接上文Matter 1.0協(xié)議解讀——網(wǎng)絡(luò)架構(gòu)(1)
5、設(shè)備標識符
每個Matter設(shè)備都擁有許多證書鏈,DAC (Device atstation Certificate)是設(shè)備認證證書,用來證明制造商的真實性和設(shè)備硬件和軟件的認證狀態(tài)。設(shè)備認證證書在調(diào)試過程中由專員使用,以確保只有可信的設(shè)備才能被允許進入Fabric。設(shè)備認證過程的細節(jié)在“設(shè)備認證”中獲得。
每個Matter設(shè)備都頒發(fā)一個操作節(jié)點ID和該操作節(jié)點ID的節(jié)點操作證書(NOC)。NOC允許節(jié)點通過加密方式將唯一的節(jié)點操作密鑰對綁定到其主體的操作身份,通過受信任的證書頒發(fā)機構(gòu)(CA)的簽名進行驗證,從而在Fabric中標識自己。操作節(jié)點id將在工廠重置或fabric移除時移除。NOC是在設(shè)備進入Fabric的調(diào)試過程中發(fā)出的。這些步驟有助于保護終端用戶的隱私,并適應(yīng)不同的信任模型。
節(jié)點操作憑證的格式和生成這些憑證的協(xié)議在“節(jié)點操作憑證規(guī)范”和“操作證書編碼”小節(jié)中詳細介紹。
6、安全
Matter部署現(xiàn)代安全措施來保護Fabric。Matter指定了一組核心安全原語,詳細內(nèi)容見“密碼原語”,以提供全面的保護?;贜IST P-256曲線(secp256r1)的橢圓曲線密碼學(xué)是公鑰密碼學(xué)和數(shù)字簽名的基礎(chǔ)。已選擇常用的AES操作模式來提供共享密鑰加密操作。在涉及基于帶外密碼的身份驗證的場景中,Matter使用SPAKE2+,這是一種高效的增強PAKE算法。
核心加密原語構(gòu)成了許多在Matter中使用的互補安全協(xié)議的基礎(chǔ)。所有節(jié)點到節(jié)點的單播消息都是安全的、經(jīng)過身份驗證的,并提供重放保護。建立在IPv6組播的基礎(chǔ)上,Matter還提供了組消息設(shè)施,對于在LLN上高效尋址非常有用。組消息特性優(yōu)先考慮包處理得低延遲。
7、設(shè)備入網(wǎng)
設(shè)備入網(wǎng)是將設(shè)備連接到Fabric的過程。正在進行入網(wǎng)的設(shè)備被稱為被入網(wǎng)者,進行入網(wǎng)管理的設(shè)備被稱為入網(wǎng)管理者。設(shè)備入網(wǎng)包括以下步驟:
- 設(shè)備發(fā)現(xiàn)(參見設(shè)備發(fā)現(xiàn)”和機載有效載荷”):專員在網(wǎng)絡(luò)接口(如藍牙低能耗、Wi-Fi或其他連接的IP網(wǎng)絡(luò))上發(fā)現(xiàn)可入網(wǎng)設(shè)備。專員可通過被委托設(shè)備的二維碼、手動配對碼、近場通訊標簽或其他方式獲取帶外秘密(密碼)。這個秘密被密碼驗證會話建立(PASE)用來建立一個安全的入網(wǎng)會話。發(fā)現(xiàn)可入網(wǎng)設(shè)備和從可入網(wǎng)設(shè)備獲取帶外秘密的順序并不重要。
- 使用PASE的安全設(shè)置(參見密碼驗證會話建立(PASE)”):使用PASE在專員和被專員之間建立加密密鑰。專員和被專員之間交換的所有消息都使用這些pase派生的密鑰進行加密。該流程還建立了設(shè)備認證過程中使用的認證挑戰(zhàn)。
- 設(shè)備認證驗證(見“設(shè)備認證”):專員建立被認證者作為認證設(shè)備的真實性,如果設(shè)備未被認證,則通知用戶。
- 信息配置(參見節(jié)點運行憑證規(guī)范”、通用調(diào)測集群”和“節(jié)點運行憑證集群”):入網(wǎng)管理者向被入網(wǎng)者提供監(jiān)管域、UTC時間、運行證書和網(wǎng)絡(luò)接口配置等信息。
