Ahora que comprendemos algunos conceptos clave de un nodo, analizaremos qué permite que los dispositivos se comuniquen entre sí.
La especificación Matter usa métodos sofisticados para encriptar y desencriptar información, además de mecanismos seguros para garantizar la identidad de un nodo y compartir credenciales criptográficas.
Cuando un conjunto de dispositivos en una red comparte el mismo dominio de seguridad y, por lo tanto, permite una comunicación segura entre los nodos, este conjunto se denomina Fabric. Las Fabrics comparten el mismo certificado de nivel superior de Autoridad certificadora (CA) (Raíz de confianza) y, dentro del contexto de la CA, un identificador único de 64 bits llamado ID de Fabric.
Por lo tanto, el proceso de comisionación es la asignación de las credenciales de Fabric a un nodo nuevo para que pueda comunicarse con otros nodos en la misma Fabric.
Credenciales operativas
La raíz de confianza se establece en un nodo encargado por el comisionado, por lo general, un dispositivo con algún tipo de GUI, como un smartphone, un concentrador o una computadora, después de recibirlo de un Administrador de dominio administrativo (ADM), que suele ser un ecosistema que actúa como una autoridad certificadora raíz de confianza (CA).
El comisionado tiene acceso a la AC. Por lo tanto, solicita las credenciales operativas del nodo a la AC en nombre del nodo que se está encargando o del comisionado. Las credenciales tienen dos partes:
El identificador operativo de nodo (o ID de nodo operativo) es un número de 64 bits que identifica de forma única a cada nodo en Fabric.
El certificado operativo de nodos (NOC) es el conjunto de credenciales que los nodos usan para identificarse y comunicarse en Fabric. Se generan a través del proceso de Solicitud de firma de certificado operativo de nodo (NOCSR).
NOCSR es un procedimiento que se ejecuta en el nodo que se pone en marcha. Este vincula varios elementos criptográficos y, luego, los envía al Comisionado, que solicita el ecosistema de AC para su NOC correspondiente. En la Figura 1, se muestra este árbol de dependencias y el orden en el que ocurren algunas operaciones.
Si bien comprender cada elemento criptográfico es importante para el desarrollo del SDK, analizar por completo su función y sus implicaciones está fuera del alcance de primer. Es importante tener en cuenta lo siguiente:
- El ecosistema de AC emite los NOC sobre tejidos de producción reales.
- Los NOC están vinculados de manera criptográfica al par de claves operativas del nodo (NOKP) único.
- El NOKP se genera en el nodo que se pone en marcha durante el proceso de puesta en servicio.
- La información de la NOCSR que se envía al ecosistema incluye la clave pública operativa del nodo, pero la clave privada operativa del nodo nunca se envía al comisionado ni a la AC.
- El proceso de la NOCSR usa las entradas del Procedimiento de certificación, firma la información de la CSRSR y, por lo tanto, valida la solicitud para que la AC genere un NOC de confianza.
El procedimiento de certificación es un proceso que utiliza el Comisionado para certificar lo siguiente:
- El Dispositivo pasó por la certificación Matter.
- El dispositivo es lo que dice ser: prueba de manera criptográfica su proveedor, ID del producto y otra información de fabricación.
Administración múltiple
Los nodos también se pueden encargar en más de un Fabric. Esta propiedad a menudo se conoce como administrador múltiple. Por ejemplo, podemos tener un dispositivo encargado a la Fabric del fabricante y a la Fabric de un ecosistema en la nube, cada una de las cuales se encarga de un conjunto diferente de comunicaciones encriptadas y opera de manera independiente.
Como pueden coexistir varias Fabrics, un dispositivo puede tener varios conjuntos de credenciales operativas de Node. Sin embargo, el modelo de datos del nodo se comparte: los atributos, los eventos y las acciones del clúster son comunes entre las Fabric. Por lo tanto, aunque las credenciales de Thread o Wi-Fi se establecen durante el proceso de asignación, forman parte del clúster operativo de redes y se comparten entre todas las Fabric y parte de la DM del nodo, no las credenciales de Fabric.