הבד

עכשיו, אחרי שהבנו כמה מושגים מרכזיים של צומת, ננתח מה מאפשר למכשירים לתקשר אחד עם השני.

במפרט של Matter נעשה שימוש בשיטות מתוחכמות להצפנה ופענוח של מידע, וגם למנגנונים בטוחים לאימות הזהות של הצומת ולשיתוף של פרטי כניסה קריפטוגרפיים.

כשקבוצה של מכשירים ברשת חולקת את אותו דומיין אבטחה וכך מתאפשרת תקשורת מאובטחת בין צמתים, היא נקראת Fabric. Fabrics חולקים את אותו אישור של רשות האישורים CA ברמה העליונה (Root of Trust) ובהקשר של ה-CA, מזהה ייחודי ב-64 ביט שנקרא Fabric ID.

לכן, תהליך ההזמנה הוא ההקצאה של פרטי הכניסה ל-Fabric לצומת חדש, כדי שאפשר יהיה לתקשר עם צמתים אחרים באותו ה-Fabric.

פרטי כניסה תפעוליים

ה-Root of Trust מוגדר בצומת בהזמנה על ידי הנציב, בדרך כלל מכשיר עם ממשק GUI מסוג כלשהו, כמו סמארטפון, רכזת או מחשב, אחרי שמקבלים אותו ממנהל דומיין אדמיניסטרטיבי (ADM), שלרוב הוא סביבה עסקית שמשמשת כרשות אישורים מהימנה של שורש (CA).

לנציב יש גישה ל-CA. לכן היא מבקשת מרשות האישורים את פרטי הכניסה התפעוליים של הצומת בשם הצומת שהוזמן או הוועדה. פרטי הכניסה מורכבים משני חלקים:

מזהה תפעולי של צומת (או מזהה צומת תפעולי) הוא מספר בן 64 ביט שמזהה באופן ייחודי כל צומת ב-Fabric.

Node Activateal Certificate (אישור תפעולי של צמתים) (NOC) הוא קבוצת פרטי הכניסה שהצמתים משתמשים בהם כדי לתקשר ולזהות את עצמם בתוך ה-Fabric. הם נוצרים באמצעות תהליך Node Operationsal Certificate Signing (NOCSR).

NOCSR הוא הליך שפועל על הצומת שהוזמן. היא מקשרת כמה רכיבים קריפטוגרפיים, ואז שולחת אותם לנציבים, שמבקשים לקבל את ה-NOC המתאים בסביבה העסקית של רשות האישורים. איור 1 מתאר את עץ התלות הזה ואת הסדר שבו מתרחשות פעולות מסוימות.

יחסי תלות של יצירת NOC
איור 1: יחסי תלות של יצירת NOC

אמנם חשוב להבין כל רכיב קריפטוגרפי לצורך פיתוח ה-SDK, אבל לא ניתן לנתח באופן מלא את התפקיד וההשלכות של כל רכיב כזה. חשוב לציין את הנקודות הבאות:

  • אישורי NOC מונפקים על ידי הסביבה העסקית של רשות האישורים על בדים בסביבת הייצור בעולם האמיתי.
  • נקודות ה-NOC קשורות באופן קריפטוגרפי לצמד המפתחות התפעוליים של צמתים הייחודית (NOKP).
  • ה-NOKP נוצר על ידי הצומת שמוזמן בתהליך ההפעלה.
  • פרטי ה-NOCSR שנשלחים לסביבה העסקית כוללים את המפתח הציבורי של הצומת, אבל המפתח הפרטי התפעולי של הצומת אף פעם לא נשלח לקומישינר או ל-CA.
  • בתהליך ה-NOCSR נעשה שימוש בקלט מתוך הליך האימות (Attestation), חתימה על פרטי ה-CSRSR ואימות הבקשה של רשות האישורים ליצור NOC מהימן.

הליך האימות הוא תהליך שבו משתמש הנציב כדי לאשר:

  • המכשיר עבר אישור של Matter.
  • המכשיר הוא אכן מה שהוא מתיימר: הוא מוכיח באופן קריפטוגרפי את הספק, מזהה המוצר ופרטי ייצור אחרים.

אדמינים מרובים

ניתן גם להזמין צמתים על יותר מ-Fabric אחד. הנכס הזה נקרא בדרך כלל כמה אדמינים. לדוגמה, יכול להיות שיש לנו מכשיר עם הזמנה עבור'הבד של היצרן' וגם את ה-Fabric של הסביבה העסקית של הענן, כאשר כל בד מטפל במערכת שונה של תקשורת מוצפנת ופועל בנפרד.

מכיוון שכמה רכיבי Fabric יתקיימו זה לצד זה, עשויות להיות למכשיר כמה קבוצות של פרטי כניסה תפעוליים של צומת. עם זאת, מודל הנתונים של הצומת משותף: המאפיינים, האירועים והפעולות של האשכול משותפים בין בדים. לכן, על אף שמגדירים Thread ו/או פרטי כניסה ל-Wi-Fi בתהליך השליחה, הם חלק מאשכול תפעולי של Networking. הם משותפים בין כל ה-Fabrics לחלק מה-DM של הצומת ולא בין פרטי הכניסה של Fabric.

הקודם
גילוי ותפעול
הבא
עמלה