الأجهزة المعتمَدة هي الأجهزة التي اجتازت عملية اعتماد Connectivity Standards Alliance (Alliance) Matter.
أثناء عملية التشغيل، يحتاج الجهاز المعتمَد إلى إثبات ملكية نفسه. بعبارة أخرى، يجب أن تثبت أنه ما تزعمه وأنه منتج أصلي. بالتالي، تحتوي جميع أجهزة Matter على بيانات اعتماد تشمل زوج مفاتيح المصادقة وسلسلة شهادات مرتبطة بها. شهادة مصادقة الجهاز (DAC) هي جزء من هذه السلسلة. بعد أن يقدّم الجهاز قيد العمولة لجنة التحكم في الوصول إلى المفوَّض، يقر هذا الجهاز بما يلي:
- من صنع شركة مصنّعة معتمدة.
- إنه جهاز حقيقي.
- لقد اجتازت الاختبار Matter اختبار امتثال.
أثناء مرحلة التطوير، يمكن للشركة المصنّعة اختبار الأجهزة بدون إكمال عملية المصادقة. يجب إبلاغ المختبِرين صراحةً بأن الجهاز قيد الاختبار، ولم يتم اعتماده وإطلاقه بعد. بمجرد دخول الشركة المصنّعة مرحلة الإنتاج، يجب على المنظومة المتكاملة للجهة الموفّرة فرض جميع متطلبات المصادقة.
تستخدم المصادقة البنية الأساسية للمفتاح العام (PKI) التي تستفيد من مراجع التصديق الجذر والشهادات المتوسطة، بطريقة مشابهة لشهادات مصادقة الخادم المعتمَدة على نطاق واسع والمستخدمة في طبقة المقابس الآمنة (SSL)/بروتوكول أمان طبقة النقل (TLS). تُسمى هذه العملية سلسلة شهادة مصادقة الجهاز.
PKI لمصادقة الجهاز
ملف DAC عبارة عن شهادة X.509 v3. وقد تم نشر الإصدار الأول من X.509 في 1988 بواسطة ITU-T. يتم تحديد الإصدار 3 من معيار X.509 مع شهادة البنية الأساسية للمفتاح العام وقائمة الشهادات الباطلة (CRL) المستخدَمة بواسطة Matter بواسطة RFC5280. ويشتمل على ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون انتهاء الصلاحية غير محدد
- التوقيع
معرّف المورّد ومعرّف المنتج هما سمتا MatterDACName في موضوع DAC.
وتُعد وحدة التحكم في الوصول (DAC) فريدة لكل جهاز ومرتبطة بزوج مفاتيح المصادقة الفريد داخل المنتج. ويتم إصداره من خلال هيئة إصدار الشهادات (CA) المرتبطة بالشركة المصنّعة للجهاز.
يتم التحقّق من صحة توقيع DAC وفقًا للشهادة المتوسطة لمصادقة المنتج (PAI)، التي يتم إصدارها أيضًا من خلال PAA. ومع ذلك، قد يختار المورّد إنشاء واجهة برمجة تطبيقات واحدة لكل منتج (خاص بـ PID) أو مجموعة منتجات أو لجميع منتجاته.
في جذور سلسلة الثقة، يتحقّق المفتاح العام لهيئة إصدار الشهادات (PAA) من هيئة إصدار الشهادات (CA) من صحة التوقيعات الواردة من معيار PAI. تجدُر الإشارة إلى أنّ متجر شهادات Matter يكون موحّدًا، ويتم الاحتفاظ بمجموعة شهادات "PAA" التي يثق بها المفوَّضون في قاعدة بيانات مركزية موثوقة ("سجلّ الامتثال الموزع"). يتطلّب إدخال "PAA" ضمن المجموعة الموثوق بها الالتزام بسياسة شهادات مُدارة من خلال "Alliance".
وهي أيضًا شهادة X.509 v3 تشمل ما يلي:
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- الصلاحية، حيث يمكن أن يكون انتهاء الصلاحية غير محدد
- التوقيع
إنّ معرّف المورّد ومعرّف المنتج (اختياريًا) هما سمتا MatterDACName في موضوع DAC.
