Chứng thực

Thiết bị được chứng nhận là những thiết bị đã trải qua Quy trình chứng nhận của Connectivity Standards Alliance (Alliance) Matter.

Trong quá trình thiết lập, Thiết bị được chứng nhận cần phải chứng thực chính nó. Nói cách khác, sản phẩm cần chứng minh rằng đó là sản phẩm mà nhà sản xuất tuyên bố và là sản phẩm chính hãng. Do đó, tất cả Thiết bị Matter đều có thông tin đăng nhập bao gồm cặp khoá Chứng thực và một chuỗi chứng chỉ được liên kết. Chứng chỉ chứng thực thiết bị (DAC) là một phần của chuỗi này. Sau khi Thiết bị đang được thiết lập trình bày DAC cho Người thiết lập, Người thiết lập sẽ chứng nhận rằng:

  • do một nhà sản xuất được chứng nhận sản xuất.
  • đó là một thiết bị chính hãng.
  • nó đã vượt qua Matter bài kiểm tra về việc tuân thủ.

Trong giai đoạn phát triển, nhà sản xuất có thể kiểm thử Thiết bị của họ mà không cần quy trình Chứng thực đầy đủ. Nhân viên kiểm thử phải được thông báo rõ ràng rằng Thiết bị đang trong quá trình kiểm thử và chưa được chứng nhận cũng như ra mắt. Sau khi nhà sản xuất bước vào giai đoạn sản xuất, hệ sinh thái của bên cung cấp phải thực thi tất cả các yêu cầu về Chứng thực.

Chứng thực sử dụng Cơ sở hạ tầng khoá công khai (PKI) tận dụng Tổ chức phát hành chứng chỉ gốc và Chứng chỉ trung gian, tương tự như các chứng chỉ xác thực máy chủ được áp dụng rộng rãi dùng cho SSL/TLS. Quá trình này được gọi là Chuỗi chứng chỉ chứng thực thiết bị.

PKI chứng thực thiết bị

DAC là chứng chỉ X.509 phiên bản 3. Phiên bản đầu tiên của X.509 được ITU-T xuất bản vào năm 1988. X.509 phiên bản 3 có Chứng chỉ cơ sở hạ tầng khoá công khai và Danh sách thu hồi chứng chỉ (CRL) mà Matter sử dụng được chỉ định theo RFC5280. Thư mục này chứa:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Tính hợp lệ, trong đó ngày hết hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm là các thuộc tính của MatterDACName trong chủ đề DAC.

DAC là duy nhất cho mỗi thiết bị và được liên kết với cặp khoá chứng thực duy nhất trong sản phẩm. Chứng chỉ này do một CA liên kết với Nhà sản xuất thiết bị cấp.

Chữ ký của DAC được xác thực dựa trên Chứng chỉ trung gian chứng thực sản phẩm (PAI) do PAA phát hành. Tuy nhiên, nhà cung cấp có thể chọn tạo một PAI cho mỗi sản phẩm (theo PID cụ thể), nhóm sản phẩm hoặc cho tất cả sản phẩm của mình.

Ở gốc của chuỗi tin cậy, khoá công khai của Tổ chức chứng thực sản phẩm (PAA) Tổ chức phát hành chứng chỉ (CA) sẽ xác thực chữ ký từ PAI. Xin lưu ý rằng kho lưu trữ uy tín Matter được liên kết và bộ chứng chỉ PAA mà các uỷ viên tin tưởng được duy trì trong một cơ sở dữ liệu uy tín trung tâm (Sổ cái tuân thủ phân tán). Để nhập PAA vào bộ tin cậy, bạn phải đáp ứng một chính sách chứng chỉ do Alliance quản lý.

Cơ sở hạ tầng khoá công khai chứng thực Matter
Hình 1: Cơ sở hạ tầng khoá công khai chứng thực Matter

PAI cũng là một chứng chỉ X.509 phiên bản 3, bao gồm:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Tính hợp lệ, trong đó ngày hết hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm (không bắt buộc) là các thuộc tính của MatterDACName trong chủ đề DAC.

Cuối cùng, PAA là chứng chỉ gốc trong chuỗi và được tự ký. Thư mục này bao gồm:

  • Chữ ký
  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực

Tài liệu và thông báo chứng thực bổ sung

Quy trình chứng thực có một số tài liệu và thông báo. Các mục sau đây là thông tin tổng quan ngắn gọn về chức năng và thành phần của chúng. Hình ảnh dưới đây giúp bạn hiểu rõ hệ thống phân cấp của các chỉ số này.

