Chứng thực

Thiết bị được chứng nhận là những Thiết bị đã trải qua Quy trình chứng nhận Connectivity Standards Alliance (Alliance) Matter.

Trong quá trình uỷ quyền, Thiết bị được chứng nhận cần tự xác thực. Nói cách khác, sản phẩm cần được chứng minh là đúng như thông tin đã đăng và là sản phẩm chính hãng. Do đó, tất cả Thiết bị Matter đều có thông tin xác thực bao gồm cặp khoá Chứng thực và một chuỗi chứng chỉ liên quan. Chứng chỉ chứng thực thiết bị (DAC) là một phần của chuỗi này. Sau khi Thiết bị đang được uỷ quyền trình bày DAC cho Uỷ viên, Uỷ viên sẽ chứng nhận rằng:

  • sản phẩm đó do một nhà sản xuất được chứng nhận sản xuất.
  • đó là thiết bị chính hãng.
  • đã vượt qua các bài kiểm tra tuân thủ Matter.

Trong giai đoạn phát triển, nhà sản xuất có thể kiểm thử Thiết bị của họ mà không cần phải trải qua toàn bộ quy trình Chứng thực. Người kiểm thử phải được thông báo rõ ràng rằng Thiết bị đang trong quá trình kiểm thử và chưa được chứng nhận cũng như chưa được ra mắt. Sau khi nhà sản xuất chuyển sang giai đoạn phát hành công khai, hệ sinh thái của trình cung cấp phải thực thi tất cả các yêu cầu về Chứng thực.

Tính năng chứng thực sử dụng Cơ sở hạ tầng khoá công khai (PKI) tận dụng các Tổ chức phát hành chứng chỉ gốc và Chứng chỉ trung gian, tương tự như các chứng chỉ xác thực máy chủ được sử dụng rộng rãi cho SSL/TLS. Quá trình này gọi là Chuỗi chứng chỉ chứng thực thiết bị.

PKI chứng thực thiết bị

DAC là chứng chỉ X.509 phiên bản 3. Phiên bản đầu tiên của X.509 được ITU-T phát hành vào năm 1988. X.509 phiên bản 3 với Chứng chỉ cơ sở hạ tầng khoá công khai và Danh sách thu hồi chứng chỉ (CRL) mà Matter sử dụng được chỉ định theo RFC5280. Tệp này chứa:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực, trong đó thời gian hết hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm là các thuộc tính của MatterDACName trong chủ đề DAC.

DAC là duy nhất cho mỗi thiết bị và được liên kết với cặp khoá chứng thực duy nhất trong sản phẩm. Mã này do một CA liên kết với nhà sản xuất thiết bị phát hành.

Chữ ký của DAC được xác thực dựa trên Chứng chỉ trung gian chứng thực sản phẩm (PAI). Chứng chỉ này cũng do một PAA cấp. Tuy nhiên, nhà cung cấp có thể chọn tạo một PAI cho mỗi sản phẩm (dành riêng cho PID), nhóm sản phẩm hoặc cho tất cả sản phẩm.

Ở gốc của chuỗi tin cậy, khoá công khai của Tổ chức phát hành chứng chỉ chứng thực sản phẩm (PAA) Tổ chức phát hành chứng chỉ (CA) xác thực chữ ký từ PAI. Xin lưu ý rằng kho lưu trữ tin cậy Matter được liên kết và tập hợp chứng chỉ PAA mà uỷ viên tin cậy được duy trì trong cơ sở dữ liệu đáng tin cậy trung tâm (Sổ cái tuân thủ phân tán). Việc nhập PAA vào tập hợp đáng tin cậy phải đáp ứng chính sách chứng chỉ do Alliance quản lý.

Cơ sở hạ tầng khoá công khai của Matter Attestation
Hình 1: Cấu trúc khoá công khai chứng thực Matter

PAI cũng là một chứng chỉ X.509 phiên bản 3, bao gồm:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực, trong đó thời gian hết hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm (không bắt buộc) là các thuộc tính của MatterDACName trong tiêu đề DAC.

Cuối cùng, PAA là chứng chỉ gốc trong chuỗi và được tự ký. Bao gồm:

  • Chữ ký
  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực

Tài liệu và thông báo chứng thực bổ sung

Quy trình chứng thực có một số tài liệu và thông báo. Các mục sau đây là thông tin tổng quan ngắn gọn về chức năng và thành phần của chúng. Hình ảnh dưới đây giúp bạn hiểu rõ về hệ phân cấp của các thành phần này.

