アイデンティティは(アイデンティティとは何ですか?)とは何ですか
異なるネットワークピア・ノード、ソートノード、クライアントアプリケーション、管理者等を含むブロックチェーンの参加者。これらの参加者のそれぞれがある-内部または外部のネットワークは、能動素子のサービスを使用することができます-デジタルアイデンティティはX.509デジタル証明書の中にカプセル化されています。彼らはのでアイデンティティは、本当に重要であり、正確な権限リソースを決定し、アクセス権限は、ブロックチェーンネットワークの参加者情報を正確な。
また、デジタルアイデンティティはまた、ファブリックが権利を決定するために使用されるいくつかの追加属性を持っており、それがアイデンティティと関連付けられた属性のコレクションのために特別な名前を提供- クライアント(校長)。元本またはgroupIDsが、より柔軟性のユーザーIDと同様に、彼らは、このような参加者の組織、部門、または参加者としても、特別な役割として、参加者の身元のさまざまな属性を含むことができるので。私たちは、クライアントの話をするとき、彼らはその権威を帰することを決めました。
検証可能なアイデンティティのために、それが信頼された機関から取得する必要があります。メンバーサービスプロバイダ(MSP)はのファブリックを達成するために使用されます。具体的には、MSPは、組織のルールの有効なID管理コンポーネントの定義です。デフォルトMSPファブリックをIDとしてX.509証明書を使用して実装され、伝統的な公開鍵基盤(PKI)階層モデル(PKIは、後に詳細に説明されています)。
単純なシナリオでは、ID(アイデンティティの使用を説明するために簡単なシナリオを)説明するために使用されます
あなたには、いくつかの食料品を買いにスーパーマーケットに行く想像してみてください。チェックアウト時に、あなただけのビザ、マスターカード、AMEXカードを受け入れ示す記号が表示されます。あなたは他の決済カードを使用しようとすると-に関係なく、カードが本物であるかどうかの、あなたのアカウントに十分な資金を持っていることは問題ではない-私たちは、「ImagineCard」と呼んでいます。それは受け入れられません。
有効なクレジットカードが十分ではありません持っている-それはまた、ストアを受け入れなければなりません!PKI MSPと同じように仕事- PKIは、身元のリストを提供し、MSPは、ネットワークに参加して、特定の組織のメンバーであるこれらのかを決定します。
PKI認証局およびMSPは、同様の機能セットを提供します。PKIは、カードプロバイダのようなものです-それを検証アイデンティティの異なるタイプの番号を割り当てます。一方、プロバイダのリストに類似MSPは、店舗の決済ネットワークの信頼できるメンバー(参加者)のアイデンティティであるかを決定するためにカードショップを受け入れます。MSPは、ブロック鎖ネットワークにメンバーの身元を確認します。
私たちはこれらの概念の詳細で綿密な調査をしてみましょう。
公開鍵インフラストラクチャは何である(PKIのは何?)
公開鍵インフラストラクチャ(PKI)は、安全な通信ネットワークを提供するために、インターネット技術のセットです。PKI Sは置かHTTPSを -あなたは、あなたがそれを証明したソースから来ていることを確認するために、PKIを使用している可能性があり、Webブラウザ上でこの文書を読んでいる場合。
公開鍵基盤(PKI)の要素があります。政党の機関によって発行された(例えば、サービス利用者、サービス提供者)への証明書によって発行されたPKIデジタル証明書、当事者が自分の環境で、独自のCA認証メッセージ交換を使用します。CAの証明書失効リスト(CRL)は、もはや参照の有効な証明書を構成するものではありません。失効した証明書は、さまざまな理由に起因する可能性があります。秘密暗号化材料に関連付けられた証明書が失効することにさらされているので、例えば、証明書であってもよいです。
ただ、通信ネットワークよりもブロック・チェーン・ネットワークが、しかしそれは、さまざまなネットワーク参加者間の安全な通信を確保するために、そして適正な認定ブロック鎖にメッセージを投稿していることを確認するにはPKI規格に依存しています。したがって、PKIの基本を理解することは、なぜMSPを知ることは非常に重要で、かつ非常に重要です。
