的认识,本文是基于fabric 1.1版本 Policy Type Policy Type 目前包括两种:SIGNATURE IMPLICIT_META signature 类型的policy 本质上是由msp principals 构成的 ,可以按照以下的方式去组织policy:5个org中...
Fabric中的本地化私钥存储方案(ing)
The future is already here it's just not evenly distributed。
10-28 1358
最近在做可信区块链测试时,想起来了之前一个一直没有解决的问题,正好趁着这个时间,做了一下解决方案;主要的问题时,我们在做BaaS的时候,用户的私钥一直没有找到比较好的存储方式,最近根据以太坊的钱包私钥管理的方案,总结了一个fabric的私钥管理方案; 方案一:keystore 我将用户从ca申请的私钥,放入keystore中,然后将keystore保存到...
超级账本fabric-ca
10-26
### 超级账本Fabric CA关键知识点解析 #### 一、概述 超级账本HyperledgerFabric CA是一款专为Hyperledger Fabric设计的证书权威服务。它在Hyperledger Fabric框架中扮演着至关重要的角色,负责管理维护网络...
超级账本Fabric的架构与设计
热门推荐
区块链大本营
09-07 3万+
超级账本Fabric项目自诞生之日起就吸引了全球众多企业的密切关注,已经先后发布了两个大的版本,0.6实验版本(2016年9月)1.0正式版本(2017年7月)。
【链块技术55期】超级账本Fabric教程(三):Hyperledger Fabric 1.0架构及原理
链块学院
12-21 1508
区块链应用技术开发,本节分享超级账本Fabric1.0版的架构设计。
Hyperledger Fabric】Identity-身份认证与密钥
AIoH
04-11 3793
Authentication & Public keys and Private Keys身份认证与密钥Authentication and message integrity are important concepts of secure communication. Authentication requires that parties who exchange messages ...
大数据区块链Hyperledger Fabric教程--Peer命令(超详细讲解)
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-11 2855
Hyperledger Fabric是一个用于构建区块链应用程序的企业级框架。在Hyperledger Fabric中,Peer(节点)是网络中的参与者,负责维护分类账(ledger)执行智能合约。peer有不同的子命令,每个命令都可以让指定的 peer 节点执行特定的一组任务。Peer 在 Hyperledger Fabric 中是网络的关键组成部分,通过其分布式的特性、智能合约执行、背书机制、共识参与等功能,确保了整个区块链网络的正常运行、可靠性安全性。
fabric:error validating channel creation transaction for new channel ‘mychannel’
01-20
错误详情:Error: got unexpected status: BAD_REQUEST – error validating channel creation transaction for new channel ‘mychannel’, could not succesfully apply update to template configuration: error authorizing update: error validating DeltaSet: policy for [Group] /Channel/Application not satisfied: impli
Fabric 1.0源代码分析(29) Orderer #multichain(多链支持包)
尹成的技术博客
05-20 923
# Fabric 1.0源代码笔记 之 Orderer #multichain(多链支持包)## 1、multichain概述multichain代码集中在orderer/multichain目录下,目录结构如下:* manager.go,Manager接口定义及实现。* chainsupport.go,ChainSupport接口定义及实现。* systemchain.go,system cha...
本地搭建Fabric1.0版本环境问题
水货大帝的专栏
10-09 1408
最近在做HyperLedger/Fabric的项目,之前自己负责的部分一直是Java-SDK部分,实现前端Java程序通过SDK调用Chaincode向Fabric区块链写入信息,完成数据信息上链。环境搭建部分一直都是别人做的,我对于环境配置系统运行部分同样很感兴趣,就想自己在本地搭建一套环境,所以买了一本杨毅编著的《HyperLedger Fabric开发实战》(之前看过他写的博客,所以就想着...
hyperledger fabric 搭建网络提示mod_policy not set
masun001的博客
02-01 1219
版本说明:1.1.0-preview 在使用hyperledger中的fabric-samples/first-network构建网络时,按照官网文档的步骤提出如下错误信息, 我们需要将fabric/scripts/bin目录下的配置文件copy到fabric-samples/first-network目录下去运行。即可成功启动fabric环境。 成功启动截图:
fabric 成员权限管理
AI炼丹师的专栏
11-15 552
成员权限管理 通过基于 PKI 的成员权限管理,平台可以对接入的节点客户端的能力进行限制。 证书有三种,Enrollment,Transaction,以及确保安全通信的 TLS 证书。 注册证书 ECert:颁发给提供了注册凭证的用户或节点,一般长期有效; 交易证书 TCert:颁发给用户,控制每个交易的权限,一般针对某个交易,短期有效。 通信证书 TLSCert:控制对网络的访问,并且防止窃听。 ...
ubuntu16.04使用fabric中的e2e-cli 模板样例快速启动网络
梨休休的超级无敌厉害博客
06-25 1393
1,获取root权限 首先用sudo su命令,然后输入root密码,获取root权限,以下都在root权限下进行 2,安装docker # apt-get install -y docker.io # docker --version 下面出现类似这样子到就ok了: Docker version 1.13.1, build 092cba3 3,安装docker-compose ...
Hyperledge Fabric-身份与角色认证
区块链领域填坑的java程序猿
09-11 2462
Hyperledge Fabric的身份认证流程。
Fabric 通道配置文件configtx.yaml随笔记录
weixin_44157851的博客
10-08 362
Fabric 通道配置文件解析
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值