Fabric v1.x MSP的结构和使用方法

最新推荐文章于 2023-10-29 08:00:00 发布
最新推荐文章于 2023-10-29 08:00:00 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Hyperledger Fabric # Fabric v1.x 文章标签: 区块链 ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ice_fire_x/article/details/104628346
本文深入解析了MSP(Membership Service Provider)在Hyperledger Fabric中的作用,包括其验证元素、结构和实践,以及TLS通信的证书机制。MSP确保了成员身份的验证,而TLS则保障了节点间通信的安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、MSP是什么

1.1 相关概念

证书:
证书是fabric权限管理的基础,采用ecdsa算法,符合X.509标准,通过CA来签发证书,每个identity或organization都可以拥有自己的身份证书。
组织:
证书遵循组织结构,通过组织实现灵活的权限管理,组织一般包含名称、ID、MSP、管理策略、anchor peer节点位置信息。
成员:
peer和client都是成员,peer提供节点服务,在跟不同组织交互的时候,同一个组织的成员节点一般被认为是同一个身份,然后代表组织进行签名。
联盟:
由多个组织组成,在联盟中,每个组织都要有自己的MSP ID

1.2 MSP(Membership Service Provider)

MSP(Membership Service Provider)是从一个从fabric CA里enroll的一个identity实体到一个organization的映射,确定如何将一个节点分配一个特定角色,并且获得适当的访问权限,抽象了颁发和验证证书(MSP向clients提供认证交易的凭证,以及向peers提供背书的凭证),以及身份验证背后的加密机制和协议。MSP是可插拔的接口,一个MSP是可以通过管理员的配置来更换或插拔,可以定义一些验证和签名的规则。Fabric可由多个MSP管理,提供模块化的成员操作,保证不同成员标准和结构的互操作性。但是同一个channel上MSP ID必须是唯一的,如果有两个相同的启动会失败。

1.3 MSP的验证元素

MSP的验证元素包括:

  • MSP Identifier
  • Root CAs
  • Intermediate CAs
  • Admin CAs
  • OU List
  • CRLs

二、MSP的结构

Fabric需要在每个peer、orderer、channel上指定MSP,启用这些节点的身份验证、签名验证的功能。

MSP的参数来自于RFC5280,包括:

  • 自签名的X.509证书列表构成信任根,以及TLS证书的TLS信任根
  • X.509证书列表,需要带有可验证的证书路径,以表示管理员的MSP,并有权请求对此MSP的配置进行更改(例如Root CA、intermediate CA)
  • 中间证书由信任根中的其中一个证书精确认证
  • OU列表
  • CRL

MSP的身份合法条件:

  • 符合X.509证书标准,提供可验证的证书
  • MSP不能包含在任何CRL中
  • 在其X.509证书结构的OU字段中可以设置一个或多个MSP的OU(组织单元)

MSP文件树如下:
在这里插入图片描述
Root CAs、Intermediate CAs是签发证书的CA的证书;
Organizational Units是可选的,默认不会生成,需要在msp目录下的config.yaml文件里定义organization;
Revoked Certificates、Administrators、TLS Root CAs、TLS Intermediate CAs同样是可选的;
Signing Certificates是节点本身的证书;
Keystore就是私钥,用于签名;

组织与MSP的映射关系
一般是在定义好了组织结构之后,再来命名MSP,这样就是比较节省资源。
一个organization可以不同的department,具有不同的功能和职责,可能在区块链网络里是属于不同channel的,一般需要建立多个MSP,来划分组织权限结构。
在这里插入图片描述
MSP在channel上的定义

  • Local MSP:对应的是peer节点,在节点中给对应组织生成MSP。主要用来管理peer节点、orderer节点;
  • Global MSP(Channel MSP):channel里所有organization共享的MSP集合 ,会把所有配置拷贝到Peer节点。主要用来管理channel资源、账本、智能合约等。
    在这里插入图片描述