- 加入網(wǎng)絡(luò)(參見“網(wǎng)絡(luò)調(diào)測集群”和業(yè)務(wù)發(fā)現(xiàn)”):入網(wǎng)管理者觸發(fā)被入網(wǎng)者連接到業(yè)務(wù)網(wǎng)絡(luò),除非被入網(wǎng)者已經(jīng)在業(yè)務(wù)網(wǎng)絡(luò)中。節(jié)點/被入網(wǎng)者的IPv6地址隨后被專員或管理員使用(如果已經(jīng)知道)或發(fā)現(xiàn)(如果不知道)
- 使用CASE的安全設(shè)置(參見“證書認證會話建立(CASE)”):派生用于在入網(wǎng)管理者或管理員與使用CASE的節(jié)點之間建立安全通信的加密密鑰。入網(wǎng)管理者或管理員與節(jié)點之間的所有單播消息都使用這些case派生的密鑰進行加密。
- 調(diào)測完整消息交換(參見“通用調(diào)測集群”):在運行網(wǎng)絡(luò)上使用case派生的加密密鑰加密的消息交換,表示調(diào)測過程成功完成。
入網(wǎng)完成后,入網(wǎng)管理者可以在業(yè)務(wù)網(wǎng)絡(luò)上或調(diào)測通道上建立pase衍生加密密鑰后,對被入網(wǎng)者進行多次重新配置。調(diào)試流程在“調(diào)試流程”中描述。
8、休眠終端設(shè)備(SED)
該標準的一個目標是為使用有限電源(如電池或有限能量清除)運行的低能耗節(jié)點提供支持。休眠終端設(shè)備(SED)工作模式的定義是為了幫助延長和優(yōu)化此類節(jié)點的電池壽命。SED操作模式反映并與線程SED行為一致,但可能在其他受支持的IP接口(包括Wi-Fi)上加以利用。SED節(jié)點的穩(wěn)態(tài)行為是禁用其IP接口(以及底層無線電或鏈路技術(shù))。然后,SED定期喚醒以與某些基礎(chǔ)設(shè)施設(shè)備通信,以便參與到網(wǎng)絡(luò)中。在Thread網(wǎng)絡(luò)的情況下(參見[Thread]]),基礎(chǔ)設(shè)施設(shè)備是一個父Thread路由器。對于Wi-Fi,接入點提供所需的基礎(chǔ)設(shè)施支持。定義了兩個區(qū)間:
- 空閑模式:又慢輪詢,設(shè)置SED在輪詢前休眠的最大時間。該參數(shù)同時影響最小功耗和最大延遲。SLEEPY_IDLE_INTERVAL參數(shù)表示空閑模式下節(jié)點的最大休眠時間間隔。
- 活動模式:將SED設(shè)置為快速輪詢間隔,以便在節(jié)點正在進行通信時(例如活動的Exchange)獲得最大響應(yīng)能力。SLEEPY_ACTIVE_INTERVAL參數(shù)表示處于活動模式的節(jié)點的最大休眠時間間隔。
SED應(yīng)該通過將其SLEEPY_IDLE_INTERVAL設(shè)置為一個大于默認值的值,并在[Discovery_SII]中通告該值,從而向?qū)Φ裙?jié)點表明它是一個休眠設(shè)備。因為父基礎(chǔ)設(shè)施設(shè)備有有限的緩沖空間來代表休眠設(shè)備緩存消息,所以SED通信模式應(yīng)該設(shè)計成SED主要是發(fā)起者。
一個節(jié)點根據(jù)它在消息層中是否有任何未完成的交換來確定它是處于活動模式還是空閑模式。當exchange處于活動狀態(tài)時,節(jié)點將保持活動模式,如果它是SED,則以快速輪詢間隔輪詢。一旦所有的exchange都關(guān)閉,一個節(jié)點應(yīng)該轉(zhuǎn)換到Idle模式,如果它是SED,并且節(jié)點沒有其他突出的原因需要保持清醒,那么它應(yīng)該以慢輪詢的間隔輪詢。
9、根數(shù)據(jù)模型
- 端點0(0)應(yīng)該是根節(jié)點端點。
- 端點0(0)應(yīng)支持根節(jié)點設(shè)備類型。
