-
方案优势 打通信息孤岛 通过医疗联盟链,打通整个医疗机构信息系统,将区域检验、超声和放射结果互通互认,实现网络门诊、双向转诊和远程会诊。 不可篡改 通过将电子病历,医生诊断过程和结果、病历查询记录和病人身份上链,确保信息不可篡改,访问可跟进,减少医患纠纷,构建和谐医疗环境。 保护隐私和知情权 通过加密和合约授权机制,严格保护患者医疗隐私信息,做到患者全掌握,他人使用需授权。 快速有效监管 所有数据上链,监管机构在用户授权下可以快速有效监管医疗行为,有效防止违规行为和医患纠纷。
-
行业现状及痛点 数据不安全 医疗健康数据大多存储在数据中心,如果数据中心发生自然灾害、黑客入侵等,那么患者的电子病历就有可能会彻底丢失。 信息孤岛 医疗机构之间没有合理的互信机制和良好的分享机制,容易形成“信息孤岛”,不利于数据的完整性和全面性。信息的可靠性以及在共享中信息的随意修改都成为面临的主要问题。 重复医疗 由于各个医院和机构之间信息不互通,患者去一家医院就会在该医院建立一份电子病历,使患者重复做各种检查,耽误时间、金钱以及医疗资源。 无获得感 医疗资料存放在医院系统中,患者对自己的数据不了解,也无法掌控,患者的就诊与健康管理受有限资料的限制。
-
示例2:A向B转账 执行如下命令,A向B转账,金额为10。 ./appdemo transaction -u A -p XXXXXXA -b b22edf18d64f57954640c8f3f6cf67d9401f262daead588ddfe8178xxxx -t 10 -c ./test-sdk-config.yaml -C tongtai -I idchaincode -T transaction -o aa73c757c9026fb623495d7058ca177f6152bcea 其中-b后的参数为接收方的地址。示例中为注册B用户时的返回值,即B用户注册数据的地址信息。 返回值为A账户的地址:2efc4639bc281060ce013dfea33a47b647b6f4a20103a6321c33d67d5xxxx
-
示例5:测试同态乘法 执行如下命令测试同态乘法。 ./appdemo homomulti -c ./test-sdk-config.yaml -a 100 -b 5 -C tongtai -T transaction -o aa73c757c9026fb623495d7058ca177f6152bcea 其中-a和-b后的参数为进行同态乘的乘数和被乘数,其中-a后的参数会被加密,-b后的参数是明文。
-
示例3:查询账户余额 执行如下命令查询A账户的余额,返回值为A账户余额。 ./appdemo querybalance -p XXXXXX -u A -c ./test-sdk-config.yaml -C tongtai -I idchaincode -T transaction -o aa73c757c9026fb623495d7058ca177f6152bcea 执行如下命令查询B账户的余额,返回值为B账户余额。 ./appdemo querybalance -p XXXXXX -u B -c ./test-sdk-config.yaml -C tongtai -I idchaincode -T transaction -o aa73c757c9026fb623495d7058ca177f6152bcea
-
示例1:注册账户 执行如下命令注册B账户,账户金额为100。 ./appdemo register -u B -p XXXXXX -i 100 -c ./test-sdk-config.yaml -C tongtai -I idchaincode -T transaction -o aa73c757c9026fb623495d7058ca177f6152bcea -u:为注册的用户名B、-p:为B用户密码XXXXXX,密码必须包含大写、小写、数字、特殊字符中的至少两种,-c:为sdk配置文件名,-C:为安装链代码的通道名,-I:为安装示例链代码IDChaincode的实际安装链代码名,-T:为安装示例链代码Transaction的实际安装链代码名,-o:为peer节点组织的ID,可在通道管理界面查询。参数下同。 返回值为一串加密地址,示例: b22edf18d64f57954640c8f3f6cf67d9401f262daead588ddfexxxxx 以相同的方法注册A账户,账户金额为200。 ./appdemo register -u A -p XXXXXX -i 200 -c ./test-sdk-config.yaml -C tongtai -I idchaincode -T transaction -o aa73c757c9026fb623495d7058ca177f6152bcea 返回值为一串加密地址,示例: 2efc4639bc281060ce013dfea33a47b647b6f4a20103a6321c33dxxxxxx