Hệ thống phân cấp tài liệu chứng thực
Hình 2: Hệ phân cấp tài liệu chứng thực
Tài liệu Mô tả
Tuyên bố chứng nhận (CD) CD cho phép thiết bị Matter chứng minh việc tuân thủ giao thức Matter. Bất cứ khi nào quy trình chứng nhận Matter hoàn tất, Alliance sẽ tạo một đĩa CD cho loại thiết bị để Nhà cung cấp có thể đưa đĩa CD đó vào phần mềm cơ sở. CD này bao gồm các thông tin sau:
  • VID
  • PID (một hoặc nhiều)
  • Mã danh mục máy chủ
  • Mã danh mục ứng dụng
  • Cấp độ bảo mật
  • Thông tin bảo mật
  • Loại chứng nhận (phát triển, tạm thời hoặc chính thức)
  • Chữ ký
Thông tin về chương trình cơ sở (không bắt buộc) Thông tin về chương trình cơ sở chứa Số phiên bản CD và một hoặc nhiều tóm tắt về các thành phần trong chương trình cơ sở, chẳng hạn như hệ điều hành, hệ thống tệp, trình tải khởi động. Các chuỗi đại diện có thể là hàm băm của các thành phần phần mềm hoặc hàm băm của tệp kê khai đã ký của các thành phần phần mềm.

Nhà cung cấp cũng có thể chọn chỉ đưa "hàm băm của hàm băm" của các thành phần vào Thông tin về phần mềm, thay vì một mảng các hàm băm riêng lẻ.

Thông tin về phần mềm là một phần tử không bắt buộc trong Quy trình chứng thực và áp dụng khi nhà cung cấp có môi trường khởi động an toàn xử lý cặp khoá Chứng thực.
Thông tin chứng thực Tin nhắn do Bên được uỷ quyền gửi cho Bên uỷ quyền. Thông tin chứng thực kết hợp một TLV chứa Các phần tử chứng thựcChữ ký chứng thực.
Phần tử chứng thực Đây là một TLV chứa:

  • Tuyên bố về chứng chỉ
  • Dấu thời gian
  • Số chỉ dùng một lần trong chứng thực
  • Thông tin về chương trình cơ sở (không bắt buộc)
  • Thông tin cụ thể về nhà cung cấp (không bắt buộc)
Thử thách chứng thực Thách thức ngoài phạm vi được lấy trong quá trình thiết lập phiên Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) và được dùng để tăng cường bảo mật cho quy trình cũng như tránh việc phát lại chữ ký. Xuất phát từ phiên CASE, phiên PASE hoặc phiên CASE tiếp tục.
TBS chứng thực (cần ký) Thông báo chứa Phần tử chứng thực và Thách thức chứng thực.
Chữ ký chứng thực Chữ ký của TBS chứng thực, được ký bằng Khoá riêng của chứng thực thiết bị.

Quy trình chứng thực

Uỷ viên chịu trách nhiệm chứng thực Người được uỷ quyền. Phương thức này thực thi các bước sau:

  1. Uỷ viên tạo một số chỉ dùng một lần 32 byte ngẫu nhiên để chứng thực. Trong thuật ngữ mật mã, số chỉ dùng một lần (nonce) là một số ngẫu nhiên được tạo trong quy trình mật mã và chỉ được dùng một lần.
  2. Uỷ viên gửi số chỉ dùng một lần đến DUT và yêu cầu Thông tin chứng thực.
  3. DUT tạo Thông tin chứng thực và ký thông tin đó bằng Khoá riêng tư chứng thực.
  4. Uỷ viên khôi phục chứng chỉ DAC và PAI từ Thiết bị, đồng thời truy vấn chứng chỉ PAA từ kho tin cậy Matter.
  5. Uỷ viên xác thực Thông tin chứng thực. Sau đây là các điều kiện để xác thực:
    • Chuỗi chứng chỉ DAC phải được xác thực, bao gồm cả việc kiểm tra việc thu hồi trên PAI và PAA.
    • VID trên DAC khớp với VID trên PAI.
    • Chữ ký chứng thực hợp lệ.
    • Số chỉ dùng một lần trong các phần tử Chứng thực thiết bị khớp với số chỉ dùng một lần do Ủy viên cung cấp.
    • Chữ ký khai báo chứng chỉ hợp lệ bằng một trong các khoá ký khai báo chứng chỉ phổ biến của Alliance.
    • Thông tin về phần mềm cơ sở (nếu có và được Uỷ viên hỗ trợ) khớp với một mục trong Sổ cái tuân thủ được phân phối.
    • Các quy trình xác thực VID/PID bổ sung cũng diễn ra giữa cụm Thông tin cơ bản của thiết bị, Bản khai báo chứng nhận và DAC.
Trước
Phí hoa hồng
Tiếp
Thread và IPv6