Chứng thực

Thiết bị được chứng nhận là các Thiết bị đã trải qua Quy trình chứng nhận Connectivity Standards Alliance (Alliance) Matter.

Trong quá trình vận hành, một Thiết bị được chứng nhận cần phải chứng thực. Nói cách khác, ứng dụng cần chứng minh rằng đó đúng là sản phẩm đã tuyên bố và là sản phẩm chính hãng. Do đó, tất cả Thiết bị Matter đều có thông tin xác thực bao gồm cặp khoá Chứng thực và một chuỗi chứng chỉ liên kết. Chứng chỉ chứng thực thiết bị (DAC) là một phần của chuỗi này. Sau khi Thiết bị đang được uỷ quyền trình bày DAC cho Uỷ viên của thiết bị, sau đó DAC sẽ chứng nhận rằng:

  • mã này do một nhà sản xuất được chứng nhận sản xuất.
  • đó là một thiết bị chính hãng.
  • ứng dụng đã vượt qua Matter bài kiểm tra tính tuân thủ.

Trong giai đoạn phát triển, nhà sản xuất có thể kiểm thử Thiết bị của họ mà không cần có quy trình Chứng thực đầy đủ. Bạn phải thông báo rõ ràng cho người kiểm thử rằng Thiết bị đang được kiểm thử, chưa được chứng nhận và phát hành. Sau khi nhà sản xuất bước vào giai đoạn phát hành chính thức, hệ sinh thái của trình cấp phép phải thực thi mọi yêu cầu về Chứng thực.

Chứng thực sử dụng một Cơ sở hạ tầng khoá công khai (PKI) tận dụng Tổ chức phát hành chứng chỉ gốc và Chứng chỉ trung gian, theo cách tương tự như các chứng chỉ xác thực máy chủ được áp dụng rộng rãi cho SSL/TLS. Quá trình này được gọi là Chuỗi chứng chỉ Chứng thực thiết bị.

PKI chứng thực thiết bị

DAC là chứng chỉ X.509 v3. Phiên bản đầu tiên của X.509 do ITU-T phát hành vào năm 1988. X.509 phiên bản 3 với Chứng chỉ cơ sở hạ tầng khoá công khai và Danh sách thu hồi chứng chỉ (CRL) mà Matter sử dụng sẽ được chỉ định theo RFC5280. Danh sách này chứa:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Tính hợp lệ, trong đó thời hạn có thể là không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm là các thuộc tính của MatterDACName trong chủ đề DAC.

DAC là duy nhất cho mỗi thiết bị và được liên kết với cặp khoá chứng thực duy nhất trong sản phẩm. Mã này do một CA liên kết với nhà sản xuất thiết bị phát hành.

Chữ ký của DAC được xác thực theo Chứng chỉ trung gian chứng thực sản phẩm (PAI), cũng do PAA cấp. Tuy nhiên, nhà cung cấp có thể chọn tạo một PAI cho mỗi sản phẩm (dành riêng cho PID), nhóm sản phẩm hoặc cho tất cả các sản phẩm của mình.

Ở gốc của chuỗi tin cậy, khoá công khai của Cơ quan chứng thực sản phẩm (PAA) Tổ chức phát hành chứng chỉ (CA) sẽ xác thực các chữ ký của PAI. Xin lưu ý rằng kho lưu trữ uy tín Matter được liên kết với nhau và tập hợp chứng chỉ PAA mà các ủy viên tin cậy được duy trì trong một cơ sở dữ liệu đáng tin cậy ở trung tâm (Sổ cái về tuân thủ được phân phối). Để truy cập một PAA trong nhóm đáng tin cậy, bạn phải đáp ứng chính sách chứng chỉ do Alliance quản lý.

Cơ sở hạ tầng khoá công khai của chứng thực Matter
Hình 1: Cơ sở hạ tầng khoá công khai của Chứng thực Matter

PAI cũng là chứng chỉ X.509 v3 bao gồm:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Tính hợp lệ, trong đó thời hạn có thể là không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm (không bắt buộc) là các thuộc tính của MatterDACName trong chủ thể DAC.

Cuối cùng, PAA là chứng chỉ gốc trong chuỗi và tự ký. Gói này bao gồm:

  • Chữ ký
  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Hiệu lực

Giấy tờ và thư chứng thực bổ sung

Quy trình chứng thực có một số tài liệu và thông báo. Các mục sau đây trình bày tổng quan ngắn gọn về chức năng và thành phần của các mục đó. Hình ảnh dưới đây giúp bạn hiểu về hệ phân cấp của các tổ chức đó.

