Hyperledger Fabric Composer - ограничение прав доступа системных администраторов

Мой вопрос заключается в контроле доступа в композиторе с гиперссылкой.

Предположим, у вас есть бизнес-сеть, в которой у вас есть следующие участники:

  1. Продавцы
  2. (Потенциальные) покупатели

Продавец является сотрудником компании, которая продает продукты покупающей компании. Покупатель является сотрудником компании-покупателя.

Пример: покупательной компанией является Daimler. Три сотрудника Daimler зарегистрированы как покупатели в сети. Продающей компанией является General Electric. Два сотрудника General Electric зарегистрированы как продавцы в сети.

С помощью языка управления доступом с гиперссылкой можно ограничить права доступа покупателей и продавцов по своему усмотрению.

Но какова ситуация с контролем доступа на уровне узла?

Есть не только покупатели и продавцы, но и два системных администратора: один системный администратор, отвечающий за сверстник Daimler, и один системный администратор, отвечающий за коллега General Electric.

По умолчанию системные администраторы имеют доступ ко всем данным. То есть системный администратор Daimler имеет доступ ко всем данным зарегистрированных сотрудников General Electric. И наоборот, администратор системы General Electric имеет доступ ко всем данным зарегистрированных сотрудников Daimler.

Возможно ли ограничить доступ системных администраторов к нескольким правам, таким как:

  1. право устанавливать и запускать бизнес-сеть
  2. право контролировать изменения в системе, сделанные другим системным администратором (например, если системный администратор Daimler изменяет код приложения, администратор General Electric должен одобрить эти изменения до того, как они станут эффективными)
  3. Прочитать доступ к сотрудникам одной собственной компании

Ответы

Ответ 1

Доступ к гиперседельной структуре (для чего-либо, включая взаимодействие с бизнес-сетью) управляется гиперссылкой MSP. Hyperledger fabric, как часть настройки сети гипертекстеров и каналов, определяет, какие идентификаторы (созданные через MSP) имеют право устанавливать цепочку кодов на одноранговые сети и какие идентификаторы имеют полномочия канала, чтобы иметь возможность создавать или обновлять код цепи. Можно ограничить установку и обновление экземпляра Peer Install и Channel до конкретных идентификаторов. Например, информацию о MSP файлах Hyperledger можно найти по этой ссылке https://hyperledger-fabric.readthedocs.io/en/release-1.2/msp.html, но вы, вероятно, захотите познакомиться с полным разделом операций, в этом разделе часть.

Контроль доступа в Composer осуществляется через участников и файл ACL бизнес-сети. Вы контролируете, какие участники могут выполнять различные действия над ресурсами, контролируемыми временем выполнения Composer. Вам нужна идентификация (сгенерированная вашим MSP), чтобы иметь возможность взаимодействовать по каналу/цепочке (в соответствии с требованиями гиперседельной сети), этот идентификатор должен быть предварительно сопоставлен определенному участнику для взаимодействия в бизнес-сети. Когда запрос отправляется в бизнес-сеть, композитор будет искать этого конкретного участника на основе идентификатора, который сделал запрос, и использовать этого участника, и он тип, чтобы определить через информацию в ACL файле бизнес-сети то, что разрешено делать.

Обратите внимание, что такие вещи, как установка Peer, создание экземпляра канала/обновление сетевого кода - это способность уровня материала, а не композитор, поэтому вы не контролируете эти виды деятельности с помощью определений ACL композитора