الإقرار

الأجهزة المعتمدة هي الأجهزة التي خضعت لعملية اعتماد Connectivity Standards Alliance (Alliance) Matter للحصول على الاعتماد.

خلال عملية التحقّق من الجهاز، يجب أن يصدّق الجهاز المُعتمَد نفسه. بعبارة أخرى، يجب أن تثبت أنه ما يدعي أنه منتج أصلي. وبالتالي، تحتوي جميع أجهزة Matter على بيانات اعتماد تشمل زوج مفاتيح المصادقة وسلسلة شهادات مرتبطة. شهادة مصادقة الجهاز (DAC) هي جزء من هذه السلسلة. بعد أن يتم تقديم الجهاز الخاضع للتفويض إلى DAC إلى الجهة المفوّضة، سيصادق الجهاز الثاني على ما يلي:

  • من شركة مصنّعة معتمدة.
  • أنه جهاز حقيقي.
  • اجتاز Matter اختبار الامتثال.

خلال مرحلة التطوير، يمكن للشركة المصنّعة اختبار أجهزتها بدون عملية المصادقة الكاملة. يجب إبلاغ المختبِرين صراحةً بأن الجهاز قيد الاختبار، ولم يتم اعتماده وإطلاقه بعد. بعد دخول الشركة المصنّعة في مرحلة الإنتاج، يجب أن تفرض المنظومة المتكاملة لمقدّمي الخدمات جميع متطلبات المصادقة.

تستخدم المصادقة بنية أساسية للمفتاح العام (PKI) تستفيد من مراجع شهادات الجذر والشهادات المتوسطة، بطريقة مشابهة لشهادات مصادقة الخادم المستخدمة على نطاق واسع والمُستخدَمة في طبقة المقابس الآمنة/بروتوكول أمان طبقة النقل (TLS). وتُسمى هذه العملية سلسلة شهادات مصادقة الجهاز.

مفتاح PKI لمصادقة الجهاز

DAC هو شهادة X.509 الإصدار 3. تم نشر أول إصدار من X.509 في 1988 بواسطة ITU-T. يتم تحديد الإصدار 3 من X.509 المزود بشهادة البنية التحتية للمفتاح العام وقائمة الشهادات الباطلة (CRL) المستخدمة من قِبل Matter بواسطة RFC5280. تحتوي على:

  • مفتاح عام
  • جهة الإصدار
  • الموضوع
  • الرقم التسلسلي للشهادة
  • الصلاحية، عندما يكون انتهاء الصلاحية غير محدَّد
  • التوقيع

إنّ معرّف المورّد ومعرّف المنتج هما سمتا MatterDACName في موضوع DAC.

تُعد وحدة DAC فريدة لكل جهاز ومرتبطة بزوج مفاتيح المصادقة الفريد داخل المنتج. صادر عن مرجع تصديق (CA) مرتبط بالشركة المصنّعة للجهاز

يتم التحقّق من صحة توقيع هيئة DAC استنادًا إلى الشهادة المتوسطة لتصديق المنتج (PAI) التي يتم إصدارها أيضًا من خلال اتفاقية شراكة الأعمال (PAA). ومع ذلك، قد يختار البائع إنشاء PAI واحد لكل منتج (خاص بـ PID) أو مجموعة من المنتجات أو لجميع منتجاته.

في جذر سلسلة الثقة، يتحقّق المفتاح العام لمرجع التصديق (Product Attestation Authority) (PAA) (CA) من صحة التوقيعات من PAI. تجدر الإشارة إلى أنّ مخزن شهادات الثقة على Matter يكون موحَّدًا ويتم الاحتفاظ بمجموعة شهادات PAA الموثوق بها من قِبل المفوَّضين في قاعدة بيانات مركزية موثوق بها (سجلّ الامتثال الموزع). إنّ إدخال PAA في المجموعة الموثوق بها يتطلّب استيفاء سياسة شهادة تتم إدارتها من خلال Alliance.

البنية الأساسية للمفتاح العام لمصادقة المسألة القانونية
الشكل 1: البنية الأساسية للمفتاح العام لمصادقة المادة

PAI هو أيضًا شهادة X.509 v3 تتضمن:

  • مفتاح عام
  • جهة الإصدار
  • الموضوع
  • الرقم التسلسلي للشهادة
  • الصلاحية، عندما يكون انتهاء الصلاحية غير محدَّد
  • التوقيع

إنّ معرّف المورّد ومعرّف المنتج (اختياريًا) هما سمتان للسمة MatterDACName في موضوع DAC.

أخيرًا، PAA هو شهادة الجذر في السلسلة وهو موقعة ذاتيًا. وتشمل:

  • التوقيع
  • مفتاح عام
  • جهة الإصدار
  • الموضوع
  • الرقم التسلسلي للشهادة
  • مدى صحة مجموعة القواعد

مستندات ورسائل التصديق الإضافية

تتضمّن عملية المصادقة العديد من المستندات والرسائل. العناصر التالية هي نظرة عامة موجزة على وظيفتها وتكوينها. تساعد الصورة أدناه في فهم التسلسل الهرمي الخاص بهم.

