الأجهزة المعتمَدة هي الأجهزة التي اجتازت عملية اعتماد Connectivity Standards Alliance (Alliance) Matter.
خلال عملية الإعداد، يجب أن يشهد الجهاز المعتمَد على نفسه. بعبارة أخرى، يجب أن يثبت أنّه ما يُزعَم أنّه عليه وأنّه منتج أصلي. وبالتالي، تحتوي جميع أجهزة Matter على بيانات اعتماد تتضمّن زوج مفتاح الإثبات وسلسلة الشهادات المرتبطة. وشهادة إثبات ملكية الجهاز (DAC) هي جزء من هذه السلسلة. بعد أن يقدّم "الجهاز قيد الإعداد" "مستند تقييم الأداء" إلى "المفوّض"، سيُثبت "المفوّض" ما يلي:
- أنّه من إنتاج شركة معتمدة
- هو جهاز أصلي.
- اجتياز Matter اختبارات الامتثال
خلال مرحلة التطوير، يمكن للشركة المصنّعة اختبار أجهزتها بدون عملية الشهادة الكاملة. يجب إبلاغ المختبِرين صراحةً بأنّه لا يزال الجهاز قيد الاختبار ولم يتم اعتماده وإطلاقه بعد. بعد أن يدخل المصنّع مرحلة الإنتاج، يجب أن تفرض المنظومة المتكاملة لنظام الإعداد جميع متطلبات شهادة الاعتماد.
تستخدِم عملية الإثبات بنية المفتاح العام (PKI) التي تستفيد من مراجو شهادات الجذر والشهادات الوسيطة، بطريقة مشابهة لشهادات مصادقة الخادم المُعتمَدة على نطاق واسع والمستخدَمة في بروتوكولَي SSL/TLS. تُعرف هذه العملية باسم "سلسلة شهادات إثبات ملكية الجهاز".
مفتاح PKI الخاص بمصادقة الجهاز
DAC هي شهادة X.509 من الإصدار 3. تم نشر الإصدار الأول من X.509 في عام 1988 من قِبل الاتحاد الدولي للاتصالات (ITU-T). يُحدِّد معيار RFC5280 الإصدار 3 من معيار X.509 الذي يتضمّن شهادة البنية الأساسية للمفتاح العام وقائمة الشهادات الباطلة (CRL) التي يستخدمها Matter. ويشمل ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون تاريخ انتهاء الصلاحية غير محدّد
- التوقيع
معرّف المورّد ومعرّف المنتج هما سمتان لسمة MatterDACName في ملف DAC
الموضوع.
يكون DAC فريدًا لكل جهاز ومرتبطًا بزوج مفتاحَي إثبات الهوية الفريدَين داخل المنتج. يتم إصدارها من هيئة إصدار شهادات مرتبطة بشركة التصنيع.
يتم التحقّق من صحة توقيع DAC من خلال شهادة الاعتماد الوسيطة لشهادة الاعتماد (PAI)، والتي تصدر أيضًا عن هيئة اعتماد المنتجات. ومع ذلك، قد يختار المورّد إنشاء معرّف PAI واحد لكل منتج (خاص بمعرّف PID) أو مجموعة منتجات أو لكل منتجاته.
في جذر سلسلة الثقة، يُجري مفتاح هيئة إصدار الشهادات (CA) التابع لهيئة اعتماد المنتجات (PAA) عملية التحقّق من التوقيعات المرسَلة من جهة الاعتماد. يُرجى العِلم أنّ مخزن الشهادات الموثوق به في Matter هو موحّد، وأنّ مجموعة شهادات PAA الموثوق بها من قِبل المفوضين يتم الاحتفاظ بها في قاعدة بيانات مركزية موثوق بها (سجلّ الامتثال الموزّع). يتطلب إدخال شهادة PAA ضمن المجموعة الموثوق بها استيفاء سياسة شهادة تديرها Alliance.
شهادة PAI هي أيضًا شهادة X.509 من الإصدار 3 تتضمّن ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون تاريخ انتهاء الصلاحية غير محدّد
- التوقيع
معرّف المورّد ومعرّف المنتج (اختياري) هما سمتان لسمة MatterDACName في
موضوع DAC.
أخيرًا، شهادة PAA هي شهادة الجذر في السلسلة وهي موقَّعة ذاتيًا. ويشمل ذلك:
- التوقيع
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- مدة الصلاحية
المستندات والرسائل الإضافية الخاصة بالإقرار
تتضمّن عملية الإقرار عدة مستندات ورسائل. تقدّم العناصر التالية نظرة عامة موجزة على وظيفتها وتركيبها. تساعد الصورة أدناه في فهم التسلسل الهرمي.
| مستند | الوصف |
|---|---|
| نموذج شهادة الاعتماد (CD) | يسمح CD لجهاز
Matter
بإثبات امتثاله لبروتوكول
Matter.
