Matter协议特性解析(三) 设备发现，认证和配网

 聚焦：芯产品，芯市场，芯资讯

本文是Matter专题第6篇文章；

设备发现，认证和配网，是网络构建流程的重要部分；Matter入网流程，为了保证安全，设计偏复杂，为了方便理解，本文从3个不同的维度进行分享，欢迎留言交流；

本文一共928字体，阅读时间预计10分钟；

01

Matter入网，初识

这里先说明2个基础的名词：

Commissioner：配网设备，具备超级管理员权限，有网络的Root CA；

Commissionee：待配网设备，在设备生产过程，烧录了PKI（产品类证书）和DAC（设备类证书）；

如下是白话版本的入网流程：

• Commissioner添加设备，扫描周围未入网设备Commissionee；

• Commissioner索取Commissionee的身份证书；

• Commissioner验证Commissionee的设备证书，颁发网络操作证书；

• Commissioner给Commissionee配置其他网络信息；

02

Matter入网，一些问题

针对上面的基础流程，有不少疑问问题，比如：

谁发起入网流程，发起者需要有什么权限？

Commissioner如何发现待入网的设备？

Commissionee的身份证书哪里来？怎么验证身份证书？

验证完成如何颁发网络证书？网络证书包括哪些内容？

03

Matter标准入网流程

Matter入网流程如下图，下面详细说明下

第2步，设备发现，支持BLE，WiFi-SoftAP，WiFi (DNS-SD)三种方式，这里需要注意，Thread设备，目前必须支持BLE方式；

第3步，基于PASE，Passcode-Authenticated Session Establishment，建立加密通道，PASE是基于配对码生成对称密钥的一个方式，配对码的获取可以通过扫描设备二维码，或者NFC等方式获取；详细流程可见附图1

第4步，使能失效定时器，Matter设备的鉴权，都具有时效性，必须在一定时间内完成，不然就失败；

第6步，设备认证，首先，Commissioner获取Commissionee的DAC，Device Attestation Certificate；DAC是兼容X509的设备证书，包括了Vendor ID和Product ID号；DAC的生产符合公钥基础设施 (PKI) 的安全模型，具体PKI模型不了解的可以CSDN一下，需要花点时间，DAC验证流程见附图2；

第8步，Commissioner发起 Op-CSR，获取Commissionee的operational Certificate Signing Request，流程见附图2；

第9/10步，完成验证后，给设备颁发NoC，Node Operational Certificate，即NOC；这里需要注意，NOC和DAC不一样，DAC是出厂预置的，NOC是设备配网过程颁发的；具体的OpCSR流程，可见最后的附图3；

第11/12/13步，配置设备的Access Control List，WiFi网络信息，并触发设备加入网络；

第15步，完成CASE，Certificate Authenticated Session Establishment，获取后续的通信加密密钥；

>> 历史相关文章

浅聊Matter协议 (原CHIP协议)

Matter协议特性解析(一) 支持非Matter协议

Matter协议特性解析(二) 分身(Multiple Fabiric)和权限控制

实例刨析，沉浸式掌握Matter重要概念

附图1 PASE流程

附图2 Matter的DAC PKI层

附录3 Matter的DAC及OpCSR Request流程

~~ “交个朋友” ~~