Hyperledger Fabric的安全实践

Hyperledger Fabric designed a complete security architecture system. In actual use, how to make good use of this system to ensure the security and convenience of the deployment and management of the blockchain is a very flexible and complex matter. We will briefly introduce the security principles of Hyperledger Fabric and the specific practices of the blockchain as a service platform in Dianrong.
展开查看详情

1. 点融区块链云服务 Hyperledger Fabric安全实践

2.⾃自我介绍 - 史锋锋 点融 / 资深架构师 区块链云服务平台 EMC / 资深架构师 Avamar Data Protection 爱⽴立信(中国)通信有限公司 / ⾼高级软件⼯工程师 流媒体移动电视、LTE Broadcast ⽬目前专注于企业级区块链技术的研究

3.提纲 Hyperledger Fabric简介 区块链应⽤用落地的安全挑战 点融区块链云服务的安全实践

4.Hyperledger Fabric简介 Application Application Application Application SDK SDK SDK SDK Orderer Org Bank1 Org Bank2 Org Bank3 Org Bank4 Org Peer Orderer Peer Peer Peer Fabric-CA Kafka ZooKeeper Fabric 区块链是⼀一个授权⽹网络

5. Hyperledger Fabric简介 每个“通道”都有⼀一个独⽴立的账本, Fabric 区块链本质上是⼀一个分布式的共享账本 仅在加⼊入通道的组织之间共享 Orderer 区块链 组 组 组 织 织 组织 联盟 组 组 织 通道 织 组 织 组 织 织 组 Peer1 Peer3 Peer2 组 织 通道 织 组 Endorser 织 联盟 组织 (部署了了智能合约) 联盟 Committer Peer1 Peer3 Peer2

6. Hyperledger Fabric简介 1 提案 4 排序 交易易验证 5 2 背书 6 写⼊入账本 3 验证

7.Hyperledger Fabric安全特性 • 强⼤大的身份认证 • 灵活的策略略管理理 • 智能合约的访问控制 • 账本数据加密

8. 区块链应⽤用落地的安全挑战 • 如何在区块链参与⽅方异构的⽹网络环境中组建联盟链? • 如何简单有效的控制区块链参与⽅方的权限? • 如何⾼高效的实施与业务相匹配的安全要求?

9.安全挑战1 - 异构⽹网络环境组建联盟链 公有云 • 组建联盟链⽹网络 • 复杂⽹网络环境的隔离 ⾃自有机房 • 区块链节点的安全加固 私有云

10.安全挑战2 - 区块链参与⽅方的权限控制 数字积分的联盟链 - 智能合约签名 • 参与⽅方背书智能合约 移动运营商 • 安装智能合约 签名 • 初始化智能合约 - 背书策略略 航空公司 签名 智能合约 • 智能合约调⽤用 签名 • 智能合约升级 银⾏行行

11. 安全挑战2 - 区块链参与⽅方的权限控制 背书合约 区块链应⽤用 审核合约 安装合约 实例例化到通道 智能合约 复⽤用合约 升级合约 新组织加⼊入联盟 新组织加⼊入通道 Fabric 区块链的领域模型: 新节点加⼊入通道 联盟、组织(MSP)、通道、策略略 背书策略略更更新 新节点加⼊入 Fabric 区块链物理理⽹网络 资源扩容

12.安全挑战3 - 业务相匹配的密钥安全要求 软件实现 USB KEY 硬件加密机

13.我们的观点 让⽤用户只需关注于业务实现,平台负责构建安全的区块链⽹网络

14.点融区块链云服务 提供企业级的区块链基础设施服务 帮助⽤用户轻松创建、管理理和维护区块链 快速开发、部署区块链应⽤用 分分钟创建区块链 跨云部署 随需弹性扩展 可视化管理理“链” 线上申请/线下审批 管理理智能合约

15.更更开放的联盟链 公有云 - 点融托管 VPC 点融区块链云服务 客户的公有云账户或者专有云 VPC 客户的数据中⼼心

16.更更可控的权限管理理 不不同组织共同组建⼀一个联盟链 盟主(云服务账号1) Orderer ZooKeeper Kafka 受各成员信任的组织管 盟主组织(⽐比如:⾦金金融业的某个协会) 理理共识节点 Peer Peer Peer Peer 银⾏行行1 银⾏行行2 银⾏行行3 银⾏行行4 成员 (云服务账号2) 成员 (云服务账号3) 动态加⼊入成员 每个成员组织的管理理⾃自 ⼰己的Peer节点

