Identity
Fabric网络中有多重不同的角色, 包括 peers, orderers, client applications, administrators …
任何一个角色都需要用一个X.509的数字证书来证书自己的身份。这些身份非常重要,因为它们决定了参与者在区块链网络中对资源和信息的访问权限。
MSP是一个组件,它定义了管理该组织的有效identity的规则
Fabric中的默认MSP实现使用X.509证书作为身份,采用传统的公钥基础设施(PKI)分层模型
PKI颁发证书,
MSP指定规则,指定规则,比如哪个证书在这个org中是有效的。
PKI和MSP一起提供了身份验证的功能。
PKI发布证书, MSP决定哪一个证书可以作为org中的成员参与到区块链网络中。
MSPs将可验证身份转换为区块链网络的成员
公钥基础设施(PKI)是在网络中提供安全通信的internet技术的集合
PKI的四个重要元素:
数字证书
公钥, 私钥
CA
Certificate Revocation lists
数字证书就是一个文件,里面包含证书所有者的一些属性, 目前比较流行的是X.509证书格式
证书中包含公钥。
证书是被加密的,所以尝试对证书进行篡改就导致证书无效。
因为数字证书是由证书颁布机构发布的, 这个发布简单的来说是用CA机构的私钥来对Mary的公钥进行签名并生成证书。
举例, Mary在与另一个人通讯, 用自己的数字证书。当别人想要验证Mary的证书时, 需要先得到CA的根证书(里面有CA的公钥),CA的根证书是放在互联网上供大家使用的。可以用CA根证书来验证Mary的证书是否是CA私钥签名的,如果成功,则证明Mary的证书是CA发布的。则可以证明与自己通讯的另一方是Mary.
常用的CA:GeoTrust, DigiCert,Symantec
原文: https://hyperledger-fabric.readthedocs.io/en/latest/identity/identity.html