Matter 设备配网流程 ---- 配网材料和 SPAKE2P 机制

已于 2023-09-05 09:55:21 修改
阅读量676 收藏
点赞数
分类专栏: Matter 文章标签: Matter
于 2023-08-29 20:52:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jonee_Pan/article/details/132569864
版权

Matter 设备配网流程 ---- 配网材料和 SPAKE2P 机制

1. Matter 配网材料

Matter 配网(commissioning)使用 SPAKE2P 协议完成 PASE,进而验证 DAC(Device Attestation Credentials),派发 NOC,然后就可以使用 NOC 完成 CASE,在 CASE 上安全地交互控制、查询等命令。

  • SPAKE2P 协议交互需要设备端提供 Spake2pIterationCount,Spake2pSalt,Spake2pVerifier,Passcode。

    • Spake2pIterationCount (下文简称 Iterations)的范围是 1000 ~10000。

    • Spake2pSalt (下文简称 Salt)是 16 ~ 32 bytes 的随机数。

    • Spake2pVerifier (下文简称 Verifier)是由 SPAKE2P 中的 W0 和 L 拼接而成的数据,L 是由 SPAKE2P 的 W1 和 P 计算得来的,固定 97 bytes。

    • passcode 是一个 27 bit 的数值,范围从 0x0000001 to 0x5F5E0FE (即 十进制的 00000001 to 99999998 ),并且不能是以下这些无效值: 00000000, 11111111, 22222222, 33333333, 44444444, 55555555, 66666666, 77777777, 88888888, 99999999, 12345678, 87654321

  • DAC 验证流程需要设备端提供 DeviceAttestationCert,DeviceAttestationKey,ProductAttestationIntermediateCert(PAI),CertificationDeclaration(CD)。

  • 另外,为了优化服务发现的性能,一般设备端还会提供 Discriminator(12bit value)。

    注:这里的设备端指的是commissionee 角色的物理设备,下文也是如此。

2. Matter 配网流程中的 PASE

配网的成功的前提是 commissioner 已经通过 out-of-band 方式获取动了 passcode。

2.1 Matter设备首次配网过程中的 PASE 流程

大致流程如下图:

commissioner commissionee PBKDFParamRequest PBKDFParamResponse PASE_Pake1 PASE_Pake2 PASE_Pake3 status report commissioner commissionee

  1. commissioner 发送 PBKDFParamRequest,commissionee 响应 PBKDFParamResponse,这样 commissioner 获取到 spake2p 的 iteration 和 salt。

  2. commissioner 基于 passocde 、Iterations、Salt 以及 EC 参数中随机选取的 p,计算得出自身的 w0 和 w1,将 w0 和 w1 转换并打包成 pA,在 PASE_Pake1 中发送给commissionee 。

  3. commissionee 也基于 passocde 、Iterations、salt 以及 EC 参数中随机选取的 p,计算得出自身的 w0 、w1和 L(当然可以直接从 pakeVerifier 获取 w0 和 L,对于设备端,目前的代码实现是直接从pakeVerifier 获取 w0 和 L),将 w0 和 L 转换并打包成 pB。同时,基于pA、pB 计算得到 TT,再由 TT 计算得到 cB。 在 PASE_Pake2 中将 pB 和 cB 发送 commissioner 。

    注:双方基于pA、pB 计算得到各自的 TT,再从 TT 得到 cA,cB,Ke。

  4. commissioner 也根据 pA、pB 得出 cA,cB,Ke,比对 PASE_Pake2 收到的 cB 和计算得到的 cB,如果一致,验证成功。同时将 cA 在 PASE_Pake3 发送给 commissionee 。

  5. commissionee 比对 PASE_Pake3 收到的 cA 和 自身计算得到的 cA,如果一致,验证成功,不一致就是失败,并将结果通过 status report 报文发送给 commissioner 。

  6. 在验证成功的情况下,双方根据 Ke 计算得到 I2RKey 和 R2IKey,这是 PASE session 上报文加解密的 key,至此,PASE 完成。

运行日志如下图:
在这里插入图片描述

2.2 Mult-Fabirc 的非首次配网过程中的 PASE 流程

Matter 支持将设备同时加入不同的 Fabric。当设备已经配网,想要将它同时加入其它 Fabric,需要原来 commissioner 的同意和支持。原 commissioner 需要发送 Verifier,Discriminator,Iterations,salt 给设备,并通知设备开启 commission window(这些操作是基于 CASE 的)。同时将 passcode 以 out-of-band 的方式提供给新的 commissioner。注意,passcode 不会通过网络方式传输给 commissionee 以强化安全。设备基于接收到的这套 Verifier,discriminator,Iterations,Salt 执行配网操作加入新的 Fabric。

开启配网窗口命令是 Administrator Commissioning Cluster (0x003C)的 OpenCommissioningWindow 命令,该命令有5个参数:CommissioningTimeout,Verifier,Discriminator,Iterations,Salt。设备端运行日志如下图:
在这里插入图片描述

passcode 或者 QR code 是由 commissioner 提供,运行日志如下图:
在这里插入图片描述

3. 为什么 commissionee 设备内部同时保存 pakeVerifier 和 passcode 呢?

