现在,我们已经了解了节点的一些关键概念,接下来我们将分析设备之间能够相互通信的因素。
Matter 规范使用先进的方法加密和解密信息,以及用于确保节点身份和共享加密凭据的安全机制。
只要网络中的一组设备共享同一安全网域,从而允许在节点之间进行安全通信,这组设备就称为 Fabric。Fabric 会共享同一个证书授权机构 (CA) 顶级证书(信任根),并在 CA 环境中共享一个名为 Fabric ID 的唯一 64 位标识符。
因此,佣金过程是将 Fabric 凭据分配给新节点,以便该节点可以与同一 Fabric 中的其他节点进行通信。
操作凭据
信任根是在委托机构委托的节点上设置的,通常是具有某种 GUI 的设备(如智能手机、集线器或计算机),从管理网域管理器 (ADM) 接收,该管理器通常是充当可信根证书授权机构 (CA) 的生态系统。
委员有权访问 CA。因此,它代表受托节点或委员会向 CA 请求节点操作凭据。凭据由两部分组成:
节点操作标识符(或操作节点 ID)是一个 64 位数字,用于唯一标识 Fabric 中的每个节点。
节点操作证书 (NOC) 是一组凭据,节点可使用这些凭据在 Fabric 中进行通信和标识自身。这些证书由节点操作证书签名请求 (NOCSR) 流程生成。
NOCSR 是在受委托的节点上运行的过程。它会绑定多个加密元素,然后将其发送给专员,由其申请将 CA 生态系统纳入相应的无异议证明 (NOC)。图 1 描述了此依赖关系树以及某些操作的发生顺序。
虽然了解每个加密元素对 SDK 开发非常重要,但全面分析它们的作用和影响超出了入门指南的讨论范围。请务必注意:
- NOC 由 CA 生态系统针对真实的生产结构发布。
- NOC 以加密形式绑定到唯一的节点操作密钥对 (NOKP)。
- NOKP 由在调试过程中调试的节点生成。
- 发送到生态系统的 NOCSR 信息包含节点操作公钥,但绝不会将节点操作私钥发送给委员或 CA。
- NOCSR 流程使用认证过程中的输入,对 CSRSR 信息进行签名,从而验证针对 CA 生成可信 NOC 的请求。
证明程序是专员用于证明:
- 设备已通过Matter认证。
- 设备确实如其所宣称的那样:它会以加密形式证明其供应商、产品 ID 和其他制造信息。
多管理员
节点也可以在多个 Fabric 上委托。此属性通常称为多管理员属性。例如,我们可能将一台设备同时委托给制造商的 Fabric 和云生态系统的 Fabric,其中每个 Fabric 处理一组不同的加密通信并独立运行。
由于多个 Fabric 可能共存,因此一个设备可能具有多组节点操作凭据。但是,节点的数据模型是共享的,即集群属性、事件和操作在 Fabric 之间是通用的。因此,虽然 Thread 和/或 Wi-Fi 凭据是在调试过程中设置的,但它们属于网络操作集群的一部分,在所有 Fabric 和节点的 DM 之间共享,而不是 Fabric 凭据。