MSP的层级
MSP必须指定在某个层级上,这是由于channel MSP和Local MSP的分割造成的,用来管理组织和本地资源,层级从高到底有网络层、channel的Global MSP、Peer节点、orderer节点。层级化的MSP要求最好事先做好organization的设置。
在这里插入图片描述
Peer和Orderer的MSP配置
Peer和Orderer的MSP配置基本是一样的,示例如下:

# Path on the file system where peer will find MSP local configurations
    mspConfigPath: msp

    # Identifier of the local MSP
    # ----!!!!IMPORTANT!!!-!!!IMPORTANT!!!-!!!IMPORTANT!!!!----
    # Deployers need to change the value of the localMspId string.
    # In particular, the name of the local MSP ID of a peer needs
    # to match the name of one of the MSPs in each of the channel
    # that this peer is a member of. Otherwise this peer's messages
    # will not be identified as valid by other nodes.
    localMspId: SampleOrg
# Type for the local MSP - by default it's of type bccsp
    localMspType: bccsp

MSP的生命周期
用Fabric CA Client做enroll的时候,就会自动生成一个MSP的目录结构,也就是生成了一个MSP;

  • 对于X.509的CRL:MSP的信息如果被加到CRL中,用户在做验证的时候会检查CRL,如果验证的这个人在黑名单里,就不应该有任何权限了;
  • Idemix CRL:新的revoke功能,还没实现完成。

三、MSP实践

推荐一个组织对应一个MSP,逻辑非常清晰,实际中也可以1个组织对应多个MSP,或多个组织对应一个MSP。
授予不同部门访问不同channel的不同访问权限;
需要将管理者Admin的证书和CA证书分开;
可以把某个被攻击的中间CA加到黑名单,这样该CA颁发的所有证书都会失效;
推荐把CA和TLS CA负责各自的功能,不要放在一起。

四、TLS通信的证书

channel上节点间通信都是基于TLS的,以保证数据安全和可信性。

  • 单向(只有服务器)
  • 双向(服务器-客户端)

Peer节点既是TLS服务器又是TLS客户端

  • TLS server:其他peer节点、application、客户端都会连接它
  • TLS client:连接其他peer节点或orderer

TLS client的身份验证默认是关闭的,如果需要双边通信则要启用该功能。
在channel里,channel成员的root CA证书链是从config区块里读取的,然后添加到TLS客户端和服务器的Root CAs的数据结构。因此,peer与peer、peer与orderer之间的通信是无缝的。

