1、什么是身份
身份:
区块链参与者都具有、封装在X.509数字证书中、确定了对于资源和信息的访问权限。
主体(principal):
身份和相关联的属性(组织,组织单元,角色,特定身份等)的并集,谈论主体时,认为是决定权限的属性。
会员服务提供者(membership service provider,MSP):
定义用于组织有效身份管理的规则组件。默认实现使用X.509证书作为身份,并采用传统的公钥基础结构层次模型(PKI)。
2、一个简单的类比
PKI:
类比为信用卡签发机构,可以签发各种有效的信用卡,在区块链网络中,就是可以签发各种可验证的身份。
MSP:
类比为商店可接受的信用卡列表,在区块链网络中,MSP确定哪些是区块链网络成员。
3、什么是PKI?
PKI:
在网络中提供安全的通信,有四个关键要素,数字证书、公钥和私钥、证书颁发机构(CA)、证书吊销列表(CRL)。
数字证书:
一种包含与证书持有者有关的一组属性的文档,最常见的是符合X.509标准的证书,公钥随证书分配,私钥不是,必须保密。只要私钥不泄漏,X.509证书视为无法篡改的数字身份证。
公钥和私钥:
私钥加密,公钥解密来确保身份验证和消息完整性(中途不被篡改)。
证书颁发机构:
将证书颁发给参与者,对证书进行数字签名,将角色与其公钥和可选完整属性表绑定,如果一个人信任CA(知道其公钥),则可以通过验证CA上的签名来信任特定参与者与证书中包含的公钥绑定并拥有包含的属性。
CA有两种形式:根CA和中间CA。中间CA的证书由根CA或其他中间CA颁发,这种追溯到根CA的能力扩展了CA的功能同时也提供了安全性(限制了根CA的暴露范围,根CA遭到破坏会影响整个信任链)。
Fabric CA是Fabric的内置CA,是私有的根CA,用于提供和管理具有X.509证书形式的参与者数字身份。
证书吊销列表:
CA由于某种原因而吊销的证书列表,当第三方验证另一方身份时,首先检查签发身份的CA的CRL,以确保证书未被吊销。