Hệ thống phân cấp tài liệu chứng thực
Hình 2: Phân cấp tài liệu chứng thực
Tài liệu Mô tả
Tờ khai chứng nhận (CD) CD cho phép thiết bị Matter chứng minh việc tuân thủ giao thức Matter. Bất cứ khi nào Quy trình chứng nhận Matter hoàn tất, Alliance sẽ tạo một CD cho loại thiết bị để Nhà cung cấp có thể đưa CD đó vào chương trình cơ sở. Đĩa CD này bao gồm những thông tin sau:
  • VID
  • PID (một hoặc nhiều)
  • Mã danh mục máy chủ
  • Mã danh mục khách hàng
  • Cấp độ bảo mật
  • Thông tin bảo mật
  • Loại chứng nhận (phát triển, tạm thời hoặc chính thức)
  • Chữ ký
Thông tin về chương trình cơ sở (không bắt buộc) Thông tin về chương trình cơ sở chứa Số phiên bản CD và một hoặc nhiều bản tóm tắt của các thành phần trong chương trình cơ sở, chẳng hạn như hệ điều hành, hệ thống tệp, trình tải khởi động. Các bản tóm tắt có thể là hàm băm của các thành phần phần mềm hoặc hàm băm của các tệp kê khai đã ký của các thành phần phần mềm.

Nhà cung cấp cũng có thể chọn chỉ đưa "hàm băm của các hàm băm" của các thành phần vào Thông tin về phần mềm cơ sở, thay vì một mảng các hàm băm riêng lẻ.

Thông tin về phần mềm cơ sở là một phần tử không bắt buộc trong Quy trình chứng thực và được áp dụng khi nhà cung cấp có môi trường khởi động an toàn xử lý cặp khoá Chứng thực.
Thông tin chứng thực Thư do Bên được uỷ quyền gửi cho Bên uỷ quyền. Attestation Information (Thông tin chứng thực) kết hợp một TLV chứa Attestation Elements (Các phần tử chứng thực) và một Attestation Signature (Chữ ký chứng thực).
Các phần tử chứng thực Đây là một TLV chứa:

  • Tuyên bố về chứng chỉ
  • Dấu thời gian
  • Số chỉ dùng một lần chứng thực
  • Thông tin về chương trình cơ sở (không bắt buộc)
  • Thông tin cụ thể của nhà cung cấp (không bắt buộc)
Thử thách chứng thực Thử thách ngoài băng tần được lấy trong quá trình thiết lập phiên Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) và được dùng để bảo mật thêm quy trình cũng như tránh các chữ ký được phát lại. Đến từ CASEphiên, PASEphiên hoặc một phiên CASEđã tiếp tục.
Chứng thực TBS (cần ký) Thông báo chứa Chứng thực các phần tử và Chứng thực thử thách.
Chữ ký chứng thực Chữ ký của TBS chứng thực, được ký bằng Khoá riêng tư chứng thực thiết bị.

Quy trình chứng thực

Uỷ viên chịu trách nhiệm chứng thực cho Người được uỷ quyền. Phương thức này thực hiện các bước sau:

  1. Uỷ viên tạo một số chỉ dùng một lần chứng thực ngẫu nhiên gồm 32 byte. Theo thuật ngữ mật mã học, số chỉ dùng một lần là một số ngẫu nhiên được tạo trong quy trình mật mã học và chỉ được dùng một lần.
  2. Người uỷ quyền gửi số chỉ dùng một lần đến DUT và yêu cầu AttestationInformation.
  3. DUT tạo Thông tin chứng thực và ký thông tin đó bằng Khoá riêng tư chứng thực.
  4. Người uỷ quyền khôi phục chứng chỉ DAC và PAI từ Thiết bị, đồng thời tra cứu chứng chỉ PAA trong kho lưu trữ tin cậy Matter.
  5. Uỷ viên xác thực Thông tin chứng thực. Sau đây là các điều kiện để xác thực:
    • Chuỗi chứng chỉ DAC phải được xác thực, bao gồm cả việc kiểm tra thu hồi trên PAI và PAA.
    • VID trên DAC khớp với VID trên PAI.
    • Chữ ký chứng thực hợp lệ.
    • Số chỉ dùng một lần trong các phần tử Chứng thực thiết bị khớp với số chỉ dùng một lần do Uỷ viên cung cấp.
    • Chữ ký trong Tuyên bố về chứng chỉ hợp lệ bằng một trong các khoá ký Tuyên bố về chứng chỉ nổi tiếng của Alliance.
    • Thông tin về chương trình cơ sở (nếu có và được Uỷ viên hỗ trợ) khớp với một mục trong Sổ cái tuân thủ phân tán.
    • Các quy trình xác thực VID/PID bổ sung cũng diễn ra giữa Cụm thông tin cơ bản về thiết bị, Tuyên bố chứng nhận và DAC.
Trước
Phí hoa hồng
Tiếp
Thread và IPv6