Matter 安全机制完全指南 2026：DAC 证书、PAA 信任根与设备认证

上一篇我们聊了 Matter 协议的全貌——从架构到组网再到设备发现。今天我们深入一个更硬核的话题：安全。

说到物联网安全，大多数人的第一反应是”WiFi 密码改了没？“这种级别的操作。但真正的问题从来不在你家路由器上——而在于你怎么确认接入网络的设备是可信的。

Matter 给出了一套基于 PKI（公钥基础设施）的信任链方案，用证书体系把设备从出厂到入网的每一个环节都锁死。听起来复杂？别急，我们一层层拆开来聊。

为什么传统 IoT 安全这么烂？

在 Matter 出现之前，智能家居设备的安全模型基本可以概括为：你猜，我猜，大家一起猜。

一个 WiFi 智能灯泡连接你的网络，它可能：

• 没有任何身份验证机制

• 用出厂默认密码

• 固件可以随意刷写

• 你完全不知道它是不是”正版”

结果就是：任何人都可以伪造一个”智能灯泡”接入你的网络，或者更糟——你花 80 块买的”智能插座”可能正把你的使用数据卖给不知名服务器。

Matter 要解决的就是这个问题：每一个接入 Matter 网络的设备，必须能证明自己是”真正的、经过认证的设备”。

Matter 安全架构全景图

Matter 的安全体系建立在三个核心概念上：

1. PKI 信任链（Certificate Chain）

每个 Matter 设备都内置了一条完整的证书链，由三个层级组成：

┌─────────────────────────────────────┐
│  PAA: Product Attestation Authority  │  ← 根证书（信任锚）
│       （产品认证机构）                │
└──────────────┬──────────────────────┘
               │ 签发
               ▼
┌─────────────────────────────────────┐
│  PAI: Product Attestation Intermediate│  ← 中间证书
│       （产品认证中间机构）             │
└──────────────┬──────────────────────┘
               │ 签发
               ▼
┌─────────────────────────────────────┐
│  DAC: Device Attestation Certificate │  ← 设备证书（每台设备一个）
│       （设备认证证书）                │
└─────────────────────────────────────┘

这三个证书形成了从”根信任”到”具体设备”的完整链条。设备入网时，必须出示这条完整的证书链，Matter Controller 会逐层验证：

1. $1

2. $1

3. $1

全部通过，设备才被认可。

2. DAC 设备认证证书

DAC（Device Attestation Certificate）是每台 Matter 设备独有的身份证。它包含：

• 设备的公钥 — 用于后续通信签名

• 厂商信息（Vendor ID, Product ID）— 确认设备身份

• 设备序列号 — 全球唯一

• 签名 — 由 PAI 私钥签署，证明证书真实性

关键点：DAC 是在出厂时烧录到设备安全区域的，用户无法修改。这就杜绝了伪造设备的可能性——至少，理论上是这样。

3. PAA 信任根

PAA（Product Attestation Authority）是整个信任链的起点——根证书。Matter 联盟维护着一个 PAA 信任列表，只有经过 Matter 联盟认证的公司才能拥有自己的 PAA 证书。

目前主要的 PAA 持有者包括：

• Amazon

• Apple

• Google

• Samsung SmartThings

• 各大芯片厂商（Espressif, Silicon Labs, NXP 等）

如果你买了一个声称支持 Matter 但 PAA 不在信任列表中的设备……那你可能买到了假货。

DCL：分布式合规账本

DCL（Distributed Compliance Ledger）是 Matter 安全体系中一个经常被忽略但极其重要的组件。

它是什么？

DCL 是一个分布式账本（类似区块链的概念，但不是加密货币），记录了：

• 所有认证过的 Matter 设备信息

• 已撤销的设备/证书列表

• 设备合规性状态

• 固件版本合规记录

它怎么工作？

当 Controller 验证一个 Matter 设备时，除了检查证书链，还会查询 DCL：

设备出示证书链
       ↓
Controller 查询 DCL
       ↓
确认：
  ✓ 该 Vendor ID + Product ID 已通过 Matter 认证
  ✓ 证书未被撤销
  ✓ 固件版本合规
  ✓ 设备不在黑名单中
       ↓
认证通过/拒绝

