Zennio KNX Secure Securel v2 krypteret relæ
DOKUMENTOPDATERINGER
| Version | Ændringer | Sider) |
| b |
Tilføjet instruktioner til at udføre en fabriksnulstilling. |
INDLEDNING
Hidtil har de data, der er transmitteret i en KNX-automatiseringsinstallation, været åbne og kunne læses og manipuleres af alle med en vis viden med adgang til KNX-mediet, så sikkerheden er garanteret ved at forhindre adgang til KNX-bussen eller til enhederne. De nye KNX Secure-protokoller tilføjer yderligere sikkerhed til kommunikationen i en KNX-installation for at forhindre sådanne angreb.
Enheder med KNX secure vil være i stand til at kommunikere sikkert med ETS og enhver anden sikker enhed, da de vil inkorporere et system til autentificering og kryptering af oplysningerne.
Der er to typer KNX-sikkerhed, der kan implementeres samtidigt i samme installation:
- KNX Data Secure: sikrer kommunikationen i en KNX-installation.
- KNX IP Secure: til KNX-installationer med IP-kommunikation, sikrer kommunikation via IP-netværk.
En sikker KNX-enhed refererer til en enhed, der har den grundlæggende evne til at muliggøre sikker kommunikation, selvom det ikke altid er nødvendigt at gøre det. En usikret kommunikation på sikrede KNX-enheder er lig med kommunikation etableret mellem enheder uden KNX-sikkerhed.
Brugen af sikkerhed afhænger af to væsentlige indstillinger i ETS-projektet:
- Idriftsættelsessikkerhed: angiver, om kommunikationen med ETS under idriftsættelsen skal være sikker eller ej og åbner mulighed for at aktivere runtime-sikkerheden.
- Runtime security: angiver, om kommunikation mellem enheder skal være sikker under runtime eller ej. Det bestemmer med andre ord, hvilke gruppeadresser der skal være sikre. For at aktivere sikkerheden under kørsel, skal idriftsættelsessikkerheden være aktiveret.
Aktivering af sikkerhed på KNX Secure-enheder er valgfri. Hvis den er aktiveret, indstilles den individuelt i gruppeadresserne, så alle eller kun en del af objekterne kan sikres, mens resten kan fungere normalt med ikke-sikrede enheder. Med andre ord kan enheder med og uden KNX Secure eksistere side om side i den samme installation.
KONFIGURATION
Fra ETS version 5.7 og fremefter er brugen af KNX-sikkerhed og alle dens funktionaliteter til at arbejde med sikre enheder aktiveret.
I dette afsnit præsenteres en guide til konfiguration af KNX sikker i ETS-projekter.
KNX DATA SIKKER
Dens implementering sikrer kommunikation mellem slutenheder. Sikre KNX-enheder vil transmittere krypterede telegrammer til andre enheder, der også har KNX-sikker.
Det vil være muligt for hver gruppeadresse at vælge, om kommunikationen skal være sikker eller ej.
SIKKER KOMMISSIONERING
Når en enhed har en sikker idriftsættelse, vil kommunikationen mellem ETS og enheden blive udført i sikker tilstand.
En enhed bør have en sikker idriftsættelse konfigureret, når der er runtime-sikkerhed, dvs. et af dets objekter er knyttet til en sikker gruppeadresse (se afsnit 2.1.2).
Note: Bemærk venligst, at tilstedeværelsen af en sikker enhed i et ETS-projekt indebærer beskyttelse af selve projektet med en adgangskode.
ETS PARAMETERISERING
Den sikre idriftsættelse kan indstilles fra fanen "Konfiguration" i vinduet "Egenskaber" på enheden.
Sikker idriftsættelse [Aktiveret / Deaktiveret]: gør det muligt at vælge, om ETS skal kommunikere med enheden i sikker tilstand eller ej, dvs. at aktivere eller deaktivere KNX sikker på enheden.
Hvis indstillingen "Aktiveret" er valgt, vil det være obligatorisk at have en adgangskode til projektet.
Figur 3. Projekt – Indstil adgangskode.
En yderligere måde at indstille en adgangskode på et projekt på er gennem hovedvinduet ("Overview”) af ETS. Ved valg af projekt vil der i højre side blive vist en sektion, hvor der under “Detaljer” kan indtastes den ønskede adgangskode.
Figur 4. ETS – Enhedsadgangskode.
Tilføj enhedscertifikat: Hvis sikker idriftsættelse er "Aktiveret", vil ETS ud over adgangskoden anmode om et unikt certifikat til enheden.
Certifikatet, der skal tilføjes [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] består af 36 alfanumeriske tegn, der er genereret ud fra enhedens serienummer og FDSK (Factory Default Setup Key). Den følger med enheden og indeholder den tilsvarende QR-kode for nem scanning.
Figur 5. Projekt – Tilføj enhedscertifikat.
Enhedscertifikat kan også tilføjes fra ETS-hovedvinduet ("Overview”), ved at få adgang til afsnittet “Sikkerhed” i det nye vindue, der vises i højre side, når du vælger projektet.
Figur 6. ETS – Tilføj enhedscertifikat.
Under den første sikre idriftsættelse erstatter ETS enhedens FDSK med en ny nøgle (Tool Key), der genereres individuelt for hver enhed.
Hvis projektet går tabt, vil alle værktøjsnøgler gå tabt med det, derfor kan enhederne ikke omprogrammeres. For at kunne genskabe dem skal FDSK nulstilles.
FDSK kan gendannes på to måder: efter en aflæsning, forudsat at den udføres fra det projekt, hvor den første idriftsættelse blev udført, eller efter en manuel fabriksnulstilling (se afsnit 3).
