الأجهزة المعتمدة هي الأجهزة التي اجتازت عملية الاعتماد Connectivity Standards Alliance (Alliance) Matter.
أثناء عملية الإعداد، يجب أن تُثبت الأجهزة المعتمدة هويتها. بعبارة أخرى، يجب أن تُثبت أنّها مطابقة لما تدّعيه وأنّها منتج أصلي. وبالتالي، تتضمّن جميع أجهزة Matter بيانات اعتماد تشمل زوج مفاتيح المصادقة وسلسلة شهادات مرتبطة. تُعد شهادة مصادقة الجهاز (DAC) جزءًا من هذه السلسلة. بعد أن يقدّم الجهاز الذي يتم إعداده شهادة DAC إلى جهة الإعداد، ستُصدّق هذه الأخيرة على ما يلي:
- أنّ الجهاز من صنع جهة مصنّعة معتمَدة
- أنّه جهاز أصلي
- أنّه اجتاز اختبارات الامتثال لـ Matter
أثناء مرحلة التطوير، يمكن للجهة المصنّعة اختبار أجهزتها بدون عملية المصادقة الكاملة. يجب إبلاغ المختبِرين صراحةً بأنّ الجهاز قيد الاختبار وأنّه لم يتم اعتماده وإطلاقه بعد. عندما تدخل الجهة المصنّعة مرحلة الإنتاج، يجب أن يفرض نظام المزوّد جميع متطلبات المصادقة.
تستخدم المصادقة البنية التحتية للمفاتيح العامة (PKI) التي تستفيد من مراجع تصديق الشهادات الجذرية والشهادات الوسيطة، بطريقة مشابهة لشهادات مصادقة الخادم المستخدمة على نطاق واسع في بروتوكولَي SSL وTLS. تُعرف هذه العملية باسم سلسلة شهادات مصادقة الجهاز.
بنية أساسية للمفتاح العام (PKI) لمصادقة الجهاز
شهادة DAC هي شهادة X.509 الإصدار 3. نشر الاتحاد الدولي للاتصالات (ITU-T) الإصدار الأول من شهادة X.509 في عام 1988. يحدّد RFC5280 شهادة X.509 الإصدار 3 مع شهادة البنية الأساسية للمفتاح العام و قائمة الشهادات الباطلة (CRL) التي يستخدمها Matter هي محدّدة بواسطة. وتتضمّن ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون تاريخ انتهاء الصلاحية غير محدّد
- التوقيع
رقم تعريف المورّد ورقم تعريف المنتج هما سمتان من سمات MatterDACName في موضوع شهادة DAC.
شهادة DAC فريدة لكل جهاز ومرتبطة بزوج مفاتيح المصادقة الفريد داخل المنتج. تصدرها هيئة إصدار شهادات مرتبطة بالجهة المصنّعة للجهاز.
يتم التحقّق من توقيع شهادة DAC مقابل الشهادة الوسيطة لمصادقة المنتج (PAI)، والتي تصدرها أيضًا هيئة مصادقة المنتج (PAA). ومع ذلك، قد يختار المورّد إنشاء شهادة PAI واحدة لكل منتج (خاصة برقم تعريف المنتج)، أو مجموعة من المنتجات، أو لجميع منتجاته.
في جذر سلسلة الثقة، يتحقّق المفتاح العام لهيئة إصدار الشهادات (CA) التابعة لهيئة مصادقة المنتج (PAA) من التوقيعات من شهادة PAI. ملاحظة: مخزن شهادات الجذر الموثوق بها في Matter موحّد ويتم الاحتفاظ بمجموعة شهادات PAA الموثوق بها من قِبل جهات الإعداد في قاعدة بيانات مركزية موثوق بها (سجلّ الامتثال الموزّع). يتطلب إدراج هيئة PAA ضمن المجموعة الموثوق بها استيفاء سياسة شهادات تديرها الجهة المصدرة Alliance.
شهادة PAI هي أيضًا شهادة X.509 الإصدار 3 تتضمّن ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون تاريخ انتهاء الصلاحية غير محدّد
- التوقيع
رقم تعريف المورّد ورقم تعريف المنتج (اختياريًا) هما سمتان من سمات MatterDACName في موضوع شهادة DAC.
أخيرًا، شهادة PAA هي شهادة الجذر في السلسلة وهي موقَّعة ذاتيًا. وتتضمّن ما يلي:
- التوقيع
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية
مستندات ورسائل المصادقة الإضافية
تتضمّن عملية المصادقة عدة مستندات ورسائل. في ما يلي نظرة عامة مختصرة على وظيفتها وتكوينها. تساعد الصورة أدناه في فهم التسلسل الهرمي لها.
| مستند | الوصف |
|---|---|
| إعلان الشهادة (CD) | يسمح إعلان الشهادة لجهاز
Matter Matter
بإثبات امتثاله لبروتوكول
Matter Matter.