-
背景信息 在使用
BCS 的过程中,如果遇到异常情况,可以通过查看运维日志来帮助分析、定位问题,快速高效地进行设备运维管理。本章主要指导如何通过前台界面以及后台虚拟机查看CCE集群和IEF集群下部署的B
CS 实例各节点的运维日志。 表1 BCS实例用户实例日志(CCE集群部署) 实例组件 说明 日志路径 baas-agent
区块链 管理运行日志 /var/paas/sys/log/baas-agent/baas-agent.log /var/paas/sys/log/baas-agent/audit.log peer peer运行日志 /var/paas/sys/log/baas-service/peer/audit.peer-******-*.log /var/paas/sys/log/baas-service/peer/peer-******-*.trace orderer orderer运行日志 /var/paas/sys/log/baas-service/orderer/audit.orderer-******-*.log /var/paas/sys/log/baas-service/orderer/orderer-******-*-start.trace /var/paas/sys/log/baas-service/orderer/orderer-******-*.trace 表2 BCS实例用户实例日志(IEF集群部署) 实例组件 说明 日志路径 baas-agent 区块链管理运行日志 /var/IEF/app/log/baas-agent/baas-agent.log /var/IEF/app/log/baas-agent/audit.log peer peer运行日志 /var/IEF/app/log/peer-******-*/peer-******-*-start.trace /var/IEF/app/log/peer-******-*/peer-******-*.trace orderer orderer运行日志 /var/IEF/app/log/orderer-******-*/orderer-******-*-start.trace
-
查看告警 登录区块链服务管理控制台。 在左侧导航栏,单击“实例管理”,可查看已创建实例的基本信息,包括区块链的类型、共识策略、状态、创建时间等信息。 在实例卡片上单击区块链名称,可查看区块链实例的详细信息。 单击“监控”页签,可查看告警信息。这里展示的是与该区块链实例相关的告警,告警源包括BCS和CCE。在右上角可以选择查看“近30分钟”、“近1小时”或“近1天”的告警,也可以输入告警名称搜索告警。 单击告警名称,例如“节点连接排序节点告警”,查看告警详情。告警源包括BCS和CCE,告警处理建议参见表1。
-
后续操作(可选) 已部署的实例,支持查看创建实例、删除实例、升级实例、添加组织、扩容节点、创建通道、节点加入通道等操作记录。左侧操作状态栏会展示已有操作记录的状态,操作状态类型包括:进行中、升级中、删除中、成功和失败(截图仅供参考,请以实际环境为准)。 删除已创建的实例时,须先删除BCS实例再删除对应的CCE集群 图2 操作记录 系统将保留最近三天的操作记录。 登录区块链服务管理控制台,单击左侧导航栏中的“实例管理”。 单击“操作记录”,查看各个资源的操作记录。 您可以按资源名称关键词搜索操作记录,还可以在资源所在行进行“操作详情”及“删除”操作。 部署BCS的集群节点支持增加反亲和标签,在您需要将应用部署到区块链集群中时作区分隔离,以保证系统正常工作。 登录CCE控制台。 在“集群管理”页面,单击集群名称进入集群信息页面。 选择“节点管理”,在“节点”页签,勾选节点,单击“标签与污点管理”。 在弹出的窗口中,在“批量操作”下方单击“新增批量操作”,然后选择“添加/更新”。填写需要增加标签的键为“nodeScope”,值为“userApplication”。 单击“确定”。 标签添加成功后,再次单击“标签与污点管理”,在“节点数据”下方单击“查看”即可显示已经添加的标签。
-
约束与限制 BCS实例需要独占CCE集群,部署BCS实例前请确保CCE集群未被使用。 首次使用BCS服务时,请先登录CCE控制台确认已同意授权。更多建议请参考创建CCE集群的准备工作。 使用Hyperledger Fabric增强版的区块链实例之前,支持提前创建CCE集群,然后在部署区块链实例时可以选择已创建的CCE集群。或者在部署区块链实例时,选择自定义创建新的CCE集群,或者选择快速创建使用系统默认规格。 基于CCE集群部署区块链实例时,为了保障实例正常运行,建议您对集群进行安全加固,比如:禁止root账号远程登录、关闭安全组22端口、删除嗅探/开发/调试/编译工具、设置系统会话超时时间(不允许为不超时)、限制容器访问openstack的管理IP地址169.254.169.254等关键场景(限制访问169.254.169.254地址后,可能导致
