Hyperledger Fabric Composer-限制系统管理员的访问权限

时间:2018-07-20 12:57:49

标签: hyperledger-fabric hyperledger-composer access-control system-administration peer

我的问题是关于Hyperledger Fabric Composer中的访问控制。

假设您有一个业务网络,其中有以下参与者:

  1. 卖家
  2. (潜在)买家

卖方是向购买公司出售产品的公司的雇员。买方是买方公司的雇员。

示例: 采购公司是戴姆勒。戴姆勒的三名员工在该网络中注册为买家。 出售公司是通用电气。通用电气的两名员工在网络中注册为卖方。

使用hyperledger作曲家的访问控制语言,可以随意限制买卖双方的访问权。

但是在节点级别的访问控制情况如何?

不仅有买卖双方,而且还有两名系统管理员:一名负责戴姆勒同行的系统管理员和一名负责通用电气同行的系统管理员。

默认情况下,系统管理员可以访问所有数据。也就是说,戴姆勒系统管理员可以访问通用电气注册员工的所有数据。反之亦然,通用电气系统管理员可以访问戴姆勒注册员工的所有数据。

是否可以将系统管理员的访问权限限制为少数权限,例如:

  1. 安装和启动业务网络的权利
  2. 有权控制其他系统管理员对系统所做的更改(例如,如果戴姆勒系统管理员更改了应用程序的代码,则通用电气管理员必须批准这些更改,然后才能生效)
  3. 读取对自己公司员工的访问权限

1 个答案:

答案 0 :(得分:4)

通过超级账本结构MSP管理对超级账本结构的访问(包括与业务网络交互在内的所有操作)。 作为设置超级账本结构网络和通道的一部分,超级账本结构定义了哪些身份(通过MSP创建)有权将链码安装到对等方,哪些身份具有信道权限,以便能够实例化或升级链码。 可以将对等安装和通道实例化/升级限制为特定的身份。 例如,可以在此链接https://hyperledger-fabric.readthedocs.io/en/release-1.2/msp.html上找到有关Hyperledger架构MSP的信息,但是您可能希望熟悉本部分的完整操作部分。

Composer中的访问控制是通过参与者和业务网络ACL文件完成的。您可以控制哪些参与者可以对Composer运行时控制的资源执行各种操作。 您需要一个身份(由MSP生成)才能在通道/链码上进行交互(根据超级账本结构的要求),该身份必须事先映射到特定参与者才能在业务网络上进行交互。当请求发送到业务网络时,编辑器将基于发出请求的身份查找特定的参与者,并使用该参与者及其类型,通过业务网络ACL文件中的信息来确定允许的对象。做。

请注意,Peer安装,链码的通道实例化/升级等功能是结构级别的功能,而不是组合程序的功能,因此您无法通过组合程序ACL定义来控制这些活动类型