现在,我们已经了解了节点的一些关键概念,接下来我们将分析是什么让设备能够相互通信。
Matter 规范使用复杂的方法来加密和解密信息,并使用安全机制来确保节点的身份和共享加密凭据。
每当网络中的一组设备共享相同的安全域,从而允许节点之间进行安全通信时,这组设备就称为 Fabric。Fabric 共用相同的证书授权机构 (CA) 顶级证书(信任根),并且在 CA 上下文中,共用一个名为 Fabric ID 的唯一 64 位标识符。
因此,配置流程是将 Fabric 凭据分配给新节点,以便它可以与同一 Fabric 中的其他节点通信。
运营凭据
在从管理域名管理器 (ADM) 接收信任根之后,系统会在受委托人委托的节点(通常是具有某种类型的 GUI 的设备,例如智能手机、集线器或计算机)上设置信任根。ADM 通常是一个充当受信任根证书授权机构 (CA) 的生态系统。
专员有权访问 CA。因此,它会代表要委托的节点或受托人向 CA 请求节点操作凭据。凭据由两部分组成:
节点操作标识符(或操作节点 ID)是一个 64 位数字,用于唯一标识 Fabric 中的每个节点。
节点操作证书 (NOC) 是节点用于在 Fabric 中进行通信和标识自己的一组凭据。它们由节点操作证书签名请求 (NOCSR) 流程生成。
NOCSR 是在正在调试的节点上运行的一种过程。它会绑定多个加密元素,然后将其发送给专员,专员会向 CA 生态系统请求相应的 NOC。图 1 描绘了此依赖项树以及某些操作的发生顺序。
虽然了解每种加密元素对 SDK 开发很重要,但本入门手册无法全面分析这些元素的作用和影响。请务必注意以下几点:
- NOC 由 CA 生态系统在真实的生产环境中颁发。
- NOC 会通过加密方式绑定到唯一的节点操作密钥对 (NOKP)。
- NOKP 由正在调试的节点在调试过程中生成。
- 发送到生态系统的 NOCSR 信息包含节点操作公开密钥,但节点操作私钥绝不会发送给委员会或 CA。
- NOCSR 流程使用认证流程中的输入,对 CSRSR 信息进行签名,从而验证 CA 生成可信 NOC 的请求。
认证程序是专为证实以下事项而由专员使用的流程:
- 设备已通过 Matter 认证。
- 设备确实是它声称的那样:它可以通过加密方式证明其供应商、产品 ID 和其他制造信息。
多管理员
节点也可以在多个 Fabric 上进行委托。此属性通常称为“多管理员”。例如,我们可以将设备委托给制造商的 Fabric 和云生态系统的 Fabric,每个 Fabric 处理一组不同的加密通信,并独立运行。
由于多个 Fabric 可能会共存,因此设备可能具有多组节点操作凭据。不过,节点的数据模型是共享的:Fabric 之间具有共同的集群属性、事件和操作。因此,虽然 Thread 和/或 Wi-Fi 凭据是在配置过程中设置的,但它们属于网络操作集群,在所有 Fabric 之间共享,并且是节点 DM 的一部分,而不是 Fabric 凭据。