Ora che abbiamo compreso alcuni concetti chiave di un nodo, analizzeremo cosa consente ai dispositivi di comunicare tra loro.
La specifica Matter utilizza metodi sofisticati per criptare e decriptare le informazioni, nonché meccanismi sicuri per garantire l'identità di un nodo e condividere le credenziali crittografiche.
Un insieme di dispositivi in una rete che ha lo stesso dominio di sicurezza, che consente la comunicazione sicura tra i nodi, viene definito un'infrastruttura. I tessuti condividono lo stesso certificato di primo livello dell'autorità di certificazione (CA) (radice di attendibilità) e, nel contesto della CA, un identificatore univoco a 64 bit denominato ID tessuto.
Pertanto, la procedura di messa in servizio consiste nell'assegnazione delle credenziali dell'Infrastruttura a un nuovo Nodo in modo che possa comunicare con altri Nodi presenti nella stessa Infrastruttura.
Credenziali operative
La Root of Trust viene impostata su un nodo durante il provisioning dal commissario, in genere un dispositivo con un tipo di GUI, come uno smartphone, un hub o un computer, dopo averlo ricevuto da un Administrative Domain Manager (ADM), che spesso è un ecosistema che funge da Trusted Root Certificate Authority (CA).
Il Commissario ha accesso all'autorità competente. Pertanto, richiede le credenziali operative del nodo alla CA per conto del nodo in fase di commissioning o del commissionario. Le credenziali sono costituite da due parti:
L'identificatore operativo del nodo (o ID nodo operativo) è un numero a 64 bit che identifica in modo univoco ogni nodo nel fabric.
Il certificato operativo del nodo (NOC) è l'insieme di credenziali che i nodi utilizzano per comunicare e identificarsi all'interno di un'infrastruttura. Vengono generati dalla procedura di richiesta di firma del certificato operativo del nodo (NOCSR).
NOCSR è una procedura che viene eseguita sul nodo in fase di commissioning. Combina diversi elementi crittografici, poi li invia al Commissario, che richiede all'ecosistema CA la relativa NOC. La Figura 1 mostra questo albero delle dipendenze e l'ordine in cui si verificano alcune operazioni.
Sebbene la comprensione di ogni elemento crittografico sia importante per lo sviluppo di SDK, l'analisi completa del loro ruolo e delle loro implicazioni esula dall'ambito di questo primer. È importante notare che:
- I NOC vengono emessi dall'ecosistema CA su fabric di produzione reali.
- I NOC sono associati in modo crittografico alla coppia di chiavi operative del nodo (NOKP) univoca.
- NOKP viene generato dal nodo commissionato durante la procedura di commissione.
- Le informazioni NOCSR inviate all'ecosistema includono la chiave pubblica operativa del nodo, ma la chiave privata operativa del nodo non viene mai inviata al commissario o alla CA.
- La procedura NOCSR utilizza gli input della procedura di attestazione, la firma delle informazioni CSRSR e quindi la convalida della richiesta all'autorità di certificazione di generare un NOC attendibile.
La procedura di attestazione è un processo utilizzato dal Commissario per certificare che:
- Il dispositivo ha ottenuto la certificazione Matter.
- Il dispositivo è effettivamente quello che dichiara di essere: dimostra in modo crittografico il fornitore, l'ID prodotto e altre informazioni di produzione.
Multi-Admin
I nodi possono essere commissionati anche su più di un Fabric. Questa proprietà viene spesso definita multi-amministratore. Ad esempio, potremmo avere un dispositivo commissionato sia al Fabric del produttore sia al Fabric di un ecosistema cloud, con ogni Fabric che gestisce un insieme diverso di comunicazioni criptate e opera in modo indipendente.
Poiché possono coesistere più tessuti, un dispositivo potrebbe avere diversi set di credenziali operative del nodo. Tuttavia, il modello di dati del nodo è condiviso: gli attributi, gli eventi e le azioni del cluster sono comuni tra i fabric. Pertanto, anche se le credenziali Thread e/o Wi-Fi vengono impostate durante la procedura di commissioning, fanno parte del Networking Operational Cluster, vengono condivise tra tutti i Fabrics e fanno parte di DM del nodo, non delle credenziali Fabric.