Ahora que comprendemos algunos conceptos clave de un nodo, analizaremos qué permite que los dispositivos se comuniquen entre sí.
La especificación Matter usa métodos sofisticados para encriptar y desencriptar información, así como mecanismos seguros para garantizar la identidad de un nodo y compartir credenciales criptográficas.
Cuando un conjunto de dispositivos en una red comparte el mismo dominio de seguridad y, por lo tanto, permite una comunicación segura entre los nodos, este conjunto se denomina Fabric. Los fabrics comparten el mismo certificado de nivel superior de la autoridad certificadora (AC) (raíz de confianza) y, dentro del contexto de la AC, un identificador único de 64 bits denominado ID de fabric.
Por lo tanto, el proceso de comisión es la asignación de las credenciales de Fabric a un nodo nuevo para que pueda comunicarse con otros nodos en la misma Fabric.
Credenciales operativas
El comisionado establece la raíz de confianza en un nodo en proceso de puesta en servicio, por lo general, un dispositivo con algún tipo de GUI, como un smartphone, un concentrador o una computadora, después de recibirlo de un administrador de dominio administrativo (ADM), que a menudo será un ecosistema que actúa como una entidad certificadora raíz de confianza (CA).
El comisionado tiene acceso a la CA. Por lo tanto, solicita las credenciales operativas del nodo a la CA en nombre del nodo que se está poniendo en servicio o del comisionado. Las credenciales constan de dos partes:
El identificador operativo del nodo (o ID operativo del nodo) es un número de 64 bits que identifica de forma única cada nodo de la estructura.
El Certificado Operacional del Nodo (NOC) es el conjunto de credenciales que los nodos usan para comunicarse y identificarse dentro de una Fabric. Se generan a través del proceso de Solicitud de firma de certificado operativo del nodo (NOCSR).
NOCSR es un procedimiento que se ejecuta en el nodo que se pone en servicio. Vincula varios elementos criptográficos y, luego, los envía al comisionado, quien solicita el NOC correspondiente al ecosistema de la CA. La figura 1 muestra este árbol de dependencias y el orden en que ocurren algunas operaciones.
Si bien comprender cada elemento criptográfico es importante para el desarrollo del SDK, analizar por completo su rol y sus implicaciones está fuera del alcance de esta guía. Es importante tener en cuenta lo siguiente:
- Las NOC se emiten en el ecosistema de la CA en estructuras de producción del mundo real.
- Los NOC están vinculados de forma criptográfica al par de claves operativas del nodo (NOKP) único.
- El NOKP lo genera el nodo que se pone en servicio durante el proceso de puesta en servicio.
- La información del NOCSR que se envía al ecosistema incluye la clave pública operativa del nodo, pero la clave privada operativa del nodo nunca se envía al comisionado ni a la CA.
- El proceso de NOCSR usa entradas del procedimiento de certificación, firma la información de CSRSR y, de este modo, valida la solicitud para que la CA genere un NOC de confianza.
El procedimiento de certificación es un proceso que utiliza el Comisionado para certificar lo siguiente:
- El dispositivo pasó la certificación de Matter.
- El dispositivo es lo que dice ser: prueba de forma criptográfica su proveedor, ID de producto y otra información de fabricación.
Multiadministrador
Los nodos también se pueden poner en servicio en más de un tejido. A menudo, esta propiedad se conoce como multiadministrador. Por ejemplo, es posible que tengamos un dispositivo comisionado tanto para la estructura del fabricante como para la estructura de un ecosistema de nube, y cada estructura maneje un conjunto diferente de comunicaciones encriptadas y opere de forma independiente.
Como pueden coexistir varios Fabrics, un dispositivo puede tener varios conjuntos de credenciales operativas de nodo. Sin embargo, el modelo de datos del nodo es compartido: los atributos, los eventos y las acciones del clúster son comunes entre las estructuras. Por lo tanto, aunque se establezcan las credenciales de Thread o de Wi-Fi durante el proceso de puesta en servicio, forman parte del clúster operativo de redes, se comparten entre todos los Fabrics y forman parte del DM del nodo, no de las credenciales del Fabric.