Po zapoznaniu się z kilkoma kluczowymi pojęciami dotyczącymi węzła przeanalizujemy, co umożliwia urządzeniom komunikację ze sobą.
Specyfikacja Matter wykorzystuje zaawansowane metody szyfrowania i odszyfrowywania informacji, a także bezpieczne mechanizmy zapewniające tożsamość węzła i udostępnianie danych logowania kryptograficznych.
Gdy grupa urządzeń w sieci ma tę samą domenę zabezpieczeń, a tym samym umożliwia bezpieczną komunikację między węzłami, nazywamy ją strukturą. Sieci współdzielą ten sam certyfikat najwyższego poziomu urzędu certyfikacji (CA) (główne źródło zaufania) oraz w kontekście urzędu certyfikacji unikalny 64-bitowy identyfikator o nazwie identyfikator sieci.
Proces uruchamiania polega na przypisaniu poświadczeń Fabric do nowego węzła, aby mógł on komunikować się z innymi węzłami w tej samej sieci Fabric.
Dane logowania operacyjne
Root of Trust jest ustawiany na węźle podczas uruchamiania przez osobę uruchamiającą, zwykle na urządzeniu z interfejsem graficznym, takim jak smartfon, hub lub komputer, po otrzymaniu go od Administrative Domain Manager (ADM), który często jest ekosystemem pełniącym funkcję Trusted Root Certificate Authority (CA).
Komisarz ma dostęp do CA. Dlatego w imieniu węzła, który jest wdrażany lub wdrażanego, żąda od urzędu certyfikacji danych logowania do węzła. Dane logowania składają się z 2 części:
Identyfikator operacyjny węzła (lub Identyfikator węzła operacyjnego) to 64-bitowy numer, który jednoznacznie identyfikuje każdy węzeł w sieci.
Certyfikat operacyjny węzła (NOC) to zestaw danych logowania, których węzły używają do komunikacji i identyfikacji w sieci Fabric. Są one generowane w procesie żądania podpisania certyfikatu operacyjnego węzła (NOCSR).
NOCSR to procedura uruchamiana na węźle, który jest wdrażany. Łączy kilka elementów kryptograficznych, a następnie wysyła je do komisarza, który prosi ekosystem urzędu certyfikacji o odpowiednie NOC. Ilustracja 1 przedstawia to drzewo zależności i kolejność, w jakiej występują niektóre operacje.
Zrozumienie każdego elementu kryptograficznego jest ważne w przypadku tworzenia pakietu SDK, ale pełna analiza ich roli i implikacji wykracza poza zakres tego wprowadzenia. Warto pamiętać, że:
- Zaświadczenia NOC są wydawane przez ekosystem urzędów certyfikacji w rzeczywistych środowiskach produkcyjnych.
- NOC są powiązane kryptograficznie z unikalną parą kluczy operacyjnych węzła (NOKP).
- Klucz NOKP jest generowany przez węzeł podczas procesu uruchamiania.
- Informacje NOCSR wysyłane do ekosystemu obejmują klucz publiczny operacyjny węzła, ale klucz prywatny operacyjny węzła nigdy nie jest wysyłany do komisarza ani do urzędu certyfikacji.
- Proces NOCSR wykorzystuje dane wejściowe z procedury atestu, podpisuje informacje CSRSR, a tym samym weryfikuje żądanie, aby urząd certyfikacji wygenerował zaufany dokument NOC.
Procedura atestacyjna to proces, za pomocą którego komisarz potwierdza, że:
- Urządzenie przeszło Matter certyfikację.
- Urządzenie jest tym, za co się podaje: kryptograficznie potwierdza nazwę dostawcy, identyfikator produktu i inne informacje o produkcji.
Wielu administratorów
Węzły mogą być też wdrażane w więcej niż 1 sieci Fabric. Ta właściwość jest często nazywana wieloadministrowaniem. Na przykład urządzenie może być przypisane zarówno do sieci producenta, jak i do sieci ekosystemu w chmurze, przy czym każda sieć obsługuje inny zestaw zaszyfrowanych komunikatów i działa niezależnie.
Ponieważ może istnieć kilka struktur, urządzenie może mieć kilka zestawów poświadczeń operacyjnych węzła. Model danych węzła jest jednak wspólny: atrybuty klastra, zdarzenia i działania są wspólne dla wszystkich sieci. Dlatego chociaż dane logowania Thread lub Wi-Fi są ustawiane podczas procesu uruchamiania, są one częścią klastra operacyjnego sieci, udostępnianego wszystkim strukturam i częścią modelu danych węzła, a nie danymi logowania struktury.