DCL 的妙处在于它是公开可查的——任何人都可以查询一个设备是否在 DCL 中注册。这意味着：

• 消费者可以验证设备是否”真正”支持 Matter

• 厂商无法隐瞒已知的安全漏洞

• 被撤销的设备不会被误认为合法设备

设备入网的完整认证流程

现在我们把所有环节串起来，看看一个 Matter 设备从”第一次上电”到”安全入网”经历了什么：

阶段一：设备发现

1. $1

2. $1

3. $1

阶段二：设备认证（关键！）

1. $1

2. $1

3. $1

阶段三：网络配置

1. $1

2. $1

3. $1

4. $1

阶段四：持续验证

1. $1

2. $1

开发者的实操指南

如果你正在开发 Matter 设备，以下是你需要了解的关键步骤：

1. 获取 PAA/PAI 证书

对于商业产品，你需要向 Matter 联盟申请 PAA/PAI 证书。这涉及：

• 提交 Matter 合规认证

• 支付认证费用

• 获得联盟颁发的 PAA/PAI

2. 开发阶段的证书生成

在开发阶段，你可以使用自签名证书进行测试：

# 使用 CHIP SDK 提供的工具生成测试证书
cd connectedhomeip

# 生成测试根证书（PAA）
./scripts/tools/certification/generate-paa.sh

# 生成中间证书（PAI）
./scripts/tools/certification/generate-pai.sh --paa paa-cert.pem

# 生成设备证书（DAC）
./scripts/tools/certification/generate-dac.sh --pai pai-cert.pem --vendor-id 0xFFF1 --product-id 0x8000

⚠️ 注意： 这些测试证书不能用于商业产品。只有 Matter 联盟认证的 PAA 签发的证书才能被所有 Matter Controller 信任。

3. 在 ESP32 上配置证书

以 Espressif ESP32 为例：

// 在 esp-matter 中配置设备证书
#include \"esp_matter.h\"
#include \"esp_matter_console.h\"

// 设置 DAC 证书
esp_matter_dev_attestation_cert_t dac_cert = {
    .cert = my_device_dac_cert,
    .cert_len = sizeof(my_device_dac_cert),
    .private_key = my_device_private_key,
    .private_key_len = sizeof(my_device_private_key),
};

esp_matter_set_device_attestation_cert(&dac_cert);

4. 验证证书链

你可以通过命令行工具验证设备的证书链：

# 使用 chip-tool 验证设备证书
chip-tool pairing open-commissioning-window 1 0 180 1000 3840

# 查看设备证书信息
chip-tool generaldiagnostics read test-event-triggers 1 0

Matter 安全 vs 传统 IoT 安全对比

维度	传统 IoT	Matter
设备身份	无或弱验证	PKI 证书链，每台设备有唯一身份
信任模型	厂商自建	联盟统一的 PAA 信任根
合规检查	无	DCL 分布式账本，公开可查
证书吊销	不支持	支持，Controller 定期查询
固件验证	可选	固件版本记录在 DCL 中
伪造防护	无	证书链验证 + Challenge-Response
用户可验证	不能	DCL 公开查询，任何人都能验证

结论很明显：Matter 的安全模型比 99% 的现有 IoT 方案都要严格。

常见问题与坑

Q1：我可以跳过设备认证吗？

不能。Matter 协议强制要求设备认证，Controller 不会与未通过认证的设备配对。这是协议层面的限制，不是厂商可以”选择”的功能。

Q2：测试阶段怎么绕过证书限制？

使用开发阶段的 PAA/PAI 证书，或者使用 Espressif、Silicon Labs 等厂商提供的测试证书。但这些证书签发的设备只能与配置了相应测试 PAA 的 Controller 配对。

Q3：证书过期了怎么办？

DAC 证书通常有效期较长（5-10 年），到期前厂商需要通过 OTA 更新设备固件，重新签发证书。Matter 联盟也建议在 DCL 中维护证书的有效期信息。

Q4：DCL 查询失败怎么办？

如果 Controller 无法连接 DCL（比如网络问题），可以选择缓存上一次查询结果，或者拒绝设备接入——这取决于 Controller 的实现策略。大多数产品会选择”离线模式”下允许已知设备接入。

Q5：小厂商能用 Matter 吗？证书成本会不会太高？

这是 Matter 推广面临的一个实际问题。目前，获取 Matter 联盟认证需要支付费用，对小厂商来说确实有门槛。但好消息是：

• 芯片厂商（如 Espressif）会提供预认证的模块，开发者可以直接使用

• Matter 联盟也在考虑推出轻量级认证方案

• 开源社区正在推动非商业场景的证书获取流程

总结

Matter 的安全体系是 IoT 行业到目前为止最完整的设备信任方案之一。它用成熟的 PKI 体系解决了”你是谁”的问题，用 DCL 解决了”你合规吗”的问题，两者结合，从根本上提高了物联网设备的安全基线。

当然，没有完美的安全方案。Matter 的信任链强度取决于 PAA 的安全性，而 DCL 的完整性依赖于联盟的持续维护。但从设计角度看，Matter 至少在”认真对待安全”这件事上，比大多数 IoT 方案走得更远。

下一篇，我们来看看 Matter 设备在实际部署中会遇到哪些网络问题，以及如何优化性能。敬请期待。

如果你觉得这篇文章对你有帮助，欢迎分享给更多人了解 Matter 的安全机制。有任何问题，欢迎留言讨论。