الأجهزة المعتمدة هي الأجهزة التي اجتازت عملية Connectivity Standards Alliance (Alliance) Matter الاعتماد.
أثناء عملية الإعداد، يجب أن تُثبت الأجهزة المعتمدة هويتها. بعبارة أخرى، يجب أن تثبت أنّها ما تدّعيه وأنّها منتج أصلي. وبالتالي، تتضمّن جميع أجهزة Matter بيانات اعتماد تشمل زوج مفاتيح المصادقة وسلسلة شهادات مرتبطة. تُعد شهادة مصادقة الجهاز (DAC) جزءًا من هذه السلسلة. عندما يقدّم الجهاز الذي يتم إعداده شهادة DAC إلى جهة الإعداد، ستُصدّق الأخيرة على ما يلي:
- أنّ الجهاز من صنع جهة مصنّعة معتمَدة
- أنّه جهاز أصلي
- أنّه اجتاز اختبارات الامتثال لـ Matter
أثناء مرحلة التطوير، يمكن للجهة المصنّعة اختبار أجهزتها بدون عملية المصادقة الكاملة. يجب إبلاغ المختبِرين صراحةً بأنّ الجهاز قيد الاختبار وأنّه لم يتم اعتماده وإطلاقه بعد. عندما تدخل الجهة المصنّعة مرحلة الإنتاج، يجب أن يفرض النظام المتكامل لبرنامج الإعداد جميع متطلبات المصادقة.
تستخدم المصادقة بنية أساسية للمفتاح العام (PKI) تستفيد من مراجع تصديق الشهادات الجذرية والشهادات الوسيطة، بطريقة مشابهة لشهادات مصادقة الخادم المستخدمة على نطاق واسع في بروتوكولَي SSL وTLS. تُعرف هذه العملية باسم سلسلة شهادات مصادقة الجهاز.
بنية أساسية للمفتاح العام لمصادقة الجهاز
شهادة DAC هي شهادة X.509 الإصدار 3. نشر الاتحاد الدولي للاتصالات (ITU-T) الإصدار الأول من X.509 في عام 1988. يحدّد RFC5280 شهادة X.509 الإصدار 3 مع شهادة البنية الأساسية للمفتاح العام و قائمة الشهادات الباطلة (CRL) التي يستخدمها Matter هي محدّدة بواسطة. وتتضمّن ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون تاريخ انتهاء الصلاحية غير محدّد
- التوقيع
رقم تعريف المورّد ورقم تعريف المنتج هما سمتان من سمات MatterDACName في موضوع شهادة DAC.
شهادة DAC فريدة لكل جهاز ومرتبطة بزوج مفاتيح المصادقة الفريد داخل المنتج. تصدرها هيئة إصدار شهادات مرتبطة بالجهة المصنّعة للجهاز.
يتم التحقّق من توقيع شهادة DAC مقابل الشهادة الوسيطة لمصادقة المنتج (PAI)، والتي تصدرها أيضًا هيئة إصدار شهادات مصادقة المنتج (PAA). ومع ذلك، قد يختار المورّد إنشاء شهادة PAI واحدة لكل منتج (خاصة برقم تعريف المنتج)، أو مجموعة من المنتجات، أو لجميع منتجاته.
في جذر سلسلة الثقة، يتحقّق المفتاح العام لهيئة إصدار شهادات مصادقة المنتج (PAA) التابعة لهيئة إصدار الشهادات (CA) من التوقيعات من شهادة PAI. يُرجى العِلم أنّ مخزن الثقة في Matter موحّد ويتم الاحتفاظ بمجموعة شهادات PAA الموثوق بها من قِبل جهات الإعداد في قاعدة بيانات مركزية موثوق بها (سجلّ الامتثال الموزّع). يتطلب إدراج هيئة إصدار شهادات PAA ضمن المجموعة الموثوق بها استيفاء سياسة شهادات تديرها Alliance.
شهادة PAI هي أيضًا شهادة X.509 الإصدار 3 تتضمّن ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون تاريخ انتهاء الصلاحية غير محدّد
- التوقيع
رقم تعريف المورّد ورقم تعريف المنتج (اختياريًا) هما سمتان من سمات MatterDACName في موضوع شهادة DAC.
أخيرًا، شهادة PAA هي الشهادة الجذرية في السلسلة وهي موقَّعة ذاتيًا. وتتضمّن ما يلي:
- التوقيع
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية
مستندات ورسائل المصادقة الإضافية
تتضمّن عملية المصادقة عدة مستندات ورسائل. في ما يلي نظرة عامة مختصرة على وظيفتها وتكوينها. تساعد الصورة أدناه في فهم التسلسل الهرمي لها.
| مستند | الوصف |
|---|---|
| إقرار الشهادة (CD) | يسمح إقرار الشهادة لجهاز
Matter Matter
بإثبات امتثاله لبروتوكول
Matter Matter.