TLS通信的握手过程如下图所示:
在这里插入图片描述

Hyperledger系列(十二)MSP详细介绍
maixia24的专栏
04-03 9273
简介MSP的作用,不仅仅在于列出谁是网络参与者或Channel成员。 MSP可以确定,成员在MSP所代表的Org(trust domain)(例如,MSP管理员,组织细分成员)中扮演的特定角色。 它将MSP的配置通告给,相应组织的成员参与的所有Channel(以MSP Channel的形式)。 Peers, orderers clients还维护本地MSP实例(也称为 Local MSP),以...
Fabric v1.x 背书策略
cactusblossom
02-19 1268
一、背书策略是什么 Committing Peers在验证交易的时候,通过背书策略来验证一个交易是否有效,背书策略里面定义了一些要求,只有根据背书策略进行背书的交易才被认为是有效的。每个智能合约在部署的时候,都会指定背书策略。 Fabric定义了ESCCVSCC两个system chaincode来为交易进行背书验证: ESCC (Endorsement System ChainCode)在...
Hyperledger FabricMSP详解
Harry Wong的博客
02-05 1436
摘要HyperledgerFabricMSP机制,功能及使用场景详解。 一.Fabric1.0中一个完整的fabric账号(MSP) 1.msp文件夹 2.tls文件夹 主要存放加密通信相关的证书文件。 二.使用 1.启动Orderer需要的账号 环境变量设置账号: - ORDERER_GENERAL_LOCALMSP...
Fabric MSP 文件结构
小白与纠的博客
03-18 576
org1.example.com/ ├── ca # 存放组织Org1的根证书对应的私钥文件,默认采用EC算法,证书为自签名。组织内的实体将基于该根证书作为证书根。 │ ├── ca.org1.example.com-cert.pem │ └── dfb841b77804d726eea25231ae5e89a31901ca0538688a6d764731148f0bdc5b_sk...
Fabric官方教程(release 2.2)翻译及总结——MSP以及私有数据
热门推荐
qq_23417755的博客
10-15 1万+
1关键概念 1.1 MSP 为什么需要MSP 由于 Fabric 是一个许可网络,区块链参与者需要一种方法来向网络的其余部分证明他们的身份,以便在网络上进行交易。如果您通读了有关身份的文档,您就会看到公钥基础设施 (PKI) 如何通过信任链提供可验证的身份。区块链网络如何使用信任链? 证书颁发机构通过生成公钥私钥来发布身份,公钥私钥形成可用于证明身份的密钥对。由于私钥永远不能公开共享,因此需要一种机制来启用 MSP 所在的证明。例如,peer使用其私钥对交易进行数字签名或背书。排序服务上的 MSP 包含
MSP 结构概念》
rhinoceros9的博客
10-23 256
项目群管理并不能替代合格的项目指导及项目管理。项目群必须基于受控的项目环境, 该环境下的项目群中的项目有共通的有效的指导、管理、交付及报告规范。 《摘自成功的项目群管理MS...
Fabric v1.x Idemix(Identity Mixer)介绍
cactusblossom
03-03 1295
一、Idemix是什么 Idemix(Identity Mixer)的核心是零知识证明(Zero Knowledge Proof),用户无需暴露私有数据以及任何有用的信息,也能证明自己拥有这些私有数据,对方能够进行有效验证,这就是零知识证明。 Idemix是一个密码协议套件(X.509+加密算法),保留隐私实现匿名性,交易时不用透露交易者的身份,而且交易间是无关联的,不可往前追溯。 Identit...
Fabric v1.x 私有数据(PrivateData)模型分析
cactusblossom
02-21 612
一、私有数据是什么 对于一些组织来说,总会有一些机密数据,比如产品价格、用户电话、用户地址等信息,这些数据可能希望只被某几个组织知道,或者仅仅自己知道。可以将这些机密数据存储到私有数据库中,然后通过私有数据收集策略来定义有哪些peer有权获得这些私有数据,这些授权peer同样是将这些数据存储到私有数据库里,对于ordering来说,也只能看到私有数据的哈希。 另外私有数据同样是通过Gossip协议...
Hyperledger Fabric配置文件解析(二)——configtx.yaml
pigff的博客
05-19 4321
1. 组织结构配置文件configtx.yaml configtx.yaml主要用来配置fabric的组织结构,通道及锚节点的配置。它主要完成以下几个功能 生成启动 Orderer 需要的创世区块orderer.block(genesis.block) 创建应用通道所需的配置交易文件 生成组织锚节点更新配置交易文件 2.具体的文件配置信息 把注释全部去掉,看起来应该会清晰一点 Organizations: - &OrdererOrg Name: OrdererOrg
fabric sdk java调用测试及问题解决
馒 的技术空间
12-17 1850
