1. 工作计划
- 加密业务
- 解密业务
- ant
- 链码业务
2. 工作记录
场景
证书管理
业务
数据加密应用场景:
1. 信息加密: 信息加密场景主要是由信息发送者A使用接收者B的公秘钥对信息进行加密然后在发送给B,B利用自己的私钥对信息捷星解密。
2. 数字签名: 数字签名场景则是由发送者采用自己的私钥加密信息,发送给B使用A的公钥对信息进行解密,确保数据是A发送的数据。
3. 登录认证: 场景则是由客户端使用私钥加密登录信息,后者采用客户端公钥解密并认证登录信息。
加密体系 证书体系
- 第一种 || fabric 本身证书体系 || 用户本身的证书用来访问网络 公钥私钥 ||
- 第二种 || 数据加解密证书 || A 对数据私钥加密,A公钥解密 ||A私钥签名,A公钥验证 || B的公钥加密,然后B私钥进行解密|| 公钥签名,私钥验签
- 证书管理 || 中间ca ,数据上链 || 数据签名 || 挂靠数据 || 数字身份 ||
- GM国密 ||
权限管理 ||
1. 数字身份:数字身份是 一个用户的数字身份, 以及一个 资产的数据身份。
2. 权限身份:访问数据是权限身份,追加到数字身份的权限组。KYC,BYC。
3. 数据的所有者是谁?
答: 数据上传者拥有数据的所有权,读写权限,那么他会有2个数据, 资产主键和资产所有者,身份。
4. 数据访问者是谁?
答: 在权限身份中验证可以成功的,但是这里存在一个问题。A的数据要授权给B查看,A是如果采用B的公钥加密然后存到链上,那么B查询到数据可以解析,但是这样就无法进行控制,B可以随意访问我的数据,那么也会存在问题,现在要实现的模型是需要让他可以看到,而且数据所有者也要控制到谁能看,谁看不了,
处理办法?
答: 1. 数据访问者,授权后,A用B的数据进行加密,然后数据上链,但是key应该B+key,那么这样B才能查询到数据,B怎么去查询? key,链码怎么知道你查询的是哪个Key,BYC+KEY 数据本体,如果是空,那么查询id+Key,查询下来的数据进行私钥解密,然后展示,问题是怎么控制他呢?问题本质是是: B是否有权限, B 解密是否有权限,那么在第一层判断的时候会判断B是否是数据的所有者,如果B不是所有者,之前的逻辑是直接去查询B的UUid+资产主键去查询数据然后返回给B,但是此时需要进行限制,第二层判断应该判断B是否在资产的访问组里面,判断依据是UUI
,如果判断成功才可以去访问数据,访问A新上链的备份数据
5. 数据是否要授权一次进行B ,然后给数据进行专门备份一次专门给B的数据?
答: 如果有A对B授权,A要去查询数据然后进行解密,然后用B的公钥进行二次加密,然后存到链上,这种数据的好处是数据可以单独授权访问,但是缺点是需要多次上链,重复的数据上链多次会有问题,性能问题,那么,如何解决呢?这正是我要考虑的.
6. 怎么能一次上链,然后多次访问,而且区块ID TXID 都是一样的?
答:首先如果要实现这种业务,那么就是一条数据,这条数据在链上存,然后验证的时候B来验证,只能去验证访问组,怎么确认B的身份呢?签名,公钥验证,确认B的身份信息,如果B的数据通过,那么进行数据B的数据查询,B进行数据查询,如果A的私钥加密,A的公钥解密,那会有问题, 那么限制怎么办,限制上面做了,
7. 组织级别数据加密?
答: 用组织的公私秘钥来加密
8. 限制次数和访问时间限制?
答:策略组
9. 二次加密?
答: 二次加密,对秘钥加密,公钥加密。第一层先是对称加密,然后第二层是不对称加密,用来加密对称秘钥,然后对数据解密。
10. 数据删除 ?
答: 是否是数据所有者,删除,
11. 二级CA ?
答: 二级CA, 用户信息数字身份根据根CA去注册中间ca,那么所有加密的都要用中间ca用来加密,因为每次加密都是不一样的。然后跟ca维护自己的中间ca,
12. 二级公私秘钥加密数据后,数据所有者怎么知道用的是哪一种秘钥加密的?
答: 用公钥加密,私钥只有我自己可以解密
13. 怎样实现
14. 最终的方案:
1. A 公私秘钥,公钥加密,私钥上链,然后自己私钥解密数据
2. B 访问数据,首先A对B授权,B去访问数据,然后A去解密然后发给B
3. C 策略组
netstat -lnp|grep
********************* 3. 工作备注
2020年,新年第一天,大家要开心!