Matter는 보안과 개인 정보 보호를 염두에 두고 설계된 프로토콜입니다. 암호화는 Matter에서 다음을 보장하기 위해 널리 채택되었습니다.
- 신뢰할 수 있는 장치
- 신뢰할 수 있는 컨트롤러
- 개인 통신
다음 아래 기사 목록에서 Matter에 대해 설명합니다.
- Matter 분석 기사 시작
- Matter 발표
- Espressif Matter 시리즈 #1: Matter는 여러분에게 어떤 의미인가요?
- Espressif Matter 시리즈 #2: Matter: 클러스터, 속성, 명령
- Espressif Matter 시리즈 #3: Matter: 장치 간 자동화
- Espressif Matter 시리즈 #4: Matter: 비Matter 장치를 위한 브리지
- Espressif Matter 시리즈 #5: Matter: 스레드 경계 라우터
- Espressif Matter 시리즈 #6: Matter: 다중 관리자, 식별자 및 패브릭
- Espressif Matter 시리즈 #7: Matter 보안 모델
- Espressif Matter 시리즈 #8: Matter: 분산형 규정 준수 원장
- Espressif Matter 시리즈 #9: Matter 장치 제조 가속화
- Espressif Matter 시리즈 #10: Matter 및 인증서 해지
이 게시물에서는 Matter 보안 모델을 살펴보고 Matter에서 이러한 목표를 달성하는 방법을 조사합니다.
공개 키 인프라 소개
Matter 보안 모델은 인터넷에서 널리 채택된 암호화 메커니즘인 공개 키 인프라(PKI)를 기반으로 합니다. https를 통해 웹사이트를 방문하면 연결은 사이트의 인증서로 보호됩니다.
다음은 www.espressif.com의 인증서 체인입니다.
인증서 체인은 계층 구조입니다. 체인의 각 인증서는 발급자가 서명하여 루트 인증서로 추적합니다. 인증서가 브라우저에 저장된 신뢰할 수 있는 루트 인증서 중 하나로 추적될 수 있는 경우 사이트는 신뢰할 수 있습니다.
PKI는 세션 설정 프로토콜과 함께 작동하여 몇 가지 주요 암호화 목표를 달성합니다.
식별: 피어의 식별은 발급자의 서명으로 확인됩니다.
데이터 프라이버시 및 무결성: 모든 통신은 각 세션에 대해 독립적으로 협상된 고유 키로 암호화됩니다.
이 기사의 다음 부분에서는 Matter가 PKI를 사용하여 다양한 보안 목표를 달성하는 방법과 앱과 기기에 인증서가 배포되는 방식을 살펴보겠습니다.
Matter의 인증서
기기 증명 인증서: 기기가 주장하는 대로인가요?
모든 Matter 기기는 고유한 기기 증명 인증서(DAC)와 함께 제공됩니다. 이 인증서는 위조품으로부터 보호해줍니다. 기기가 상자에 적힌 브랜드에서 나왔다고 확신할 수 있습니다. 이 기기 ID 인증은 DAC의 인증서 체인에서 제공됩니다.
DAC는 PAI(제품 증명 중간) 인증서로 서명됩니다. 이 인증서는 일반적으로 기기 제조업체에서 보관합니다. PAI 인증서는 PAA(제품 증명 기관) 인증서로 서명됩니다. 이 PAA 인증서는 루트 CA 역할을 하며 신뢰의 루트를 제공합니다. 신뢰할 수 있는 PAA 인증서 목록은 Connectivity Standard Alliance에서 제공하는 분산 저장소인 DCL(Distributed Compliance Ledger)에 저장됩니다. 다음 게시물에서 DCL에 대한 심층적인 기사를 다루겠습니다.
DAC와 PAI는 제조 중에 장치의 영구 저장소에 저장됩니다. 시운전 프로세스 중에 컨트롤러는 이를 검색하여 인증서와 인증서와 함께 제공된 공급업체/제품 정보를 확인합니다. 이러한 확인 단계는 모든 시운전된 Matter 장치가 신뢰할 수 있음을 보장합니다.