Hệ phân cấp của tài liệu chứng thực
Hình 2: Hệ phân cấp của tài liệu chứng thực
Tài liệu Nội dung mô tả
Bản khai báo chứng chỉ (CD) CD cho phép thiết bị Matter chứng minh sự tuân thủ của giao thức Matter. Bất cứ khi nào MatterQuy trình chứng nhận kết thúc, Alliance sẽ tạo một đĩa CD cho loại thiết bị để Nhà cung cấp có thể đưa đĩa CD đó vào phần mềm cơ sở. CD bao gồm các thông tin khác:
  • VID
  • PID (một hoặc nhiều)
  • Mã danh mục máy chủ
  • Mã danh mục khách hàng
  • Cấp độ bảo mật
  • Thông tin bảo mật
  • Loại chứng nhận (phát triển, tạm thời hoặc chính thức)
  • Chữ ký
Thông tin về chương trình cơ sở (không bắt buộc) Thông tin chương trình cơ sở chứa Số phiên bản CD và một hoặc nhiều chuỗi đại diện của các thành phần trong chương trình cơ sở, chẳng hạn như hệ điều hành, hệ thống tệp, trình tải khởi động. Chuỗi đại diện có thể là hàm băm của các thành phần phần mềm hoặc hàm băm của tệp kê khai đã ký của các thành phần phần mềm.

Nhà cung cấp cũng có thể chọn chỉ đưa vào Thông tin chương trình cơ sở "hash-of-hash" của các thành phần, thay vì một mảng của hàm băm riêng lẻ.

Thông tin chương trình cơ sở là một phần tử không bắt buộc trong Quy trình chứng thực và áp dụng khi một cặp nhà cung cấp
xử lý môi trường khởi động bảo mật.
Thông tin chứng thực Thông báo của Uỷ viên được gửi cho Uỷ viên. Thông tin chứng thực kết hợp một TLV chứa Phần tử chứng thựcChữ ký chứng thực.
Phần tử chứng thực Đây là TLV có chứa:

  • Khai báo chứng chỉ
  • Dấu thời gian
  • Số chỉ dùng một lần chứng thực
  • Thông tin về chương trình cơ sở (không bắt buộc)
  • Thông tin cụ thể về nhà cung cấp (không bắt buộc)
Thử thách chứng thực Thử thách ngoài băng tần bắt nguồn trong quá trình thiết lập phiên Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) và được dùng để tăng cường bảo mật cho quy trình và tránh các chữ ký phát lại. Xuất phát từ phiên CASE, phiên PASE hoặc phiên CASE đã tiếp tục.
Chứng thực TBS (có chữ ký) Thông báo chứa Phần tử chứng thực và Thử thách chứng thực.
Chữ ký chứng thực Chữ ký của TBS Chứng thực, được ký bằng Khoá riêng tư trong Chứng thực thiết bị.

Quy trình chứng thực

Uỷ viên đó chịu trách nhiệm chứng thực Uỷ viên đó. Hàm này thực thi các bước sau:

  1. Uỷ viên phát hành một số chỉ dùng một lần chứng thực 32 byte ngẫu nhiên. Trong biệt ngữ mật mã học, số chỉ dùng một lần (số được dùng một lần) là một số ngẫu nhiên được tạo trong quy trình mã hoá và chỉ dùng một lần.
  2. Ủy viên gửi số chỉ dùng một lần cho DUT và yêu cầu Thông tin chứng thực.
  3. DUT tạo Thông tin chứng thực và ký bằng Khoá riêng tư của chứng thực.
  4. Uỷ viên sẽ khôi phục chứng chỉ DAC và PAI từ Thiết bị, đồng thời tra cứu chứng chỉ PAA trong kho lưu trữ uy tín Matter của thiết bị.
  5. Ủy viên xác thực thông tin chứng thực. Đây là các điều kiện để xác thực:
    • Chuỗi chứng chỉ DAC phải được xác thực, bao gồm cả các hoạt động kiểm tra thu hồi trên PAI và PAA.
    • VID trên DAC khớp với VID trên PAI.
    • Chữ ký chứng thực là hợp lệ.
    • Số chỉ dùng một lần trong Phần tử chứng thực thiết bị khớp với số chỉ dùng một lần do Uỷ viên cung cấp.
    • Chữ ký khai báo chứng chỉ hợp lệ bằng cách sử dụng một trong các khoá ký Khai báo chứng chỉ phổ biến của Alliance.
    • Thông tin chương trình cơ sở (nếu có và được Uỷ viên hỗ trợ) khớp với một mục nhập trong Sổ cái về tuân thủ được phân phối.
    • Các quy trình xác thực VID/PID bổ sung cũng diễn ra giữa cụm Thông tin cơ bản của thiết bị, Khai báo chứng nhận và DAC.
Trước
Phí hoa hồng
Tiếp
Thread và IPv6