AOM 服务无法检测到集群是否安装ICAgent,但不影响监控数据的采集和上报)。更多其他安全加固建议请参考节点安全配置。 若您选择基于新建集群部署实例,BCS服务将自动为您限制容器访问openstack的管理IP地址169.254.169.254,并删除集群内虚机的安全组22端口。若您基于已有集群部署服务,为避免对您已有业务产生影响,BCS服务将不会进行安全加固。但建议您参考节点安全配置,根据您的实际需求进行安全加固。 BCS实例创建完成后,禁止删除CCE集群、CCE集群上其他资源和存储介质。
-
查看监控 登录区块链服务管理控制台。 在左侧导航栏,单击“实例管理”,可查看已创建实例的基本信息,包括区块链类型、共识策略、状态、创建时间等信息。 在实例卡片上单击区块链名称,可查看区块链实例的详细信息。 单击“监控”页签,可查看服务监控和实例监控。 服务监控:可查看服务的CPU使用率、物理内存使用率、网络流量、磁盘使用率、交易TPS的信息。 被邀请方的服务监控下方不支持显示交易TPS数据。 实例监控:可查看组织实例信息,包括CPU使用率、磁盘读取速率、磁盘写入速率、物理内存使用率、上行Bps、下行Bps等信息。 您可以单击实例名称后面的“监控”,查看最近15分钟的数据信息。在实例监控页面,您也可以单击“更多监控”,查看更多监控信息。 图1 查看更多监控
-
Hyperledger Fabric增强版 Hyperledger Fabric增强版的
区块链服务BCS 提供专业版、企业版和铂金版供您选择使用,每个版本均有不同的规格支持,详细请参见表3。集群规格信息请参考表4。 各版本的价格请参见:产品价格详情。 一个容器集群目前只能部署一个区块链实例。 表3 各版本区别 功能 专业版 企业版 铂金版 适用场景类型 满足小规模商用 满足中等规模商用 满足大规模商用(大企业金融和数字政府等) 联盟链 支持 支持 支持 交易峰值性能 不超过500TPS 不超过2000TPS 不超过10000TPS 共识算法 Raft(CFT) 支持 支持 支持 FBFT 不支持 支持 支持 节点管理 最大成员组织数 2 5 10 单组织最大成员节点数 2 2 5 最大共识(Orderer)节点数 3 4 10 最大通道数 2 4 10 节点故障自动恢复 支持 支持 支持 节点弹性伸缩 支持 支持 支持 最大轻节点数 不支持 10 40 安全功能 ECDSA 支持 支持 支持 国密 不支持 支持 支持 加法同态 不支持 支持 支持 零知识证明 不支持 支持 支持 高可用 Restful接口调用智能合约 支持 支持 支持 普通部署 支持 支持 支持 高可用部署 不支持 不支持 支持 运维监控 运维日志 支持 支持 支持 节点状态监控 支持 支持 支持 状态告警 支持 支持 支持 服务支持 专属服务经理 不支持 不支持 支持 研发远程技术支持 不支持 不支持 7*24小时研发团队远程技术支持。 点对点故障处理客户现场支持 不支持 不支持 现场技术支持,每季度不超过一人天。 表4 规格信息 规格 CCE规格 ECS节点 EIP VPC及subnet 容器网络 专业版 cce.s1.small(小规模单控制节点CCE集群,最大50节点) 单AZ 规格:4核8GB 个数:组织节点(peer)数/2+1个(orderer) 私有链:不创EIP 联盟链:每个集群节点(node)1个eip EIP带宽大小:1M 1个VPC及subnet VPC网络 企业版 cce.s2.small (小规模高可用CCE集群,最大50节点) 多AZ 规格:8核16GB 个数:组织节点(peer)数/2+orderer数 私有链:不创EIP 联盟链:每个集群节点(node)1个eip EIP带宽大小:5M 1个VPC及subnet VPC网络 铂金版 cce.s2.small (小规模高可用CCE集群,最大50节点) 多AZ 规格:8核16GB 个数:组织节点(peer)数+orderer数 私有链:不创EIP 联盟链:每个集群节点(node)1个eip EIP带宽大小:10M 1个VPC及subnet VPC网络
-
