Ora che abbiamo capito alcuni concetti chiave di un nodo, analizziamo cosa consente ai dispositivi di comunicare tra loro.
La specifica Matter utilizza metodi sofisticati per la crittografia e la decrittografia delle informazioni, nonché meccanismi sicuri per garantire l'identità di un Nodo e condividere le credenziali crittografiche.
Un insieme di dispositivi in una rete che condivide lo stesso dominio di sicurezza, consentendo la comunicazione sicura tra i Nodi, viene definito un'Infrastruttura. I fabric condividono lo stesso certificato di primo livello Autorità di certificazione (CA) (radice di attendibilità) e, all'interno della CA, un identificatore univoco a 64 bit denominato ID fabbrica.
Pertanto, il processo di commissione consiste nell'assegnazione delle credenziali dell'Infrastruttura a un nuovo Nodo in modo che possa comunicare con altri Nodi nella stessa Infrastruttura.
Credenziali operative
La radice di attendibilità è impostata su un nodo sotto la commissione del Commissioner, in genere un dispositivo con un qualche tipo di GUI, ad esempio uno smartphone, un hub o un computer, dopo averlo ricevuto da un Administrative Domain Manager (ADM), che spesso è un ecosistema che funge da Trusted Root Certificate Authority (CA).
Il Commissioner ha accesso alla CA. Richiede quindi le credenziali operative del nodo alla CA per conto del nodo che viene commissionato o del Commissionee. Le credenziali sono composte da due parti:
L'identificatore operativo del nodo (o ID nodo operativo) è un numero a 64 bit che identifica in modo univoco ogni nodo nell'infrastruttura.
Il Node Operational Certificate (NOC) è l'insieme di credenziali che i nodi utilizzano per comunicare e identificarsi all'interno di un'Infrastruttura. Vengono generati dal processo Node Operational Certificate Signing Request (NOCSR).
NOCSR è una procedura eseguita sul nodo commissionato. Lega diversi elementi crittografici, quindi li invia al Commissioner, che richiede all'ecosistema CA il corrispondente certificato di non obiezione. La Figura 1 mostra questo albero delle dipendenze e l'ordine in cui si verificano alcune operazioni.
Sebbene la comprensione di ogni elemento crittografico sia importante per lo sviluppo dell'SDK, analizza completamente il ruolo e le implicazioni al di fuori dell'ambito del primer. È importante notare che:
- I NOC vengono emessi dall'ecosistema CA su tessuti di produzione reali.
- I NOC sono associati tramite crittografia alla coppia di chiavi operativa dei nodi (NOKP) univoca.
- Il valore NOKP viene generato dal nodo messo in servizio durante il processo di messa in servizio.
- Le informazioni NOCSR inviate all'ecosistema includono la chiave pubblica operativa del nodo, ma quest'ultima non viene mai inviata al commissario o alla CA.
- Il processo NOCSR utilizza gli input della procedura di attestazione, firma le informazioni CSRSR e quindi convalida la richiesta alla CA di generare un certificato di non obiezione attendibile.
La procedura di attestazione è una procedura utilizzata dal Commissioner per certificare che:
- Il dispositivo ha superato la certificazione Matter.
- Il dispositivo è effettivamente ciò che afferma di essere: prova crittograficamente il suo fornitore, il suo ID prodotto e altre informazioni sulla produzione.
Multiamministratore
I nodi possono anche essere commissionati su più di un'Infrastruttura. Questa proprietà è spesso indicata come multi-amministratore. Ad esempio, potremmo avere un Dispositivo commissionato sia all'Infrastruttura del produttore sia alla Fabric dell'ecosistema cloud, e ciascuna Fabric gestisce un insieme diverso di comunicazioni criptate e opera in modo indipendente.
Poiché più fabric possono coesistere, un Dispositivo può avere diversi insiemi di credenziali operative dei nodi. Tuttavia, il modello dei dati del nodo è condiviso: attributi del cluster, eventi e azioni sono comuni tra i fabric. Di conseguenza, anche se le credenziali Thread e/o Wi-Fi vengono impostate durante il processo di messa in servizio, fanno parte del cluster Networking Operational, poiché vengono condivise tra tutti i fabric e una parte del DM del nodo, non tra le credenziali dell'Infrastruttura.