อุปกรณ์ที่ผ่านการรับรองคืออุปกรณ์ที่ผ่านกระบวนการรับรอง Connectivity Standards Alliance (Alliance) Matter
ในกระบวนการจัดเตรียม อุปกรณ์ที่ผ่านการรับรองจะต้องรับรองตนเอง กล่าวอีกนัยหนึ่งคือ ผลิตภัณฑ์ดังกล่าวต้องพิสูจน์ว่าผลิตภัณฑ์ดังกล่าวเป็นผลิตภัณฑ์และบริการที่นำเสนอ และเป็นผลิตภัณฑ์ของแท้ ดังนั้นอุปกรณ์ Matter ทั้งหมดจึงมีข้อมูลเข้าสู่ระบบซึ่งรวมคู่คีย์เอกสารรับรองและเชนใบรับรองที่เกี่ยวข้อง ใบรับรองเอกสารรับรองของอุปกรณ์ (DAC) เป็นส่วนหนึ่งของเชนนี้ เมื่ออุปกรณ์ที่ถูกมอบหมายนำเสนอ DAC ให้แก่เจ้าหน้าที่ ผู้จัดหาอุปกรณ์จะต้องรับรองว่า
- ซึ่งผลิตโดยผู้ผลิตที่ผ่านการรับรอง
- เป็นอุปกรณ์ของแท้
- และผ่านการทดสอบการปฏิบัติตามข้อกำหนด Matter รายการ
ในขั้นตอนการพัฒนา ผู้ผลิตจะทดสอบอุปกรณ์ได้โดยไม่ต้องผ่านกระบวนการรับรองที่สมบูรณ์ ผู้ทดสอบควรทราบอย่างชัดเจนว่าอุปกรณ์อยู่ระหว่างการทดสอบ และยังไม่ได้รับการรับรองและเปิดตัว เมื่อผู้ผลิตเข้าสู่ขั้นตอนการใช้งานจริง ระบบนิเวศของผู้จัดสรรควรบังคับใช้ข้อกำหนดเอกสารรับรองทั้งหมด
เอกสารรับรองใช้โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้ประโยชน์จากผู้ออกใบรับรองรูทและใบรับรองกลางในลักษณะเดียวกันกับใบรับรองการตรวจสอบสิทธิ์เซิร์ฟเวอร์ที่ใช้กันอย่างแพร่หลายซึ่งใช้กับ SSL/TLS กระบวนการนี้เรียกว่าเชนใบรับรองการยืนยันอุปกรณ์
PKI ของเอกสารรับรองอุปกรณ์
DAC คือใบรับรอง X.509 v3 X.509 เวอร์ชันแรกได้รับการเผยแพร่ในปี 1988 โดย ITU-T X.509 v3 พร้อมใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะและรายการยกเลิกใบรับรอง (CRL) ที่ใช้โดย Matter จะมีการระบุโดย RFC5280 ซึ่งประกอบด้วย
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- การใช้งานได้ ซึ่งไม่สามารถบอกวันหมดอายุได้
- ลายเซ็น
รหัสผู้ให้บริการและรหัสผลิตภัณฑ์เป็นแอตทริบิวต์ของ MatterDACName ในเรื่อง DAC
DAC จะแตกต่างกันไปในแต่ละอุปกรณ์และเชื่อมโยงกับคู่คีย์เอกสารรับรองที่ไม่ซ้ำกันภายในผลิตภัณฑ์ หมายเลขนี้ออกโดย CA ที่เชื่อมโยงกับผู้ผลิตอุปกรณ์
โดยจะมีการตรวจสอบลายเซ็นของ DAC ตามใบรับรองกลางเอกสารรับรองผลิตภัณฑ์ (PAI) ซึ่งออกโดย PAA ด้วย อย่างไรก็ตาม ผู้ให้บริการอาจเลือกสร้าง PAI 1 รายการต่อผลิตภัณฑ์ (เฉพาะสำหรับ PID) กลุ่มผลิตภัณฑ์ หรือผลิตภัณฑ์ทั้งหมด
ที่รูทของเชนความน่าเชื่อถือ Product Attestation Authority (PAA) Certificate Authority (CA) จะตรวจสอบลายเซ็นจาก PAI โปรดทราบว่าร้านค้าที่เชื่อถือได้ของ Matter ได้รับการรวมศูนย์ และชุดใบรับรอง PAA ที่คณะกรรมาธิการเชื่อถือจะเก็บรักษาไว้ในฐานข้อมูลส่วนกลางที่เชื่อถือได้ (บัญชีแยกประเภทแบบกระจายการปฏิบัติตามข้อกำหนด) การที่คุณจะเข้าถึง PAA ภายในชุดที่เชื่อถือได้จะต้องเป็นไปตามนโยบายใบรับรองที่จัดการโดย Alliance
PAI ยังเป็นใบรับรอง X.509 v3 ที่ประกอบด้วยสิ่งต่อไปนี้
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- การใช้งานได้ ซึ่งไม่สามารถบอกวันหมดอายุได้
- ลายเซ็น
รหัสผู้ให้บริการและรหัสผลิตภัณฑ์ (ไม่บังคับ) เป็นแอตทริบิวต์ของ MatterDACName ในเรื่อง DAC
สุดท้าย PAA คือใบรับรองรูทในเชนและเป็นแบบ Self-signed ซึ่งรวมถึง
- ลายเซ็น
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- เวลาที่ใช้ได้
