Teraz, gdy znamy już niektóre kluczowe pojęcia związane z węzłem, przeanalizujemy, co umożliwia urządzeniom komunikowanie się ze sobą.
Specyfikacja Matter wykorzystuje zaawansowane metody szyfrowania i odszyfrowywania informacji, a także bezpieczne mechanizmy zapewniające tożsamość węzła i udostępnianie danych logowania kryptograficznych.
Gdy grupa urządzeń w sieci współdzieli tę samą domenę bezpieczeństwa, a tym samym umożliwia bezpieczną komunikację między węzłami, nazywamy ją strukturą. Struktury współdzielą ten sam certyfikat najwyższego poziomu urzędu certyfikacji (CA) (Root of Trust) oraz w kontekście CA unikalny 64-bitowy identyfikator o nazwie Fabric ID.
Proces wdrażania polega na przypisaniu danych logowania struktury do nowego węzła, aby mógł on komunikować się z innymi węzłami w tej samej strukturze.
Dane logowania operacyjne
Źródło zaufania jest ustawiane w węźle podczas wdrażania przez komisarza, zwykle urządzenie z jakimś interfejsem GUI, np. smartfon, hub lub komputer, po otrzymaniu go od Administrative Domain Manager (ADM), który często jest ekosystemem pełniącym funkcję Trusted Root Certificate Authority (CA).
Komisarz ma dostęp do CA. Dlatego w imieniu wdrażanego węzła lub Commissionee wysyła do CA żądanie Node Operational Credentials. Dane logowania składają się z 2 części:
Node Operational Identifier (lub Operational Node ID) to 64-bitowa liczba, która jednoznacznie identyfikuje każdy węzeł w strukturze.
Node Operational Certificate (NOC) to zestaw danych logowania, których węzły używają do komunikowania się i identyfikowania się w strukturze. Są one generowane przez proces Node Operational Certificate Signing Request (NOCSR).
NOCSR to procedura, która jest uruchamiana w wdrażanym węźle. Łączy ona kilka elementów kryptograficznych, a następnie wysyła je do komisarza, który wysyła do ekosystemu CA prośbę o odpowiedni NOC. Rysunek 1 przedstawia ten drzewo zależności i kolejność wykonywania niektórych operacji.
Chociaż zrozumienie każdego elementu kryptograficznego jest ważne w przypadku tworzenia pakietu SDK, pełna analiza ich roli i implikacji wykracza poza zakres tego przewodnika. Warto pamiętać, że:
- NOC są wydawane przez ekosystem CA w rzeczywistych strukturach produkcyjnych.
- NOC są kryptograficznie powiązane z unikalną Node Operational Key Pair (NOKP).
- NOKP jest generowany przez wdrażany węzeł podczas procesu wdrażania.
- Informacje NOCSR wysyłane do ekosystemu zawierają klucz publiczny Node Operational, ale klucz prywatny Node Operational nigdy nie jest wysyłany do komisarza ani do CA.
- Proces NOCSR wykorzystuje dane wejściowe z Attestation Procedure, podpisując informacje CSRSR, a tym samym weryfikując prośbę o wygenerowanie przez CA zaufanego NOC.
Attestation procedure to proces używany przez komisarza do potwierdzenia, że:
- Urządzenie przeszło certyfikację Matter.
- Urządzenie jest rzeczywiście tym, za co się podaje: kryptograficznie potwierdza swojego dostawcę, identyfikator produktu i inne informacje o produkcji.
Wielu administratorów
Węzły można też wdrażać w więcej niż 1 strukturze. Ta właściwość jest często nazywana wieloma administratorami. Możemy na przykład mieć urządzenie wdrożone zarówno w strukturze producenta, jak i w strukturze ekosystemu w chmurze, przy czym każda struktura obsługuje inny zestaw zaszyfrowanych komunikatów i działa niezależnie.
Ponieważ może istnieć kilka struktur, urządzenie może mieć kilka zestawów danych logowania operacyjnych węzła. Model danych węzła jest jednak współdzielony: atrybuty klastra, zdarzenia i działania są wspólne dla struktur. Dlatego chociaż Thread i/lub dane logowania Wi-Fi są ustawiane podczas procesu wdrażania, należą one do Networking Operational Cluster, są współdzielone przez wszystkie struktury i stanowią część modelu danych węzła, a nie danych logowania struktury.