摘要:区块链节点的租户隔离机制、安全合规性的国密算法支持机制以及范围可验证的同态加密机制下,华为区块链服务的增强安全特性浅谈。
1. 华为区块链服务安全特性介绍
本文介绍华为云区块链服务BCS(BlockChainService)在安全隐私保护的设计与实现。华为区块链服务的构建基于开源的区块链框架hyperledge**bric,除了支持原生开源框架内部的PKI身份证书认证、交易签名校验、数据传输安全TLS等措施外, 华为云区块链服务在华为云安全的基础上还额外增加了新的安全特性,为区块链服务提供高安全环境。 本文主要描述如何基于虚拟私有云网络VPC建立租户区块链节点的隔离机制;从安全合规性角度讨论国密算法SM2/SM3/SM4的支持, 为用户提供多样性的哈希和签名策略;为保护交易参与方的隐私性,提供范围可证明的加法同态加密机制。本文通过一个区块链应用开发作为示例,详细描述如何使用BCS的安全隐私保护的特性。
2. 区块链服务的租户数据隔离机制
华为云对云端数据的隔离是通过虚拟私有云(VPC–Virtual Private Cloud)实施,它将不同租户间的网络深度隔离,保证了不同租户间的数据不会被越权获取。通过VPC,租户可以完全掌控自己的虚拟网络,实现不同租户间在二、三层网络的完全隔离:一方面,结合VPN或云专线,将VPC与租户内网的传统数据中心互联,实现租户应用和数据从租户内网向云上的平滑迁移;另一方面,利用VPC的安全组功能,按需配置安全与访问规则,满足租户更细粒度的网络隔离。
在华为云区块链服务中区块链联盟成员独立为单独的一个租户,每个租户单独运行在一个VPC中,利用华为云VPC数据隔离机制来保障每个联盟成员的数据隔离和权限隔离,从而满足区块链系统的多中心化、多方参与、多方共识和不可篡改等独立、安全原则。例如在如下的三个租户建立的联盟链网络中,每个租户在自身的VPC内构件区块链的组织和节点,用于存放账本数据。只有租户的管理者才会对自己本VPC内的节点和数据具有管理权限。每个租户可以设置EIP(externalIP)和端口,将锚点的访问地址发布以便其他租户集群的锚点可以与其建立连接。同样,我们将共识组织内的节点构建于一个私有集群,并为每个共识节点发布EIP和端口,使得各租户组织的leader节点可以与共识节点建立连接。
最低0.47元/天 解锁文章
扫一扫
1405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
