الأجهزة المعتمَدة هي الأجهزة التي اجتازت عملية اعتماد Connectivity Standards Alliance (Alliance) Matter.
أثناء عملية التشغيل، يحتاج الجهاز المعتمَد إلى إثبات ملكية نفسه. بعبارة أخرى، يجب أن يثبت أنّه ما يُزعَم أنّه عليه وأنّه منتج أصلي. وبالتالي، تحتوي جميع أجهزة Matter على بيانات اعتماد تتضمّن زوج مفتاح الإثبات وسلسلة الشهادات المرتبطة. وشهادة إثبات ملكية الجهاز (DAC) هي جزء من هذه السلسلة. بعد أن يقدّم "الجهاز قيد الإعداد" "مستند تقييم الأداء" إلى "المفوّض"، سيُثبت "المفوّض" ما يلي:
- من صنع شركة مصنّعة معتمدة.
- إنه جهاز حقيقي.
- اجتياز Matter اختبارات الامتثال
وأثناء مرحلة التطوير، يمكن للشركة المصنّعة اختبار أجهزتها بدون إكمال عملية المصادقة يجب إبلاغ المختبِرين صراحةً بأن كان الجهاز قيد الاختبار، ولم يتم اعتماده وإطلاقه بعد. مرة واحدة دخول الشركة المصنعة مرحلة الإنتاج، والنظام البيئي للجهة الموفّرة يجب أن تفرض جميع متطلبات المصادقة.
تستخدِم عملية الإثبات بنية أساسية للمفتاح العام (PKI) تستفيد من مراجو شهادات الجذر والشهادات الوسيطة، بطريقة مشابهة لشهادات مصادقة الخادم المُعتمَدة على نطاق واسع والمستخدَمة في بروتوكولَي SSL/TLS. هذه العملية تسمى سلسلة شهادة مصادقة الجهاز.
PKI لمصادقة الجهاز
ملف DAC عبارة عن شهادة X.509 v3. تم نشر الإصدار الأول من X.509 في عام 1988 بواسطة ITU-T. الإصدار 3 من X.509 مع شهادة البنية التحتية للمفتاح العام قائمة الشهادات الباطلة (CRL) المستخدمة من قِبل Matter هي التي تم تحديدها بواسطة RFC5280. أُنشأها جون هنتر، الذي كان متخصصًا تحتوي على:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون انتهاء الصلاحية غير محدد
- التوقيع
معرّف المورّد ومعرّف المنتج هما سمتان MatterDACName في DAC
الموضوع.
يكون DAC فريدًا لكل جهاز ومرتبطًا بزوج مفتاحَي إثبات الهوية الفريدَين داخل المنتج. تم إصداره من خلال هيئة إصدار الشهادات (CA) المرتبطة بالجهاز. الشركة المصنعة.
يتم التحقّق من صحة توقيع DAC وفقًا للمعيار متوسط مصادقة المنتج. الشهادة (PAI)، التي يتم إصدارها أيضًا من خلال PAA. ومع ذلك، قد لا يعرف البائع اختيار إنشاء واجهة برمجة تطبيقات واحدة لكل منتج (خاص بـ PID) أو مجموعة منتجات أو جميع منتجاتها.
في جذور سلسلة الثقة، تحدد هيئة مصادقة المنتجات (PAA) يصادق المفتاح العام مرجع التصديق (CA) على التوقيعات من "واجهة الذكاء الاصطناعي" (PAI). يُرجى العِلم أنّ مخزن الشهادات الموثوق به في Matter هو موحّد، وأنّ مجموعة شهادات PAA الموثوق بها من قِبل المفوضين يتم الاحتفاظ بها في قاعدة بيانات مركزية موثوق بها (سجلّ الامتثال الموزّع). إدخال "PAA" داخل المجموعة الموثوق بها استيفاء سياسة شهادة يديرها Alliance
وهي أيضًا شهادة X.509 v3 تشمل ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون انتهاء الصلاحية غير محدد
- التوقيع
معرّف المورّد ومعرّف المنتج (اختياريًا) هما سمتا MatterDACName في
موضوع لجنة DAC.
وأخيرًا، يُعد PAA شهادة الجذر في السلسلة وهي موقعة ذاتيًا. أُنشأها جون هنتر، الذي كان متخصصًا تتضمن ما يلي:
- التوقيع
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- مدة الصلاحية
مستندات المصادقة الإضافية الرسائل
تتضمن عملية المصادقة العديد من المستندات والرسائل. العناصر التالية نظرة عامة موجزة عن وظيفتها وتكوينها. تساعد الصورة أدناه في فهم التسلسل الهرمي الخاص بهم.
| مستند | الوصف |
|---|---|
| بيان الاعتماد (CD) | يسمح CD
جهاز واحد (Matter)
لإثبات امتثاله
بروتوكول Matter.
