Chứng thực

Thiết bị được chứng nhận là những Thiết bị đã trải qua Quy trình chứng nhận Connectivity Standards Alliance (Alliance) Matter.

Trong quá trình vận hành, Thiết bị được chứng nhận cần phải chứng thực chính nó. Nói cách khác, sản phẩm này cần phải chứng minh rằng đó là sản phẩm theo tuyên bố và là sản phẩm chính hãng. Do đó, tất cả Thiết bị Matter đều có thông tin xác thực bao gồm cặp khoá Chứng thực và một chuỗi chứng chỉ liên kết. Chứng chỉ chứng thực thiết bị (DAC) nằm trong chuỗi này. Sau khi Thiết bị được vận hành trình DAC cho Uỷ viên, bên thứ ba sẽ xác nhận rằng:

  • nó do nhà sản xuất được chứng nhận sản xuất.
  • đó là thiết bị chính hãng.
  • đã vượt qua bài kiểm tra tính tuân thủ Matter.

Trong giai đoạn phát triển, nhà sản xuất có thể kiểm thử Thiết bị mà không cần quy trình Chứng thực đầy đủ. Người kiểm thử phải được thông báo rõ ràng rằng Thiết bị đang trong quá trình kiểm thử và chưa được chứng nhận và ra mắt. Sau khi nhà sản xuất chuyển sang giai đoạn phát hành chính thức, hệ sinh thái của nhà cung cấp phải thực thi mọi yêu cầu về Chứng thực.

Chứng thực sử dụng Cơ sở hạ tầng khoá công khai (PKI) tận dụng các Tổ chức phát hành chứng chỉ gốc và Chứng chỉ trung gian, theo cách tương tự như các chứng chỉ xác thực máy chủ được chấp nhận rộng rãi được dùng cho SSL/TLS. Quá trình này được gọi là Chuỗi chứng chỉ chứng thực thiết bị.

PKI chứng thực thiết bị

DAC là chứng chỉ X.509 v3. Phiên bản đầu tiên của X.509 được ITU-T phát hành vào năm 1988. X.509 phiên bản 3 có Chứng chỉ cơ sở hạ tầng khoá công khai và Danh sách thu hồi chứng chỉ (CRL) do Matter sử dụng sẽ được RFC5280 chỉ định. Ứng dụng này chứa:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Tính hợp lệ, trong đó thời hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm là các thuộc tính của MatterDACName trong chủ đề DAC.

DAC là duy nhất cho mỗi thiết bị và được liên kết với cặp khoá chứng thực duy nhất trong sản phẩm. Giá trị này do một CA liên kết với nhà sản xuất Thiết bị cấp.

Chữ ký của DAC được xác thực theo Chứng chỉ trung gian chứng thực sản phẩm (PAI), cũng do PAA cấp. Tuy nhiên, nhà cung cấp có thể chọn tạo một PAI cho mỗi sản phẩm (dành riêng cho PID), nhóm sản phẩm hoặc tất cả sản phẩm của họ.

Ở gốc của chuỗi tin cậy, khoá công khai của Tổ chức phát hành chứng chỉ sản phẩm (PAA) Tổ chức phát hành chứng chỉ (CA) sẽ xác thực chữ ký từ PAI. Xin lưu ý rằng kho lưu trữ tin cậy Matter được liên kết với nhau và nhóm chứng chỉ PAA do các ủy viên tin cậy sẽ được duy trì trong cơ sở dữ liệu đáng tin cậy trung tâm (Sổ cái tuân thủ phân phối). Để nhập PAA trong nhóm đáng tin cậy, bạn phải đáp ứng chính sách chứng chỉ do Alliance quản lý.

Cơ sở hạ tầng khoá công khai chứng thực Matter
Hình 1: Cơ sở hạ tầng khoá công khai chứng thực Matter

PAI cũng là chứng chỉ X.509 v3 bao gồm:

  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Tính hợp lệ, trong đó thời hạn có thể không xác định
  • Chữ ký

Mã nhà cung cấp và Mã sản phẩm (không bắt buộc) là các thuộc tính của MatterDACName trong chủ đề DAC.

Cuối cùng, PAA là chứng chỉ gốc trong chuỗi và được tự ký. Trong đó có:

  • Chữ ký
  • Khóa công cộng
  • Tổ chức phát hành
  • Tiêu đề
  • Số sê-ri của chứng chỉ
  • Tính hợp lệ

Thông báo và tài liệu chứng thực bổ sung

Quy trình chứng thực có một số tài liệu và thông báo. Các mục sau đây là thông tin tổng quan ngắn gọn về chức năng và cấu trúc của các mục đó. Hình ảnh dưới đây giúp bạn hiểu rõ về hệ phân cấp của các lớp này.