عندما تنتهي عمليات اعتماد
Matter
، تنشئ
Alliance إقرار شهادة
لنوع الجهاز
ليتمكّن المورّد من تضمينه في
البرامج الثابتة. يتضمّن إقرار الشهادة، من بين معلومات أخرى:
|
| معلومات البرامج الثابتة (اختيارية) | تحتوي معلومات البرامج الثابتة على رقم إصدار إقرار الشهادة وواحد أو أكثر من ملخصات المكوّنات في البرامج الثابتة، مثل نظام التشغيل ونظام الملفات وبرنامج التحميل. قد تكون الملخصات إما
تجزئة لمكوّنات البرنامج أو
تجزئة للبيانات الموقَّعة لمكوّنات
البرنامج. يمكن للمورّد أيضًا اختيار تضمين معلومات البرامج الثابتة فقط لـ "تجزئة التجزئات" لمكوّناته، بدلاً من مجموعة من التجزئات الفردية. معلومات البرامج الثابتة هي عنصر اختياري في عملية المصادقة وتكون قابلة للتطبيق عندما يكون لدى المورّد بيئة تشغيل آمنة تتعامل مع زوج مفاتيح المصادقة. |
| معلومات المصادقة | رسالة مُرسَلة من الجهاز الذي يتم إعداده إلى جهة الإعداد. تجمع معلومات المصادقة بين قيمة TLV تحتوي على عناصر المصادقة وتوقيع المصادقة. |
| عناصر المصادقة | هذه قيمة TLV تحتوي على:
|
| تحدّي المصادقة | تحدّي خارج النطاق مشتق أثناء Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) إنشاء الجلسة ويُستخدم لزيادة أمان الإجراء وتجنُّب التوقيعات التي تم إعادة تشغيلها. يأتي من إما CASE جلسة، PASE جلسة أو جلسة تم استئنافها CASE. |
| بيانات المصادقة التي سيتم توقيعها (TBS) | رسالة تحتوي على عناصر المصادقة وتحدّي المصادقة. |
| توقيع المصادقة | توقيع بيانات المصادقة التي سيتم توقيعها، ويتم توقيعه باستخدام المفتاح الخاص لمصادقة الجهاز. |
إجراء المصادقة
تكون جهة الإعداد مسؤولة عن مصادقة الجهاز الذي يتم إعداده. وتنفّذ الخطوات التالية:
- تُنشئ جهة الإعداد رقمًا عشوائيًا للمصادقة يتألف من 32 بايت. في مصطلحات التشفير، الرقم العشوائي (الرقم الذي يُستخدم مرة واحدة) هو رقم عشوائي يتم إنشاؤه في إجراء التشفير ويُفترض استخدامه مرة واحدة.
- ترسل جهة الإعداد الرقم العشوائي إلى الجهاز قيد الاختبار وتطلب معلومات المصادقة.
- يُنشئ الجهاز قيد الاختبار معلومات المصادقة ويوقّعها باستخدام المفتاح الخاص للمصادقة.
- تسترد جهة الإعداد شهادة DAC وشهادة PAI من الجهاز، و تبحث عن شهادة PAA من مخزن Matterالثقة.
- تتحقّق جهة الإعداد من معلومات المصادقة. في ما يلي شروط التحقّق:
- يجب التحقّق من سلسلة شهادات DAC، بما في ذلك عمليات التحقّق من الإبطال على شهادة PAI وشهادة PAA.
- يجب أن يتطابق رقم تعريف المورّد في شهادة DAC مع رقم تعريف المورّد في شهادة PAI.
- يجب أن يكون توقيع المصادقة صالحًا.
- يجب أن يتطابق الرقم العشوائي في عناصر مصادقة الجهاز مع الرقم العشوائي الذي قدّمته جهة الإعداد.
- يجب أن يكون توقيع إقرار الشهادة صالحًا باستخدام أحد مفاتيح توقيع إقرار الشهادة المعروفة التابعة لـ Alliance's.
- يجب أن تتطابق معلومات البرامج الثابتة (إذا كانت متوفّرة ومتوافقة مع جهة الإعداد) مع إدخال في سجلّ الامتثال الموزّع.
- تُجرى أيضًا عمليات تحقّق إضافية من رقم تعريف المورّد ورقم تعريف المنتج بين مجموعة معلومات الجهاز الأساسية وإقرار الشهادة وشهادة DAC.