تصدیق

دستگاه‌های تایید شده دستگاه‌هایی هستند که فرآیند صدور Matter Connectivity Standards Alliance (Alliance) را طی کرده‌اند.

در طول فرآیند راه اندازی، یک دستگاه گواهی شده باید خود را تأیید کند . به عبارت دیگر، باید ثابت کند که همان چیزی است که ادعا می کند و یک محصول اصیل است. بنابراین همه دستگاه‌های Matter دارای اعتبارنامه‌هایی هستند که جفت کلید تأیید و یک زنجیره گواهی مرتبط را در بر می‌گیرد. گواهی تأیید دستگاه ( DAC ) بخشی از این زنجیره است. هنگامی که دستگاه در حال راه اندازی DAC را به کمیسیونر خود ارائه می دهد، کمیسیون تأیید می کند که:

  • توسط یک سازنده معتبر ساخته شده است.
  • این یک دستگاه اصلی است.
  • تست های انطباق Matter را گذرانده است.

در طول مرحله توسعه، سازنده می‌تواند دستگاه‌های خود را بدون فرآیند تأیید کامل آزمایش کند. باید به صراحتاً به آزمایش کنندگان اطلاع داده شود که دستگاه در حال آزمایش است و هنوز تأییدیه و راه اندازی نشده است. هنگامی که یک تولید کننده وارد مرحله تولید می شود، اکوسیستم تامین کننده باید تمام الزامات گواهی را اجرا کند.

تصدیق از یک زیرساخت کلید عمومی ( PKI ) استفاده می‌کند که از مقامات گواهی ریشه و گواهی‌های میانی استفاده می‌کند، به روشی مشابه گواهی‌های تأیید اعتبار سرور که به طور گسترده برای SSL/TLS استفاده می‌شوند. این فرآیند زنجیره گواهی گواهی دستگاه نامیده می شود.

تصدیق دستگاه PKI

DAC یک گواهی X.509 v3 است. اولین نسخه X.509 در سال 1988 توسط ITU-T منتشر شد. X.509 v3 با گواهی زیرساخت کلید عمومی و فهرست ابطال گواهی (CRL) مورد استفاده توسط Matter توسط RFC5280 مشخص شده است. شامل:

  • کلید عمومی
  • صادر کننده
  • موضوع
  • شماره سریال گواهی
  • اعتبار، جایی که انقضا می تواند نامشخص باشد
  • امضا

شناسه فروشنده و شناسه محصول ویژگی های MatterDACName در موضوع DAC هستند.

DAC در هر دستگاه منحصر به فرد است و با جفت کلید گواهی منحصر به فرد در محصول مرتبط است. توسط یک CA مرتبط با سازنده دستگاه صادر شده است.

امضای DAC در برابر گواهی میانی گواهی محصول ( PAI )، که توسط یک PAA نیز صادر می‌شود، تأیید می‌شود. با این حال، یک فروشنده ممکن است انتخاب کند که یک PAI برای هر محصول (ویژه PID)، گروهی از محصولات یا برای همه محصولاتش ایجاد کند.

در ریشه زنجیره اعتماد، کلید عمومی مرجع گواهی محصول ( PAA ) مرجع صدور گواهینامه ( CA ) امضاهای PAI را تأیید می کند. توجه داشته باشید که فروشگاه Matter Trust فدرال است و مجموعه گواهی‌های PAA مورد اعتماد کمیسیون‌ها در یک پایگاه داده مورد اعتماد مرکزی (دفتر انطباق توزیع شده) نگهداری می‌شود. ورود یک PAA در مجموعه مورد اعتماد مستلزم رعایت یک خط مشی گواهی است که توسط Alliance مدیریت می شود.

زیرساخت کلید عمومی تأیید موضوع
شکل 1: زیرساخت کلید عمومی تأیید موضوع

PAI همچنین یک گواهی X.509 v3 است که شامل:

  • کلید عمومی
  • صادر کننده
  • موضوع
  • شماره سریال گواهی
  • اعتبار، جایی که انقضا می تواند نامشخص باشد
  • امضا

شناسه فروشنده و شناسه محصول (اختیاری) ویژگی های MatterDACName در موضوع DAC هستند.

در نهایت، PAA گواهی ریشه در زنجیره است و خود امضا شده است. شامل:

  • امضا
  • کلید عمومی
  • صادر کننده
  • موضوع
  • شماره سریال گواهی
  • اعتبار

اسناد و پیام های تأییدیه اضافی

فرآیند تصدیق دارای چندین سند و پیام است. موارد زیر مختصری از عملکرد و ترکیب آنهاست. تصویر زیر به درک سلسله مراتب آنها کمک می کند.