有2个方面的原因:

  1. 设备生产时,需要打印 passcode 和 QR code 到设备上,并且每个设备都不同。在实际产线流程中,从设备读取 passcode 后生成QR code 并打印相关标签是合理简单的操作方式。而 passcode 无法 pakeVerifier 推导出来是保存 passcode 的原因。

  2. 多少情况下,Matter 设备都是资源严重受限的嵌入式设备,从 passcode 计算 pakeVerifier 是个耗资源的操作,所以预置 pakeVerifier 可以优化配网性能。而 PASE 只在配网时用到,所以安全风险很小。

4. pakeVerifier 生成工具

Iterations,Salt,Verifier,Passcode 是一组强关联的数据,需要绑定使用才有效。为了保证安全性,还需要让 passcode、Salt 尽量随机化。通过 Matter 提供的 spake2p 工具 (代码位于 src/tools/spake2p ) 来生成这组数据,比如给定 Iterations、Salt 生成 Verifier,也可以让工具一次性生成多组随机 Iterations、Salt 以及相应的 Verifier,该工具可以将生成的数据输出到 CSV 文件。
生成 Verifier,也可以让工具一次性生成多组随机 Iterations、Salt 以及相应的 Verifier,该工具可以将生成的数据输出到 CSV 文件。

归云十九少
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Matter协议特性解析(三) 设备发现,认证和配网
iotthings的博客
04-27 6478
Matter设备配网Matter设备认证,Matter设备DAC,DAC证书
spake2-ee:libsodium 1.0.16+ 的 SPAKE2+ Elligator 版实现
05-31
SPAKE2+EE libsodium 1.0.17+ 的 SPAKE2+EE(SPAKE2+ Elligator 版)实现 模糊 SPAKE2 是一种密码验证密钥协商协议,允许共享密码的两方安全地相互验证并派生临时会话密钥。 它安全且计算效率高。 这是变体的实现...
Matter实战系列-----3.Matter Light和Switch配网和控制实验
zl374216459的博客
06-14 1045
OT-RCP。Thread无线协处理器OTBR。Thread边界路由器chip-toolLinux应用程序。用于Matter协议控制ot-ctlThread网络控制的应用程序。
Matter设备入网流程
最新发布
物联网IOT
08-18 788
5.第五步,校验,拿到设备DAC以及PAI,和网关Commisioner 拿到的公证信息校验,是否是标准的Matter 设备。6.第六步,网关设备发送一个通信加密通道证书(CSR),设备会作返回信息给网关,表示双向沟通好。11.第十一步,网关使用CASE发送信息给设备,添加已经完成,一些添加设备的安全机制可以撤销。10.第十步,设备发现以后,网关和设备通信的CASE连接建立完成,双方都可信任。8.第八步,给入网设备配置网络,比如thread设备、wifi 设备。4.第四步,配置设备信息,比如国家码。
matter设备配对流程详解
m0_46411607的博客
07-05 2690
本文是基于芯科的官方教程提取出来的 matter设备配对流程详细,适合对matter配对流程不熟又想有所了解的朋友
matter篇用EFR32BG22做配网的BLE步骤
edomjuney的博客
03-20 529
USB0 是USBSTICK ttyACM1 是BG22 虚拟串口,ttyACM1 —开始是ttyACM0, 差别串口好增长。3、 找了块BG22 /BLE开发板开始尝试。应该类似的BG22/MG22/MG21 /MG24/BG24 的开发板,带USB/UART 虚拟串口板都可以。2、 又没有买推荐的BLE dongle. 手上有silabs 的BLE 板子,有BLE/RCP 固件可以支持HCI。5、 烧录bootloader 和bt-RCP 固件到BG22 开发板。
Matter】基于Ubuntu 22.04搭建matter开发环境:chip-tool 配网matter-over-wifi
物联网IOT
08-17 1883
主要是记录一下学习过程,梳理下思路,抛转~官方的开发环境,基于Linux版本,官方的环境是基于树莓派环境的,原理其实也比较明了,目的也比较明确,就是达到Linux 主机和wifi 路由在同一局域网,借助蓝牙的能力,将支持matter协议的wifi 设备添加到网络中,后面就是直接局域网控制就OK了,折腾了几天,终于跑通了。
Matter理论介绍-通用-1-05:桥接设备-发现与配置流程
拿破仑940911
12-23 1411
【 源码、文档、软件、硬件、技术交流、技术支持,入口见文末】
Matter Over Wifi 例程体验(CHIP Over Wifi)
iot-lorawan
12-20 6063
Matter Over Wifi 体验(CHIP Over Wifi)
Matter理论教程-通用-1-02:典型流程分析
拿破仑940911
11-09 1842
【 源码、文档、软件、硬件、技术交流、技术支持,入口见文末】
JohnWickParse:Fortnite uasset,uexp和pak文件的解析器
05-02