10、網(wǎng)絡(luò)參數(shù)限制約束
10.1、訪問控制(ACL)限制
一個節(jié)點應(yīng)保證其支持的每個fabric至少有三個訪問控制項可用。
例如:一個支持6個fabric的節(jié)點必須支持至少18個ACL條目,如果它支持N個條目,則必須強制任何K個fabric一起使用的條目不超過N - 3*(6-K)。
設(shè)備類型可能會對需要支持的ACL表項的數(shù)量施加額外的限制。
10.2、組限制
- 一個節(jié)點應(yīng)該支持每個fabric至少一個組鍵來管理IPK。
- 如果節(jié)點實現(xiàn)了一種或多種設(shè)備類型,并支持Groups集群,則節(jié)點應(yīng)另外支持由所有指定的所需組的最大數(shù)量這些實現(xiàn)了設(shè)備類型。
- 一個節(jié)點應(yīng)該為它的每個操作組支持一個IPv6多播組成員支持。
- 對GroupKeySetstruct中的GroupKeyMulticastPolicy字段的支持是臨時的。
10.3、交互模型限制
- 讀交互限制:
- 服務(wù)器應(yīng)確保節(jié)點的每一種織物都能處理單一的從客戶端讀取包含多達9條路徑的fabric上的交互。
- 服務(wù)器可以允許讀交互,即使沒有訪問的fabric,取決于可用的資源(例如PASE)。
- 訂閱交互限制
- 發(fā)布者應(yīng)確保節(jié)點所使用的每個織物至少能支持三次與發(fā)布者的訂閱交互,并且每次訂閱至少應(yīng)支持3屬性/事件路徑。
- 服務(wù)器可以允許訂閱交互,即使沒有訪問的fabric,受可用資源(例如通過PASE)。
- 設(shè)備類型規(guī)格可能需要更多地支持訂閱或路徑。
- SUBSCRIPTION_MAX_INTERVAL_PUBLISHER_LIMIT定義所選發(fā)布者的上限任何訂閱的最大間隔。這個時間應(yīng)該設(shè)置為60分鐘。
- 受上述最小約束的最小支持能力報告在“基本信息”集群的“CapabilityMinima”屬性。
- 激活交互限制
- 調(diào)用請求動作應(yīng)限于單個具體的命令路徑。
11、一些臨時的條目
以下是臨時項目清單:
- 調(diào)用多個路徑:對具有多個路徑或通配符路徑的調(diào)用交互的支持是臨時的
- EventList全局屬性:EventList全局屬性是臨時的
- 代理服務(wù):代理架構(gòu)、代理配置和代理發(fā)現(xiàn)集群都是臨時的
- 時間同步:時間同步特性是臨時的
- 參數(shù)和常量:下表“參數(shù)術(shù)語表”是本章使用的參數(shù)術(shù)語表,并對每個參數(shù)進行了簡要描述。節(jié)點應(yīng)使用每個參數(shù)的缺省值,除非消息接收節(jié)點通過Operational發(fā)布參數(shù)的備用值發(fā)現(xiàn)
當包含在CASE / PASE會話建立時,這些參數(shù)以以下TLV格式編碼:
sed-parameter-struct => STRUCTURE [ tag-order ]
{
SLEEPY_IDLE_INTERVAL [1, optional] : UNSIGNED INTEGER [ range 32-bits ],
SLEEPY_ACTIVE_INTERVAL [2, optional] : UNSIGNED INTEGER [ range 32-bits ],
}
好了,這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里,如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣,可以添加微信:80709525 備注:發(fā)貨聯(lián)盟引流學(xué)習(xí); 我拉你進直播課程學(xué)習(xí)群,每周135晚上都是有實戰(zhàn)干貨的推廣引流技術(shù)課程免費分享!