הבד

אחרי שהסברנו כמה מושגים חשובים לגבי צומת, ננתח מה מאפשר למכשירים לתקשר אחד עם השני.

במפרט Matter נעשה שימוש בשיטות מתקדמות להצפנה ולפענוח של מידע, וגם במנגנונים בטוחים לאימות הזהות של צומת ולשיתוף של אישורים קריפטוגרפיים.

קבוצת מכשירים ברשת שחולקים את אותו תחום אבטחה, ולכן מאפשרים תקשורת מאובטחת בין צמתים, נקראת Fabric. לכל רשת Fabric יש את אותו אישור ברמה העליונה של רשות האישורים (CA) (Root of Trust), ובתוך ההקשר של רשות האישורים, מזהה ייחודי בן 64 ביט שנקרא מזהה Fabric.

לכן, תהליך הפעלת ההרשאות הוא הקצאת פרטי הכניסה של Fabric לצומת חדש, כדי שהוא יוכל לתקשר עם צמתים אחרים באותו Fabric.

פרטי כניסה תפעוליים

ה-Root of Trust מוגדר בצומת בתהליך ההפעלה על ידי ה-Commissioner, בדרך כלל מכשיר עם ממשק משתמש גרפי כלשהו, כמו סמארטפון, רכזת או מחשב, אחרי שהוא מתקבל ממנהל דומיין אדמיניסטרטיבי (ADM), שלרוב יהיה אקוסיסטם שפועל כרשות אישורים מהימנה (CA).

לנציב יש גישה לרשות האישורים. לכן, הוא מבקש את פרטי הכניסה התפעוליים של הצומת מה-CA בשם הצומת שמופעל או המוסמך. האישורים מורכבים משני חלקים:

מזהה תפעולי של צומת (או מזהה צומת תפעולי) הוא מספר של 64 ביט שמזהה באופן ייחודי כל צומת ב-Fabric.

אישור הפעלה של צומת (NOC) הוא קבוצת פרטי הכניסה שצמתים משתמשים בהם כדי לתקשר ולזהות את עצמם בתוך Fabric. הם נוצרים בתהליך בקשת החתימה על אישור תפעולי של צומת (NOCSR).

NOCSR הוא תהליך שמופעל בצומת שמופעל. הוא קושר כמה רכיבים קריפטוגרפיים, ואז שולח אותם לנציב, שמבקש ממערכת האקולוגית של רשות האישורים את ה-NOC המתאים. איור 1 מציג את עץ התלות הזה ואת הסדר שבו מתרחשות חלק מהפעולות.

יחסי תלות של יצירת NOC
איור 1: תלות ביצירת NOC

חשוב להבין כל אלמנט קריפטוגרפי בפיתוח SDK, אבל ניתוח מלא של התפקיד וההשלכות שלהם הוא מעבר להיקף של המאמר הזה. חשוב לזכור:

  • אישורי ה-NOC מונפקים על ידי מערכת האקולוגית של רשויות האישורים (CA) בייצור בפועל.
  • מספרי ה-NOC קשורים באופן קריפטוגרפי לצמד המפתחות התפעוליים הייחודיים של הצומת (NOKP).
  • ה-NOKP נוצר על ידי הצומת שמקבל הרשאה במהלך תהליך ההרשאה.
  • המידע של NOCSR שנשלח למערכת האקולוגית כולל את המפתח הציבורי התפעולי של הצומת, אבל המפתח הפרטי התפעולי של הצומת אף פעם לא נשלח לנציב או לרשות האישורים.
  • תהליך NOCSR משתמש בקלט מהליך האימות, חותם את המידע של CSRSR וכך מאמת את הבקשה לרשות האישורים כדי ליצור NOC מהימן.

תהליך האימות (Attestation) הוא תהליך שמשמש את הנציב כדי לאשר את הדברים הבאים:

  • המכשיר עבר אישור של Matter.
  • המכשיר הוא אכן מה שהוא טוען שהוא: הוא מוכיח באופן מוצפן את הספק, מזהה המוצר ופרטי ייצור אחרים.

Multi-Admin

יכול להיות שצמתים יופעלו ביותר מ-Fabric אחד. הנכס הזה נקרא לעיתים קרובות 'נכס עם כמה אדמינים'. לדוגמה, יכול להיות שמכשיר מסוים הוקצה גם ל-Fabric של היצרן וגם ל-Fabric של מערכת אקולוגית בענן, כאשר כל Fabric מטפל בקבוצה שונה של תקשורת מוצפנת ופועל באופן עצמאי.

יכולות להיות כמה רשתות Fabric שפועלות במקביל, ולכן יכול להיות שלמכשיר יהיו כמה סטים של פרטי כניסה תפעוליים של צומת. עם זאת, מודל הנתונים של הצומת משותף: התכונות, האירועים והפעולות של האשכול משותפים בין רשתות. לכן, למרות שפרטי הכניסה של Thread או של Wi-Fi מוגדרים במהלך תהליך ההפעלה, הם חלק מאשכול התפעול של הרשת, והם משותפים בין כל ה-Fabrics וחלק מ-DM של הצומת, ולא מפרטי הכניסה של ה-Fabric.

הקודם
גילוי ותפעול
הבא
עמלה