認證裝置是指已通過 Connectivity Standards Alliance (Alliance) Matter認證程序。
在調試過程中,認證裝置需要自行認證。換句話說,必須證明自己是該言論的內容, 正版產品因此,所有 Matter 裝置都有憑證 ,其中包含認證金鑰組和相關的憑證鏈結。 裝置認證憑證 (DAC) 位於這個鏈結中。產生 採用佣金的裝置向委員會將 DAC 展示,第二種將 保證:
- 是由經過認證的製造商製造。
- 我使用的裝置就是正版裝置
- 已通過 Matter 項法規遵循測試
在開發階段,製造商可測試自己的裝置 沒有完整的認證程序必須明確告知測試人員 裝置正在測試中,但尚未通過認證與推出。一次 製造商進入正式生產階段,也就是佈建工具的生態系統 必須強制執行所有認證要求
認證使用的公開金鑰基礎架構 (PKI),會運用 Root 權限。 憑證授權單位和中繼憑證,類似於 廣泛採用用於 SSL/TLS 的伺服器驗證憑證。這項程序 稱為「裝置認證憑證鏈結」
裝置認證 PKI
DAC 是 X.509 v3 憑證。第一版 X.509 的發布日期 1988 (ITU-T)。Matter 使用的 X.509 第 3 版公用金鑰基礎架構憑證和憑證撤銷清單 (CRL) 是由 RFC5280 指定。這項服務 包含:
- 公開金鑰
- 核發單位
- 主旨
- 憑證序號
- 有效期,其中到期可以確定
- 簽名
供應商 ID 和產品 ID 是 DAC 中 MatterDACName
的屬性
主旨。
每部裝置的 DAC 都不得重複,且與專屬認證金鑰組相關聯 都會影響到產品本身此 ID 是由與裝置相關聯的 CA 核發 製造商
DAC 的簽名已通過產品認證中級認證 憑證 (PAI),以及 PAA 核發的號碼。不過,供應商可以選擇為每項產品 (PID 專屬)、產品群組或所有產品建立一個 PAI。
產品認證主管機關在信任鏈的根基 (PAA) 憑證授權單位 (CA) 公開金鑰會驗證簽名 從 PAI 開發出請注意,Matter 信任存放區是聯合存放區的 而佣金者信任的 PAA 憑證組合 中央受信任資料庫 (分散式法規遵循帳本)。在信任集合中輸入 PAA 時,必須符合由 Alliance 管理的憑證政策。
PAI 也是 X.509 v3 憑證,其中包含:
- 公開金鑰
- 核發單位
- 主旨
- 憑證序號
- 有效期,其中到期可以確定
- 簽名
供應商 ID 和產品 ID (選用) 是MatterDACName
都屬於 DAC 主體
最後,PAA 是鏈中的根憑證,且是自行簽署的憑證。這項服務 包括:
- 簽名
- 公開金鑰
- 核發單位
- 主旨
- 憑證序號
- 有效性
其他認證文件和訊息
認證程序包含數個文件和訊息,下列項目 為函式和組成部分提供簡要說明下圖可協助您瞭解階層結構。
文件 | 說明 |
---|---|
認證聲明 (CD) | CD 可讓
Matter 部裝置
證明其遵循
Matter 通訊協定。
每當
Matter
認證程序完成後,
Alliance 會建立 CD
裝置類型
因此供應商可能會將其納入
韌體。CD 含有其他
資訊:
|
韌體資訊 (選填) | 「韌體資訊」包含
CD 版本號碼及一或多個
編碼器-解碼器架構
例如 OS、檔案系統
系統啟動載入程式。摘要可以是軟體元件的雜湊,也可以是軟體元件已簽署的資訊清單雜湊。 供應商也可以選擇只在韌體資訊中加入元件的「雜湊雜湊」,而非個別雜湊陣列。 韌體資訊是認證程序中的選用元素,適用於供應商擁有可處理認證金鑰組的安全啟動環境。 |
認證資訊 | 由委員向委員傳送的訊息。認證 資訊結合的 TLV 內含 認證元素和 認證簽名。 |
認證元素 | 這是包含下列項目的 TLV:
|
認證挑戰 | 在頻外驗證期間, Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) 堂課 機構與 用來進一步保護 避免重覆特徵碼晚 來源:CASE 工作階段,PASE 工作階段或重新啟用的工作階段 CASE 工作階段。 |
認證 TBS (待簽署) | 包含認證的訊息 元素與認證挑戰。 |
認證簽章 | Attestation TBS 簽名, 使用裝置認證簽署 私密金鑰。 |
認證程序
委員會負責認證委員會認證。這個外掛程式會執行 步驟如下:
- 佣金工具會產生隨機 32 位元組認證 Nonce。密碼學 規則運算式,Nonce (使用一次數字) 是 加密程序,因此只能使用一次
- 委託人將 Nonce 傳送至 DUT,並提出認證要求 資訊。
- DUT 產生「認證資訊」,並以「認證」簽署 私密金鑰。
- 委託人從裝置復原 DAC 和 PAI 憑證。 查詢其 Matter 信託機構的 PAA 憑證 也就是經過處理且會導入模型的資料 接著再透過特徵儲存庫與他人分享
- 驗證人驗證認證資訊。這些條件
進行驗證:
- 必須驗證 DAC 憑證鏈結,包括對 PAI 和 PAA 的撤銷檢查。
- DAC 上的 VID 與 PAI 上的 VID 相符。
- 認證簽名有效。
- 「裝置認證元素」中的 Nonce 與 委託人。
- 憑證聲明簽章必須使用 Alliance 的已知憑證聲明簽署金鑰,才算有效。
- 韌體資訊 (如有,且獲得委員會支援) 比對 名為「Distributed Compliance Ledger」的記錄項目。
- 裝置基本版之間也會進行額外的 VID/PID 驗證 資訊叢集、認證聲明和 DAC。