PKIは、4つの重要な要素があります。
- デジタル証明書
- 公開鍵と秘密鍵
- 認証局
- CRL
レッツはすぐにあなたがより多くの細部をしたい場合は、これらのPKIの基本を説明するウィキペディアは出発点は良いです。
デジタル証明書(デジタル証明書)
証明書所有者のドキュメントに関連付けられた属性のセットを含むデジタル証明書。証明書の最も一般的なタイプは、当事者をコーディング、その構造の識別の詳細を可能X.509規格に沿った証明書です。
例えば、メアリーモリスミッチェル自動車製造業はデトロイトに位置し、ミシガン有していてもよいSUBJECT性C=US、ST=Michigan、L=Detroit、O=Mitchell Cars、OU=Manufacturing、CN=Mary Morris /UID=123456デジタル証明書。彼女の政府のIDカードに似て彼女の証明書-それはマリアについての情報を提供し、彼女は彼女についての重要な事実を証明するために使用することができます。X.509証明書および他の多くの属性が、今それらの上のフォーカスを聞かせてください。
彼は、デジタル証明書のメアリー・モリスという名前のパーティを説明しています。メアリーは、証明書でSUBJECT強調表示し、SUBJECTテキストショーにメアリーさんに関する重要な事実を。あなたが見ることができるように、証明書はまた、より多くの情報が含まれています。最も重要なことは、メアリーは、証明書の配布で彼女の公開鍵であり、そして彼女の秘密鍵ではない、です。秘密鍵は秘密にしておく必要があります。
重要なのは、マリアのすべての属性が暗号(文字通り、「秘密の書き込み」)記録のための数学的手法を使用して呼び出すことができ、改ざんなどは、証明書が無効になるだろう。限り、彼らは(認証局(CA)と呼ばれる)証明書発行者を信頼して、暗号はメアリーは、証明書が自分の身元を証明するために他の人に提示されることができます。長いCAとして安全に特定の暗号化された情報(意味、自身の秘密鍵)として保存、証明書を読んで誰もがメアリーの情報を決定することができ改ざんされていない - それは常にメアリー・モリスのそれらの特定の性質を持つことになります。デジタルIDを変更することができないようメアリーのX.509証明書はみなすことができます。
認証、公開鍵と秘密鍵(認証、公開鍵、および秘密鍵)
身份验证和消息完整性是安全通信中的重要概念。 身份验证要求交换消息的各方确保创建特定消息的身份。 对于具有“完整性”的消息意味着在其传输期间不能被修改。 例如,您可能希望确保与真正的Mary Morris而不是模仿者进行沟通。 或者,如果Mary向您发送了一条消息,您可能希望确保其在传输过程中没有被其他任何人篡改过。
传统的身份验证机制依赖于数字签名,顾名思义,它允许一方以数字方式签署其消息。 数字签名还可以保证签名消息的完整性。
从技术上讲,数字签名机制要求每一方保留两个关联的密钥:一个广泛可用的公钥,作为身份验证锚,以及一个用于在消息上生成数字签名的私钥。 已数字签名的消息的接收者可以在预期发送者的公钥下通过检查附加签名是否有效来验证接收到的消息的来源和完整性。
私钥和相应公钥之间的唯一关系是使安全通信成为可能的加密魔法(cryptographic magic)。密钥之间的唯一数学关系是,私钥可用于在消息上产生签名,只有相应的公钥才能匹配,并且只能在同一条消息上匹配。
在上面的示例中,Mary使用她的私钥对邮件进行签名。 任何使用她的公钥查看签名消息的人都可以验证签名。
证书颁发机构(Certificate Authorities)
如你所见,参与者或节点能够通过由系统信任的机构为其发布的数字身份参与区块链网络。 在最常见的情况下,数字身份(或简称身份)具有符合X.509标准并由证书颁发机构(CA)颁发的经加密验证的数字证书的形式。
CA是互联网安全协议的常见部分,您可能已经听说过一些比较流行的协议:Symantec(最初是Verisign)、GeoTrust、DigiCert、GoDaddy和Comodo等。