التسلسل الهرمي لمستند المصادقة
الشكل 2: التسلسل الهرمي لمستند المصادقة
مستند الوصف
اعتماد شهادة الاعتماد (CD) يسمح CD لجهاز Matterبإثبات توافقه مع بروتوكول Matter. عند Matter انتهاء عمليات الاعتماد، ينشئ Alliance قرصًا مضغوطًا لنوع الجهاز كي يتمكّن المورّد من إدراجه في البرامج الثابتة. يتضمن القرص المضغوط معلومات أخرى مثل:
  • معرِّف النشاط التجاري (VID)
  • PID (واحد أو أكثر)
  • رقم تعريف فئة الخادم
  • رقم تعريف فئة العميل
  • مستوى الأمان
  • معلومات الأمان
  • نوع شهادة الاعتماد (تطويري أو مؤقت أو رسمي)
  • التوقيع
معلومات البرامج الثابتة (اختياري) تحتوي معلومات البرامج الثابتة على رقم إصدار القرص المضغوط وملخص واحد أو أكثر لمكوّنات البرامج الثابتة، مثل نظام التشغيل ونظام الملفات وبرامج الإقلاع. قد تكون الملخصات إما تجزئة لمكونات البرنامج أو تجزئة للبيانات المُوقَّعة لمكوّنات البرامج.

قد يختار المورِّد أيضًا تضمين "تجزئة" لمكوناته في معلومات البرامج الثابتة فقط بدلاً من مصفوفة من التجزئات الفردية.

المعلومات الثابتة هي عنصر اختياري في بيئة المصادقة القابلة للتطبيق في بيئة المصادقة القابلة للتطبيق
معلومات المصادقة الرسالة المرسلة من المفوّض إلى المفوض. تجمع "معلومات الإقرار" بين ملف TLV يتضمّن عناصر الإقرار وتوقيع الإقرار.
عناصر المصادقة هذا TLV يتضمّن ما يلي:

  • بيان الشهادة
  • الطابع الزمني
  • الإقرار غير
  • معلومات البرامج الثابتة (اختياري)
  • معلومات خاصة بالمورّدين (اختياري)
تحدّي المصادقة هناك تحدٍّ خارج الإطار الزمني أثناء إنشاء جلسة Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) ويتم استخدامه لتأمين الإجراء بشكل أكبر وتجنُّب إعادة التوقيعات. ويأتي من جلسة CASE أو جلسة PASE أو جلسة CASE مستأنفة.
المصادقة TBS (سيتم التوقيع) رسالة تحتوي على عناصر المصادقة وتحدّي المصادقة.
توقيع المصادقة تم توقيع التوقيع على المصادقة TBS باستخدام المفتاح الخاص لمصادقة الجهاز.

إجراء الإقرار

ويكون المفوَّض مسؤولاً عن التصديق على المفوّض. ينفذ الخطوات التالية:

  1. ينشئ المفوَّض رقم تعريف عشوائي لمصادقة 32 بايت. في مصطلحات التشفير، الرقم غير الرقمي (الرقم المستخدم مرة واحدة) هو رقم عشوائي يتم إنشاؤه في إجراء التشفير ومن المفترض استخدامه مرة واحدة.
  2. ويُرسِل المفوَّض الرقم الخاص إلى DUT ويطلب معلومات المصادقة.
  3. ينشئ DUT معلومات المصادقة ويوقّعها باستخدام المفتاح الخاص للمصادقة.
  4. يسترد المفوّض شهادة DAC وPAI من الجهاز، ويبحث عن شهادة PAA من مخزن الثقة Matter لديه.
  5. يتحقّق المفوَّض من معلومات المصادقة. وفي ما يلي شروط التحقّق:
    • يجب التحقق من صحة سلسلة شهادات DAC، بما في ذلك عمليات التحقق من الإبطال على PAI وPAA.
    • يتطابق معرِّف الفيديو (VID) في DAC مع معرّف VID على PAI.
    • توقيع المصادقة صالح.
    • لا يتطابق أيٌ من عناصر مصادقة الجهاز مع رقم التعريف الذي يوفره المُفوَّض.
    • يكون توقيع شهادة الاعتماد صالحًا باستخدام أحد مفاتيح توقيع شهادة الاعتماد المعروفة لخدمة Alliance.
    • تتطابق معلومات البرامج الثابتة (إذا كانت متوفّرة ومعتمدة من المفوّض) مع إدخال في "سجلّ الامتثال الموزع".
    • يتم أيضًا إجراء عمليات تحقق إضافية من VID/PID بين مجموعة المعلومات الأساسية للجهاز وإقرار الشهادة وDAC.
السابق
عمولة
التالي
سلسلة المحادثات وIPv6