증명

인증 기기Connectivity Standards Alliance (Alliance) Matter 인증 절차.

커미셔닝 과정에서 인증 기기는 자체 증명이 필요합니다. 다시 말해서, 그것이 주장하는 것이 맞는지, 그리고 그것이 사실인지 정품 제품입니다. 따라서 모든 Matter 기기에 사용자 인증 정보가 있음 여기에는 증명 키 쌍 및 관련 인증서 체인이 포함됩니다. 기기 증명 인증서 (DAC)는 이 체인의 일부입니다. 일단 커미셔닝 중인 기기는 커미셔너에게 DAC를 제출하고, 후자는 DAC를 다음을 확인합니다.

  • 인증된 제조업체에서 제작한 제품입니다.
  • 정품 기기입니다.
  • Matter 규정 준수 테스트를 통과했습니다.

개발 단계에서 제조업체는 기기를 테스트할 수 있습니다. 사용자 인증 정보를 얻을 수 있습니다 테스터는 기기가 테스트 중이며 아직 인증 및 출시되지 않았습니다. 한 번 생산 단계, 즉 프로비저닝 도구의 생태계에 진입 모든 증명 요구사항을 적용해야 합니다

증명은 SSL/TLS에 사용되는 널리 채택된 서버 인증 인증서와 유사한 방식으로 루트 인증 기관 및 중간 인증서를 활용하는 공개 키 인프라(PKI)를 사용합니다. 이 프로세스 장치 증명 인증서 체인이라고 합니다

기기 증명 PKI

DAC는 X.509 v3 인증서입니다. X.509의 첫 번째 버전은 1988년에 ITU-T에서 게시했습니다. 공개 키 인프라 인증서가 포함된 X.509 v3 및 Matter에서 사용하는 인증서 해지 목록 (CRL)은 다음과 같습니다. RFC5280에 의해 지정됩니다. 여기에는 다음이 포함됩니다.

  • 공개 키
  • 발급자
  • 제목
  • 인증서 일련 번호
  • 유효 기간: 만료가 확정되지 않을 수 있음
  • 서명

공급업체 ID 및 제품 ID는 DAC 주제의 MatterDACName 속성입니다.

DAC는 기기마다 고유하며 고유한 증명 키 쌍과 연결됩니다. 제품 내에서 찾을 수 있습니다. 기기와 연결된 CA에서 발급했습니다. 있습니다.

DAC의 서명은 제품 증명 중급자를 기준으로 확인됩니다. 인증서 (PAI) - PAA에서도 발급됩니다. 그러나 공급업체는 제품 (PID 전용), 제품 그룹 또는 모든 제품에 적용됩니다

신뢰 체인의 루트에 있는 제품 증명 기관 (PAA) 인증 기관 (CA) 공개 키로 서명 검증 확인할 수 있습니다 Matter 트러스트 저장소는 제휴되어 있으며, 커미셔너가 신뢰하는 PAA 인증서 집합은 중앙 신뢰할 수 있는 데이터베이스(분산 규정 준수 원장)에 유지됩니다. PAA 제출 신뢰할 수 있는 집합 내에서 관리되고 있는 인증서 정책을 충족하려면 Alliance

법적 사안 증명 공개 키 인프라
그림 1: 법적 사안 증명 공개 키 인프라

PAI는 다음을 포함하는 X.509 v3 인증서이기도 합니다.

  • 공개 키
  • 발급자
  • 제목
  • 인증서 일련 번호
  • 유효 기간: 만료가 확정되지 않을 수 있음
  • 서명

공급업체 ID 및 제품 ID (선택사항)는 MatterDACName 살펴보겠습니다

마지막으로 PAA는 체인의 루트 인증서이며 자체 서명됩니다. 그것은 포함 사항:

  • 서명
  • 공개 키
  • 발급자
  • 제목
  • 인증서 일련 번호
  • 유효성

추가 증명 서류 및 메시지

증명 프로세스에는 여러 문서와 메시지가 있습니다. 다음 항목 기능과 구성에 대한 간략한 개요입니다. 아래 이미지는 계층 구조를 이해하는 데 도움이 됩니다.

