亞馬遜云科技推出Matter PKI合規(guī)指導(dǎo)手冊，助力IoT企業(yè)構(gòu)建Matter證書體系

亞馬遜云科技推出Matter公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure,PKI）合規(guī)指導(dǎo)手冊，幫助客戶使用Amazon Private Certificate Authority（Amazon Private CA）證書服務(wù)構(gòu)建符合Matter要求的PKI證書體系，加快客戶Matter認(rèn)證產(chǎn)品的推出。Matter是CSA國際組織連接標(biāo)準(zhǔn)聯(lián)盟以及成員發(fā)布的設(shè)備連接標(biāo)準(zhǔn)協(xié)議，具有Matter認(rèn)證的IoT設(shè)備可實(shí)現(xiàn)跨品牌的互聯(lián)互通，目前已成為全球IoT物聯(lián)網(wǎng)領(lǐng)域關(guān)注的焦點(diǎn)。

01

什么是Matter認(rèn)證？

Matter是連接標(biāo)準(zhǔn)聯(lián)盟（CSA聯(lián)盟）創(chuàng)建的一種新協(xié)議，允許不同供應(yīng)商的智能家居設(shè)備互聯(lián)工作，依托名為設(shè)備認(rèn)證證書（DAC）的數(shù)字證書，來驗(yàn)證智能家居網(wǎng)絡(luò)中的設(shè)備是否已通過Matter認(rèn)證。對于創(chuàng)建符合Matter標(biāo)準(zhǔn)的證書頒發(fā)機(jī)構(gòu)（CA）并簽發(fā)DAC證書的任何人，CSA聯(lián)盟都有特殊要求。

CSA聯(lián)盟允許使用授權(quán)服務(wù)提供商（DSP）為客戶提供公鑰基礎(chǔ)設(shè)施（PKI）服務(wù)，以此來創(chuàng)建客戶符合Matter標(biāo)準(zhǔn)的CA?？蛻艨墒褂肁mazon Private Certificate Authority作為DSP來創(chuàng)建符合Matter標(biāo)準(zhǔn)的CA，并簽發(fā)DAC證書。本指南旨在為客戶提供信息以幫助客戶規(guī)劃Matter CA并證明該CA對于CSA聯(lián)盟Matter PKI證書策略（CP）的合規(guī)性，其中包括了可幫助客戶滿足Matter PKI CP合規(guī)性的控制責(zé)任、制定證據(jù)收集計(jì)劃以滿足Matter PKI評估測試流程、以及向CSA聯(lián)盟說明控制的實(shí)施方法。

當(dāng)客戶使用Amazon Private CA提供的CA基礎(chǔ)設(shè)施服務(wù)來簽發(fā)Matter證書時，應(yīng)詳細(xì)制定實(shí)施計(jì)劃，并證明其符合CSA聯(lián)盟對于Matter PKI CP的要求。Matter PKI CP不僅僅是個技術(shù)標(biāo)準(zhǔn)，它涵蓋了人員、流程和技術(shù)。

02

使用Amazon Private CA

來滿足Matter PKI CP的要求

Amazon Private CA是個DSP，為客戶創(chuàng)建Matter CA提供CA基礎(chǔ)設(shè)施服務(wù)。Amazon Private CA已獲得國際標(biāo)準(zhǔn)化組織（ISO）27001認(rèn)證和系統(tǒng)和組織控制2（SOC2）II類認(rèn)證，這滿足CSA聯(lián)盟的要求?？蛻艨梢允褂肁mazon Private CA來創(chuàng)建符合Matter PKI CP要求的CA，并簽發(fā)具備適當(dāng)配置的DAC證書。作為DSP，Amazon Private CA對CSA聯(lián)盟Matter PKI CP中的部分要求負(fù)責(zé)，但這并不意味著使用Amazon Private CA便會自動具備合規(guī)性，因此客戶有責(zé)任確保自己遵守Matter PKI CP的要求，包括針對所使用的必要或適用服務(wù)實(shí)施安全控制措施。

