区块链hyperledger-fabric之 权限管理

Fabric 身份管理
1.Fabric 权限管理基于身份管理
2.Fabric 身份管理基于PKI体系
3.Fabric 成员身份基于标准的X.509证书
4.Fabric 中CA提供成员服务管理

**Fabric MSP(成员管理服务提供商) **
Fabric提出了MSP(Membership Service Provide)的概念，MSP(成员管理服务提供商) ，MSP是一个提供虚拟成员 *** 作的管理框架的组件，MSP抽取出签发和验证证书以及用户认证背后的所有加密机制和协议。 MSP可以定义自己的身份概念，以及这些身份管理的规则（身份验证）和身份验证（签名生成和验证），一个Fabric网络能够被一个或更多的MSP控制。这提供了会员 *** 作的模块化，以及跨不同会员标准和体系结构的互 *** 作性。

1.MSP抽象各成员之间的控制结构关系
2.MSP将证书颁发、用户认证、后台加密和协议抽象化
3.一个Fabric网络可以有多个MSP
4.实现Fabric网络 *** 作、规则和流程模块化
5.一般情况下建议一个组织对应一个MSP，当然技术上也支持一个组织对应多个MSP，多个组织对应一个MSP

Ca：根ca证书和秘钥
Msp：msp的配置
Orderers or Peers：orderers的配置或者peers的配置
Tlsca：TLS的中间CA证书和秘钥
Users：用户配置，默认有1个管理员和1个普通用户

Fabric CA
Fabric CA提供如下功能：

1.用户信息注册
2.数字证书发行
3.数字证书延期和吊销

FabricCA 证书信任链
由根CA和中间CA 到最终用户组成一个证书信任链

Fabric MSP实现权限管理
前面讲到Gossip协议只在1个组织内部进行数据同步和分发，更准确的说应该是Gossip协议只在1个MSP内部进行数据同步和分发，所以我们在设计网络时，需要考虑组织和MSP的对应关系

（1）1个组织对应1个MSP，方便管理，数据只在组织内部同步，一定程度保护了隐私
（2）1个组织对应多个MSP，这种情况一般是组织内部存在多个部门，为了实现管理方便和隐私保护，为每个部门单独设置一个MSP，这样组织内部的部门之间不会同步数据，同时可以实现基于部门的交易背书策略和通道管理策略
（3）多个组织对应1个MSP，一般在同一个联盟的不同组织之间需要实现数据的同步