Matter协议特性解析(三) 设备发现,认证和配网

 聚焦:芯产品,芯市场,芯资讯

本文是Matter专题第6篇文章;

设备发现,认证和配网,是网络构建流程的重要部分;Matter入网流程,为了保证安全,设计偏复杂,为了方便理解,本文从3个不同的维度进行分享,欢迎留言交流;

本文一共928字体,阅读时间预计10分钟;

01

Matter入网,初识

这里先说明2个基础的名词:

Commissioner:配网设备,具备超级管理员权限,有网络的Root CA;

Commissionee:待配网设备,在设备生产过程,烧录了PKI(产品类证书)和DAC(设备类证书);

如下是白话版本的入网流程:

  • Commissioner添加设备,扫描周围未入网设备Commissionee;

  • Commissioner索取Commissionee的身份证书;

  • Commissioner验证Commissionee的设备证书,颁发网络操作证书;

  • Commissioner给Commissionee配置其他网络信息;

02

Matter入网,一些问题

针对上面的基础流程,有不少疑问问题,比如:

谁发起入网流程,发起者需要有什么权限?

Commissioner如何发现待入网的设备?

Commissionee的身份证书哪里来?怎么验证身份证书?

验证完成如何颁发网络证书?网络证书包括哪些内容?

03

Matter标准入网流程

Matter入网流程如下图,下面详细说明下

Matter协议特性解析(三) 设备发现,认证和配网_第1张图片

第2步,设备发现,支持BLE,WiFi-SoftAP,WiFi (DNS-SD)三种方式,这里需要注意,Thread设备,目前必须支持BLE方式;

第3步,基于PASE,Passcode-Authenticated Session Establishment,建立加密通道,PASE是基于配对码生成对称密钥的一个方式,配对码的获取可以通过扫描设备二维码,或者NFC等方式获取;详细流程可见附图1

第4步,使能失效定时器,Matter设备的鉴权,都具有时效性,必须在一定时间内完成,不然就失败;

第6步,设备认证,首先,Commissioner获取Commissionee的DAC,Device Attestation Certificate;DAC是兼容X509的设备证书,包括了Vendor ID和Product ID号;DAC的生产符合公钥基础设施 (PKI) 的安全模型,具体PKI模型不了解的可以CSDN一下,需要花点时间,DAC验证流程见附图2;

第8步,Commissioner发起 Op-CSR,获取Commissionee的operational Certificate Signing Request,流程见附图2;

第9/10步,完成验证后,给设备颁发NoC,Node Operational Certificate,即NOC;这里需要注意,NOC和DAC不一样,DAC是出厂预置的,NOC是设备配网过程颁发的;具体的OpCSR流程,可见最后的附图3;

第11/12/13步,配置设备的Access Control List,WiFi网络信息,并触发设备加入网络;

第15步,完成CASE,Certificate Authenticated Session Establishment,获取后续的通信加密密钥;

>> 历史相关文章

浅聊Matter协议 (原CHIP协议)

Matter协议特性解析(一) 支持非Matter协议

Matter协议特性解析(二) 分身(Multiple Fabiric)和权限控制

实例刨析,沉浸式掌握Matter重要概念

附图1 PASE流程

Matter协议特性解析(三) 设备发现,认证和配网_第2张图片

附图2 Matter的DAC PKI层

Matter协议特性解析(三) 设备发现,认证和配网_第3张图片

附录3 Matter的DAC及OpCSR Request流程

Matter协议特性解析(三) 设备发现,认证和配网_第4张图片

~~ “交个朋友” ~~

Matter协议特性解析(三) 设备发现,认证和配网_第5张图片

你可能感兴趣的:(Matter,Matter协议)