Chứng thực

Thiết bị được chứng nhận là Thiết bị đã trải qua Connectivity Standards Alliance (Alliance) Matter Quy trình chứng nhận.

Trong quá trình đưa vào hoạt động, Thiết bị được chứng nhận cần phải chứng thực chính mình. Nói cách khác, thiết bị đó cần chứng minh rằng mình là thiết bị mà mình tuyên bố và là sản phẩm chính hãng. Do đó, tất cả Matter Thiết bị đều có thông tin xác thực bao gồm cặp khoá Chứng thực và chuỗi chứng chỉ được liên kết. Chứng chỉ chứng thực thiết bị (DAC) là một phần của chuỗi này. Sau khi Thiết bị đang được đưa vào hoạt động trình bày DAC cho Người đưa vào hoạt động, người này sẽ chứng nhận rằng:

  • thiết bị đó được sản xuất bởi một nhà sản xuất được chứng nhận.
  • thiết bị đó là thiết bị chính hãng.
  • thiết bị đó đã vượt qua các bài kiểm tra về việc tuân thủ Matter.

Trong giai đoạn phát triển, nhà sản xuất có thể kiểm thử Thiết bị của mình mà không cần thực hiện toàn bộ quy trình Chứng thực. Người kiểm thử phải được thông báo rõ ràng rằng Thiết bị đang được kiểm thử và chưa được chứng nhận cũng như ra mắt. Sau khi nhà sản xuất bước vào giai đoạn sản xuất, hệ sinh thái của nhà cung cấp phải thực thi tất cả các yêu cầu về Chứng thực.

Chứng thực sử dụng Cơ sở hạ tầng khoá công khai (PKI) tận dụng các Tổ chức phát hành chứng chỉ gốc và Chứng chỉ trung gian, theo cách tương tự như các chứng chỉ xác thực máy chủ được áp dụng rộng rãi dùng cho SSL/TLS. Quá trình này được gọi là Chuỗi chứng chỉ chứng thực thiết bị.

PKI chứng thực thiết bị

DAC là chứng chỉ X.509 phiên bản 3. Phiên bản đầu tiên của X.509 được ITU-T xuất bản vào năm 1988. X.509 phiên bản 3 có Chứng chỉ cơ sở hạ tầng khoá công khai và Danh sách thu hồi chứng chỉ (CRL) mà Matter sử dụng được chỉ định theo RFC5280. Chứng chỉ này chứa:

  • Khoá công khai
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực, trong đó thời gian hết hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm là các thuộc tính của MatterDACName trong tiêu đề DAC.

DAC là duy nhất cho mỗi thiết bị và được liên kết với cặp khoá chứng thực duy nhất trong sản phẩm. Chứng chỉ này do một CA liên kết với Nhà sản xuất thiết bị phát hành.

Chữ ký của DAC được xác thực dựa trên Chứng chỉ trung gian chứng thực sản phẩm (PAI), chứng chỉ này cũng do PAA phát hành. Tuy nhiên, nhà cung cấp có thể chọn tạo một PAI cho mỗi sản phẩm (dành riêng cho PID), nhóm sản phẩm hoặc cho tất cả sản phẩm của mình.

Ở gốc của chuỗi tin cậy, khoá công khai Tổ chức chứng thực sản phẩm (PAA) Tổ chức phát hành chứng chỉ (CA) sẽ xác thực chữ ký từ PAI. Xin lưu ý rằng kho lưu trữ tin cậy Matter được liên kết và tập hợp chứng chỉ PAA mà người đưa vào hoạt động tin cậy được duy trì trong một cơ sở dữ liệu tin cậy trung tâm (Sổ cái tuân thủ phân tán). Để một PAA được đưa vào tập hợp tin cậy, PAA đó phải đáp ứng một chính sách chứng chỉ do Alliance quản lý.

Cơ sở hạ tầng khoá công khai chứng thực Matter
Hình 1: Cơ sở hạ tầng khoá công khai chứng thực Matter

PAI cũng là chứng chỉ X.509 phiên bản 3 bao gồm:

  • Khoá công khai
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực, trong đó thời gian hết hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm (không bắt buộc) là các thuộc tính của MatterDACName trong tiêu đề DAC.

Cuối cùng, PAA là chứng chỉ gốc trong chuỗi và được tự ký. Chứng chỉ này bao gồm:

  • Chữ ký
  • Khoá công khai
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực

Tài liệu và thông báo chứng thực bổ sung

Quy trình chứng thực có một số tài liệu và thông báo. Các mục sau đây là thông tin tổng quan ngắn gọn về chức năng và thành phần của chúng. Hình ảnh bên dưới giúp bạn hiểu rõ hơn về hệ phân cấp của chúng.

