อุปกรณ์ที่ผ่านการรับรองคืออุปกรณ์ที่ผ่านกระบวนการรับรอง Connectivity Standards Alliance (Alliance) Matter
ในระหว่างกระบวนการจัดเตรียม อุปกรณ์ที่ผ่านการรับรองต้องรับรองตนเอง กล่าวอีกนัยหนึ่งคือ ผลิตภัณฑ์จะต้องพิสูจน์ว่าผลิตภัณฑ์เป็นผลิตภัณฑ์ที่อ้างหรือไม่ และเป็นผลิตภัณฑ์ของแท้ ดังนั้นอุปกรณ์ Matter ทุกเครื่องจะมีข้อมูลเข้าสู่ระบบซึ่งรวมคู่คีย์เอกสารรับรองและเชนใบรับรองที่เกี่ยวข้องไว้ ซึ่งใบรับรองเอกสารรับรองอุปกรณ์ (DAC) เป็นส่วนหนึ่งของเชนนี้ เมื่ออุปกรณ์ที่ได้รับการว่าจ้างให้ DAC แสดงต่อเจ้าหน้าที่แล้ว อุปกรณ์หลังจะต้องรับรองว่า
- ซึ่งผลิตโดยผู้ผลิตที่ผ่านการรับรอง
- แต่เป็นอุปกรณ์ของแท้
- ผ่านการทดสอบการปฏิบัติตามข้อกำหนด Matter รายการ
ในขั้นตอนการพัฒนา ผู้ผลิตจะทดสอบอุปกรณ์ได้โดยไม่ต้องผ่านกระบวนการรับรองที่สมบูรณ์ ผู้ทดสอบควรได้รับการแจ้งเตือนอย่างชัดแจ้งว่าอุปกรณ์อยู่ระหว่างการทดสอบ และยังไม่ได้รับการรับรองและเปิดตัว เมื่อผู้ผลิตเข้าสู่ขั้นตอนการใช้งานจริง ระบบนิเวศของผู้จัดสรรควรบังคับใช้ข้อกำหนดเกี่ยวกับเอกสารรับรองทั้งหมด
การยืนยันใช้โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้ประโยชน์จากผู้ออกใบรับรองรูทและใบรับรองกลางในทำนองเดียวกับใบรับรองการตรวจสอบสิทธิ์ของเซิร์ฟเวอร์ที่ใช้กันอย่างแพร่หลายซึ่งใช้สำหรับ SSL/TLS กระบวนการนี้เรียกว่าเชนใบรับรองการยืนยันอุปกรณ์
PKI ของเอกสารรับรองอุปกรณ์
DAC คือใบรับรอง X.509 v3 X.509 เวอร์ชันแรกได้รับการเผยแพร่ในปี 1988 โดย ITU-T X.509 v3 ที่มีใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะและรายการยกเลิกใบรับรอง (CRL) ที่ใช้โดย Matter จะกำหนดโดย RFC5280 ซึ่งประกอบด้วย
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- การมีผลใช้งาน โดยที่การหมดอายุอาจไม่แน่ชัด
- ลายเซ็น
รหัสผู้ให้บริการและรหัสผลิตภัณฑ์คือแอตทริบิวต์ของ MatterDACName ในเรื่อง DAC
DAC จะแตกต่างกันไปในแต่ละอุปกรณ์และเชื่อมโยงกับคู่คีย์เอกสารรับรองที่ไม่ซ้ำกันภายในผลิตภัณฑ์ หมายเลขนี้ออกโดย CA ที่เชื่อมโยงกับผู้ผลิตอุปกรณ์
ระบบจะตรวจสอบลายเซ็นของ DAC ตามใบรับรองกลางการยืนยันผลิตภัณฑ์ (PAI) ซึ่งออกโดย PAA ด้วย อย่างไรก็ตาม ผู้ให้บริการอาจเลือกสร้าง PAI 1 รายการต่อผลิตภัณฑ์ (สำหรับ PID โดยเฉพาะ) กลุ่มผลิตภัณฑ์ หรือผลิตภัณฑ์ทั้งหมดของตน
ที่ระดับรูทของเชนความน่าเชื่อถือ Product Attestation Authority (PAA) ผู้ออกใบรับรอง (CA) จะตรวจสอบลายเซ็นจาก PAI โปรดทราบว่า Trust Store ของ Matter ได้รับการรวมศูนย์ และชุดใบรับรอง PAA ที่คณะกรรมาธิการเชื่อถือจะเก็บรักษาไว้ในฐานข้อมูลที่เชื่อถือได้ส่วนกลาง (บัญชีแยกประเภทการปฏิบัติตามข้อกำหนดแบบกระจาย) การเข้าร่วม PAA ภายในชุดโปรแกรม Trusted จะต้องเป็นไปตามนโยบายใบรับรองที่จัดการโดย Alliance
นอกจากนี้ PAI ยังเป็นใบรับรอง X.509 v3 ที่ประกอบด้วย:
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- การมีผลใช้งาน โดยที่การหมดอายุอาจไม่แน่ชัด
- ลายเซ็น
รหัสผู้ให้บริการและรหัสผลิตภัณฑ์ (ไม่บังคับ) คือแอตทริบิวต์ของ MatterDACName ในหัวข้อ DAC
สุดท้าย PAA คือใบรับรองรูทในเชนและเป็นใบรับรองแบบ Self-signed ซึ่งรวมถึง
- ลายเซ็น
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- เวลาที่ใช้ได้
