הבד

עכשיו, אחרי שהבנו כמה מהמושגים המרכזיים של צומת, ננתח את האופן שבו מכשירים יכולים לתקשר זה עם זה.

במפרט של Matter נעשה שימוש בשיטות מתוחכמות להצפנה ופענוח של מידע, וכן במנגנונים בטוחים שמבטיחים את הזהות של הצומת וישתפו את פרטי הכניסה הקריפטוגרפיים.

בכל פעם שקבוצת מכשירים ברשת חולקת את אותו דומיין אבטחה, וכך מאפשרת תקשורת מאובטחת בין צמתים, הקבוצה הזו נקראת Fabric. הבדים חולקים את אותו אישור ברמה העליונה של Certificate Authority (CA) (Root of Trust) ובהקשר של ה-CA, מזהה ייחודי של 64 ביט בשם Fabric ID.

לכן, תהליך ההזמנה הוא ההקצאה של פרטי הכניסה של Fabric לצומת חדש, כדי שהוא יוכל לתקשר עם צמתים אחרים באותו Fabric.

פרטי כניסה תפעוליים

Root of Trust מוגדר בצומת תחת הזמנה על ידי הנציב, בדרך כלל מכשיר עם סוג כלשהו של GUI, כמו סמארטפון, רכזת או מחשב, אחרי שהוא מקבל אותו ממנהל דומיין אדמיניסטרטיבי (ADM), שלרוב תהיה סביבה עסקית שמשמשת כרשות אישורים של שורש מהימן (CA).

לנציבות יש גישה ל-CA. לכן, היא מבקשת מ-CA את פרטי הכניסה לתפעול צומת בשם הצומת שהוזמן או הוועדה. פרטי הכניסה מורכבים משני חלקים:

Node Operational Identifier (או מזהה הצומת התפעולי) הוא מספר של 64 ביט שמזהה באופן ייחודי כל צומת ב-Fabric.

אישור תפעול צומת (NOC) הוא קבוצת פרטי הכניסה שבהם הצמתים משתמשים כדי לתקשר ולזהות את עצמם בתוך Fabric. הם נוצרים על ידי תהליך Node Operational Certificate Signing Request (בקשת חתימה לאישור צומת) (NOCSR).

NOCSR הוא תהליך שפועל ב-Node שהוזמן. הוא מקשר כמה אלמנטים קריפטוגרפיים ואז שולח אותם לנציבות, שביקשה מהסביבה העסקית של ה-CA את אישור ה-NOC המתאים. איור 1 מציג את עץ התלות הזה ואת הסדר שבו מתרחשות חלק מהפעולות.

יחסי תלות של יצירת NOC
איור 1: יחסי תלות של יצירת טופס NOC

אומנם חשוב להבין כל רכיב קריפטוגרפי לפיתוח SDK, אבל היכולת לנתח את התפקיד וההשלכות שלו בצורה מלאה היא לא במסגרת ה-Primer. מה שחשוב לציין הוא:

  • אישורי NOC מונפקים על ידי הסביבה העסקית של קליפורניה לגבי בדים בסביבת ייצור בעולם האמיתי.
  • מספרי ה-NOC קשורים באופן קריפטוגרפי לצמד המפתחות התפעולי הייחודי (NOKP).
  • ה-NOKP נוצר על ידי הצומת שהוזמן במהלך תהליך ההזמנה.
  • המידע של NOCSR שנשלח לסביבה העסקית כולל את המפתח הציבורי לתפעול צומת, אבל המפתח הפרטי תפעולי של צומת אף פעם לא נשלח לנציב או ל-CA.
  • בתהליך NOCSR המערכת משתמשת בנתונים מהליך האימות, חותמת על פרטי ה-CSRSR וכך מאמתת את הבקשה ל-CA ליצור NOC מהימן.

הליך האימות הוא תהליך המשמש את הנציב כדי לאשר:

  • המכשיר עבר את תהליך האישור Matter.
  • המכשיר אכן מה שהוא מתיימר: הוא מוכיח באופן קריפטוגרפי את הספק, מזהה המוצר ומידע אחר על הייצור.

אדמינים מרובים

אפשר להזמין צמתים גם ליותר מ-Fabric אחד. הנכס הזה נקרא בדרך כלל 'ריבוי אדמין'. לדוגמה, יכול להיות להזמין מכשיר גם מ-Fabric של היצרן וגם מ-Fabric של סביבת ענן, וכל Fabric מטפל בקבוצה שונה של תקשורת מוצפנת ופועל באופן עצמאי.

מאחר שמספר Fabrics יכולים לפעול בו-זמנית, למכשיר יכולות להיות כמה קבוצות של פרטי כניסה תפעוליים באמצעות Node. עם זאת, מודל הנתונים של הצומת משותף: מאפייני האשכול, האירועים והפעולות נפוצים ב-Fabrics. לכן, למרות שפרטי הכניסה ל-Thread ו/או ל-Wi-Fi מוגדרים במהלך תהליך ההזמנה, הם חלק מאשכול תפעולי של Networking, שמשותפים בין כל ה-Fabrics וחלק מ-DM של הצומת, ולא לפרטי הכניסה של Fabric.

הקודם
גילוי ותפעול
הבא
עמלה