Ahora que comprendemos algunos conceptos clave de un nodo, analizaremos lo que permite que los dispositivos se comuniquen entre sí.
La especificación Matter usa métodos sofisticados para encriptar y desencriptar información, así como mecanismos seguros para garantizar la identidad de un nodo y compartir credenciales criptográficas.
Cuando un conjunto de dispositivos en una red comparte el mismo dominio de seguridad y, por lo tanto, permite una comunicación segura entre los nodos, este conjunto se denomina Fabric. Los tejidos comparten el mismo certificado de nivel superior de la autoridad certificadora (AC) (raíz de confianza) y, dentro del contexto de la AC, un identificador único de 64 bits llamado ID de tejido.
Por lo tanto, el proceso de comisión es la asignación de las credenciales de Fabric a un nodo nuevo para que pueda comunicarse con otros nodos en la misma Fabric.
Credenciales operativas
La raíz de confianza se establece en un nodo que está en comisión por parte del comisionado, por lo general, un dispositivo con algún tipo de GUI, como un smartphone, un concentrador o una computadora, después de recibirlo de un administrador de dominios (ADM), que a menudo será un ecosistema que actúa como una autoridad certificadora raíz de confianza (AC).
El comisionado tiene acceso a la AC. Por lo tanto, solicita las Credenciales Operativas del Nodo a la AC en nombre del nodo que se está comisionando o del Comisionario. Las credenciales constan de dos partes:
El identificador operativo del nodo (o ID de nodo operativo) es un número de 64 bits que identifica de forma inequívoca cada nodo de Fabric.
El Certificado operativo del nodo (NOC) es el conjunto de credenciales que los nodos usan para comunicarse y para identificarse dentro de un Fabric. Las genera el proceso de solicitud de firma de certificado operativo del nodo (NOCSR).
NOCSR es un procedimiento que se ejecuta en el nodo que se está comisionando. Vincula varios elementos criptográficos y, luego, los envía al comisionado, que solicita al ecosistema de la AC su NOC correspondiente. En la Figura 1, se muestra este árbol de dependencias y el orden en el que se producen algunas operaciones.
Si bien comprender cada elemento criptográfico es importante para el desarrollo de SDKs, analizar por completo su rol y sus implicaciones está fuera del alcance de este instructivo. Es importante tener en cuenta lo siguiente:
- El ecosistema de la AC emite las NOC en tejidos de producción reales.
- Los NOC están vinculados criptográficamente al par de claves de operación del nodo (NOKP) único.
- El nodo que se comisiona durante el proceso de comisión genera el NOKP.
- La información del NOCSR que se envía al ecosistema incluye la clave pública operativa del nodo, pero la clave privada operativa del nodo nunca se envía al comisionado ni a la AC.
- El proceso de NOCSR usa entradas del Procedimiento de Certificación, firma la información del CSRSR y, de esta manera, valida la solicitud para que la AC genere una NOC de confianza.
El procedimiento de certificación es un proceso que usa el Comisionado para certificar lo siguiente:
- El dispositivo pasó la certificación de Matter.
- El dispositivo es lo que dice ser: demuestra criptográficamente su proveedor, el ID del producto y otra información de fabricación.
Multiadministrador
Los nodos también se pueden encargar en más de un Fabric. A menudo, esta propiedad se conoce como multiadministrador. Por ejemplo, es posible que tengamos un dispositivo encargado a Fabric del fabricante y a Fabric de un ecosistema de nube, cada uno de los cuales controla un conjunto diferente de comunicaciones encriptadas y funciona de forma independiente.
Como pueden coexistir varios Fabrics, un dispositivo puede tener varios conjuntos de credenciales operativas de Node. Sin embargo, el modelo de datos del nodo se comparte: los atributos, los eventos y las acciones del clúster son comunes entre los Fabrics. Por lo tanto, aunque las credenciales de Thread o Wi-Fi se configuren durante el proceso de puesta en servicio, forman parte del clúster operativo de Networking y se comparten entre todos los Fabrics y parte del DM del nodo, no las credenciales de Fabric.