17.更更可控的权限管理理 联盟管理理 通道管理理 智能合约管理理 新加⼊入组织到联盟链 在云平台上发起请求 联盟链基本信息 ~~~~~ 已经同意的组织列列表 ~~~~~ 申请 批准 尚未同意的组织列列表 ~~~~~ 在点融区块链客户端上审批 批准 点融区块链云服务不不保存⽤用户的任何私钥

18. 更更可控的权限管理理 数字积分的联盟链 同意新成员(零售公司)加⼊入通道的共识过程 航空公司 移动公司 银⾏行行 零售公司申请加⼊入到通道 零售公司申请加⼊入到通道 零售公司申请加⼊入到通道 数字积分联盟链 数字积分联盟链 数字积分联盟链 银⾏行行 已同意 银⾏行行 已同意 航空公司 未同意 移动运营商 未同意 航空公司 未同意 移动公司 未同意 同意加⼊入 同意加⼊入 已同意

19.更更可控的权限管理理 提供“智能合约打包⼯工具”打包智能合约 发布到不不同的区块链, 在线实例例化 • 导出代码,以供审核 合约得以复⽤用 可视化的⽅方式指定背书策略略 • ⽀支持NodeJS,Golang语⾔言 开发 打包 上传 发布 安装 部署 升级 通过点融区块链客户端 在线安装 多节点同时升级 安全上传智能合约 多节点批量量安装

20. 更更可控的权限管理理 操作分类 具体操作 发起⼈人 审批⼈人 是否要收集多⽅方签名 联盟管理理 新建联盟 盟主区块链管理理员 盟主区块链管理理员 否 新组织加⼊入联盟 盟主区块链管理理员 盟主区块链管理理员 否 通道管理理 盟主区块链管理理员 新建通道 盟主区块链管理理员 是(⽬目前⽀支持ANY策略略) 加⼊入该通道的成员组织管理理员 盟主区块链管理理员 往通道加组织 盟主区块链管理理员 是(⽬目前⽀支持MAJORITY策略略) 加⼊入该通道的成员组织管理理员 往通道加节点 peer节点所属组织的管理理员 peer节点所属组织的管理理员 否 智能合约管理理 上传智能合约 任意组织管理理员 任意组织管理理员 否 任意组织管理理员 发布智能合约 任意组织管理理员 是(⽬目前⽀支持ANY策略略) 该链上的其他组织管理理员 安装智能合约 peer节点所属组织的管理理员 peer节点所属组织的管理理员 否 初始化智能合约 发布合约的组织管理理员 发布合约的组织管理理员 否 升级智能合约 初始化智能合约的管理理员 初始化智能合约的管理理员 否

21.更更包容的加密⽅方案 加密⽂文件的存储证书 Windows / MacOS Electron App 证书管理理 Crypto Service React Web App 签名 File 点融区块链客户端

22.更更包容的加密⽅方案 外接的加密硬件 Windows / MacOS Electron App React Web App 点融区块链客户端

23.更更包容的加密⽅方案 公有云的加密服务 Windows / MacOS Electron App 加密服务(硬件加密机) React Web App 点融区块链客户端 Peers Orders Zookeepers Kafkas 公有云的VPC

24.更更包容的加密⽅方案 对接企业内部密钥管理理系统 Windows / MacOS Electron App 密钥管理理系统 React Web App 防⽕火墙 点融区块链客户端 企业内部⽹网络

25.点融区块链云服务 区块链应⽤用市场 应⽤用开发 SDK 智能合约市场 智能合约打包⼯工具 区块链底层平台 (Fabric、Corda) 公有云、外部节点、混合云 点融区块链 (阿⾥里里云、UCloud、OpenStack …) 客户端 点融区块链云服务 配套⼯工具

26.总结 • 更更开放,更更安全的联盟链 • 更更可控,更更⽅方便便的权限控制 • 更更包容,更更灵活的加密⽅方案

27. 欢迎⼤大家免费体验 https://baas.dianrong.com 谢谢 点融区块链云服务交流群 邮箱: baas-support@dianrong.com