อุปกรณ์ที่ผ่านการรับรอง คืออุปกรณ์ที่ดำเนินการตาม Connectivity Standards Alliance (Alliance) Matter กระบวนการรับรอง
ในระหว่างกระบวนการจัดเตรียมอุปกรณ์ อุปกรณ์ที่ผ่านการรับรองต้องรับรองตนเอง กล่าวคือ คุณต้องพิสูจน์ว่าเป็นสิ่งที่กล่าวอ้าง และเป็นความจริง ผลิตภัณฑ์ของแท้ อุปกรณ์ Matter ทุกเครื่องจึงมีข้อมูลเข้าสู่ระบบ ซึ่งรวมคู่คีย์เอกสารรับรองและชุดใบรับรองที่เกี่ยวข้อง ใบรับรองเอกสารรับรองอุปกรณ์ (DAC) เป็นส่วนหนึ่งของเชนนี้ เมื่อ อุปกรณ์ที่อยู่ภายใต้การจัดเตรียมข้อเสนอ DAC ต่อคณะกรรมาธิการของตน ในภายหลังจะ รับรองว่า
- อุปกรณ์ดังกล่าวผลิตโดยผู้ผลิตที่ได้รับการรับรอง
- อุปกรณ์นี้เป็นอุปกรณ์ของแท้
- และได้ผ่านการทดสอบการปฏิบัติตามข้อกำหนด Matter รายการแล้ว
ในขั้นตอนการพัฒนา ผู้ผลิตจะสามารถทดสอบอุปกรณ์ โดยไม่ต้องมีกระบวนการเอกสารรับรองที่สมบูรณ์ ผู้ทดสอบควรได้รับแจ้งอย่างชัดแจ้งว่า อุปกรณ์อยู่ระหว่างการทดสอบ และยังยังไม่ได้รับการรับรองและเปิดตัว ครั้งเดียว ผู้ผลิตเข้าสู่ระยะการผลิต ซึ่งเป็นระบบนิเวศของผู้จัดสรร ควรบังคับใช้ข้อกำหนดเกี่ยวกับเอกสารรับรองทั้งหมด
เอกสารรับรองใช้โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ที่ใช้ประโยชน์จากรูท ผู้ออกใบรับรองและใบรับรองระดับกลาง ในลักษณะที่คล้ายคลึงกับ ใบรับรองการตรวจสอบสิทธิ์เซิร์ฟเวอร์ที่มีการนำไปใช้กันอย่างแพร่หลายสำหรับ SSL/TLS กระบวนการนี้ จะเรียกว่าเชนใบรับรองเอกสารรับรองอุปกรณ์
PKI เอกสารรับรองอุปกรณ์
DAC คือใบรับรอง X.509 v3 เวอร์ชันแรกของ X.509 ได้รับการเผยแพร่ใน 1988 โดย ITU-T X.509 v3 ที่มีใบรับรองโครงสร้างพื้นฐานคีย์สาธารณะและ รายการยกเลิกใบรับรอง (CRL) ที่ใช้โดย Matter คือ โดย RFC5280 ระบุไว้ ทั้งนี้ ประกอบด้วย:
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- ระยะเวลาที่ใช้งานได้ ซึ่งอาจไม่มีวันหมดอายุ
- ลายเซ็น
รหัสผู้ให้บริการและรหัสผลิตภัณฑ์เป็นแอตทริบิวต์ของ MatterDACName ใน DAC
เรื่อง
DAC ไม่ซ้ำกันในแต่ละอุปกรณ์และเชื่อมโยงกับคู่คีย์เอกสารรับรองที่ไม่ซ้ำกัน ภายในผลิตภัณฑ์ ออกโดย CA ที่เชื่อมโยงกับอุปกรณ์ ผู้ผลิต