Hệ thống phân cấp tài liệu chứng thực
Hình 2: Hệ phân cấp tài liệu chứng thực
Tài liệu Mô tả
Tuyên bố chứng nhận (CD) CD cho phép thiết bị Matter chứng minh việc tuân thủ giao thức Matter. Bất cứ khi nào Matter Quy trình chứng nhận kết thúc, Liên minh Alliance sẽ tạo một CD cho loại thiết bị để Nhà cung cấp có thể đưa CD đó vào chương trình cơ sở. CD bao gồm các thông tin khác:
  • VID
  • PID (một hoặc nhiều)
  • Mã danh mục máy chủ
  • Mã danh mục ứng dụng
  • Cấp độ bảo mật
  • Thông tin bảo mật
  • Loại chứng nhận (phát triển, tạm thời hoặc chính thức)
  • Chữ ký
Thông tin về chương trình cơ sở (không bắt buộc) Thông tin về chương trình cơ sở chứa Số phiên bản CD và một hoặc nhiều bản tóm tắt các thành phần trong chương trình cơ sở, chẳng hạn như hệ điều hành, hệ thống tệp, trình tải khởi động. Bản tóm tắt có thể là hàm băm của các thành phần phần mềm hoặc hàm băm của các tệp kê khai đã ký của các thành phần phần mềm.

Nhà cung cấp cũng có thể chọn chỉ đưa "hàm băm của hàm băm" của các thành phần vào Thông tin về chương trình cơ sở, thay vì một mảng các hàm băm riêng lẻ.

Thông tin về chương trình cơ sở là một thành phần không bắt buộc trong Quy trình chứng thực và áp dụng khi nhà cung cấp có môi trường khởi động an toàn xử lý cặp khoá Chứng thực.
Thông tin chứng thực Thông báo do Người được đưa vào hoạt động gửi cho Người đưa vào hoạt động. Thông tin chứng thực kết hợp TLV chứa Các phần tử chứng thựcChữ ký chứng thực.
Các phần tử chứng thực Đây là TLV chứa:

  • Tuyên bố chứng nhận
  • Dấu thời gian
  • Số chỉ dùng một lần cho chứng thực
  • Thông tin về chương trình cơ sở (không bắt buộc)
  • Thông tin dành riêng cho nhà cung cấp (không bắt buộc)
Thử thách chứng thực Thử thách ngoài băng tần được lấy trong quá trình Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) thiết lập phiên và được dùng để bảo mật thêm quy trình cũng như tránh các chữ ký được phát lại. Xuất phát từ phiên CASE, phiên PASE hoặc phiên được tiếp tục CASE.
TBS chứng thực (cần ký) Thông báo chứa Các phần tử chứng thực và Thử thách chứng thực.
Chữ ký chứng thực Chữ ký của TBS chứng thực, được ký bằng Khoá riêng tư chứng thực thiết bị.

Quy trình chứng thực

Người đưa vào hoạt động chịu trách nhiệm chứng thực Người được đưa vào hoạt động. Người đưa vào hoạt động thực hiện các bước sau:

  1. Người đưa vào hoạt động tạo số chỉ dùng một lần cho chứng thực gồm 32 byte ngẫu nhiên. Trong thuật ngữ mật mã học, số chỉ dùng một lần (số chỉ dùng một lần) là một số ngẫu nhiên được tạo trong quy trình mật mã và chỉ được dùng một lần.
  2. Người đưa vào hoạt động gửi số chỉ dùng một lần đến DUT và yêu cầu Thông tin chứng thực.
  3. DUT tạo Thông tin chứng thực và ký thông tin đó bằng Khoá riêng tư chứng thực.
  4. Người đưa vào hoạt động khôi phục chứng chỉ DAC và PAI từ Thiết bị, đồng thời tra cứu chứng chỉ PAA từ kho lưu trữ Mattertin cậy Matter.
  5. Người đưa vào hoạt động xác thực Thông tin chứng thực. Sau đây là các điều kiện để xác thực:
    • Chuỗi chứng chỉ DAC phải được xác thực, bao gồm cả việc kiểm tra thu hồi trên PAI và PAA.
    • VID trên DAC khớp với VID trên PAI.
    • Chữ ký chứng thực hợp lệ.
    • Số chỉ dùng một lần trong Các phần tử chứng thực thiết bị khớp với số chỉ dùng một lần do Người đưa vào hoạt động cung cấp.
    • Chữ ký Tuyên bố chứng nhận hợp lệ bằng một trong các Alliance's khoá ký Tuyên bố chứng nhận nổi tiếng của Liên minh.
    • Thông tin về chương trình cơ sở (nếu có và được Người đưa vào hoạt động hỗ trợ) khớp với một mục trong Sổ cái tuân thủ phân tán.
    • Các quy trình xác thực VID/PID bổ sung cũng diễn ra giữa Cụm thông tin cơ bản về thiết bị, Tuyên bố chứng nhận và DAC.
Trước
Phí hoa hồng
Tiếp
Thread và IPv6