عند انتهاء عمليات
Matter
الاعتماد، تنشئ
Allianceإعلان شهادة
لنوع الجهاز
ليتمكّن المورّد من تضمينه في
البرامج الثابتة. يتضمّن إعلان الشهادة، من بين معلومات أخرى:
|
| معلومات البرامج الثابتة (اختيارية) | تحتوي معلومات البرامج الثابتة على رقم إصدار إعلان الشهادة وواحدة أو أكثر من ملخصات المكوّنات في البرامج الثابتة، مثل نظام التشغيل ونظام الملفات ومحمّل التشغيل. قد تكون الملخصات إما
تجزئة لمكوّنات البرنامج أو
تجزئة للبيانات الموقَّعة لمكوّنات
البرنامج. يمكن للمورّد أيضًا اختيار تضمين معلومات البرامج الثابتة فقط تجزئة التجزئات" لمكوّناته، بدلاً من مجموعة من التجزئات الفردية. معلومات البرامج الثابتة هي عنصر اختياري في عملية المصادقة وتكون قابلة للتطبيق عندما يكون لدى المورّد بيئة تشغيل آمنة تتعامل مع زوج مفاتيح المصادقة. |
| معلومات المصادقة | رسالة مُرسَلة من الجهاز الذي يتم إعداده إلى جهة الإعداد. تجمع معلومات المصادقة بين قيمة TLV تحتوي على عناصر المصادقة وتوقيع المصادقة. |
| عناصر المصادقة | هذه قيمة TLV تحتوي على:
|
| تحدّي المصادقة | تحدّي خارج النطاق مشتق أثناء Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) إنشاء الجلسة ويُستخدم لزيادة أمان الإجراء وتجنُّب التوقيعات المعاد تشغيلها. يأتي من جلسة CASE أو جلسة PASE أو جلسة مستأنَفة CASE. |
| بيانات المصادقة التي سيتم توقيعها (TBS) | رسالة تحتوي على عناصر المصادقة وتحدّي المصادقة. |
| توقيع المصادقة | توقيع بيانات المصادقة التي سيتم توقيعها، ويتم توقيعه باستخدام المفتاح الخاص لمصادقة الجهاز. |
إجراء المصادقة
تكون جهة الإعداد مسؤولة عن مصادقة الجهاز الذي يتم إعداده. وتنفّذ الخطوات التالية:
- تُنشئ جهة الإعداد قيمة عشوائية للمصادقة تتألف من 32 بايت. في مصطلحات التشفير، القيمة العشوائية (الرقم المستخدَم مرة واحدة) هي رقم عشوائي يتم إنشاؤه في إجراء التشفير ويُفترض استخدامه مرة واحدة.
- ترسِل جهة الإعداد القيمة العشوائية إلى الجهاز قيد الاختبار وتطلب معلومات المصادقة.
- يُنشئ الجهاز قيد الاختبار معلومات المصادقة ويوقّعها باستخدام المفتاح الخاص للمصادقة.
- تستردّ جهة الإعداد شهادة DAC وشهادة PAI من الجهاز، و تبحث عن شهادة PAA من مخزن Matterالثقة.
- تتحقّق جهة الإعداد من معلومات المصادقة. في ما يلي شروط التحقّق:
- يجب التحقّق من سلسلة شهادات DAC، بما في ذلك عمليات التحقّق من الإبطال على شهادة PAI وشهادة PAA.
- يجب أن يتطابق رقم تعريف المورّد في شهادة DAC مع رقم تعريف المورّد في شهادة PAI.
- يجب أن يكون توقيع المصادقة صالحًا.
- يجب أن تتطابق القيمة العشوائية في عناصر مصادقة الجهاز مع القيمة العشوائية التي قدّمتها جهة الإعداد.
- يجب أن يكون توقيع إعلان الشهادة صالحًا باستخدام أحد مفاتيح توقيع إعلان الشهادة المعروفة للجهة المصدرة Alliance's well-known Certification Declaration signing.
- يجب أن تتطابق معلومات البرامج الثابتة (إذا كانت متوفّرة ومتوافقة مع جهة الإعداد) مع إدخال في سجلّ الامتثال الموزّع.
- تُجرى أيضًا عمليات تحقّق إضافية من رقم تعريف المورّد ورقم تعريف المنتج بين مجموعة معلومات الجهاز الأساسية وإعلان الشهادة وشهادة DAC.