증명 문서 계층 구조
그림 2: 증명 문서 계층 구조
문서 설명
인증 선언(CD) CD를 사용하면 기기 Matter개 준수 사실을 입증하고 Matter 프로토콜 사용자가 Matter 인증 절차가 완료되면 Alliance이(가) CD를 만듭니다. 기기 유형 공급업체는 그 것을 펌웨어를 제공합니다 CD에는 다음과 같은 정보가 포함되어 있습니다.
  • VID
  • PID(1개 이상)
  • 서버 카테고리 신분증
  • 고객 카테고리 신분증
  • 보안 수준
  • 보안 정보
  • 인증 유형 (개발, 임시 또는 공식)
  • 서명
펌웨어 정보(선택사항) 펌웨어 정보에는 CD 버전 번호와 하나 이상의 다이제스트를 생성하는데 OS, 파일 시스템, 부트로더. 다이제스트는 소프트웨어 구성요소의 해시 또는 서명된 매니페스트의 해시를 소프트웨어 구성요소입니다.

공급업체는 펌웨어 정보에만 포함 'hash-of-hashes' 의 인코더-디코더에 대해 개별 해시가 필요합니다.

펌웨어 정보는 증명 프로세스 및 공급업체가 이 부팅 환경에서 증명 키 쌍입니다.
증명 정보 위원회가 회장입니다. 증명 정보는 TLV를 결합하여 증명 요소증명 서명.
증명 요소 다음을 포함하는 TLV입니다.

  • 인증서 선언
  • 타임스탬프
  • 증명 임시값
  • 펌웨어 정보 (선택사항)
  • 공급업체별 정보 (선택사항)
증명 챌린지 - 이벤트 발생 시 Passcode Authenticated Session Establishment (PASE)/ 세션 Certificate Authenticated Session Establishment (CASE)회 시설 및 절차를 추가적으로 보호하는 데 사용되는 서명이 다시 재생되지 않도록 하세요 제공 CASE에서 세션, PASE 다시 시작됨 CASE 세션.
증명 TBS (서명 예정) 증명이 포함된 메시지 요소 및 증명 챌린지.
증명 서명 증명 TBS의 서명 기기 증명을 사용하여 서명됨 비공개 키.

증명 절차

커미셔닝은 위원회를 증명할 책임이 있습니다. Kubernetes는 다음 단계를 따르세요.

  1. 커미셔닝은 임의의 32바이트 증명 nonce를 생성합니다. 암호화 반면, nonce (한 번 사용되는 숫자)는 한 번 사용되는 것을 의미합니다.
  2. 커미셔닝은 DUT에 nonce를 전송하고 증명을 요청합니다. 정보.
  3. DUT가 증명 정보를 생성하고 증명으로 서명 비공개 키.
  4. 커미셔닝 책임자가 기기에서 DAC 및 PAI 인증서를 복구합니다. Matter 트러스트에서 PAA 인증서 조회 있습니다.
  5. 위원회는 증명 정보를 검증합니다. 다음은 다음을 수행합니다.
    • 취소 확인을 포함하여 DAC 인증서 체인의 유효성을 검사해야 합니다. PAI 및 PAA입니다.
    • DAC의 VID가 PAI의 VID와 일치합니다.
    • 증명 서명이 유효합니다.
    • 기기 증명 요소의 nonce가 커미셔너가 제공한 nonce와 일치합니다.
    • 인증서 선언 서명이 유효한지 확인하려면 Alliance의 유명한 인증 선언 서명 키를 누릅니다.
    • 펌웨어 정보 (존재하고 위원회에서 지원하는 경우)는 배포 규정 준수 원장에 항목이 있어야 합니다.
    • 추가 VID/PID 유효성 검사도 기기 기본 정보 클러스터, 인증 선언, DAC
이전
커미셔닝
다음
스레드 및 IPv6