הבד

אחרי שהסברנו כמה מושגים חשובים לגבי Node, ננתח מה מאפשר למכשירים לתקשר אחד עם השני.

במפרט של Matter נעשה שימוש בשיטות מתקדמות להצפנה ולפענוח של מידע, וגם במנגנונים בטוחים לאימות הזהות של צומת ולשיתוף של אישורים קריפטוגרפיים.

קבוצת מכשירים ברשת שחולקים את אותו תחום אבטחה, ולכן מאפשרים תקשורת מאובטחת בין צמתים, נקראת Fabric. לכל רשת Fabric יש את אותו אישור ברמה העליונה של רשות האישורים (CA) (Root of Trust), ובמסגרת ההקשר של רשות האישורים, מזהה ייחודי בן 64 ביט שנקרא מזהה Fabric.

לכן, תהליך הפעלת ההרשאות הוא הקצאת פרטי הכניסה של Fabric לצומת חדש, כדי שהוא יוכל לתקשר עם צמתים אחרים באותו Fabric.

פרטי כניסה תפעוליים

ה-Root of Trust מוגדר בצומת בתהליך ההפעלה על ידי ה-Commissioner, בדרך כלל מכשיר עם ממשק משתמש גרפי כלשהו, כמו סמארטפון, רכזת או מחשב, אחרי שהוא מתקבל ממנהל דומיין אדמיניסטרטיבי (ADM), שלרוב יהיה אקוסיסטם שפועל כרשות אישורים מהימנה (CA).

לנציב יש גישה לרשות האישורים. לכן, הוא מבקש את פרטי הכניסה התפעוליים של הצומת מה-CA בשם הצומת שמופעל או המופעל. האישורים מורכבים משני חלקים:

מזהה תפעולי של צומת (או מזהה צומת תפעולי) הוא מספר של 64 ביט שמזהה באופן ייחודי כל צומת ב-Fabric.

אישור הפעלה של צומת (NOC) הוא קבוצת פרטי הכניסה שצמתים משתמשים בהם כדי לתקשר ולזהות את עצמם בתוך Fabric. הם נוצרים בתהליך בקשת החתימה על אישור תפעולי של צומת (NOCSR).

NOCSR הוא תהליך שמופעל בצומת שמופעל. הוא מאגד כמה רכיבים קריפטוגרפיים, ואז שולח אותם לנציב, שמבקש ממערכת האקולוגית של רשות האישורים את ה-NOC המתאים. איור 1 מציג את עץ התלות הזה ואת הסדר שבו מתרחשות חלק מהפעולות.

יחסי תלות של יצירת NOC
איור 1: תלות ביצירת NOC

חשוב להבין כל אלמנט קריפטוגרפי בפיתוח SDK, אבל ניתוח מלא של התפקיד וההשלכות שלהם הוא מעבר להיקף של המאמר הזה. חשוב לציין:

  • אישורי ה-NOC מונפקים על ידי מערכת האקולוגית של רשויות האישורים (CA) בייצור בפועל.
  • מספרי ה-NOC קשורים באופן קריפטוגרפי לצמד המפתחות התפעוליים הייחודיים של הצומת (NOKP).
  • מפתח ה-NOKP נוצר על ידי הצומת שמקבל הרשאה במהלך תהליך ההרשאה.
  • המידע של NOCSR שנשלח למערכת האקולוגית כולל את המפתח הציבורי התפעולי של הצומת, אבל המפתח הפרטי התפעולי של הצומת אף פעם לא נשלח אל המפקח או אל רשות האישורים.
  • תהליך ה-NOCSR משתמש בקלט מהליך האימות, חותם את המידע של ה-CSRSR וכך מאמת את הבקשה לרשות האישורים כדי ליצור NOC מהימן.

תהליך האימות (Attestation) הוא תהליך שמשמש את הנציב כדי לאשר ש:

  • המכשיר עבר אישור של Matter.
  • המכשיר הוא אכן מה שהוא טוען שהוא: הוא מוכיח בצורה מוצפנת את הספק, מזהה המוצר ופרטי ייצור אחרים.

Multi-Admin

יכול להיות שצמתים יופעלו ביותר מ-Fabric אחד. הנכס הזה נקרא לעיתים קרובות 'נכס עם כמה אדמינים'. לדוגמה, יכול להיות שמכשיר מסוים הוקצה גם ל-Fabric של היצרן וגם ל-Fabric של מערכת אקולוגית בענן, כאשר כל Fabric מטפל בקבוצה שונה של תקשורת מוצפנת ופועל באופן עצמאי.

יכול להיות שיהיו כמה רשתות Fabrics במקביל, ולכן למכשיר יכולים להיות כמה סטים של פרטי כניסה תפעוליים של Node. עם זאת, מודל הנתונים של הצומת משותף: המאפיינים, האירועים והפעולות של האשכול משותפים בין הרשתות. לכן, למרות שפרטי הכניסה של Thread או של Wi-Fi מוגדרים במהלך תהליך ההפעלה, הם חלק מאשכול התפעול של הרשת, והם משותפים בין כל ה-Fabrics וחלק מ-DM של הצומת, ולא מפרטי הכניסה של ה-Fabric.

הקודם
גילוי ותפעול
הבא
עמלה