Po omówieniu podstawowych pojęć związanych z węzłami możemy przeanalizować, co umożliwia urządzeniom komunikację ze sobą.
Specyfikacja Matter korzysta z zaawansowanych metod szyfrowania i odszyfrowywania informacji, a także z bezpiecznych mechanizmów umożliwiających zapewnienie tożsamości węzła i udostępnianie kryptograficznych danych uwierzytelniających.
Gdy zestaw urządzeń w sieci ma tę samą domenę zabezpieczeń, co umożliwia bezpieczną komunikację między węzłami, ten zbiór jest nazywany Fabric. Dostawcy usług materiałowych korzystają z tego samego certyfikatu urzędu certyfikacji (CA) najwyższego poziomu (Root of Trust), a w kontekście urzędu certyfikacji – unikalny 64-bitowy identyfikator o nazwie Fabric ID.
Proces uruchamiania polega na przypisaniu danych logowania do nowego węzła, więc może on komunikować się z innymi węzłami w tej samej platformie Fabric.
Dane uwierzytelniające
Element główny zaufania jest umieszczany na węźle na zlecenie komisarza, zwykle na urządzeniu z jakimś typem GUI, takim jak smartfon, centrum lub komputer, po otrzymaniu go od menedżera domen administracyjnych (ADM), który często jest ekosystemem działającym jako zaufany główny urząd certyfikacji (CA).
Komisarz ma dostęp do urzędu certyfikacji. W ten sposób prosi urząd certyfikacji o dane logowania do operacji węzła w imieniu węzła, który jest tworzony na zlecenie lub komisji. Dane logowania składają się z 2 części:
Identyfikator operacyjny węzła (lub Identyfikator węzła operacyjnego) to 64-bitowy numer, który jednoznacznie identyfikuje każdy węzeł w Fabric.
Certyfikat operacyjny węzła (NOC) to zestaw danych logowania, których węzły używają do komunikacji i identyfikowania się w ramach platformy Fabric. Są one generowane w procesie żądania podpisania certyfikatu operacyjnego węzła (NOCSR).
NOCSR to procedura uruchamiana na zleconym węźle. Wiąże on kilka elementów kryptograficznych, a następnie wysyła je do komisarza, który zleca ekosystemowi CA o odpowiednie oświadczenie o braku zastrzeżeń. Rysunek 1 przedstawia to drzewo zależności i kolejność wykonywania niektórych operacji.
Zrozumienie poszczególnych elementów kryptograficznych jest ważne dla rozwoju pakietu SDK, ale pełna analiza ich roli i nakładów jest poza zakresem możliwości programu. Pamiętaj, że:
- Oświadczenia o braku zastrzeżeń są wydawane przez ekosystem CA na temat rzeczywistych tkanin produkcyjnych.
- NOC są powiązane szyfrem z unikalną parą kluczy operacyjnych węzła (NOKP).
- Wartość NOKP jest generowana przez węzeł używany na zlecenie podczas procesu uruchamiania.
- Informacje NOCSR wysyłane do ekosystemu zawierają operacyjne klucz publiczny węzła, ale prywatny klucz operacyjny węzła nigdy nie jest wysyłany do komisarza ani do urzędu certyfikacji.
- Proces NOCID wykorzystuje dane wejściowe z procedury poświadczania, podpisuje informacje CSRSR i w ten sposób sprawdza żądanie, aby urząd certyfikacji wygenerował zaufany oświadczenie o braku zastrzeżeń.
Procedura poświadczania to proces stosowany przez komisarza do potwierdzenia, że:
- Urządzenie uzyskało certyfikat Matter.
- Urządzenie rzeczywiście jest tym, za co się podaje – kryptograficznie potwierdza jego dostawcę, identyfikator produktu i inne informacje dotyczące produkcji.
Wieloadministratorzy
Węzły można też zamówić w więcej niż jednej usłudze Fabric. Ta właściwość jest często nazywana wieloma administratorami. Możemy na przykład zlecić sobie urządzenie zlecone firmie Fabric i platformie Fabric od producenta ekosystemu Google Cloud. Każda z nich obsługuje inny zestaw zaszyfrowanych komunikacji i działa niezależnie.
Ponieważ może istnieć kilka modeli Fabric, urządzenie może mieć kilka zestawów danych uwierzytelniających węzła. Jednak model danych węzła jest wspólny: atrybuty klastra, zdarzenia i działania są wspólne dla tkanin. Dlatego chociaż dane logowania do Thread lub Wi-Fi są ustawiane podczas procesu uruchamiania, są one częścią sieciowego klastra operacyjnego, są wspólne dla wszystkich systemów Fabric i części DM węzła, a nie danych logowania Fabric.