证书颁发机构向不同的参与者分发证书。 这些证书由CA进行数字签名,并将参与者与其公钥绑定在一起(并且具有可选地全面属性列表)。 因此,如果一个人信任CA(并且知道其公钥),则可以信任特定参与者绑定到证书中包含的公钥,并通过验证参与者证书上的CA签名来拥有所包含的属性。
证书可以广泛传播,因为它们既不包括参与者也不包括CA的私钥。 因此,它们可以用作信任的靠山,用于验证来自不同参与者的消息。
CA也有一个证书,它们可以广泛获得。 这允许CA发布身份的消费者,通过检查他们的证书(只能由相应私钥的持有者(即CA)生成)来验证CA自身的证书。
在区块链设置中,希望在网络交互的每个参与者都需要一个身份。 在此设置中,您可能会说一个或多个CA 可用于从数字角度定义组织成员。 CA是为组织的参与者提供可验证的数字身份的基础。
根CA、中间CA和信任链(Root CAs, Intermediate CAs and Chains of Trust)
CA有两种形式:根CA 和中间CA 。 由于根CA(赛门铁克、Geotrust等)必须向互联网用户安全地分发数亿个证书,因此将此过程分散到所谓的中间CA中是有道理的。 这些中间CA具有由根CA或其他中间机构颁发的证书,允许为链中的任何CA颁发的任何证书建立“信任链”。 追溯到根CA的这种能力不仅允许CA的功能在仍然提供安全性的同时进行扩展 - 允许使用证书的组织充满信心地使用中间CA–它限制了根CA的暴露,如果根CA受到损害,将会危及整个信任链。 另一方面,如果中级CA受到损害,则曝光量会小得多。
只要每个中间CA的证书颁发机构是根CA本身或具有对根CA的信任链,就可以在根CA和一组中间CA之间建立信任链。
中间CA在跨多个组织颁发证书时提供了巨大的灵活性,这在要许可的区块链系统(如Fabric)中非常有用。 例如,您将看到不同的组织可能使用不同的根CA,或者使用具有不同中间CA的相同根CA - 它确实取决于网络的需求。
Fabric CA
因为CA非常重要,Fabric提供了一个内置的CA组件,允许你在你构建的区块链网络中创建CA。此组件(称为 Fabric CA )是一个私有根CA提供者,能够管理具有X.509证书形式的Fabric参与者的数字身份。 由于Fabric CA是针对Fabric的根CA需求的自定义CA,因此它本身无法为浏览器中的常规/自动使用提供SSL证书。 但是,因为必须使用某些CA来管理身份(即使在测试环境中),Fabric CA也可用于提供和管理证书。 使用公共/商业根或中间CA来提供识别也是可能的 - 并且完全合适。
如果你有兴趣,可以阅读更多关于Fabric CA 在CA文档部分的内容。
证书撤销列表(Certificate Revocation Lists)
证书撤销列表(CRL)很容易理解 - 它只是CA知道由于某种原因而被撤销的证书的引用列表。 如果您回想一下商店场景,CRL就像被盗信用卡列表一样。
当第三方想要验证另一方的身份时,它首先检查颁发CA的CRL以确保证书尚未被撤销。 验证者不是必须检查CRL,但如果不检查,则他们将冒着接受受损身份的风险。
使用CRL检查证书是否仍然有效。如果模仿者试图将受损的数字证书传递给验证方,则验证方可以先针对颁发CA的CRL进行检查,以确保其未列为不再有效。
証明書が失効し、証明書が非常に異なっている有効期限が切れていることに注意してください。証明書の失効期限が切れていない-その他の措置によって、彼らは完全に有効な証明書です。より詳細なCRLについての情報を、クリックしてくださいここに。
今、あなたはPKIが信頼の連鎖を通じて検証可能なアイデンティティをどのように提供するかを知っていることを、次のステップは、ブロックチェーン・ネットワークの信頼できるメンバーを表現するためにこれらのIDを使用する方法を理解することです。それのメンバー・サービス・プロバイダ(MSP)場に出た- それは、特定の組織内のブロックチェーン・ネットワークの様々なメンバーを識別します。
会員の詳細については、以下を参照してくださいMSPの概念のドキュメントを。
参考:
Hyperledgerファブリック1.3公式文書翻訳(3)重要な概念(キーコンセプト) - 3.5アイデンティティ(アイデンティティ)
公式の英語のオリジナル文書:
https://hyperledger-fabric.readthedocs.io/en/latest/identity/identity.html