노드 운영 자격 증명: 누구에게 문의해야 합니까?
공개 키 인증서는 피어를 인증하고 Matter 프로토콜에서 데이터 개인 정보 보호 및 무결성을 보장하는 데에도 사용됩니다. 이 시나리오에서 사용되는 키는 노드 운영 자격 증명(NOC)입니다.
NOC는 중간 인증 기관(ICA)에서 서명하거나 루트 인증 기관(RCA)에서 직접 서명할 수 있습니다. RCA는 일반적으로 커미셔너에서 생성합니다. 시운전 프로세스 중에 NOC와 RCA가 장치에 설치됩니다.
앱이나 다른 장치가 장치에 연결되면 인증서 정보가 교환됩니다. 장치는 동일한 루트 인증서를 공유하는 경우 서로를 신뢰합니다. 따라서 동일한 루트 인증서를 가진 장치는 Matter 패브릭을 형성합니다. 인증서 정보 교환 후 피어 간에 암호화된 세션이 설정됩니다.
모두 함께 모으기: 커미셔닝
장치 커미셔닝 프로세스는 기본 제공 장치를 구성합니다. 장치를 인증하고, 네트워크를 설정하고, 장치 스토리지에 NOC를 설치합니다.
장치에 전원이 공급되면 BLE 광고 또는 DNS-sd 서비스 광고를 통해 자체를 광고합니다. 컨트롤러가 광고를 수신하면 페어링 코드를 기반으로 장치와 암호화된 세션을 설정하려고 시도합니다. 이 프로세스를 Matter에서는 PASE(Password Authenticated Session Establishment)라고 합니다. 일반적으로 앱은 PASE 프로세스에서 QR 코드를 스캔하여 장치의 고유한 페어링 코드를 검색합니다.
PASE 세션을 설정한 후 컨트롤러는 장치의 DAC를 확인합니다. 장치 증명 인증서가 인증되면 새 NOC가 서명되어 장치에 설치됩니다. 컨트롤러는 또한 장치에 가입할 Wi-Fi 또는 Thread 네트워크에 대해 알려줍니다. 장치가 올바르게 구성되면 PASE 세션이 닫힙니다. 이후의 모든 통신은 인증서를 기반으로 합니다. 새로운 세션은 Matter에서 CASE(Certificate Authenticated Session Establishment)라고 합니다.
CASE 세션에서 피어는 솔트로 인증서 정보를 교환하여 서로를 인증하고 대칭 암호화를 위한 자격 증명을 협상합니다. 모든 제어 명령은 이 협상된 키로 보호됩니다.
다음 다이어그램에는 Matter 장치를 즉시 페어링하는 일반적인 흐름이 포함되어 있습니다.
이 글은 PKI가 Matter 사양의 필수적인 부분을 구성하는 방법을 요약한 것입니다.
이 글은 Espressif Matter 시리즈 기사의 일부입니다.
'개발자 > IOT-m2m' 카테고리의 다른 글
Matter 및 인증서 해지 (2) | 2024.09.25 |
---|---|
가속화된 Matter 디바이스 제조 (1) | 2024.09.25 |
분산 규정 준수 원장(DCL)이란 무엇이며 어떻게 Matter에 통합되나요? (3) | 2024.09.24 |
Matter: 분산 컴플라이언스 원장(DCL) (0) | 2024.09.24 |
Matter: 다중 관리자, 식별자 및 패브릭 (0) | 2024.09.20 |
Matter: Matter의 스레드 보더 라우터 (2) | 2024.09.19 |
Matter: 비 Matter 디바이스용 브리지 (2) | 2024.09.18 |
Matter: 디바이스 간 자동화 (0) | 2024.09.17 |
더욱 좋은 정보를 제공하겠습니다.~ ^^