เอกสารเอกสารรับรองเพิ่มเติมและข้อความ
กระบวนการรับรองมีเอกสารและข้อความหลายรายการ รายการต่อไปนี้คือภาพรวมคร่าวๆ เกี่ยวกับฟังก์ชันและการจัดวางองค์ประกอบ รูปภาพด้านล่างจะช่วยให้ เข้าใจลำดับชั้นของพวกเขา
| เอกสาร | คำอธิบาย |
|---|---|
| คำประกาศการรับรอง (CD) | CD ช่วยให้อุปกรณ์ Matter พิสูจน์ว่าเป็นไปตามโปรโตคอล Matter
เมื่อ
Matter
กระบวนการรับรองเสร็จสิ้น
Alliance จะสร้างซีดีสำหรับประเภทอุปกรณ์
เพื่อให้ผู้ให้บริการรวมข้อมูลดังกล่าวไว้ในเฟิร์มแวร์ ซีดีประกอบด้วย
ข้อมูลอื่นๆ ดังต่อไปนี้
|
| ข้อมูลเฟิร์มแวร์ (ไม่บังคับ) | ข้อมูลเฟิร์มแวร์ประกอบด้วยหมายเลขเวอร์ชันของ CD และส่วนย่อยของคอมโพเนนต์อย่างน้อย 1 รายการในเฟิร์มแวร์ เช่น ระบบปฏิบัติการ ระบบไฟล์ และ Bootloader ไดเจสต์อาจเป็นแฮชของคอมโพเนนต์ซอฟต์แวร์หรือแฮชของไฟล์ Manifest ที่มีการรับรองของคอมโพเนนต์ของซอฟต์แวร์ก็ได้ ผู้ให้บริการอาจเลือกรวมไว้ในข้อมูลเฟิร์มแวร์ เฉพาะ "แฮชของแฮช" ของคอมโพเนนต์ แทนที่จะเป็นอาร์เรย์ของแฮชแต่ละรายการ ผู้ให้บริการ อาจเลือกองค์ประกอบคีย์ในการจับคู่แอปเพื่อยืนยันและ "ผู้ให้บริการรับรอง" ได้ |
| ข้อมูลเอกสารรับรอง | ข้อความจากคณะกรรมการ ถึงเจ้าหน้าที่ ข้อมูลเอกสารรับรองจะรวม TLV ที่มีองค์ประกอบเอกสารรับรองและลายเซ็นสำหรับเอกสารรับรอง |
| องค์ประกอบเอกสารรับรอง | นี่คือ TLV ที่มี
|
| ภารกิจสำหรับเอกสารรับรอง | คำท้านอกขอบเขตซึ่งทำระหว่างการสร้างเซสชัน Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) และนำมาใช้เพื่อเพิ่มความปลอดภัยให้กับกระบวนการและหลีกเลี่ยงการลงลายเซ็นซ้ำ มาจากเซสชัน CASE, เซสชัน PASE หรือเซสชัน CASE ที่กลับมาใช้งานอีกครั้ง |
| เอกสารรับรอง TBS (ต้องลงนาม) | ข้อความที่มีองค์ประกอบ เอกสารรับรองและภารกิจสำหรับเอกสารรับรอง |
| ลายเซ็นสำหรับเอกสารรับรอง | ลายเซ็นของ Attestation TBS ซึ่งลงนามโดยใช้คีย์ส่วนตัวสำหรับเอกสารรับรองอุปกรณ์ |
ขั้นตอนเอกสารรับรอง
คณะกรรมาธิการดังกล่าวมีหน้าที่รับรองคณะกรรมการ โดยดำเนินการตาม ขั้นตอนต่อไปนี้
- Commissioner สร้างค่า Nonce สำหรับเอกสารรับรองแบบสุ่มขนาด 32 ไบต์ ในศัพท์เทคนิคการเข้ารหัส ค่าที่ได้จากการสุ่ม (ตัวเลขที่ใช้ครั้งเดียว) คือตัวเลขสุ่มที่สร้างขึ้นในขั้นตอนวิทยาการเข้ารหัสลับและมีไว้สำหรับใช้ครั้งเดียว
- คณะกรรมาธิการจะส่งค่า Nonce ไปยัง DUT และขอข้อมูลเอกสารรับรอง
- DUT จะสร้างข้อมูลเอกสารรับรองและลงนามด้วยคีย์ส่วนตัวของเอกสารรับรอง
- เจ้าหน้าที่กู้คืนใบรับรอง DAC และ PAI จากอุปกรณ์ และค้นหาใบรับรอง PAA จากร้านค้าที่เชื่อถือได้ของ Matter
- คณะกรรมการตรวจสอบข้อมูลเอกสารรับรอง ต่อไปนี้คือเงื่อนไข
สำหรับการตรวจสอบ
- ต้องมีการตรวจสอบเชนใบรับรอง DAC รวมถึงการตรวจสอบการเพิกถอน PAI และ PAA
- VID ใน DAC ตรงกับ VID ใน PAI
- ลายเซ็นรับรองถูกต้อง
- Nonce ในองค์ประกอบเอกสารรับรองอุปกรณ์ตรงกับค่า Nonce ที่คณะกรรมการจัดเตรียม
- ลายเซ็นประกาศใบรับรองถูกต้องโดยใช้หนึ่งในคีย์การลงนามคำประกาศการรับรองซึ่งเป็นที่รู้จักของ Alliance
- ข้อมูลเฟิร์มแวร์ (หากมีและรับรองโดยกรรมาธิการ) จะตรงกับรายการในบัญชีย่อยการปฏิบัติตามข้อกำหนดแบบกระจาย
- นอกจากนี้จะมีการตรวจสอบ VID/PID เพิ่มเติมระหว่างคลัสเตอร์ข้อมูลพื้นฐานของอุปกรณ์ การประกาศใบรับรอง และ DAC