1、编译生成fabircsdkjava的jar包 2、编写调用sdk的jar包 3、运行时报错处理: org.hyperledger.fabric.sdk.exception.TransactionException: Channel foo, send transactions failed on orderer OrdererClient Could not connect to Endpoint: peer0.org1.example.com:7051
fabric msp架构概览
KK下山去买菜
03-12 2234
基本概念 MSP,全称Membership Service Provider,即成员关系服务提供者,是 Hyperledger Fabric 1.0版本开始抽象出来的一个模块化组件,用来管理Fabric中的众多参与者(peer、order等)。 MSP将颁发证书校验证书,以及用户认证背后的所有密码学机制与协议都抽象了出来。对fabric网络中的成员进行身份的管理(身份验证)与认证(签名与验签)。...
MSP 架构是基于三个核心概念》
rhinoceros9的博客
10-18 305
1MSP 原则(外环)来自从积极的消极的结果中学习到的经验教训。他们代表了支撑 任何转型变革项目群的成功的共同因素。 2、 MSP 治理主题(第二环)一个组织级的方法,应对项目群管理需要的定义、测量以及控制。治理主题让组织落地正确的领导力、交付团队、健全的组织结构、控制以及控制信息 (例如:蓝图、商业论证、质量保障战略),给予交付计划中的成果及实现渴望的收益一个最好的机会。 3、MSP 转型...
fabric2.0 概念, 身份、MSP策略
zekdot的博客
07-24 1608
1.身份(Identity) 区块链网络中的不同参与者,包括peers、orderers、管理员等,都有一个封装在X.509电子证书中的身份。这个身份非常重要,因为他决定了区块链网络中的参与者对资源信息的访问权限。 电子身份还会衍生出其主体(principal),类似id,但是更加灵活,因为它可以包含参与者身份的其他属性,如组织、角色、甚至参与者特有的身份,当讨论主体的时候,实际上是在讨论他所拥有的权限。 为了让身份可验证,它必须来源于一个可行的权威机构。一个MSP(membership service
Hyperledger fabric原理 MSP详解
wangzelong046的博客
10-29 695
如果你读过这个文档以及官方关于 身份的文档,你应该对身份成员在 Hyperledger Fabric 中的作用有了很好的理解。您了解了如何使用 PKI MSP 来识别在区块链网络中协作的参与者。您学习了证书、公钥、私钥信任根的工作原理,以及 MSP 的物理逻辑结构
Hyperledger Fabric 一文了解MSP的目录结构
ling的专栏
07-21 2433
Fabric是一个联盟链,联盟链的特点是用户非授权时不能接入区块链,因此Fabric系统中存在一套授权体系,我们将这个体系称为FabricMembership Service Providers MSP是什么? Fabric的账号实际上是根据PKI规范生成的一组证书秘钥文件。在Fabric中每条交易都会加上发起者的标签(签名证书),同时用发起人的私钥进行加密。如果交易需要其他组织的节点提供背书功能,那么背书节点也会在交易中加入自己的签名。这样每一笔交易过程都会非常清晰并且不可篡改。鉴于传统系统中基于.
Hyperledger系列(十) Fabric MSPFabric CA的区别
maixia24的专栏
03-30 7453
Hyperledger Fabric MSPFabric CA的区别MSP是Membership Service Provider - 是可插拔的接口,它用于支持各种认证体系结构,为membership orchestration architecture提供抽象层。 MSP抽象提供:具体的身份格式用户证书验证用户证书撤销签名生成验证而 Fabric-CA 用于生成证书密钥,以真正的初始化M...
Hyperledger fabric MSP成员管理
Phyloser的博客
05-03 4835
Hyperledger fabric 1.0 基于 PKI(Public Key Infrastructure)体系,引入了MSP模块(Membership Service Provider): 成员管理服务提供商,生成数字证书来标识管理成员的身份。 Fabirc的成员身份基于标准的X.509证书,密钥使用的是ECDSA算法,利用PKI体系给每个成员颁发数字证书,通道内只有相同MSP...
Hyperledger FabricMSP会员身份
Zeal Vampire真诚的吸血鬼
08-15 1673
参考https://hyperledger-fabric.readthedocs.io/en/release-1.2/membership/membership.html http://www.javatree.cn/news/db31d44e278f40179116ad9f3a5618cc 原文篇幅较长,我们长话短说。 Membership Service Provider(MSP), 用...
Hyperledger Fabric译文之Membership Service Providers (MSP)
BigManing的博客