เอกสารเอกสารรับรองเพิ่มเติมและข้อความ
กระบวนการรับรองมีเอกสารและข้อความหลายรายการ รายการต่อไปนี้คือภาพรวมคร่าวๆ ของฟังก์ชันและองค์ประกอบ รูปภาพด้านล่างช่วยให้คุณเข้าใจลำดับชั้น
| เอกสาร | คำอธิบาย |
|---|---|
| คำประกาศการรับรอง (CD) | CD อนุญาตให้อุปกรณ์ Matter พิสูจน์ว่าเป็นไปตามโปรโตคอล Matter
เมื่อกระบวนการ
Matter
การรับรองเสร็จสิ้น Alliance จะสร้างซีดีสำหรับประเภทอุปกรณ์
เพื่อให้ผู้ให้บริการอาจรวมข้อมูลดังกล่าวไว้ในเฟิร์มแวร์ ซีดีประกอบด้วยข้อมูล
ต่อไปนี้
|
| ข้อมูลเฟิร์มแวร์ (ไม่บังคับ) | ข้อมูลเฟิร์มแวร์ประกอบด้วยหมายเลขเวอร์ชัน CD และส่วนย่อยของคอมโพเนนต์อย่างน้อย 1 รายการในเฟิร์มแวร์ เช่น ระบบปฏิบัติการ ระบบไฟล์ และ Bootloader ไดเจสต์อาจเป็นแฮชของคอมโพเนนต์ซอฟต์แวร์ หรือแฮชของไฟล์ Manifest ที่มีการรับรองของคอมโพเนนต์ซอฟต์แวร์ก็ได้ ผู้ให้บริการอาจเลือกที่จะรวมไว้ในข้อมูลเฟิร์มแวร์ เฉพาะ "แฮชของแฮช" ของคอมโพเนนต์ แทนที่จะเป็นอาร์เรย์ของแฮชแต่ละรายการ ผู้ให้บริการของเฟิร์มแวร์มีการจัดการเป็นองค์ประกอบเสริมในระบบเอกสารรับรองและการประมวลผลข้อมูลยืนยัน |
| ข้อมูลเอกสารรับรอง | ข้อความจากคณะกรรมาธิการ ถึงกรรมาธิการดังกล่าว ข้อมูลการรับรองจะรวม TLV ที่มีองค์ประกอบเอกสารรับรองและลายเซ็นเอกสารรับรอง |
| องค์ประกอบเอกสารรับรอง | นี่คือ TLV ที่มี
|
| การยืนยันเกี่ยวกับการยืนยัน | ชาเลนจ์นอกวงซึ่งมาจากระหว่างจัดตั้ง Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) เซสชัน และใช้เพื่อทำให้ขั้นตอนมีความปลอดภัยยิ่งขึ้นและหลีกเลี่ยงลายเซ็นที่เล่นซ้ำ มาจากเซสชัน CASE, PASE เซสชัน หรือเซสชัน CASE ที่กลับมาทำงานอีกครั้ง |
| เอกสารรับรอง TBS (ต้องลงนาม) | ข้อความที่มีองค์ประกอบ เอกสารรับรองและคำถามยืนยันความถูกต้อง |
| ลายเซ็นของเอกสารรับรอง | ลายเซ็นของ Attestation TBS ซึ่งลงนามโดยใช้คีย์ส่วนตัวสำหรับเอกสารรับรองอุปกรณ์ |
ขั้นตอนเอกสารรับรอง
คณะกรรมการมีหน้าที่รับรองคณะกรรมาธิการ โดยดำเนินการตามขั้นตอนต่อไปนี้
- คณะกรรมาธิการจะสร้าง Nonce การรับรองขนาด 32 ไบต์แบบสุ่ม ในศัพท์เฉพาะด้านการเข้ารหัสลับ ค่านอนซ์ (ตัวเลขที่ใช้เพียงครั้งเดียว) คือหมายเลขสุ่มที่สร้างขึ้นในขั้นตอนการเข้ารหัส และมีไว้สำหรับใช้ครั้งเดียว
- คณะกรรมาธิการจะส่งค่า Nonce ไปยัง DUT และขอข้อมูลเอกสารรับรอง
- DUT จะสร้างข้อมูลการยืนยันและลงนามข้อมูลนั้นด้วยคีย์ส่วนตัวของเอกสารรับรอง
- เจ้าหน้าที่จะกู้คืนใบรับรอง DAC และ PAI จากอุปกรณ์ และค้นหาใบรับรอง PAA จากแหล่งความน่าเชื่อถือ Matter ของอุปกรณ์
- คณะกรรมการตรวจสอบข้อมูลเอกสารรับรอง เงื่อนไขสำหรับการตรวจสอบมีดังนี้
- เชนใบรับรอง DAC ต้องได้รับการตรวจสอบ รวมถึงการตรวจสอบการเพิกถอนใน PAI และ PAA
- VID ใน DAC ตรงกับ VID ใน PAI
- ลายเซ็นของเอกสารรับรองถูกต้อง
- Nonce ในองค์ประกอบการยืนยันอุปกรณ์ตรงกับค่า Nonce ที่ Commissioner ระบุ
- ลายเซ็นประกาศใบรับรองถูกต้องโดยใช้คีย์ลงนามคำประกาศการรับรองซึ่งเป็นที่รู้จักของ Alliance
- ข้อมูลเฟิร์มแวร์ (หากมีและได้รับการสนับสนุนโดยคณะกรรมาธิการ) ตรงกับรายการในบัญชีแยกประเภทการปฏิบัติตามข้อกำหนดแบบกระจาย
- นอกจากนี้ยังมีการตรวจสอบ VID/PID เพิ่มเติมระหว่างคลัสเตอร์ข้อมูลพื้นฐานของอุปกรณ์ การประกาศการรับรอง และ DAC อีกด้วย