本教程详细阐述了如何在Hyperledger Indy网络中对已分配的DID角色进行降级或撤销。通过使用Indy Python SDK的ledger.build_nym_request方法,并将role参数设置为空字符串,提交具有足够权限的Nym请求,即可有效地移除DID的现有角色,实现对节点身份权限的精细化管理。
Hyperledger Indy中的DID与角色
在hyperledger indy分布式账本中,去中心化标识符(did)是核心概念,用于代表实体(如个人、组织或设备)的身份。为了管理这些实体的权限和在网络中的作用,indy引入了“角色”(role)的概念。常见的角色包括trust_anchor(信任锚)、steward(管理员)、endorser(背书人)等。这些角色赋予了did在账本上执行特定操作的权限,例如trust_anchor通常拥有将其他did写入账本的权限。
分配DID角色
在将DID写入Indy账本时,通常会为其分配一个初始角色。例如,创建一个TRUST_ANCHOR角色的DID,可以通过Indy Python SDK的ledger.build_nym_request方法来构建一个Nym事务请求。
以下代码示例展示了如何为新生成的DID分配TRUST_ANCHOR角色:
import json import pprint from indy import ledger, pool, wallet # 假设已导入必要的indy模块 # 假设 pool_handle, wallet_handle, user.steward_did, actor_did, actor_verkey 已初始化 async def assign_trust_anchor_role(pool_handle, wallet_handle, steward_did, target_did, target_verkey): """ 为目标DID分配TRUST_ANCHOR角色。 """ print('n构建NYM请求以将Trust Anchor添加到账本n') nym_transaction_request = await ledger.build_nym_request( submitter_did=steward_did, # 提交请求的DID,通常是拥有足够权限的Steward target_did=target_did, # 目标DID ver_key=target_verkey, # 目标DID的验证密钥 alias=None, role='TRUST_ANCHOR' # 分配TRUST_ANCHOR角色 ) print('NYM事务请求: ') pprint.pprint(json.loads(nym_transaction_request)) print('n发送NYM请求到账本n') nym_transaction_response = await ledger.sign_and_submit_request( pool_handle=pool_handle, wallet_handle=wallet_handle, submitter_did=steward_did, request_json=nym_transaction_request ) print('NYM事务响应: ') pprint.pprint(json.loads(nym_transaction_response)) return nym_transaction_response # 示例调用 (需要替换为实际的句柄和DID) # await assign_trust_anchor_role(pool_handle, wallet_handle, user.steward_did, actor_did, actor_verkey)
在这个过程中,submitter_did必须是一个拥有足够权限(例如STEWARD角色)的DID,才能成功提交更改DID角色的事务。
撤销或降级DID角色
有时,出于安全考虑或权限管理需求,我们需要撤销或降级一个DID已有的角色,例如将一个TRUST_ANCHOR的权限移除。Hyperledger Indy的设计允许通过提交一个新的Nym事务来更新DID的角色,包括将其角色设置为空。
撤销DID角色的核心方法是再次使用ledger.build_nym_request,但将role参数设置为空字符串(”)。这表示目标DID不再拥有任何特定的角色,从而有效地移除了其之前分配的权限。
以下代码示例展示了如何撤销一个DID的现有角色:
import json import pprint from indy import ledger, pool, wallet # 假设已导入必要的indy模块 # 假设 pool_handle, wallet_handle, user.steward_did, actor_did 已初始化 # 注意:撤销角色时,ver_key参数是可选的,但为了保持与构建请求的API一致性,可以继续提供。 async def demote_did_role(pool_handle, wallet_handle, steward_did, target_did, target_verkey=None): """ 撤销目标DID的现有角色。 """ print('n构建NYM请求以撤销DID角色n') # 关键步骤:将role参数设置为空字符串 nym_transaction_request = await ledger.build_nym_request( submitter_did=steward_did, target_did=target_did, ver_key=target_verkey, # 可以是None,如果不需要更新verkey alias=None, role='' # 设置为空字符串以撤销角色 ) print('NYM事务请求: ') pprint.pprint(json.loads(nym_transaction_request)) print('n发送NYM请求到账本n') nym_transaction_response = await ledger.sign_and_submit_request( pool_handle=pool_handle, wallet_handle=wallet_handle, submitter_did=steward_did, request_json=nym_transaction_request ) print('NYM事务响应: ') pprint.pprint(json.loads(nym_transaction_response)) return nym_transaction_response # 示例调用 (需要替换为实际的句柄和DID) # await demote_did_role(pool_handle, wallet_handle, user.steward_did, actor_did, actor_verkey)
当这个事务被成功提交并写入账本后,目标DID的最新Nym事务记录将显示其role字段为空,这意味着它不再拥有之前分配的任何特殊权限。
提交事务到账本
无论是分配角色还是撤销角色,最终都需要通过ledger.sign_and_submit_request方法将构建好的Nym事务请求签名并发送到Indy账本。这一步是确保事务被网络验证并持久化记录的关键。提交者(submitter_did)必须拥有执行此类操作的权限,通常是STEWARD角色。
验证角色降级
在成功提交撤销角色的请求后,可以通过查询账本上的Nym事务来验证目标DID的角色是否已被移除。账本上的最新Nym事务将显示该DID的role字段为空。这意味着该DID不再具有之前分配的特权,例如TRUST_ANCHOR的权限。
注意事项
- 提交者权限: 只有拥有足够权限的DID(例如STEWARD)才能提交修改其他DID角色的Nym事务。如果提交者权限不足,事务将被节点拒绝。
- 角色更新而非删除: 将role设置为空字符串并不会删除DID本身,它仅仅是更新了DID在账本上的角色属性。该DID仍然存在,但不再拥有特殊权限。
- 不可逆性(当前事务): 一旦角色被移除,如果需要恢复该DID的特定角色,必须再次提交一个带有相应角色(例如TRUST_ANCHOR)的Nym请求。
- AUTH_RULES: Hyperledger Indy Node的AUTH_RULES文档详细定义了不同角色对不同事务类型(包括Nym事务)的操作权限。理解这些规则对于有效管理DID权限至关重要。
总结
通过Indy Python SDK,我们可以灵活地管理Hyperledger Indy网络中DID的权限。通过将ledger.build_nym_request方法的role参数设置为空字符串,可以有效地撤销或降级DID的现有角色,实现对去中心化身份权限的精细化控制。这一机制是维护Indy账本安全性和合规性的重要组成部分。