客戶可進(jìn)一步使用亞馬遜云科技的安全性、身份認(rèn)證和合規(guī)性服務(wù)，包括Amazon Identity and Access Management（IAM）、Amazon CloudWatch、Amazon CloudTrail和Amazon Time Sync Service等，來使客戶的Matter CA滿足Matter PKI CP的合規(guī)性要求。此外，Amazon Private CA還提供示例Amazon Cloud Development Kit（CDK）腳本和示例Amazon CloudFormation堆棧模板，來幫助客戶搭建滿足2022年12月19日發(fā)布的Matter PKI CP要求的Matter CA。

03

亞馬遜云科技責(zé)任共擔(dān)模型

確保CSA聯(lián)盟Matter PKI的安全性是客戶和Amazon Private CA的共同責(zé)任。這種責(zé)任共擔(dān)模型有助于減輕客戶的運(yùn)營負(fù)擔(dān)，這是因?yàn)閬嗰R遜云科技運(yùn)營、管理和控制從Amazon Private CA服務(wù)自身到該服務(wù)運(yùn)行所依托設(shè)備的物理安全性的各個環(huán)節(jié)，所以客戶僅需承擔(dān)使用Amazon Private CA的相關(guān)責(zé)任和管理工作，如邏輯訪問控制和其他技術(shù)設(shè)置（比如加密、日志、日志數(shù)據(jù)備份）等。

該責(zé)任共擔(dān)模型也擴(kuò)展到了信息技術(shù)（IT）控制措施上。正如IT環(huán)境的運(yùn)營責(zé)任由客戶和Amazon Private CA共同承擔(dān)，IT控制措施的管理、運(yùn)營和驗(yàn)證的責(zé)任也是由雙方共同承擔(dān)。例如，Amazon Private CA服務(wù)可以幫助客戶減輕物理基礎(chǔ)設(shè)施相關(guān)的運(yùn)營控制負(fù)擔(dān)，這是因?yàn)锳mazon Private CA部署于亞馬遜云科技的物理環(huán)境中，該物理基礎(chǔ)設(shè)施環(huán)境并不由客戶進(jìn)行管理。客戶可以使用亞馬遜云科技的控制和合規(guī)性文件，如亞馬遜云科技SOC 2 Type 2報告等，來執(zhí)行相關(guān)的控制評估和驗(yàn)證流程。

客戶必須理解CSA聯(lián)盟的Matter PKI CP中的要求，這一點(diǎn)至關(guān)重要。維護(hù)Amazon Private CA之上的Matter CA環(huán)境并能證明其符合Matter要求是客戶的責(zé)任，包括那些未在亞馬遜云科技上托管的CA系統(tǒng)組件，例如用于遠(yuǎn)程連接到Amazon Private CA的工作站等?？蛻魬?yīng)準(zhǔn)備一份完整而準(zhǔn)確的說明，說明各個CA及其關(guān)系，以及確定CA結(jié)構(gòu)的理由，來幫助規(guī)劃和證明Matter PKI CP的合規(guī)性。例如，Matter PKI CP合規(guī)性的評估要求會根據(jù)客戶的CA是供應(yīng)商ID（VID）—Scoped的產(chǎn)品認(rèn)證機(jī)構(gòu)（PAA）還是非VID-Scoped的PAA而變化。圖1展示了客戶如何使用Amazon Private CA并配合客戶自身的控制措施來滿足Matter PKI CP的要求。

圖1：Matter PKI CP要求的共擔(dān)責(zé)任

04

Amazon Private CA服務(wù)的優(yōu)勢

客戶使用Amazon Private CA服務(wù)可按需付費(fèi)，大幅降低獲得Matter認(rèn)證的成本，每張證書價格最低僅不到0.01元人民幣。同時，Amazon Private CA服務(wù)可減少客戶在搭建和運(yùn)營符合Matter標(biāo)準(zhǔn)的CA系統(tǒng)上的工作量。此外，該服務(wù)提供安全的證書管理能力，為托管于其中的CA證書提供強(qiáng)大的安全性，如使用Fips 140-2硬件設(shè)備來保護(hù)CA證書的私鑰，使用Amazon IAM進(jìn)行細(xì)粒度的訪問控制以及使用Amazon Cloudtrail對Amazon Private CA的操作進(jìn)行詳細(xì)的審計(jì)等。