عند انتهاء
Matter
عمليات الاعتماد، ينشئ
Alliance قرصًا CD
لنوع الجهاز
كي يتمكّن المورّد من تضمينه في
البرامج الثابتة. يتضمّن القرص المدمج، من بين غيرها من
المعلومات:
|
| معلومات البرامج الثابتة (اختيارية) | تحتوي معلومات البرامج الثابتة على
رقم إصدار القرص المضغوط وخلاصة واحدة أو أكثر
للمكونات في
البرامج الثابتة، مثل نظام التشغيل ونظام الملفات
وبرنامج التمهيد. يمكن أن تكون الملخّصات إما
تجزئة لمكونات البرنامج أو
تجزئة للملفات المرسَلة الموقَّعة لمكونات البرنامج. قد يختار العميل أيضًا تضمين "تجزئة التجزئات" لمكوناته فقط في "معلومات البرامج الثابتة"، بدلاً من صفيف تجزئات فردية. "معلومات البرامج الثابتة" هي عنصر اختياري في عملية إثبات الهوية و ينطبق ذلك عندما يكون لدى العميل بيئة التمهيد المؤمّنة التي تتعامل مع ملفَي مفاتيح إثبات الهوية. |
| معلومات الإقرار | رسالة مُرسَلة من المفوَّض إلى العميل تجمع "معلومات التصديق" عنصرًا TLV يحتوي على عناصر التصديق وتوقيع التصديق. |
| عناصر الإقرار | هذا عنصر بيانات طول متغير يحتوي على:
|
| تحدّي الشهادة | تحدّي خارج النطاق تم إنشاؤه أثناء إنشاء جلسة Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) ويُستخدَم لتعزيز أمان الإجراء وتجنُّب إعادة تشغيل التوقيعات. تأتي من جلسة CASE أو جلسة PASE أو جلسة CASE تمت استئنافها. |
| TBS Attestation (to be signed) | رسالة تتضمّن عناصر الشهادة وتحدّي الشهادة |
| توقيع الإقرار | توقيع TBS الخاص بشهادة الاعتماد، وقد تم التوقيع عليه باستخدام المفتاح الخاص لشهادة اعتماد الجهاز |
إجراءات المصادقة
يكون المفوَّض مسؤولاً عن تأكيد أهلية المفوَّض إليه. وينفِّذ الخطوات التالية:
- ينشئ المفوّض عددًا عشوائيًا من 32 بايت لشهادة الاعتماد. في مصطلحات التشفير ، المفتاح العشوائي (رقم يُستخدَم مرة واحدة) هو رقم عشوائي يتم إنشاؤه في الإجراء المتعلّق بالتشفير والمخصّص لاستخدامه مرة واحدة.
- يرسل المفوّض رقم التعريف المؤقت إلى DUT ويطلب معلومات شهادة الاعتماد.
- ينشئ DUT معلومات شهادة الاعتماد ويوقّعها باستخدام المفتاح الخاص لشهادة الاعتماد.
- يستردّ "المفوّض" شهادة DAC وشهادة PAI من "الجهاز"، ويبحث عن شهادة PAA من "متجر الاعتماد"Matter.
- يتحقّق المفوض من معلومات الإقرار. في ما يلي شروط التحقّق:
- يجب التحقّق من سلسلة شهادة DAC، بما في ذلك عمليات التحقّق من الإبطال في PAI وPAA.
- يتطابق رقم VID على وحدة التحكّم في الصوت مع رقم VID على وحدة التحكّم في الطاقة.
- توقيع الإقرار صالح.
- يتطابق مفتاح ال nonce في عناصر شهادة اعتماد الجهاز مع مفتاح ال nonce الذي يوفّره العميل.
- توقيع بيان الشهادة صالح باستخدام أحد مفاتيح توقيع بيان الشهادة المعروفة في Alliance.
- تتطابق معلومات البرامج الثابتة (إذا كانت متوفّرة ومتوافقة مع المفوّض) مع إدخال في سجلّ الامتثال الموزّع.
- يتم أيضًا إجراء عمليات تحقّق إضافية من VID/PID بين "مجموعة معلومات الجهاز الأساسية" و"بيان الاعتماد" و"ملف بيانات اعتماد الجهاز".