ระบบจะตรวจสอบลายเซ็นของ DAC กับใบรับรองระดับกลางสำหรับการรับรองผลิตภัณฑ์ (PAI) ซึ่งออกโดย PAA ด้วย อย่างไรก็ตาม ผู้ให้บริการอาจเลือกสร้าง PAI 1 รายการต่อผลิตภัณฑ์ (สำหรับ PID ที่เฉพาะเจาะจง) กลุ่มผลิตภัณฑ์ หรือสำหรับผลิตภัณฑ์ทั้งหมด
หน่วยงานรับรองผลิตภัณฑ์ในระดับรูทของเชนความน่าเชื่อถือ (PAA) ผู้ออกใบรับรอง (CA) จะตรวจสอบลายเซ็น จาก PAI โปรดทราบว่า Trust Store ของ Matter เป็นแบบรวมศูนย์ และชุดใบรับรอง PAA ที่ได้รับความไว้วางใจจากคณะกรรมาธิการจะมีการเก็บรักษาไว้ใน ฐานข้อมูลที่เชื่อถือได้ส่วนกลาง (บัญชีแยกประเภทการปฏิบัติตามข้อกำหนดแบบกระจาย) การป้อน PAA ในชุดที่เชื่อถือได้ต้องเป็นไปตามนโยบายใบรับรองที่จัดการโดย Alliance
PAI ยังเป็นใบรับรอง X.509 v3 ที่มีสิ่งต่อไปนี้
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- ระยะเวลาที่ใช้งานได้ ซึ่งอาจไม่มีวันหมดอายุ
- ลายเซ็น
รหัสผู้ให้บริการและรหัสผลิตภัณฑ์ (ไม่บังคับ) เป็นแอตทริบิวต์ของ MatterDACName ใน
เรื่อง DAC
สุดท้าย PAA คือใบรับรองรูทในเชนและลงนามด้วยตนเอง ซึ่งประกอบด้วย
- ลายเซ็น
- คีย์สาธารณะ
- ผู้ออก
- เรื่อง
- หมายเลขซีเรียลของใบรับรอง
- อายุการใช้งาน
เอกสารรับรองเพิ่มเติมและ ข้อความ
กระบวนการยืนยันมีเอกสารและข้อความหลายรายการ รายการต่อไปนี้ เป็นภาพรวมคร่าวๆ เกี่ยวกับฟังก์ชันและองค์ประกอบ ภาพด้านล่างช่วย ความเข้าใจในลำดับชั้นของพวกเขาอย่างไร
| เอกสาร | คำอธิบาย |
|---|---|
| การประกาศการรับรอง (CD) | CD ช่วยให้
อุปกรณ์ Matter เครื่อง
เพื่อพิสูจน์การปฏิบัติตามข้อกำหนด
โปรโตคอล Matter
เมื่อใดก็ตามที่
Matter
ผ่านกระบวนการรับรอง
Alliance สร้างซีดี
สำหรับประเภทอุปกรณ์
ดังนั้นผู้ให้บริการอาจรวมข้อมูลนี้ไว้ใน
ซีดีประกอบด้วย
ข้อมูล:
|
| ข้อมูลเฟิร์มแวร์ (ไม่บังคับ) | ข้อมูลเฟิร์มแวร์ประกอบด้วย
หมายเลขเวอร์ชัน CD และหมายเลขเวอร์ชัน CD
ไดเจสต์ของคอมโพเนนต์ในส่วน
เช่น ระบบปฏิบัติการ ระบบไฟล์
Bootloader ไดเจสต์อาจเป็น
แฮชของส่วนประกอบซอฟต์แวร์ หรือ
แฮชของไฟล์ Manifest ที่มีการรับรอง
คอมโพเนนต์ของซอฟต์แวร์ ผู้ให้บริการอาจเลือกที่จะ รวมไว้ในข้อมูลเฟิร์มแวร์เท่านั้น "แฮชของแฮช" ของ แทนที่จะเป็นอาร์เรย์ แฮชแต่ละรายการ เฟิร์มแวร์ ข้อมูลเป็นองค์ประกอบที่ไม่บังคับใน กระบวนการรับรองและ เมื่อผู้ให้บริการมี สภาพแวดล้อมการเปิดเครื่องที่จัดการ คู่คีย์เอกสารรับรอง |
