会员服务提供商的Hyperledger Fabric文档-问题

时间:2018-09-16 19:16:01

标签: hyperledger-fabric hyperledger-fabric-ca

我阅读了有关Hyperledger Fabric成员资格服务提供商(MSP)的文档,但并不是所有事情对我来说都是真的。

到MSP上的文档部分的链接是这样的: https://hyperledger-fabric.readthedocs.io/en/release-1.2/membership/membership.html

  1. 引用文档:
  

这是会员服务提供商(MSP)发挥作用的地方-   它标识受信任的根CA和中间CA   通过以下方式定义信任域(例如组织)的成员   列出其成员的身份,或通过识别哪些CA   被授权为其成员发布有效身份,或-   通常会是这种情况-通过将两者结合在一起。

我对本段的理解是:OrgX的MSP拥有OrgX成员的列表(因此可以简单地对照列表检查网络上的参与者),或者,MSP定义允许哪个证书颁发机构发布OrgX成员的身份。 这种理解正确吗?

  1. 如果OrgX的MSP定义了允许向OrgX成员颁发身份的证书颁发机构,那么这如何保护网络免受有害参与者的入侵?假设OrgX的MSP使用“ Symantec”作为其CA。因此,每个拥有Symantec证书的人都被视为OrgX的成员,可以参加网络。但是,如果我(不是OrgX的成员)从Symantec获得证书怎么办?我现在是否自动被视为OrgX的余烬并且可以加入网络?

  2. 有通道MSP和本地MSP。根据文档,通道MSP和本地MSP都定义哪些身份属于某个组织(例如OrgX)。但是,如果通道MSP包含与本地MSP相同的信息(即基本上是一个身份列表),那么将通道MSP实例化为节点有什么意义呢?

enter image description here

1 个答案:

答案 0 :(得分:1)

  

我对本段的理解是:OrgX的MSP要么具有   OrgX成员列表(因此网络上的参与者可以简单地   对照清单进行检查),或者由MSP定义   允许证书颁发机构为以下成员颁发身份   OrgX。这种理解正确吗?

正确。但是...实际上,在MSP中显式配置的唯一证书是管理员证书。其余的未配置,并通过标准的x509 PKI验证(找到到某些中间CA或根CA的验证路径)进行了验证,而管理证书则通过逐字节比较来标识。

  

如果OrgX的MSP定义了允许的证书颁发机构,   向OrgX成员发布身份,那么这如何保护   不需要的参与者进入网络?

不需要的参与者不应具有包含由OrgX使用的相应证书的私钥。

  

比方说,OrgX的MSP使用“ Symantec”作为其CA。所以大家   持有Symantec证书的人被视为OrgX的成员,并且可以   参与网络。但是,如果我(不是会员)   OrgX)获得“赛门铁克”的证书?我现在是自动吗   被认为是OrgX的余烬,可以加入网络吗?

如果您获得了与Symantec的CA颁发的证书的公钥相对应的私钥,并且该CA在结构通道配置中具有配置为根CA或中间CA的证书,则-您可以验证为OrgX成员。

  

有通道MSP和本地MSP。根据文档,   通道MSP和本地MSP定义哪些身份属于   某些组织(例如OrgX)。但是什么是重点   实例化到节点的通道(如果通道MSP包含   与本地MSP相同的信息(即基本上是   身份)?

通道MSP与本地MSP所包含的信息不同。 本地MSP仅包含有关本地MSP节点(对等方,订购方)所属组织的信息。 但是,频道MSP可以包含有关该频道成员的任何组织的信息。 实际上,一个渠道有多个MSP-每个组织1个!

请考虑一个示例-您在Foo频道中拥有A,B和C组织。 因此,通道配置将具有3个MSP,每个MSP用于验证属于相应组织的身份。

相关问题
最新问题