كلما
Matter
تنتهي عمليات الاعتماد،
ينشئ Alliance قرصًا مضغوطًا
لنوع الجهاز
لذلك قد يدرجها البائع في
البرامج الثابتة. يتضمن القرص المضغوط، بالإضافة إلى
المعلومات:
|
| معلومات البرامج الثابتة (اختيارية) | تحتوي معلومات البرامج الثابتة على
رقم إصدار القرص المضغوط ورقم واحد أو أكثر
ملخصات المكونات في
البرامج الثابتة مثل نظام التشغيل ونظام الملفات
برنامج الإقلاع. يمكن أن تكون الملخّصات إما
تجزئة لمكونات البرنامج أو
تجزئة للملفات المرسَلة الموقَّعة لمكونات البرنامج. قد يختار العميل أيضًا تضمين "تجزئة التجزئات" لمكوناته فقط في "معلومات البرامج الثابتة"، بدلاً من صفيف تجزئات فردية. "معلومات البرامج الثابتة" هي عنصر اختياري في عملية إثبات الهوية و ينطبق ذلك عندما يكون لدى العميل بيئة التمهيد المؤمّنة التي تتعامل مع ملفَي مفاتيح إثبات الهوية. |
| معلومات الإقرار | تم إرسال الرسالة من المفوّض إلى المفوَّض. الإقرار تجمع المعلومات بين ملف TLV يحتوي على عناصر الإقرار توقيع الإقرار: |
| عناصر المصادقة | هذا ملف TLV يحتوي على:
|
| تحدي المصادقة | التحدي خارج الفرقة الناتجة خلال Passcode Authenticated Session Establishment (PASE)/ جلسة واحدة (Certificate Authenticated Session Establishment (CASE)) مؤسسة يُستخدم لتأمين الإجراء بشكل أكبر وتجنب إعادة تشغيل التوقيعات يأتي من CASE الجلسة، PASE جلسة أو جلسة تم استئنافها جلسة واحدة (CASE) |
| نموذج الإقرار الخاص بشبكة TBS (يجب توقيعه) | الرسالة التي تحتوي على المصادقة تحدي العناصر والمصادقة. |
| توقيع المصادقة | توقيع TBS للمصادقة، تم التوقيع عليه باستخدام مصادقة الجهاز. المفتاح الخاص: |
إجراءات المصادقة
ويكون المفوَّض هو المسؤول عن التصديق على المفوّض. ينفذ الخطوات التالية:
- يُنشئ المفوَّض رقم تعريف عشوائيًا بحجم 32 بايت. في التشفير المصطلحات غير الرقمية (nonce) (الرقم المستخدم مرة واحدة) هو رقم عشوائي يتم إنشاؤه في إجراء تشفيري ومن المفترض أن يتم استخدامه مرة واحدة.
- يرسِل المفوّض رقم الطلب إلى إدارة DUT ويطلب مصادقة. المعلومات.
- ينشئ DUT معلومات المصادقة ويوقّعها باستخدام نموذج المصادقة. المفتاح الخاص:
- يسترد المفوّض شهادة DAC وPAI من الجهاز البحث عن شهادة PAA من ثقة Matter المتجر.
- يتحقّق المفوّض من صحة معلومات المصادقة. هذه هي الشروط
للتحقق من الصحة:
- يجب التحقق من صحة سلسلة شهادات DAC، بما في ذلك عمليات التحقق من الإبطال لكل من PAI وPAA.
- يتطابق VID في DAC مع VID في PAI.
- توقيع الإقرار صالح.
- تتطابق الرقم الخاص في "عناصر مصادقة الجهاز" مع القيمة الخاصة التي يوفّرها المفوَّض.
- يكون توقيع بيان الشهادات صالحًا باستخدام أحد توقيع إعلان الشهادة المعروف لدى "Alliance" المفاتيح.
- تتطابق معلومات البرامج الثابتة (إذا كانت متوفّرة ومتوافقة مع المفوّض) مع إدخال في سجلّ الامتثال الموزّع.
- يتم أيضًا إجراء عمليات تحقق إضافية من VID/PID بين "مجموعة معلومات الجهاز الأساسية" و"بيان الاعتماد" و"ملف بيانات اعتماد الجهاز".