وأخيرًا، يُعد PAA شهادة الجذر في السلسلة وهي موقعة ذاتيًا. ويشمل ذلك ما يلي:
- التوقيع
- مفتاح عام
- جهة الإصدار
- الموضوع
- الرقم التسلسلي للشهادة
- مدة الصلاحية
مستندات ورسائل مصادقة إضافية
تتضمن عملية المصادقة العديد من المستندات والرسائل. العناصر التالية هي نظرة عامة موجزة على وظيفتها وتكوينها. تساعد الصورة أدناه في فهم التسلسل الهرمي.
| مستند | الوصف |
|---|---|
| بيان الاعتماد (CD) | يسمح CD
لجهاز Matter
بإثبات امتثاله
لبروتوكول Matter.
عند اكتمال
Matter
عمليات الاعتماد، ينشئ
"Alliance" قرصًا مضغوطًا لنوع الجهاز
حتى يدرجه المورّد في
البرامج الثابتة. يتضمن القرص المضغوط إلى
معلومات أخرى ما يلي:
|
| معلومات البرامج الثابتة (اختياري) | تشتمل معلومات البرامج الثابتة على
رقم إصدار القرص المضغوط وملخص واحد أو أكثر
للمكونات في البرامج الثابتة، مثل نظام التشغيل
ونظام الملفات
وبرنامج الإقلاع. قد تكون الملخصات إما عبارة عن تجزئة لمكونات البرنامج أو تجزئة من البيانات الموقَّعة لمكونات البرنامج. قد يختار المورّد أيضًا تضمين "معلومات البرامج الثابتة" في "معلومات البرامج الثابتة" فقط، بدلاً من مصفوفة من علامات التجزئة الفردية. "البرامج الثابتة": المعلومات هي عنصر اختياري في "المعالجة الآمنة" التي يكون لها زوج من علامات التجزئة في "المعالجة الآمنة" |
| معلومات المصادقة | هي رسالة يتم إرسالها من المفوضية إلى المفوض. تجمع "معلومات المصادقة" بين مستند TLV يحتوي على عناصر المصادقة وتوقيع المصادقة. |
| عناصر المصادقة | هذا ملف TLV يحتوي على:
|
| تحدي المصادقة | التحدي خارج إطار التفعيل الناتج عن إنشاء جلسة Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) وتم استخدامه لتأمين الإجراء بشكل أكبر وتجنُّب إعادة التوقيعات. تأتي من جلسة CASE أو جلسة PASE أو جلسة CASE تم استئنافها. |
| TBS للمصادقة (سيتم التوقيع عليها) | رسالة تحتوي على عناصر المصادقة وتحدي المصادقة. |
| توقيع المصادقة | توقيع TBS المخصصة للتأكيد، والتي تم توقيعها باستخدام المفتاح الخاص لمصادقة الجهاز. |
إجراء المصادقة
ويكون المفوَّض هو المسؤول عن التصديق على المفوّض. ينفذ الخطوات التالية:
- يُنشئ المفوَّض رقم تعريف عشوائيًا بحجم 32 بايت. في مصطلحات التشفير، يُعد nonce (الرقم المستخدم مرة واحدة) رقمًا عشوائيًا يتم إنشاؤه في إجراء التشفير ويُقصَد استخدامه مرة واحدة.
- يرسل المفوّض الشركة غير القانونية إلى إدارة المرور (DUT) ويطلب معلومات المصادقة.
- ينشئ DUT "معلومات المصادقة" ويوقّعها باستخدام "مفتاح المصادقة الخاص".
- سيسترد المفوّض شهادة DAC وPAI من الجهاز، ويبحث عن شهادة PAA من متجر الثقة في Matter.
- يتحقّق المفوّض من صحة معلومات المصادقة. في ما يلي شروط
التحقق من الصحة:
- يجب التحقق من صحة سلسلة شهادات DAC، بما في ذلك عمليات التحقّق من الإبطال على PAI وPAA.
- يتطابق VID في DAC مع VID في PAI.
- توقيع المصادقة صالح.
- تتطابق الرقم الخاص في "عناصر مصادقة الجهاز" مع الرقم غير الوارد من "المفوَّض".
- يكون توقيع بيان الشهادات صالحًا باستخدام أحد مفاتيح توقيع بيان الشهادات المعروفة لدى "Alliance" .
- تتطابق "معلومات البرامج الثابتة" (إذا كانت متاحة ومتوافقة مع المفوَّض) مع إدخال في "سجلّ الامتثال الموزع".
- يتم أيضًا إجراء عمليات تحقُّق إضافية من VID/PID بين "مجموعة المعلومات الأساسية للجهاز" و"بيان الشهادات" و"DAC".