| ข้อมูลเอกสารรับรอง | ข้อความที่ส่งจาก Commissionee ถึง กรรมาธิการ เอกสารรับรอง ข้อมูลรวม TLV ที่ประกอบด้วย องค์ประกอบของเอกสารรับรองและ ลายเซ็นในเอกสารรับรอง |
| องค์ประกอบของเอกสารรับรอง | นี่คือ TLV ที่มี
|
| การคัดค้านในเอกสารรับรอง | ชาเลนจ์นอกวงดนตรีที่ได้รับระหว่าง Passcode Authenticated Session Establishment (PASE)/ Certificate Authenticated Session Establishment (CASE) เซสชัน สถานประกอบการและ เพื่อรักษาความปลอดภัยให้ขั้นตอน และหลีกเลี่ยงการใช้ลายเซ็นซ้ำ เร็วๆ นี้ จาก CASE เซสชัน PASE เซสชันหรือการทำงานต่อ CASE เซสชัน |
| เอกสารรับรอง (รอพิจารณา) (รอลงนาม) | ข้อความที่มีเอกสารรับรอง ความท้าทายขององค์ประกอบและเอกสารรับรอง |
| ลายเซ็นในเอกสารรับรอง | ลายเซ็นของเอกสารรับรอง (รอยืนยัน) ลงนามโดยใช้เอกสารรับรองอุปกรณ์ คีย์ส่วนตัว |
ขั้นตอนเอกสารรับรอง
กรรมาธิการมีหน้าที่รับผิดชอบในการรับรอง โดยจะเรียกใช้ ขั้นตอนต่อไปนี้
- Commissioner สร้าง Nonce ของเอกสารรับรองขนาด 32 ไบต์แบบสุ่ม ในวิทยาการเข้ารหัส คำศัพท์เฉพาะ, Nonce (จำนวนที่ใช้ครั้งเดียว) คือตัวเลขสุ่มที่สร้างขึ้นใน กระบวนการเข้ารหัสและมีไว้เพื่อใช้เพียงครั้งเดียว
- กรรมาธิการส่ง Nonce ไปยัง DUT และขอเอกสารรับรอง ข้อมูล
- DUT สร้างข้อมูลเอกสารรับรองและลงนามด้วยเอกสารรับรอง คีย์ส่วนตัว
- Commissioner กู้คืนใบรับรอง DAC และ PAI จากอุปกรณ์ และ ค้นหาใบรับรอง PAA จากความน่าเชื่อถือ Matter
- คณะกรรมการจะตรวจสอบข้อมูลเอกสารรับรอง ต่อไปนี้เป็นเงื่อนไข
สำหรับการตรวจสอบ:
- ต้องมีการตรวจสอบชุดใบรับรอง DAC รวมถึงการตรวจสอบการเพิกถอน PAI และ PAA
- VID ใน DAC ตรงกับ VID ใน PAI
- ลายเซ็นเอกสารรับรองถูกต้อง
- Nonce ในองค์ประกอบเอกสารรับรองอุปกรณ์ตรงกับค่า Nonce ที่กำหนดโดย กรรมาธิการ
- ลายเซ็นประกาศการรับรองใช้ได้โดยใช้คีย์การรับรองประกาศการรับรองที่รู้จักกันดีของ Alliance
- ข้อมูลเฟิร์มแวร์ (หากมีและรองรับโดย Commissioner) ข้อมูลในบัญชีแยกประเภทการปฏิบัติตามข้อกำหนด
- การตรวจสอบ VID/PID เพิ่มเติมจะดำเนินการระหว่างข้อมูลพื้นฐานของอุปกรณ์ด้วย คลัสเตอร์ข้อมูล การประกาศการรับรอง และ DAC