Ora che abbiamo compreso alcuni concetti chiave di un Nodo, analizzeremo cosa consente ai dispositivi di comunicare tra loro.
La specifica Matter utilizza metodi sofisticati per criptare e decriptare le informazioni, nonché meccanismi sicuri per garantire l'identità di un Nodo e condividere le credenziali di crittografia.
Un insieme di dispositivi in una rete che ha lo stesso dominio di sicurezza, che consente la comunicazione sicura tra i Nodi, viene definito un'Infrastruttura. I fabric condividono lo stesso certificato di primo livello dell'autorità di certificazione (CA) (Root of Trust) e, nel contesto della CA, un identificatore univoco a 64 bit denominato ID fabric.
Pertanto, la procedura di messa in servizio consiste nell'assegnazione delle credenziali dell'Infrastruttura a un nuovo Nodo in modo che possa comunicare con altri Nodi presenti nella stessa Infrastruttura.
Credenziali di gestione
La radice di attendibilità viene impostata su un Nodo in fase di messa in servizio da parte del Commissario, tipicamente un dispositivo con un tipo di interfaccia utente grafica, come uno smartphone, un hub o un computer, dopo averlo ricevuto da un Administrative Domain Manager (ADM), che spesso sarà un ecosistema che funge da Trusted Root Certificate Authority (CA).
Il commissario ha accesso alla CA. Pertanto, richiede le Credenziali di funzionamento del nodo all'CA per conto del nodo in fase di messa in servizio o del Commissionato. Le credenziali sono costituite da due parti:
L'identificatore operativo del nodo (o ID nodo operativo) è un numero di 64 bit che identifica in modo univoco ogni nodo nel fabric.
Il Node Operational Certificate (NOC) è l'insieme di credenziali che i Nodi utilizzano per comunicare e identificarsi all'interno di un'Infrastruttura. Vengono generati dalla procedura Node Operational Certificate Signing Request (NOCSR).
NOCSR è una procedura che viene eseguita sul nodo in fase di messa in servizio. Collega diversi elementi crittografici, poi li invia al Commissario, che richiede all'ecosistema CA il relativo NOC. La Figura 1 mostra questo albero di dipendenza e l'ordine in cui si verificano alcune operazioni.
Sebbene la comprensione di ogni elemento crittografico sia importante per lo sviluppo dell'SDK, non rientra nell'ambito di questo documento analizzare completamente il loro ruolo e le loro implicazioni. È importante notare che:
- I NOC vengono emessi dall'ecosistema CA su fabric di produzione reali.
- Le NOC sono legate in modo criptato alla coppia di chiavi di servizio del nodo (NOKP) univoca.
- Il NOKP viene generato dal nodo in fase di messa in servizio durante il processo di commissioning.
- Le informazioni NOCSR inviate all'ecosistema includono la chiave pubblica del Nodo operativo, ma la chiave privata del Nodo operativo non viene mai inviata al Commissioner o alla CA.
- La procedura NOCSR utilizza gli input della procedura di attestazione, firma le informazioni CSRSR e convalida quindi la richiesta di generazione da parte della CA di un NOC attendibile.
La procedura di attestazione è un processo utilizzato dal Commissario per certificare che:
- Il dispositivo ha superato la certificazione Matter.
- Il dispositivo è effettivamente quello che dice di essere: dimostra in modo crittografico il fornitore, l'ID prodotto e altre informazioni sulla produzione.
Multi-Admin
I nodi possono essere messi in servizio anche in più di un'Infrastruttura. Questa proprietà è spesso indicata come multi-amministratore. Ad esempio, potremmo avere un dispositivo commissionato sia al Fabric del produttore sia al Fabric di un ecosistema cloud, con ogni Fabric che gestisce un insieme diverso di comunicazioni criptate e opera in modo indipendente.
Poiché possono coesistere più insiemi, un dispositivo potrebbe avere diversi set di credenziali di funzionamento del Nodo. Tuttavia, il modello di dati del nodo è condiviso: gli attributi, gli eventi e le azioni del cluster sono comuni tra i fabric. Pertanto, sebbene le credenziali Thread e/o Wi-Fi vengano impostate durante la procedura di messa in servizio, fanno parte del Networking Operational Cluster, poiché sono condivise tra tutti i fabric e fanno parte del DM del nodo, non delle credenziali del fabric.