Matter常用术语

占卜糖果
520 阅读7分钟

Matter常用术语

最新在搞Matter的app开发(Android和iOS),记录一下常用的知识点。

Commissioning

Matter配网就是把一个设备加入Matter Fabric(也叫Matter操作网络)的过程

Controller

Matter controller也是Matter网络的一个节点,它可以远程配置和控制附件设备, 对于商用Matter生态系统,controller是一个组合体,比如苹果Matter生态, 它的controller应该是iOS里面的Home app和HomePod音箱的组合

Fabric

一个Matter Fabric就是一个Matter网络,一个Matter Fabric中的所有节点共享同一个根证书, 所以他们可以相互通信,每个Matter Fabric会分配一个64bit的ID进行标识。一般来说,一个Matter 生态就是一个Matter fabric,比如苹果的Home就是一个fabric,谷歌的home又是另一个fabric

Multi-Admin

一个Matter node(节点)可以接入一个Matter fabric,也可以同时接入多个Matter fabric, 比如同时被苹果/谷歌/亚马逊的音箱控制,这个特性就称为multi-fabric或者multi-admin。 Multi-fabric将保证不同的生态可以相互兼容,提高Matter应用的互联互通性能。

Bridge

智能家居是一个非常碎片化的市场,除了Matter技术外,还有很多其他技术运用在智能家居市场中, 比如蓝牙和ZigBee。为了将这些现有的智能家居产品一揽子接入Matter生态,Matter规范里面提出 了Matter Bridge这个设备类型,通过Matter bridge,我们可以把非Matter设备快速接入Matter 生态。如下网络拓扑结构演示了如何将一个蓝牙灯泡接入Matter网络,然后Matter controller像 控制正常Matter设备一样去控制它。

DCL (Distributed Compliance Ledger)

DCL是CSA运营的一个分布式数据库服务器,既然DCL是一个记账簿,它不会不断地更新和发展的。 每当成员公司有新品发布,他们就会把这个新品的认证信息写到DCL中。如果颁发了新的PAA证书, 这个信息也会写入DCL中。前面提及的Matter标准OTA,新image的URL信息也可以写入到DCL中。 CSA也可以撤销或者作废DCL中的一些证书或者认证信息。总之,DCL就是一个分布式数据库服务器, 保证了PKI系统的正常运行,同时也保证了Matter各个生态的互联互通。

PASE

PASE仅用于配网(commission)过程中,SPAKE2+算法通过8位passcode来建立一个安全通道, 为了减轻设备端计算负担,可以直接把离线计算好的SPAKE2+ Verifier用来验证passcode。

CASE

CASE用于正常业务通信过程中,CASE是建立在前面配网成功基础上的,配网成功后,节点会得到一个 节点操作证书(Node Operational Certificate,NOC)。当两个节点使用CASE进行通信时, 他们的NOC必须共用同一个根证书,也就是他们必须属于同一个Fabric。有了NOC,就可以使用SIGMA 算法来得到前述AES密钥了。

CD (Certificate Declaration)

认证声明,每当一个产品通过了Matter认证,CSA就会颁发一个CD证书给它, CD证书包括Vendor ID,Certificate ID,certification type等, 由于一个产品类别下所有设备共用同一个CD,因此CD都是hard code在应用中的。

CA (Certificate Authority)

认证中心,颁发DAC设备认证证书或NOC节点操作凭证等数字证书的实体

RC(Root Certificate)

根证书,作为信任链的顶端,验证其他证书的有效性 每个节点在其节点操作凭证中都有一个或多个受信任的根CA证书,用于验证其他节点提供的ICA证书和节点操作证书 根证书由根证书颁发机构签发,存储在设备或控制器中,用于验证MAC和DAC的真实性。它是整个信任链的基础。

RCAC(Root CA Certificate)

根证书颁发机构证书,通常由Commissioner生成并自签名 是证书链的顶层,用于签发ICAC。 确保整个证书链的信任根源,所有下级证书(ICAC和NOC)都依赖于RCAC的可信度12.

ICAC

中间证书颁发机构证书,由根证书颁发机构(RCA)签发。 用于签发NOC,形成证书链,确保设备认证的层级结构。 提供额外的安全层次,确保证书链的完整性和可信度12.

ICA(Intermediate Certificate)

中间证书 作为连接根证书和设备证书的中间层,进一步提高证书管理的灵活性和安全性。 中间证书由根证书颁发机构签发,可以由制造商或其他中间机构签发设备证书。它在信任链中介于根证书和设备证书之间。

DAC (Device Attestation Certificate)

设备认证证书 用来验证制造商的真实性以及设备硬件和软件的认证状态。设备认证证书用 于Commissioner在配网时确保可信的设备能加入Fabric。

MAC(Manufacturer Attestation Certificate)

制造商证书 用于验证设备证书的真实性。MAC是由可信的证书颁发机构(CA)签发的。 制造商从证书颁发机构获取MAC,并使用它来签署设备的DAC。网络中的设备可以通过验证DAC的签名来确定设备 是否来自可信的制造商。

PAA(Product Attestation Authority)

产品认证机构证书

PAI(Product Attestation Intermediate)

产品认证中间机构证书

PKI(Public Key Infrastructure)

设备认证PKI

PKI证书链的每一项内容都以PAA开始,以DAC结束。每个Matter装置都有一个唯一的DAC。PAA不 直接签署任何DAC。DAC由PAI签署,PAI本身由PAA签署。因此,完整的设备认证PKI证书链始终 包含三个证书:PAA = > PAI = > DAC

NOC(Node Operational Certificate)

节点操作证书 用于设备在Matter网络中的身份认证 设备在加入网络后,会从网络管理员或控制器获取OpCert。OpCert包含设备在网络中的唯一标识,并用于加密通信

CSR(Certificate Signing Request)

证书签名请求 CSR是一个包含公钥及其相关信息的消息,发送给证书颁发机构(CA)以请求签发数字证书

IPK(Initial Pairing Key)

初始配对密钥,是一种用于设备初次加入Matter网络时的密钥。它用于在设备和网络之间建立初 始的安全通信通道,确保设备能够安全地进行身份验证和配对过程

Nonce

配网节点的随机数

CAT(CASE Authenticated Tag)

是在CASE会话建立期间共享的操作证书内的一个特殊主体可分辨名称,其功能类似于组标签。 这样的标签可以应用于多个节点,从而便于管理使用同一组节点作为主体的访问控制条目。 由于这些标签在CASE会话上下文中经过身份验证,信任的管理根确实通过单个源节点链接回 Fabric的信任根。这使得CAT适合于类似组的用法,同时保持安全的身份验证和归属能力。

ACL (Access Control List)

访问控制列表

BCM(Basic Commissioning Mode)

基础入网方式,这种模式下,设备提供基本的配对功能,适用于简单设备或对安全性要求较低的场景。

ECM(Enhanced Commissioning Mode)

增强入网方式,这种模式下,设备会提供更多的配对选项和更高的安全性。通常用于需要更复杂配置或更高安全需求的设备。

欢迎交流:QQ群914590277

avatar
文章
阅读
粉丝