認證

認證裝置是指已通過 Connectivity Standards Alliance (Alliance) Matter認證程序。

在調試過程中,認證裝置需要自行認證。換句話說,必須證明自己是該言論的內容, 正版產品因此,所有 Matter 裝置都有憑證 ,其中包含認證金鑰組和相關的憑證鏈結。 裝置認證憑證 (DAC) 位於這個鏈結中。產生 採用佣金的裝置向委員會將 DAC 展示,第二種將 保證:

  • 是由經過認證的製造商製造。
  • 我使用的裝置就是正版裝置
  • 已通過 Matter 項法規遵循測試

在開發階段,製造商可測試自己的裝置 沒有完整的認證程序必須明確告知測試人員 裝置正在測試中,但尚未通過認證與推出。一次 製造商進入正式生產階段,也就是佈建工具的生態系統 必須強制執行所有認證要求

認證使用的公開金鑰基礎架構 (PKI),會運用 Root 權限。 憑證授權單位和中繼憑證,類似於 廣泛採用用於 SSL/TLS 的伺服器驗證憑證。這項程序 稱為「裝置認證憑證鏈結」

裝置認證 PKI

DAC 是 X.509 v3 憑證。第一版 X.509 的發布日期 1988 (ITU-T)。Matter 使用的 X.509 第 3 版公用金鑰基礎架構憑證和憑證撤銷清單 (CRL) 是由 RFC5280 指定。這項服務 包含:

  • 公開金鑰
  • 核發單位
  • 主旨
  • 憑證序號
  • 有效期,其中到期可以確定
  • 簽名

供應商 ID 和產品 ID 是 DAC 中 MatterDACName 的屬性 主旨。

每部裝置的 DAC 都不得重複,且與專屬認證金鑰組相關聯 都會影響到產品本身此 ID 是由與裝置相關聯的 CA 核發 製造商

DAC 的簽名已通過產品認證中級認證 憑證 (PAI),以及 PAA 核發的號碼。不過,供應商可以選擇為每項產品 (PID 專屬)、產品群組或所有產品建立一個 PAI。

產品認證主管機關在信任鏈的根基 (PAA) 憑證授權單位 (CA) 公開金鑰會驗證簽名 從 PAI 開發出請注意,Matter 信任存放區是聯合存放區的 而佣金者信任的 PAA 憑證組合 中央受信任資料庫 (分散式法規遵循帳本)。在信任集合中輸入 PAA 時,必須符合由 Alliance 管理的憑證政策。

Matter 認證公開金鑰基礎架構
圖 1:Matter 認證公開金鑰基礎架構

PAI 也是 X.509 v3 憑證,其中包含:

  • 公開金鑰
  • 核發單位
  • 主旨
  • 憑證序號
  • 有效期,其中到期可以確定
  • 簽名

供應商 ID 和產品 ID (選用) 是MatterDACName 都屬於 DAC 主體

最後,PAA 是鏈中的根憑證,且是自行簽署的憑證。這項服務 包括:

  • 簽名
  • 公開金鑰
  • 核發單位
  • 主旨
  • 憑證序號
  • 有效性

其他認證文件和訊息

認證程序包含數個文件和訊息,下列項目 為函式和組成部分提供簡要說明下圖可協助您瞭解階層結構。

認證文件階層
圖 2:認證文件階層
文件 說明
認證聲明 (CD) CD 可讓 Matter 部裝置 證明其遵循 Matter 通訊協定。 每當 Matter 認證程序完成後, Alliance 會建立 CD 裝置類型 因此供應商可能會將其納入 韌體。CD 含有其他 資訊:
  • VID
  • PID (一或多項)
  • 伺服器類別 印尼
  • 客戶類別 印尼
  • 安全等級
  • 安全性 資訊
  • 認證 類型 (開發、臨時或 官方)
  • 簽名
韌體資訊 (選填) 「韌體資訊」包含 CD 版本號碼及一或多個 編碼器-解碼器架構 例如 OS、檔案系統 系統啟動載入程式。摘要可以是軟體元件的雜湊,也可以是軟體元件已簽署的資訊清單雜湊。

供應商也可以選擇只在韌體資訊中加入元件的「雜湊雜湊」,而非個別雜湊陣列。

韌體資訊是認證程序中的選用元素,適用於供應商擁有可處理認證金鑰組的安全啟動環境。
認證資訊 由委員向委員傳送的訊息。認證 資訊結合的 TLV 內含 認證元素認證簽名
認證元素 這是包含下列項目的 TLV:

  • 認證聲明
  • 時間戳記
  • 確認聲明 Nonce
  • 韌體資訊 (選填)
  • 供應商特定資訊 資訊 (選填)
認證挑戰 在頻外驗證期間, Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) 堂課 機構與 用來進一步保護 避免重覆特徵碼晚 來源:CASE 工作階段,PASE 工作階段或重新啟用的工作階段 CASE 工作階段。
認證 TBS (待簽署) 包含認證的訊息 元素與認證挑戰。
認證簽章 Attestation TBS 簽名, 使用裝置認證簽署 私密金鑰。

認證程序

委員會負責認證委員會認證。這個外掛程式會執行 步驟如下:

  1. 佣金工具會產生隨機 32 位元組認證 Nonce。密碼學 規則運算式,Nonce (使用一次數字) 是 加密程序,因此只能使用一次
  2. 委託人將 Nonce 傳送至 DUT,並提出認證要求 資訊。
  3. DUT 產生「認證資訊」,並以「認證」簽署 私密金鑰。
  4. 委託人從裝置復原 DAC 和 PAI 憑證。 查詢其 Matter 信託機構的 PAA 憑證 也就是經過處理且會導入模型的資料 接著再透過特徵儲存庫與他人分享
  5. 驗證人驗證認證資訊。這些條件 進行驗證:
    • 必須驗證 DAC 憑證鏈結,包括對 PAI 和 PAA 的撤銷檢查。
    • DAC 上的 VID 與 PAI 上的 VID 相符。
    • 認證簽名有效。
    • 「裝置認證元素」中的 Nonce 與 委託人。
    • 憑證聲明簽章必須使用 Alliance 的已知憑證聲明簽署金鑰,才算有效。
    • 韌體資訊 (如有,且獲得委員會支援) 比對 名為「Distributed Compliance Ledger」的記錄項目。
    • 裝置基本版之間也會進行額外的 VID/PID 驗證 資訊叢集、認證聲明和 DAC。