5.4.3.2 密钥证书模式

  1. 密钥托管模式:

  如第五章描述，用户在参与应用时需要两个密钥对：应用接入密钥对和用户交易密钥对。在该模式下密钥对不需要用户在本地生成，而是由BSN生成并且托管，用户只需要从BSN官方专网门户下载使用即可。

• 应用接入密钥对：用户在参与应用服务成功后，BSN会生成一对与所参与应用的底层框架算法一致的公私密钥对托管在BSN中，用户可以在BSN官方专网门户内我的证书列表下载该公私钥对，在其链下业务系统调用城市节点网关接口时需要使用该密钥对的私钥进行签名。节点网关将使用托管的公钥对签名进行验签。
• 用户交易密钥对：是用户调用链码处理交易的身份。在密钥托管模式下，用户成功参与一个Fabric的应用服务后，BSN将会创建一个默认的用户交易密钥对，用户使用自己的UserCode调用即可。如果用户因业务需要创建多个用户参与链上交易，可以调用注册用户接口生成一个子用户并将子用户的交易密钥对托管在城市节点中，在交易时使用子用户的UserCode即可进行交易处理。

  2. 上传公钥模式:

  用户在参与应用时需要两个密钥对：应用接入密钥对和用户交易密钥对。在该模式下用户需要自己在本地生成公私钥对，私钥本地保存，只需要将公钥或公钥证书申请文件上传BSN。

• 应用接入密钥对：用户在BSN官方专网门户参与应用服务时，需要在本地生成一对与该应用服务的底层框架算法一致的公私钥对，并且将公钥提交到BSN中。链下业务系统在调用城市节点网关接口时使用该密钥对的私钥进行交易签名。节点网关收到交易请求后使用用户上传的公钥对签名进行验签，以验证交易身份的合法性。
• 用户交易密钥对：是用户调用链码处理交易的身份。在上传公钥模式下，用户需要在自己的链下业务系统中生成用户交易公私钥对，并使用公钥生成用户的公钥证书申请文件。链下业务系统通过城市节点网关的用户证书登记接口上传BSN进行登记，并获取由城市节点颁发的用户公钥证书。在调用用户登记证书接口之前，需要调用用户注册接口进行子用户账户的注册。

  交易流程：