Teraz, gdy już poznaliśmy najważniejsze pojęcia związane z węzłami, przyjrzymy się temu, co umożliwia urządzeniom komunikowanie się ze sobą.
Specyfikacja Matter wykorzystuje zaawansowane metody szyfrowania i odszyfrowywania informacji, a także bezpieczne mechanizmy zapewniające tożsamość węzła i udostępnianie danych uwierzytelniających.
Gdy zestaw urządzeń w sieci ma tę samą domenę zabezpieczeń i umożliwia bezpieczną komunikację między węzłami, nazywa się go siecią. Fabryki korzystają z tego samego certyfikatu najwyższego poziomu urzędu certyfikacji (CA) (zaufanie do głównego urzędu certyfikacji) i w kontekście urzędu certyfikacji z unikalnego 64-bitowego identyfikatora o nazwie identyfikator Fabric.
Dlatego proces włączania to przypisanie uprawnień Fabric do nowego węzła, aby mógł on komunikować się z innymi węzłami w tym samym środowisku Fabric.
Dane logowania operacyjne
Root of Trust jest ustawiany na węźle przez komisarza, zwykle na urządzeniu z interfejsem graficznym, takim jak smartfon, koncentrator lub komputer, po otrzymaniu go od menedżera domeny administracyjnej (ADM), który często jest elementem ekosystemu pełniącego rolę zaufanej instytucji wydającej certyfikat główny (CA).
Komisarz ma dostęp do CA. W tym celu wysyła do urzędu certyfikacji żądanie kwalifikacji operacyjnych węzła w imieniu węzła, który jest uruchamiany, lub uzyskiwanego certyfikatu. Uwierzytelnienie składa się z 2 części:
Identyfikator operacyjny węzła (lub identyfikator operacyjny węzła) to 64-bitowa liczba, która jednoznacznie identyfikuje każdy węzeł w architekturze.
Certyfikat operacyjny węzła (NOC) to zestaw poświadczeń, których węzły używają do komunikacji i identyfikacji w sieci Fabric. Są one generowane przez proces Node Operational Certificate Signing Request (NOCSR).
NOCSR to procedura wykonywana w węźle, które jest uruchamiane. Łączy ona kilka elementów kryptograficznych, a następnie wysyła je do komisarza, który prosi o odpowiednie NOC w ekosystemie CA. Rysunek 1 przedstawia to drzewo zależności i kolejność wykonywania niektórych operacji.
Chociaż zrozumienie każdego elementu kryptograficznego jest ważne dla rozwoju pakietu SDK, w ramach tego wprowadzenia nie można w pełni przeanalizować ich roli i wpływów. Ważne:
- Zaświadczenia o braku zastrzeżeń są wydawane przez system CA na podstawie rzeczywistych materiałów produkcyjnych.
- Klucze NOC są powiązane kryptograficznie z unikalnym kluczem operacyjnym węzła (KOW).
- NOKP jest generowany przez węzeł podczas procesu uruchamiania.
- Informacje NOCSR wysyłane do ekosystemu obejmują klucz publiczny węzła operacyjnego, ale klucz prywatny węzła operacyjnego nigdy nie jest wysyłany do komisarza ani do urzędu certyfikacji.
- Proces NOCSR wykorzystuje dane wejściowe z procedury uwierzytelniania, podpisując informacje CSRSR, a tym samym zatwierdzając prośbę o wygenerowanie zaufanej usługi NOC.
Procedura uwierzytelniania to proces stosowany przez komisarza w celu potwierdzenia, że:
- Urządzenie przeszło certyfikację Matter.
- Urządzenie jest tym, za które się podaje: potwierdza to za pomocą kryptografii, podając identyfikator dostawcy, identyfikator produktu i inne informacje o produkcie.
Administratorzy zbiorowi
Węzły mogą być też uruchamiane w więcej niż 1 Fabric. Ta usługa jest często nazywana usługą wieloadministracyjną. Na przykład urządzenie może być przypisane do Fabric producenta i Fabric ekosystemu chmurowego, a każdy z nich obsługuje inny zestaw zaszyfrowanych połączeń i działa niezależnie.
Ponieważ może istnieć kilka sieci Fabric, urządzenie może mieć kilka zestawów danych sesji operacyjnej węzła. Model danych węzła jest jednak wspólny: atrybuty klastra, zdarzenia i działania są wspólne dla wszystkich fabryk. Dlatego chociaż Thread lub dane logowania do sieci Wi-Fi są ustawiane podczas procesu uruchomienia, należą do klastra operacyjnego sieci, który jest udostępniany wszystkim Fabricom i jest częścią DM węzła, a nie danych logowania Fabric.