Hệ thống phân cấp tài liệu chứng thực
Hình 2: Hệ phân cấp tài liệu chứng thực
Tài liệu Nội dung mô tả
Tuyên bố chứng nhận (CD) CD cho phép thiết bị Matter chứng minh tính tuân thủ với giao thức Matter. Bất cứ khi nào Quy trình xác nhận Matter kết thúc, Alliance sẽ tạo một đĩa CD cho loại thiết bị để Nhà cung cấp có thể đưa tệp này vào chương trình cơ sở. Ngoài các thông tin khác, CD còn bao gồm:
  • Mã nhà cung cấp (VID)
  • PID (một hoặc nhiều)
  • Mã danh mục máy chủ
  • Mã danh mục khách hàng
  • Mức độ bảo mật
  • Thông tin bảo mật
  • Loại chứng nhận (phát triển, tạm thời hoặc chính thức)
  • Chữ ký
Thông tin về chương trình cơ sở (không bắt buộc) Thông tin chương trình cơ sở chứa Số phiên bản CD và một hoặc nhiều chuỗi đại diện của các thành phần trong chương trình cơ sở, chẳng hạn như hệ điều hành, hệ thống tệp, trình tải khởi động. Chuỗi đại diện có thể là hàm băm của các thành phần phần mềm hoặc hàm băm của tệp kê khai đã ký của thành phần phần mềm.

Nhà cung cấp cũng có thể chọn chỉ đưa "hàm băm" của các thành phần vào chương trình cơ sở thay vì một mảng các hàm băm riêng lẻ.
Thông tin chương trình cơ sở là phần tử không bắt buộc trong Quy trình chứng thực và áp dụng khi nhà cung cấp có cặp khoá khởi động bảo mật.
Thông tin chứng thực Thư được gửi từ Uỷ viên đến Uỷ viên. Thông tin chứng thực kết hợp một TLV chứa Thành phần chứng thựcChữ ký chứng thực.
Phần tử chứng thực Đây là TLV chứa:

  • Bản khai báo chứng chỉ
  • Dấu thời gian
  • Chứng thực Số chỉ dùng một lần
  • Thông tin về chương trình cơ sở (không bắt buộc)
  • Thông tin cụ thể về nhà cung cấp (không bắt buộc)
Thử thách chứng thực Thử thách ngoài băng tần phát sinh trong quá trình thiết lập phiên Passcode Authenticated Session Establishment (PASE)/Certificate Authenticated Session Establishment (CASE) và được dùng để bảo mật hơn nữa quy trình và tránh chữ ký phát lại. Đến từ phiên CASE, phiên PASE hoặc phiên CASE tiếp tục.
Chứng thực TBS (cần ký) Thông báo chứa các Phần tử chứng thực và Thử thách chứng thực.
Chữ ký chứng thực Chữ ký của TBS chứng thực, được ký bằng Khoá riêng tư chứng thực thiết bị.

Quy trình chứng thực

Uỷ viên chịu trách nhiệm chứng thực Uỷ viên. Hàm này thực thi các bước sau:

  1. Uỷ viên sẽ tạo một số chỉ dùng một lần chứng thực 32 byte ngẫu nhiên. Trong thuật ngữ mật mã học, số chỉ dùng một lần (số chỉ dùng một lần) là một số ngẫu nhiên được tạo trong quy trình mã hoá và dùng một lần.
  2. Uỷ viên gửi số chỉ dùng một lần đến DUT và yêu cầu Thông tin chứng thực.
  3. DUT tạo Thông tin chứng thực và ký thông tin đó bằng Khoá riêng tư chứng thực.
  4. Ủy viên khôi phục chứng chỉ DAC và PAI từ Thiết bị, đồng thời tra cứu chứng chỉ PAA từ kho lưu trữ tin cậy Matter của thiết bị.
  5. Uỷ viên xác thực Thông tin chứng thực. Dưới đây là các điều kiện để xác thực:
    • Chuỗi chứng chỉ DAC phải được xác thực, bao gồm cả hoạt động kiểm tra thu hồi trên PAI và PAA.
    • VID trên DAC khớp với VID trên PAI.
    • Chữ ký chứng thực hợp lệ.
    • Số chỉ dùng một lần trong Phần tử chứng thực thiết bị khớp với số chỉ dùng một lần do Uỷ viên cung cấp.
    • Chữ ký khai báo chứng chỉ hợp lệ bằng một trong các khoá ký Khai báo chứng chỉ phổ biến của Alliance.
    • Thông tin về chương trình cơ sở (nếu có và được Ủy viên hỗ trợ) khớp với mục nhập trong Sổ cái về việc tuân thủ đã phân phối.
    • Quy trình xác thực VID/PID bổ sung cũng diễn ra giữa cụm Thông tin cơ bản về thiết bị, Khai báo chứng nhận và DAC.
Trước
Phí hoa hồng
Tiếp
Thread và IPv6