Znasz już podstawowe pojęcia związane z węzłem, więc teraz przeanalizujemy, co umożliwia komunikację między urządzeniami.
Specyfikacja Matter korzysta z zaawansowanych metod szyfrowania i odszyfrowywania informacji, a także z bezpiecznych mechanizmów do zapewniania tożsamości węzła i udostępniania danych logowania kryptograficznego.
Gdy zestaw urządzeń w sieci korzysta z tej samej domeny zabezpieczeń, co pozwala na bezpieczną komunikację między węzłami, ten zestaw jest nazywany Fabric. Tkaniny korzystają z tego samego certyfikatu najwyższego poziomu urzędu certyfikacji CA (Root of Trust), a w kontekście urzędu certyfikacji – unikalny 64-bitowy identyfikator o nazwie Fabric ID.
Proces uruchamiania polega więc na przypisaniu danych logowania do Fabric do nowego węzła, aby mógł on komunikować się z innymi węzłami w tej samej usłudze Fabric.
Dane logowania do operacji
Źródło zaufania jest ustawiane w węźle uruchamianym przez komisarza (zwykle jest to urządzenie z określonym rodzajem GUI, np. smartfon, hub lub komputer) po otrzymaniu go z administracyjnego menedżera domeny (ADM). Często będzie to ekosystem pełniący funkcję zaufanego głównego urzędu certyfikacji (CA).
Komisarz ma dostęp do urzędu certyfikacji. W związku z tym wysyła do urzędu certyfikacji dane logowania do działania węzła w imieniu udostępnianego węzła lub komisji. Dane logowania składają się z 2 części:
Identyfikator operacyjny węzła (lub identyfikator węzła operacyjnego) to 64-bitowy numer, który jednoznacznie identyfikuje każdy węzeł w usłudze Fabric.
Certyfikat operacyjny węzła (NOC) to zestaw danych uwierzytelniających używanych przez węzły do komunikacji i identyfikowania się w usłudze Fabric. Są one generowane przez proces Node Operational Certificate Signing Request (NOCSR).
NOCSR to procedura uruchamiana na uruchamianym węźle. Łączy on kilka elementów kryptograficznych i wysyła je do komisarza, który prosi o utworzenie odpowiedniego oświadczenia w ramach ekosystemu Kanady. Rysunek 1 przedstawia drzewo zależności i kolejność, w jakiej występują niektóre operacje.
Poznanie poszczególnych elementów kryptograficznych jest ważne przy tworzeniu pakietu SDK, jednak pełna analiza ich ról i konsekwencji nie jest w zakresie podstawowym. Pamiętaj, że:
- Oświadczenia te są wydawane przez ekosystem CA w odniesieniu do rzeczywistych tkanin produkcyjnych.
- Oświadczenia o braku zastrzeżeń są kryptograficznie powiązane z unikalną parą kluczy operacyjnych węzła (NOKP).
- Wartość NOKP jest generowana przez węzeł uruchamiany podczas procesu uruchamiania.
- Informacje NOCSR wysyłane do ekosystemu obejmują publiczny klucz operacyjny węzła, ale prywatny klucz operacyjny węzła nie jest nigdy wysyłany do komisarza ani do urzędu certyfikacji.
- Proces NOCSR wykorzystuje dane wejściowe z procedury atestu, podpisuje informacje CSRSR, a tym samym weryfikuje żądanie dla urzędu certyfikacji w celu wygenerowania zaufanego oświadczenia o braku zastrzeżeń.
Procedura atestu to procedura stosowana przez komisarza w celu potwierdzenia, że:
- Urządzenie ma certyfikat Matter.
- Urządzenie rzeczywiście jest tym, za które się podaje: kryptograficznie potwierdza dostawcę, identyfikator produktu i inne informacje dotyczące produkcji.
Wielu administratorów
Węzły można też zamówić na więcej niż jednej platformie Fabric. Tę usługę często określa się jako wielu administratorów. Możemy na przykład zamówić urządzenie do platformy Fabric i platformy Cloud Ekosystemu w chmurze, przy czym każda z nich obsługuje inny zestaw szyfrowanych połączeń i działa niezależnie.
Ponieważ kilka tkanin może współistnieć, Urządzenie może mieć kilka zbiorów danych logowania do operacji węzła. Model danych węzła jest jednak wspólny: atrybuty klastra, zdarzenia i akcje są wspólne dla Fabric. Dlatego, chociaż dane logowania do sieci Thread lub sieci Wi-Fi są ustawiane podczas procesu uruchamiania, należą one do klastra operacyjnego sieci, które są współużytkowane przez wszystkie usługi Fabric i część menedżera instancji węzła, a nie dane logowania do Fabric.