编者按:由多家行业领先公司联合推出的Matter标准一经问世,便给智能家居行业,乃至整个物联网行业带来了巨大影响力,堪称里程碑意义。本系列文章将从本地连接、无线协议Thread、设置便捷及高安全性等四个维度向大家介绍智能家居互联标准Matter所带来的好处。
智能家居标准Matter旨在保障IoT设备安全,免受隐私攻击。大家在购买和使用物联网设备时,其实很少会特意去关注安全与隐私的问题。不过,一旦有安全事件发生,则会立即引起轩然大波。黑客利用僵尸网络通过互联网入侵智能家居之类的新闻报道,想必大家都有所耳闻。那些被入侵的设备往往都是因为保护措施不到位,要么是使用过时的软件,要么是连初始密码都没改,在攻击者面前不堪一击。
出于这个原因,Matter标准在制定过程中也特别考虑了这些安全要求。正如专家所称,Matter标准是“安全的设计”,主要由可信设备、安全控制系统以及防窃听通信三者保驾护航。而这三者都有一个共同的前提——加密。
设备数字证书
Matter采用基于公钥基础设施(PKI)的安全原理。PKI加密机制在互联网中的应用非常广泛。在浏览互联网的时候,浏览器会检查所访问的页面是否安装了有效的证书,且该证书必须由可信机构颁发。每个浏览器都会有一个可信机构名单,并定期更新。
证书与加密保障安全,不仅是在浏览网站时(图示),也是在新的智能家居标准中(图源:matter-smarthome)
如果证书符合要求,就会建立一个防窃听连接。浏览器和服务器交换只有双方才知道的数字密钥。攻击者倘若入侵连接,理论上是可以获取加密的通信,但由于没有相应的密钥也就无法破译数据。
据我们了解,Matter标准也会采用相类似的方式。每个售出的设备都有一张独一无二的证书,即设备认证证书(Device Attestation Certificate,DAC)。DAC证书可以防止设备造假,并确保手中的设备的确来自于包装上的生产厂家。这里面的验证过程其是这样的,经过CSA官方认证的PAA(产品认证机构,Product Attestation Authority)签署颁发PAI证书(产品认证中间证书,Product Attestation Intermediate),然后再由PAI颁发DAC证书,以此形成信任链,确保设备的真实性。
设置过程中的密钥交换
在配网过程中,上面所说的这些证书都发挥着重要作用。新的Matter设备打开后会自动发出信号。这个过程可以通过蓝牙实现(例如上文所说的LED灯的例子),或者通过网络中的Zeroconfig协议(DNS-SD)来实现(例如现在的打印机都可以自动向计算机广播)。
配网:智能手机或其他控制器与新设备建立初步的加密连接(图源:matter-smarthome)
Matter控制器,如智能音箱,接收到了信标,就会开始准备连接,而后PASE过程开始(Password Authenticated Session Establishment,密码认证会话建立)。在这个过程中,控制器和设备使用设备自带的密码(如二维码或数字组合)建立安全连接。
连接建立成功后,控制器首先验证设备的DAC证书。如果通过验证,commissioner则与智能家居网络建立通信。如果需要的话,新设备还会在这个过程中加入WLAN或Thread网络。与此同时,还会生成一个新的数字ID并存储在设备上,即操作证书(Operational Certificate,OpCert)。从某种意义上说,Matter控制器承担了可信机构的角色并颁发OpCert证书。OpCert可以通过额外的根证书进行验证,而这个根证书也安装在新的设备上面。新设备被识别认定为Matter网络的一员,具有相同根证书的设备则相互信任。
加入网络后,新设备与其他设备加密通信,密钥存储在设备本身(图源:matter-smarthome)
通过上述设置之后,所有通信都已被加密。OpCert证书的密钥也存储在设备上,同时还有一个许可功能列表。这个访问控制列表(Access Control List,ACL)规定了哪些其他参与方可以连接到设备,以及具有哪些许可的操作。比如说,电灯开关可以控制打开和关闭电灯,但不能执行管理类任务,比如重设或把灯调到commissioning模式。
所有这些措施都有一个共同的目的,就是为了防止未经授权的人渗透到网络中,拦截指令或在智能家居中植入恶意设备,谨防从内部破坏安全。由于设备间的每一次通信都是经过认证和加密的,因此入侵者可能根本找不到攻击的突破口。如果之后有安全漏洞露出端倪,该标准还能提供软件更新。在紧急情况下,也可以撤销证书,宣告证书已失效。这样的话,Matter控制器也能对此做出反应,比如发出错误消息,类似于浏览器对证书过期的潜在不安全网络服务器的警告。
关于区块链
为了让Matter的安装能够获取到安全相关的信息,Matter标准的制定者还提出采用基于区块链技术的分布式合规账本(Distributed Compliance Ledger,DCL)。
这个账本中存储了每件产品的各种数据及供应商信息,包括公司名称、品牌和互联网地址等。这是什么设备、识别号多少、是否通过了合规性测试;来自认证机构PAA的根证书列表以及当前软件版本等信息。厂商也可以在DCL上提供固件更新。数据库中会包含一个指向供应商服务器的链接,供用户下载新软件。
从技术上讲,DCL是一个由多个独立服务器组成的网络,由连接标准联盟CSA及其成员拥有和托管。每台DCL服务器都持有一份包含Matter设备信息的数据库副本,服务器之间通过加密的安全协议相互通信。由于没有可被攻击或易被操纵的中心化账户,“分布式”的特性与优势也得以体现出来。
分布式合规账本存储Matter设备的相关数据,可用于核查数据真实性以及认证状态等(图源:matter-smarthome)
其原理类似于金融领域的分布式账本技术,也就是比特币等加密货币的工作原理,我们通常称之为区块链。Matter设备厂商可以自己建立一个DCL服务器也可以使用CSA的服务。
这里,我们简单介绍一下工作流程。厂商将其产品数据写入DCL目录。设备成功通过测试机构的认证程序后,测试机构就会将结果报告给CSA。然后,CSA将“已认证”的状态添加到列表中。Matter生态系统,无论是Amazon、Apple、Google,还是其他厂商,都可以利用该数据来核查即将新加入的设备是否符合标准、它的设备证书(DAC)是否正确,以及是否有新的软件更新可用。
如果Matter设备厂商发布了新的软件更新,优化了某些功能。来源于DCL网络的数据就可以确保下载源的正确性,任何人都无法上传虚假的软件更新,从而防止危害系统安全。
为了防止滥用,DCL数据库的“写权限”也有一定限制,例如设备厂商只能添加与其Vendor ID相关联的产品。软件更新也必须属于同一个厂商账号,以免被拒绝上传。此外,只有官方的CSA认证机构才能验证或撤销设备的合规属性。而“读权限”则对所有人公开。
分布式合规账本的web端用户界面(图源:matter-smarthome)
总的来说,Matter标准保障了高水平的安全和隐私保护,尤其是设备和服务器基础设施之间的通信,也改善了IoT产品过去鲜少受到安全和隐私保护方面关注的局面。然而,Matter生态系统最终会如何处理客户数据还需另说,是否用自己的应用程序和云服务器来收集和评估信息也取决于厂商自身。毕竟,Amazon、Google以及三星等公司的商业模式是独立于Matter标准之外的。
本文由Matter.cn编译,如需转载,请联系本站管理员获得授权。