ノードの重要なコンセプトを理解したところで、デバイス間の通信を可能にするものについて分析します。
Matter 仕様では、情報の暗号化と復号に高度なメソッドを使用し、ノードの ID を保証して暗号認証情報を共有するための安全なメカニズムを使用します。
ネットワーク内のデバイスのセットが同じセキュリティ ドメインを共有しており、ノード間で安全に通信できる場合に、このセットをファブリックと呼びます。ファブリックは、同じ認証局(CA)の最上位証明書(ルート オブ トラスト)と、CA のコンテキスト内のファブリック ID という一意の 64 ビット識別子を共有します。
したがって、コミッショニング プロセスとは、新しいノードにファブリック認証情報を割り当てて、同じファブリック内の他のノードと通信できるようにすることです。
運用認証情報
ルート オブ トラストは、コミッショナーによってコミッショニング中のノードに設定されます。通常、スマートフォン、ハブ、コンピュータなどの GUI を備えたデバイスが、管理ドメイン マネージャー(ADM)から受け取った後で設定します。多くの場合、ADM は信頼できるルート認証局(CA)として機能するエコシステムになります。
コミッショナーは CA にアクセスできます。そのため、コミッショニングされるノードまたはコミッショニーの代わりに CA からノード運用認証情報をリクエストします。認証情報は次の 2 つの部分で構成されています。
ノード運用識別子(または運用ノード ID)は、ファブリック内のすべてのノードを一意に識別する 64 ビットの数値です。
ノード運用証明書(NOC)は、ノードがファブリック内で通信して自身を識別するために使用する一連の認証情報です。これらは、ノード運用証明書署名リクエスト(NOCSR)プロセスによって生成されます。
NOCSR は、コミッショニングされるノードで実行される手順です。複数の暗号要素をバインドしてコミッショナーに送信します。コミッショナーは、対応する NOC を CA エコシステムにリクエストします。図 1 は、この依存関係ツリーと、一部のオペレーションが発生する順序を示しています。
各暗号要素を理解することは SDK の開発にとって重要ですが、その役割と影響を完全に分析することはこのドキュメントの範囲外です。重要な点は次のとおりです。
- NOC は、実際の運用ファブリック上の CA エコシステムによって発行されます。
- NOC は、一意のノード運用鍵ペア(NOKP)に暗号的にバインドされます。
- NOKP は、コミッショニング プロセス中にコミッショニングされるノードによって生成されます。
- エコシステムに送信される NOCSR 情報にはノード運用公開鍵が含まれますが、ノード運用秘密鍵がコミッショナーまたは CA に送信されることはありません。
- NOCSR プロセスでは、構成証明手順からの入力を使用して CSRSR 情報に署名し、信頼できる NOC を生成するという CA に対するリクエストを検証します。
構成証明手続きは、コミッショナーが次のことを証明するために使用するプロセスです。
- デバイスが Matter 認証を受けている。
- デバイスが主張どおりのものである。ベンダー、プロダクト ID、その他の製造情報を暗号的に証明します。
Multi-Admin
ノードは複数のファブリックでコミッショニングすることもできます。このプロパティは、マルチ管理者と呼ばれることがよくあります。たとえば、メーカーのファブリックとクラウド エコシステムのファブリックの両方にコミッショニングされたデバイスがあり、各ファブリックが異なる一連の暗号化された通信を処理し、独立して動作している場合があります。
複数のファブリックが共存する可能性があるため、デバイスには複数のノード運用認証情報セットが存在する可能性があります。ただし、ノードのデータモデルは共有されます。クラスタの属性、イベント、アクションはファブリック間で共通です。したがって、コミッショニング プロセス中に Thread や Wi-Fi 認証情報が設定されても、それらはネットワーキング運用クラスタの一部であり、すべてのファブリック間で共有され、ファブリックの認証情報ではなくノードの DM の一部となります。