سلسله مراتب سند تصدیق
شکل 2: سلسله مراتب سند تصدیق
سند توضیحات
اظهارنامه گواهینامه (CD) CD به دستگاه Matter اجازه می دهد تا مطابقت خود را با پروتکل Matter ثابت کند. هر زمان که فرآیندهای صدور گواهینامه Matter به پایان می رسد، Alliance یک CD برای نوع دستگاه ایجاد می کند تا فروشنده آن را در میان افزار قرار دهد. سی دی شامل سایر اطلاعات است:
  • VID
  • PID (یک یا چند)
  • شناسه دسته سرور
  • شناسه دسته مشتری
  • سطح امنیتی
  • اطلاعات امنیتی
  • نوع گواهینامه (توسعه، موقت یا رسمی)
  • امضا
اطلاعات میان‌افزار (اختیاری) اطلاعات سفت‌افزار شامل شماره نسخه سی‌دی و یک یا چند خلاصه از اجزای موجود در میان‌افزار، مانند سیستم‌عامل، سیستم فایل، بوت‌لودر است. خلاصه ها ممکن است هش از اجزای نرم افزار یا هش مانیفست های امضا شده اجزای نرم افزار باشد.

همچنین ممکن است فروشنده بجای آرایه‌ای از هش‌های مجزا، در اطلاعات سفت‌افزار فقط «هش‌های درهم‌سازی» اجزای خود را بگنجاند.

اطلاعات سفت‌افزار یک عنصر اختیاری در فرآیند تأیید است و زمانی که یک فروشنده دارای یک محیط راه‌اندازی امن است که جفت کلید تأیید را کنترل می‌کند، قابل استفاده است.
اطلاعات گواهینامه پیامی از سوی کمیسیونر برای کمیسر ارسال شد. اطلاعات گواهی ترکیبی از یک TLV حاوی عناصر گواهی و یک امضای گواهی است.
عناصر تصدیق این یک TLV است که شامل:

  • اظهارنامه گواهی
  • مهر زمان
  • تاییدیه بدون
  • اطلاعات میان‌افزار (اختیاری)
  • اطلاعات خاص فروشنده (اختیاری)
چالش گواهینامه چالش خارج از باند در طول Passcode Authenticated Session Establishment (PASE) / Certificate Authenticated Session Establishment (CASE) ایجاد شد و برای ایمن سازی بیشتر رویه و جلوگیری از پخش مجدد امضا استفاده شد. از جلسه CASE ، جلسه PASE یا جلسه CASE از سر گرفته شده می آید.
گواهی TBS (امضا شود) پیام حاوی عناصر گواهی و چالش گواهی.
امضای تصدیق امضای گواهی TBS، با استفاده از کلید خصوصی تأیید دستگاه امضا شده است.

مراحل تصدیق

کمیسیونر مسئول تأیید کمیسیون است. مراحل زیر را اجرا می کند:

  1. کمیسیونر یک 32 بایت تصادفی یک عدد تاییدیه تولید می کند. در اصطلاح رمزنگاری، nonce (عددی که یک بار استفاده می‌شود) یک عدد تصادفی است که در روش رمزنگاری تولید می‌شود و قرار است یک بار استفاده شود.
  2. کمیسیونر نونس را به DUT می فرستد و اطلاعات گواهی را درخواست می کند.
  3. DUT اطلاعات گواهی را تولید می کند و آن را با کلید خصوصی گواهی امضا می کند.
  4. کمیسیونر گواهی DAC و PAI را از دستگاه بازیابی می کند و گواهی PAA را از فروشگاه اعتماد Matter خود جستجو می کند.
  5. کمیسر اطلاعات گواهی را تأیید می کند. شرایط اعتبار سنجی عبارتند از:
    • زنجیره گواهی DAC باید تأیید شود، از جمله بررسی های ابطال در PAI و PAA.
    • VID در DAC با VID در PAI مطابقت دارد.
    • امضای تصدیق معتبر است.
    • Nonce در Device Atestation Elements با nonce ارائه شده توسط کمیسیونر مطابقت دارد.
    • امضای اعلامیه گواهی با استفاده از یکی از کلیدهای معروف امضای اعلامیه Alliance معتبر است.
    • اطلاعات سفت‌افزار (در صورت وجود و پشتیبانی توسط کمیسیونر) با ورودی در دفتر کل انطباق توزیع شده مطابقت دارد.
    • اعتبارسنجی VID/PID اضافی نیز بین خوشه اطلاعات پایه دستگاه، اعلامیه گواهی و DAC انجام می شود.
قبلی
راه اندازی
بعدی
Thread و IPv6