身份
身份:确定了对资源的确切权限以及对参与者在区块链网络中拥有的信息的访问权限。
一个 MSP 是定义管理该组织有效身份规则的组件。
MSP 将可验证的身份转变为区块链网络的成员 。
Fabric 中默认的 MSP 实现使用 X.509 证书作为身份,采用传统的公钥基础结构(Public Key Infrastructure,PKI)分层模型。
PKI提供身份列表,MSP说哪些是参与网络的给定组织的成员。
PKI
公钥基础结构(PKI)是一组互联网技术,可在网络中提供安全通信。
PKI 由向各方发布数字证书的证书授权中心组成。
PKI 有四个关键要素:
- 数字证书
- 公钥和私钥
- 证书授权中心
- 证书撤销列表
数字证书
数字证书是包含与证书持有者相关的属性的文档。
公钥是在证书中分发的,而私人签名密钥则不是。
只要对方信任证书颁发者,即证书授权中心(CA),密码学就允许 将证书提交给其他人以证明其身份。
CA 安全地保存某些加密信息(CA 的私钥),任何阅读证书的人都可以确定有关 Mary 的信息没有被篡改,它将始终具有 Mary Morris 的特定属性。
授权,公钥和私钥
身份验证要求确保交换消息的各方创建特定消息的身份。
“完整性”的消息意味着在其传输期间不能被修改。
密钥之间唯一的数学关系使得私钥在消息上的签名,只有对应公钥在相同的消息上才可以与之匹配。
Mary 使用她的私钥对邮件进行签名。任何使用她的公钥查看签名消息的人都可以验证签名。
证书授权中心
人员或节点能够通过由系统信任的机构为其发布的数字身份参与区块链网络。
数字身份:符合 X.509 标准并由证书授权中心(CA)颁发的经加密验证的数字证书。
证书授权中心向不同的参与者颁发证书。
证书由 CA 进行签名,并将参与者的公钥绑定在一起(并且可选是否具有全部属性列表)。
根 CA,中间 CA 和信任链
中间 CA 在跨多个组织颁发证书时提供了巨大的灵活性。
不同的组织可能使用不同的根 CA,或者使用具有不同中间 CA 的相同根 CA,这取决于网络的需求。
Fabric CA
是一个私有根 CA 提供者,能够管理具有 X.509 证书形式的 Fabric 参与者的数字身份。
证书撤销列表
是 CA 知道由于某些原因而被撤销的证书的引用列表。
当第三方想要验证另一方的身份时,它首先检查颁发 CA 的 CRL 以确保证书尚未被撤销。
MSP 发挥作用的地方——它确定了区块链网络特定组织的成员。