Hyperledger Besu 华为云区块链引擎服务当前仅“华北-北京四”区域支持。 Hyperledger Besu架构版本的区块链服务BCS提供专业版和企业版供您选择使用,每个版本均有不同的规格支持,详情请查看表2。 表2 各版本区别 功能 专业版 企业版 适用场景类型 仅限基础开发测试使用,不保证可靠性。 满足中等规模商用。 共识策略 Raft 支持 支持 功能和规模 最大节点个数 4 10 每个节点存储空间(GB) 500GB 2000GB 安全功能 ECDSA 支持 支持 国密 不支持 支持 高可用 容器高可靠 不支持 支持 多AZ容灾 不支持 支持 运维监控 合约日志 支持 支持 容量监控 支持 支持 服务支持 专属服务经理 不支持 不支持 研发远程技术支持 不支持 不支持 点对点故障处理客户现场支持 不支持 不支持
-
华为云区块链引擎 华为云区块链引擎服务当前仅“华北-北京四”区域支持。 华为云区块链引擎架构版本的区块链服务BCS提供专业版、企业版和铂金版供您选择使用,每个版本均有不同的规格支持,详情请查看表1。 表1 各版本区别 功能 专业版 企业版 铂金版 适用场景类型 满足小规模商用 满足中等规模商用 满足大规模商用(大企业金融和数字政府等) 性能峰值(TPS) 不超过2000TPS 不超过10000TPS 不超过50000TPS 共识策略 Raft 支持 支持 支持 功能和规模 最大组织个数 2 10 100 每个组织存储空间(GB) 500GB 2000GB 6000GB 富媒体存储带宽 1M/s 2M/s 5M/s 安全功能 ECDSA 支持 支持 支持 国密 不支持 支持 支持 高可用 容器高可靠 不支持 支持 支持 多AZ容灾 不支持 支持 支持 运维监控 合约日志 支持 支持 支持 容量监控 支持 支持 支持 服务支持 专属服务经理 不支持 不支持 支持 研发远程技术支持 不支持 不支持 支持 点对点故障处理客户现场支持 不支持 不支持 支持
-
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的
云安全 挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 与传统的本地数据中心相比,云计算的运营方和使用方分离,提供了更好的灵活性和控制力,有效降低了客户的运营负担。正因如此,云的安全性无法由一方完全承担,云安全工作需要华为云与您共同努力,如图1所示。 华为云:无论在任何云服务类别下,华为云都会承担基础设施的安全责任,包括安全性、合规性。该基础设施由华为云提供的物理数据中心(计算、存储、网络等)、虚拟化平台及云服务组成。在PaaS、SaaS场景下,华为云也会基于控制原则承担所提供服务或组件的安全配置、漏洞修复、安全防护和入侵检测等职责。 客户:无论在任何云服务类别下,客户数据资产的所有权和控制权都不会转移。在未经授权的情况下,华为云承诺不触碰客户数据,客户的内容数据、身份和权限都需要客户自身看护,这包括确保云上内容的合法合规,使用安全的凭证(如强口令、多因子认证)并妥善管理,同时监控内容安全事件和账号异常行为并及时响应。 图1 华为云安全责任共担模型 云安全责任基于控制权,以可见、可用作为前提。在客户上云的过程中,资产(例如设备、硬件、软件、介质、虚拟机、操作系统、数据等)由客户完全控制向客户与华为云共同控制转变,这也就意味着客户需要承担的责任取决于客户所选取的云服务。如图1所示,客户可以基于自身的业务需求选择不同的云服务类别(例如IaaS、PaaS、SaaS)。不同的云服务类别中,每个组件的控制权不同,这也导致了华为云与客户的责任关系不同。 在On-prem场景下,由于客户享有对硬件、软件和数据等资产的全部控制权,因此客户应当对所有组件的安全性负责。 在IaaS场景下,客户控制着除基础设施外的所有组件,因此客户需要做好除基础设施外的所有组件的安全工作,例如应用自身的合法合规性、开发设计安全,以及相关组件(如中间件、数据库和操作系统)的漏洞修复、配置安全、安全防护方案等。 在PaaS场景下,客户除了对自身部署的应用负责,也要做好PaaS服务中间件、数据库、网络控制的安全配置和策略工作。 在SaaS场景下,客户对客户内容、账号和权限具有控制权,客户需要做好自身内容的保护以及合法合规、账号和权限的配置和保护等。 传统本地部署(On-Prem):由客户在自有数据中心内部署和管理软件及IT基础设施,而非依赖于远程的云服务提供商; 基础设施即服务(IaaS):由云服务提供商提供计算、网络、存储等基础设施服务,如弹性云服务器 ECS、
虚拟专用网络 VPN、
对象存储服务 OBS; 平台即服务(PaaS):由云服务提供商提供应用程序开发和部署所需要的平台,客户无需维护底层基础设施,如
AI开发平台 ModelArts、云数据库
GaussDB ; 软件即服务 (SaaS):由云服务提供商提供完整应用软件,客户直接应用软件而无需安装、维护应用软件及底层平台和基础设施,如华为云会议 Meeting。 父主题: 安全