Fortnite资产解析器 该程序能够解析pak,uexp和uasset文件,并提供管理它们的方法。 它提供了四个可以读取这些文件的命令 serialize <asset>会将uexp / uasset对转换为.json文件,读取UObject属性。 <asset>没有扩展名。 filelist <pak>将创建一个文本文件,列出.pak文件中包含的所有文件。 extract <pak> <pattern>会将内部路径名中<pattern>所有文件都提取到当前工作文件夹中的相应目录中。 texture <asset>会将DXT5资产文件转换为png图像文件。 对pak文件进行的任何操作都要求key.txt文件包含pak文件的加密密钥,为十六进制字符串,并且不包含前导换行符。 但是请注意,对可以序列化的所有属性的支持有限,如果解析
spake2-wasm
03-31
确保您有rust和cargo ,以及现代的clang 。 安装wasm-pack : cargo install wasm-pack 然后构建: wasm-pack build No available targets are compatible with triple "wasm32-unknown-unknown" 此错误表示您...
Spark大数据技术与应用-第7章.pptx
06-04
机器学习可以分为三大类:监督学习、无监督学习和半监督学习。 监督学习 监督学习是指在给定训练数据集的情况下,学习一个模型,以便对新的数据进行预测或分类。监督学习可以分为分类和回归两种。 * 分类:根据...
游戏编程--设计思想
10-08
Thus spake the master programmer: 编程大师如是说: "When you have learned to snatch the error code from the trap frame, it will be time for you to leave." “当你从我手中夺走水晶球时,就是你离开...
HadoopLearning:完整的大数据基础学习教程,包含最基础的centos,maven。大数据主要包含hdfs,mr,yarn,hbase,kafka,scala,sparkcore,sparkstreaming,sparksql。
02-03
1,基础教程1.1,centos相关1.2,maven相关2,大数据教程2.1,hdfs教程2.1,mapreduce教程3,剩余编写HDFS入门,深入,Shell访问,Java API操作MapReduce入门,深入,编程基础,编程进阶,实战分析和训练Yarn入门,...
Matter】解密Matter协议(二)--- 关键概念及特性
物联网布道师
10-17 6543
Matter网络更像是一个虚拟的网络,他可以跨越不同的底层通讯协议,让不同协议的设备之间可以互相通讯。Fabric:在Matter协议里将这个虚拟的网络称为Fabric,Fabric是一群共享相同Trusted Root的设备的集合,每个Fabric有着自己的Fabric ID,这个ID是一个64-bit的整数。Node: 在Fabric中每个物理的设备称为一个Node,每个Node有自己的Node_ID,每个Node_ID也是64-bit的整数,在同一个Fabric网络内,该Node_ID是唯一的。
Matter Commissioning
minsk1989的专栏
11-29 622
两种流程:并发和非并发并发的Commissioner 和Commissionee具有两个网络,一个是控制网络就是配网后的wifi或者家庭Thread。另一个是Commission网络。可以在相同或者不同的网络上。General Commissioning Cluster的SupportsConcurrentConnection可以判断是否支持并发Commission启动调试的专员应具有可用的监管和结构信息,并且应具有准确的日期、时间和时区。
matter设备调试(Device Commissioning):
qq_42860989的博客
01-27 3327
matter设备调试(Device Commissioning): 设备调试是将设备配置入网的过程,使它们在网络中可以相互通信。新设备需要能够安全地加入网络并与同一网络中的其它设备建立控制关系。为了使设备能够进行调试,它必须将其安全证书传递给网络以便检查其有效性,然后该设备才会被授权在网络上运行。 被调试的设备被称为调试设备(Commissionee),而管理设备调试的设备被称为调试专员(Commissioner)。 设备调试包括以下步骤: 设备发现:调试专员(Commissioner)在网络接口(例
Matter名词解释
IoT的搬运工!!!
03-22 280
Matter名词解释
centos启动spake
05-11
如果您已经安装了spake并且配置好了启动脚本,您可以使用以下命令在CentOS上启动spake: ``` systemctl start spake ``` 这将启动spake服务。如果您需要在系统启动时自动启动spake,可以使用以下命令: ``` systemctl enable spake ``` 这将把spake添加到系统启动项。您可以使用以下命令来检查spake服务的状态: ``` systemctl status spake ``` 如果服务已经运行,您会看到输出信息,包括正在运行的进程ID、内存使用情况等。如果服务没有运行,您可以使用以下命令来查看服务日志: ``` journalctl -u spake ``` 这将显示spake服务的日志信息,包括启动失败的原因等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值