Теперь, когда мы поняли некоторые ключевые концепции узла, мы проанализируем, что позволяет устройствам взаимодействовать друг с другом.
Спецификация Matter использует сложные методы шифрования и дешифрования информации, а также безопасные механизмы для подтверждения подлинности узла и обмена криптографическими учетными данными.
Всякий раз, когда набор Устройств в сети разделяет один и тот же домен безопасности и, таким образом, обеспечивает безопасную связь между Узлами, этот набор называется Fabric. Fabrics разделяют один и тот же сертификат верхнего уровня Центра Сертификации ( CA ) ( Корень Доверия ) и в контексте CA — уникальный 64-битный идентификатор, называемый Fabric ID .
Таким образом, процесс ввода в эксплуатацию представляет собой назначение учетных данных Fabric новому узлу, чтобы он мог взаимодействовать с другими узлами в той же Fabric.
Оперативные полномочия
Корень доверия устанавливается на узле, вводимом в эксплуатацию Комиссаром, обычно на устройстве с каким-либо типом графического интерфейса пользователя, например, смартфоне, концентраторе или компьютере, после получения его от Административного менеджера домена ( ADM ), который часто представляет собой экосистему, действующую как Доверенный корневой центр сертификации ( CA ).
Комиссар имеет доступ к CA. Таким образом, он запрашивает Node Operational Credentials у CA от имени узла, который был уполномочен или Commissionee . Учетные данные состоят из двух частей:
Операционный идентификатор узла (или идентификатор операционного узла ) — это 64-битное число, которое уникальным образом идентифицирует каждый узел в фабрике.
Node Operational Certificate ( NOC ) — это набор учетных данных, которые Node используют для связи и идентификации себя в Fabric. Они генерируются процессом Node Operational Certificate Signing Request ( NOCSR ).
NOCSR — это процедура, которая выполняется на узле, который вводится в эксплуатацию. Она связывает несколько криптографических элементов, затем отправляет их комиссару, который запрашивает экосистему CA для соответствующего NOC. На рисунке 1 показано это дерево зависимостей и порядок, в котором происходят некоторые операции.
Хотя понимание каждого криптографического элемента важно для разработки SDK, полный анализ их роли и последствий выходит за рамки учебника. Важно отметить, что:
- NOC выпускаются экосистемой CA на реальных производственных тканях.
- NOC криптографически привязаны к уникальной паре ключей узла ( NOKP ).
- NOKP генерируется узлом, вводимым в эксплуатацию в процессе ввода в эксплуатацию.
- Информация NOCSR, отправляемая в экосистему, включает в себя открытый ключ работы узла, но закрытый ключ работы узла никогда не отправляется Комиссару или в УЦ.
- Процесс NOCSR использует входные данные из процедуры аттестации , подписывая информацию CSRSR и, таким образом, проверяя запрос к CA на создание доверенного NOC.
Процедура аттестации — это процесс, используемый Комиссаром для подтверждения того, что:
- Устройство прошло сертификацию Matter .
- Устройство действительно является тем, за что себя выдает: оно криптографически подтверждает своего поставщика, идентификатор продукта и другую производственную информацию.
Мульти-Администратор
Узлы также могут быть введены в эксплуатацию на более чем одной Fabric. Это свойство часто называют многопользовательским. Например, у нас может быть Устройство, введенное в эксплуатацию как на Fabric производителя, так и на Fabric облачной экосистемы, причем каждая Fabric обрабатывает свой набор зашифрованных сообщений и работает независимо.
Поскольку несколько Fabrics могут сосуществовать, устройство может иметь несколько наборов учетных данных Node. Однако модель данных Node является общей: атрибуты кластера, события и действия являются общими для всех Fabrics. Таким образом, хотя учетные данные Thread и/или Wi-Fi устанавливаются в процессе ввода в эксплуатацию, они являются частью Networking Operational Cluster , будучи общими для всех Fabrics и частью DM узла, а не учетных данных Fabric.