ノードの重要なコンセプトを理解したところで、次はデバイスが相互に通信するための条件について分析します。
Matter の仕様では、情報の暗号化と復号のための高度なメソッドと、ノードの ID を確保し、暗号認証情報を共有するための安全なメカニズムを使用します。
ネットワーク内のデバイスのセットが同じセキュリティ ドメインを共有し、ノード間で安全に通信できる場合、このセットはファブリックと呼ばれます。ファブリックは、同じ認証局(CA)のトップレベル証明書(ルート オブ トラスト)を共有し、CA のコンテキスト内では、ファブリック ID という名前の一意の 64 ビット識別子を使用します。
したがって、「コミッション」プロセスは、新しいノードにファブリック認証情報を割り当てて、同じファブリック内の他のノードと通信できるようにすることです。
オペレーションの認証情報
ルート オブ トラストは、コミッショナーの委託によりノード上で設定されます。通常は、管理ドメイン マネージャー(ADM)から受信された、スマートフォン、ハブ、コンピュータなどの GUI を備えたデバイスです。ADM は通常、信頼できるルート認証局(CA)として機能するエコシステムです。
コミッショナーは CA にアクセスできます。したがって、コミッショニングされたノードまたはコミッショニーに代わって CA にノード オペレーション認証情報をリクエストします。認証情報は次の 2 つの部分で構成されます。
ノード オペレーションの識別子(オペレーショナル ノード ID)は、ファブリック内のすべてのノードを一意に識別する 64 ビットの番号です。
ノード オペレーション証明書(NOC)は、ノードが通信とファブリック内で自身を識別するために使用する認証情報のセットです。これらは、ノード オペレーションの証明書署名リクエスト(NOCSR)プロセスによって生成されます。
NOCSR は、コミッショニングされているノードで実行される手順です。複数の暗号要素をバインドし、コミッショナーに送信します。コミッショナーは、対応する NOC の CA エコシステムをリクエストします。図 1 は、この依存関係ツリーと、オペレーションが発生する順序を示しています。
各暗号要素を理解することは SDK の開発にとって重要ですが、その役割と意味を完全に分析することは、この入門編では扱いません。次の点に留意してください。
- NOC は、実際の本番環境ファブリックで CA エコシステムから発行されます。
- NOC は、一意のノード オペレーション鍵ペア(NOKP)に暗号的にバインドされます。
- NOKP は、コミッショニング プロセスでコミッショニングされたノードによって生成されます。
- エコシステムに送信される NOCSR 情報にはノード オペレーション公開鍵が含まれますが、ノード オペレーション秘密鍵がコミッショナーまたは CA に送信されることはありません。
- NOCSR プロセスは、構成証明手順からの入力を使用して CSRSR 情報に署名し、信頼できる NOC を生成するための CA からのリクエストを検証します。
証明書手続きとは、コミッショナーが以下を証明するために使用するプロセスです。
- このデバイスはMatterの認定を取得しています。
- デバイスは実際にその本物であり、ベンダー、プロダクト ID、その他の製造情報を暗号によって証明します。
マルチ管理
ノードを複数のファブリックでコミッショニングすることもできます。このプロパティはマルチ管理者とも呼ばれます。たとえば、メーカーのファブリックとクラウド エコシステムのファブリックの両方にデバイスを委託し、各ファブリックがそれぞれ異なる暗号化通信のセットを処理し、独立して動作しているとします。
複数のファブリックが共存する場合があるため、1 つのデバイスに複数のノード動作認証情報セットが存在することがあります。ただし、ノードのデータモデルは共有されます。クラスタ属性、イベント、アクションはファブリック間で共通です。したがって、Thread や Wi-Fi の認証情報はコミッション プロセスで設定されますが、ネットワーク運用クラスタの一部であり、ファブリック認証情報ではなく、すべてのファブリックとノードの DM の一部の間で共有されます。