现在,我们已经了解了节点的一些关键概念,接下来将分析设备之间如何进行通信。
Matter 规范使用复杂的方法来 加密 和 解密 信息,并使用安全机制来 确保节点的身份和共享加密凭据。
每当网络中的一组设备共享同一安全网域,从而允许节点之间进行安全通信时,这组设备就称为 Fabric。Fabric 共享同一证书授权机构 (CA) 顶级证书(信任根 ),并且在 CA 的上下文中,共享一个名为 Fabric ID 的唯一 64 位标识符。
因此,调试 过程是将 Fabric 凭据分配给新节点,以便该节点可以与同一 Fabric 中的其他节点通信。
运营凭据
信任根由调试器在调试节点上设置,调试器通常是具有某种 GUI 的设备,例如智能手机、中枢或计算机,在从管理网域管理器 (ADM) 接收到信任根后,调试器会进行设置。ADM 通常是一个生态系统,充当受信任的根证书授权机构 (CA)。
调试器有权访问 CA。因此,它会代表被调试的节点或被调试者 向 CA 请求节点运营凭据 。凭据由两部分组成:
节点运营标识符 (或运营节点 ID )是一个 64 位数字,用于唯一标识 Fabric 中的每个节点。
节点运营证书 (NOC) 是节点在 Fabric 中通信和标识自身时使用的一组凭据。它们由节点运营证书签名请求 (NOCSR) 流程生成。
NOCSR 是在被调试的节点上运行的过程。它会绑定多个加密元素,然后将它们发送给调试器,调试器会向 CA 生态系统请求其对应的 NOC。 图 1 描绘了此依赖关系树以及某些操作发生的顺序。
虽然了解每个加密元素对于 SDK 开发非常重要,但全面分析其作用和影响超出了入门指南的范围。需要注意的是:
- NOC 由 CA 生态系统在真实世界的生产 Fabric 上颁发。
- NOC 在加密方面与唯一的节点运营密钥对 (NOKP) 绑定。
- NOKP 由被调试的节点在调试过程中生成。
- 发送给生态系统的 NOCSR 信息包括节点运营公钥,但节点运营私钥绝不会发送给调试器或 CA。
- NOCSR 流程使用来自证明程序的输入,对 CSRSR 信息进行签名,从而验证 CA 生成 受信任 NOC 的请求。
证明程序 是调试器用来证明以下内容的过程:
- 设备已通过 Matter 认证。
- 设备确实是其声称的设备:它以加密方式证明其供应商、产品 ID 和其他制造信息。
多管理方流程
节点也可以在多个 Fabric 上进行调试。此属性通常称为多管理方流程。例如,我们可能有一个设备同时调试到制造商的 Fabric 和云生态系统的 Fabric,每个 Fabric 处理一组不同的加密通信并独立运行。
由于多个 Fabric 可能共存,因此设备可能有多组节点运营凭据。但是,节点的数据模型是共享的:集群属性、事件和操作在 Fabric 之间是通用的。因此,虽然在 Thread和/或 Wi-Fi 凭据在 调试过程中设置,但它们是网络运营集群的一部分, 在所有 Fabric 之间共享,并且是节点 DM 的一部分,而不是 Fabric 凭据。