现在,我们已经了解了节点的一些关键概念,接下来我们将分析使设备能够相互通信的因素。
Matter 规范使用了复杂的加密和解密信息方法,以及用于确保节点身份和分享加密凭据的安全机制。
只要网络中的一组设备共用同一安全网域,因此允许在节点之间进行安全通信时,这组设备就称为 Fabric。Fabric 共享相同的证书授权机构 (CA) 顶级证书(信任根),并在 CA 上下文内共享一个名为 Fabric ID 的唯一 64 位标识符。
因此,“佣金”流程是将 Fabric 凭据分配给新节点,以便它可以与同一 Fabric 中的其他节点进行通信。
操作凭据
信任根设置在由调试器调试的节点上,通常是具有某种类型 GUI 的设备,例如智能手机、集线器或计算机,从管理员网域管理员 (ADM) 收到此信息后,该域管理器通常是一个充当可信根证书授权机构 (CA) 的生态系统。
该专员有权访问 CA。因此,它会代表受委托的节点或委员会向 CA 请求节点操作凭据。这些凭据由两部分组成:
节点操作标识符(或称“操作节点 ID”)是一个 64 位数字,用于唯一标识 Fabric 中的每个节点。
节点操作证书 (NOC) 是节点在 Fabric 中用于通信和标识自身的一组凭据。它们由节点操作证书签名请求 (NOCSR) 流程生成。
NOCSR 是在处于调试状态的节点上运行的过程。它会绑定几个加密元素,然后将其发送给调试委员会,后者会请求 CA 生态系统提供其相应的 NOC。图 1 描述了这种依赖关系树以及某些操作的发生顺序。
虽然了解每个加密元素对于 SDK 开发很重要,但全面分析它们的作用和影响不在本文的入门范围之内。需要注意的是:
- 无异议通知 (NOC) 由 CA 生态系统针对实际生产面料发放。
- NOC 以加密形式绑定到唯一的节点操作密钥对 (NOKP)。
- NOKP 由在调试过程中调试的节点生成。
- 发送到生态系统的 NOCSR 信息包括节点操作公钥,但节点操作私钥绝不会发送给委员会或 CA。
- NOCSR 进程使用认证过程中的输入对 CSRSR 信息进行签名,从而验证 CA 的请求,从而生成可信 NOC。
认证程序是专员用于证明以下事项的流程:
- 设备已通过Matter认证。
- 设备的确如其名:以加密形式证明其供应商、产品 ID 和其他制造信息。
多管理员
节点也可以在多个 Fabric 上调试。此属性通常称为“多管理员”。例如,我们的一个设备可能同时委托给制造商的 Fabric 和一个云生态系统的 Fabric 委托,其中每个 Fabric 处理一组不同的加密通信并独立运行。
由于多个 Fabric 可能会共存,因此一个设备可能具有多组节点操作凭据。但是,节点的数据模型是共享的:集群属性、事件和操作在 Fabric 之间是通用的。因此,虽然 Thread 和/或 Wi-Fi 凭据是在调试过程中设置的,但它们属于网络操作集群的一部分,在所有 Fabric 和节点的 DM 之间共享,而不是 Fabric 凭据。