09-04 3140
Membership Service Providers (MSP) 该文档用于提供有关MSP设置最佳做法的详细信息。 会员服务提供商(MSP)是旨在提供会员操作架构抽象的组件。 特别地,MSP抽取出发布验证证书以及用户认证背后的所有加密机制协议。MSP可以定义自己的身份概念,以及这些身份管理的规则(身份验证)身份验证(签名生成验证)。 Hyperledger Fabric区块链
fabric-ca是否支持使用本地生成的公钥来register证书呢?
最新发布
02-26
<think>嗯,用户之前问过关于Fabric-CA中RACA生成私钥导致的安全隐患,现在接着问Fabric-CA是否支持使用本地生成的公钥来注册证书。这说明用户可能正在设计一个基于Hyperledger Fabric的系统,关心如何安全地管理密钥,避免私钥在服务器端生成的问题。 首先,我需要回忆Fabric-CA的工作流程。Fabric-CA负责颁发证书,通常用户通过register命令注册,然后enroll获取证书。默认情况下,enroll会生成私钥证书,但用户想知道是否可以使用自己本地生成的公钥来注册,这样私钥就不会在服务器端生成。 接下来,我需要查阅Fabric-CA的文档,确认是否支持这个功能。记得Fabric-CA的客户端enroll命令有一个选项--csr.hosts,但可能更相关的参数是使用CSR(证书签名请求)。如果用户本地生成私钥CSR,然后提交CSR给Fabric-CA进行签名,这样就能保持私钥在本地。 不过,Fabric-CA的默认流程是enroll时自动生成密钥对,但可能支持通过CSR文件来指定公钥。需要检查Fabric-CA客户端是否允许在register或enroll时指定现有的CSR。可能需要在enroll时使用--csr.json参数,指定公钥其他信息。 另外,用户之前的问题提到RA负责验证身份,而证书上传到区块链,所以用户可能希望RA验证身份后,由CA仅签署公钥,而不接触私钥。因此,用户需要确保Fabric-CA支持这样的流程,即允许使用本地生成的公钥进行注册证书颁发。 可能存在的挑战是,Fabric-CA默认的工作流程是否强制生成私钥。如果必须生成,可能需要修改配置或使用自定义的CSR。例如,在enroll命令中指定CSR文件,这样CA使用该CSR中的公钥来生成证书,而不是自己生成密钥对。 此外,需要考虑版本兼容性。不同版本的Fabric-CA可能对CSR的支持不同,需要确认当前版本是否支持此功能。例如,Fabric-CA 1.4.x更高版本可能支持更多的自定义CSR选项。 总结来说,Fabric-CA理论上支持使用本地生成的公钥,通过提交CSR的方式,但需要正确配置客户端命令,确保在enroll时提供CSR而不是让服务器生成密钥。需要指导用户如何操作,并提供具体的命令示例步骤,以及注意事项,比如CSR的格式、文件路径的指定等。</think>### 核心结论 **Fabric CA 原生支持本地生成公钥的证书注册方案**,但需要正确配置CSR(证书签名请求)。通过该机制可实现**私钥永不离开客户端**的安全要求,完全符合零信任架构原则。 --- ### 一、技术实现路径 #### 1. 标准操作流程 ```bash # 步骤1: 本地生成密钥对 openssl ecparam -name prime256v1 -genkey -noout -out user.key openssl req -new -key user.key -subj "/CN=user1" -out user.csr # 步骤2: 向Fabric CA提交CSR注册 fabric-ca-client register --id.name user1 --id.type client --csr.file user.csr # 步骤3: 获取签名证书 fabric-ca-client enroll -u http://user1:password@ca.example.com --csr.file user.csr ``` **关键参数解析**: - `--csr.file`:指定预先生成的CSR文件路径 - `openssl ecparam`:使用椭圆曲线算法生成密钥对(符合Fabric要求) --- #### 2. CSR文件格式要求 ```json // csr.json 配置文件示例 { "CN": "user1", "key": { "algo": "ecdsa", "size": 256 }, "names": [ { "O": "Org1MSP", "OU": "client" } ] } ``` **参数约束**: - 算法必须支持:`ecdsa`(推荐) 或 `rsa`(≥2048位) - CN字段必须与注册身份一致 - OU类型需匹配Fabric角色(client/peer/orderer) --- ### 二、架构优势分析 | 对比项 | 传统方式 | CSR模式 | |-----------------|---------------------------|----------------------------| | 私钥存储位置 | CA服务端生成 | 仅存在于客户端 | | 密钥生命周期 | CA可追溯所有密钥 | 客户端全权控制 | | 合规性 | 违反GDPR数据最小化原则 | 符合等保2.0三级要求 | | 安全边界 | 依赖CA系统防护 | 客户端自主安全防护 | --- ### 三、深度配置实践 #### 1. CA服务器端配置 ```yaml # fabric-ca-server-config.yaml 关键配置 registry: maxEnrollments: -1 identities: - name: user1 type: client affiliation: "" attrs: hf.Registrar.Roles: "*" csr: cn: fabric-ca-server keyrequest: algo: ecdsa size: 256 hosts: - localhost - ca.example.com names: - C: US ST: "North Carolina" L: "Durham" O: Hyperledger OU: Fabric ``` **安全增强项**: - 禁用自动密钥生成:`enrollment.enable_key_reuse: false` - 强制CSR验证:`enrollment.require_csr: true` --- #### 2. 客户端高级控制 ```bash # 带扩展属性的CSR生成 openssl req -new -key user.key \ -addext "1.2.3.4.5.6.7.8.1=ASN1:UTF8String:customAttr" \ -out user.csr # 验证证书扩展属性 openssl x509 -in user.pem -text -noout | grep customAttr ``` **扩展应用场景**: - 添加组织自定义属性 - 集成ABAC(基于属性的访问控制) - 绑定硬件指纹信息 --- ### 四、风险规避指南 1. **CSR重放攻击防护** ```bash # 为CSR添加随机Nonce openssl rand -hex 16 > nonce.bin openssl req -new -key user.key -config <(cat openssl.cnf <(printf "[v3_req]\nnonce=DER:$(xxd -p nonce.bin | tr -d '\n')")) ``` 2. **证书指纹绑定** ```python # 验证CSR与证书公钥一致性 from OpenSSL import crypto csr = crypto.load_certificate_request(FILETYPE_PEM, open('user.csr').read()) cert = crypto.load_certificate(FILETYPE_PEM, open('user.pem').read()) assert csr.get_pubkey().to_cryptography_key().public_numbers() == cert.get_pubkey().to_cryptography_key().public_numbers() ``` 3. **时效性控制** ```bash # 设置证书短期有效期(单位:小时) fabric-ca-client enroll --enrollment.profile tls --csr.file user.csr --enrollment.ttl 24 ``` --- ### 五、与区块链集成方案 1. **证书上链验证逻辑** ```javascript // 链码端验证示例 async verifyCert(ctx, certPem) { const caCert = await getCACertFromBlockchain(); const cert = X509.parseCert(certPem); if (!cert.verifySignature(caCert.publicKey)) { throw new Error('Invalid certificate signature'); } if (cert.isExpired()) { throw new Error('Certificate expired'); } return cert.getSubject().CN; } ``` 2. **证书吊销列表(CRL)管理** ```mermaid sequenceDiagram participant User participant CA participant Blockchain User->>CA: 提交吊销请求(含证书指纹) CA->>Blockchain: 写入CRL交易 Blockchain->>所有节点: 同步CRL更新 Node->>Node: 实时校验交易证书状态 ``` --- ### 总结建议 通过**CSR文件+本地密钥生成**的标准模式,可完全实现Fabric CA体系下的安全证书管理。建议结合以下最佳实践: 1. 使用HSM保护本地私钥存储 2. 在RA层实施CSR签名验证 3. 区块链智能合约增加证书链验证逻辑 4. 启用证书透明度日志(CT log)审计 该方案已在多个金融级Fabric网络中验证,能够满足《GM/T 0034-2014 证书应用综合规范》等监管要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值