SIKKER GRUPPEKOMMUNIKATION
Hvert objekt i en sikker enhed kan transmittere dens information i krypteret form og dermed etablere sikkerhed i kommunikation eller drift.
For at et objekt skal have KNX-sikkerhed, skal det konfigureres fra selve gruppeadressen, dvs. den adresse, som objektet vil blive knyttet til.
ETS PARAMETERISERING
Kommunikationssikkerhedsindstillingerne er defineret fra underfanen "Konfiguration" i vinduet "Egenskaber" for gruppeadressen.
Figur 7. KNX Data Secure – Gruppeadressesikkerhed.
Sikkerhed [Automatisk / Til / Fra]: I indstillingen "Automatisk" beslutter ETS, om kryptering skal aktiveres, hvis de to sammenkædede objekter kan kommunikere sikkert.
Bemærkninger:
- Alle objekter knyttet til en sikker gruppeadresse skal være sikre objekter.
- Samme enhed kan have både sikker og ikke-sikker gruppeadresse.
Sikre genstande kan identificeres med et "blåt skjold".
Figur 8. Sikkert objekt.
KNX IP SECURE
KNX IP-sikkerhed er designet til KNX-installationer med IP-kommunikation. Dens implementering sikrer sikker udveksling af KNX-data mellem systemer via sikre KNX-enheder med IP-forbindelse.
Denne form for sikkerhed anvendes på busgrænseflader og kun i IP-mediet, dvs. sikre telegrammer overføres mellem sikre KNX IP-koblere, enheder og grænseflader.
For at transmissionen af telegrammer på en hoved- eller underledning også skal være sikker, skal sikkerheden være aktiveret på KNX-bussen (se afsnit 2.1).
Figur 9. KNX IP Secure-skema
SIKKER KOMMISSIONERING
I denne type sikkerhed kan udover sikker idriftsættelse i afsnit 1.1.1 også "Sikker tunneling" aktiveres. Denne parameter kan findes på fanen "Indstillinger" i vinduet med enhedsegenskaber på højre side af ETS-skærmen.
ETS PARAMETERISERING
Sikkerhedsindstillingerne for idriftsættelse og tunneling er defineret fra fanen "Konfiguration" i vinduet "Egenskaber" på enheden.
Figur 10. KNX IP Secure – Sikker idriftsættelse og tunneling.
Ud over Sikker idriftsættelse og knappen Tilføj enhedscertifikat, tidligere forklaret i afsnit 2.1.1, vises også:
- Sikker tunneling [Aktiveret / Deaktiveret]: parameter kun tilgængelig, hvis sikker idriftsættelse er aktiveret. Hvis denne egenskab er "Aktiveret", vil de data, der transmitteres gennem tunnelforbindelserne, være sikre, dvs. at informationen bliver krypteret via IP-mediet. Hver tunneladresse vil have sin egen adgangskode.
Figur 11. Tunneling Adgangskode.
IP-fanen på produktet indeholder også idriftsættelsesadgangskoden og godkendelseskoden, som er nødvendige for at oprette enhver sikker forbindelse til enheden.
Figur 12. Ibrugtagningsadgangskode og godkendelseskode.
Note: Det anbefales, at godkendelseskoden for hver enhed er individuel (og helst standardindstillingen i ETS).
Idriftsættelsesadgangskoden vil blive anmodet, når IP-grænsefladen er valgt i ETS for at oprette forbindelse til den (godkendelseskoden er valgfri):
Figur 13. Anmodning om idriftsættelsesadgangskode ved valg af en sikker IP-grænseflade.
GENDAN FABRIKSINDSTILLINGER
For at forhindre en enhed i at blive ubrugelig i tilfælde af at miste projektet og/eller den værktøjsnøgle, som den er programmeret med, er det muligt at returnere den til fabrikstilstanden ved at genoprette FDSK ved at følge nedenstående trin:
- Sæt enheden i sikker tilstand. Dette opnås ved at tænde for den med programmeringsknappen nede, indtil programmerings-LED'en blinker.
- Slip programmeringsknappen. Det bliver ved med at blinke.
- Tryk på programmeringsknappen i 10 sekunder. Mens du trykker på knappen, lyser den rødt. Nulstillingen sker, når LED'en slukker et øjeblik.
Denne proces, udover værktøjsnøglen, sletter også BCU-adgangskoden og nulstiller den enkelte adresse til værdien 15.15.255.
En udlæsning af applikationsprogrammet sletter også værktøjsnøglen og BCU-adgangskoden, selvom det ETS-projekt, som det blev programmeret med, i dette tilfælde er påkrævet.
BEMÆRKNINGER
Nogle overvejelser for brugen af KNX-sikkerhed:
- Individuel adresseændring: I et projekt med flere allerede programmerede sikre enheder, der deler gruppeadresser mellem sig, gør ændring af den individuelle adresse i en af dem det nødvendigt at programmere resten af de enheder, der deler gruppeadresser med den.
- Programmering af en nulstillingsenhed: Når du forsøger at programmere en fabriksnulstillingsenhed, registrerer ETS, at FDSK'en bliver brugt og beder om bekræftelse for at generere en ny værktøjsnøgle for at omprogrammere enheden.
- Enhed programmeret i et andet projekt: Hvis du forsøger at downloade en enhed (sikkert eller ej), der allerede er sikkert programmeret i et andet projekt, vil du ikke være i stand til at downloade den. Du bliver nødt til at gendanne det originale projekt eller udføre en fabriksnulstilling.
- BCU-nøgle: denne adgangskode går tabt enten ved manuel fabriksnulstilling eller ved aflæsning.
Deltag og send os dine forespørgsler om Zennio-enheder: https://support.zennio.com
Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Spanien
Tlf. +34 925 232 002
www.zennio.com
info@zennio.com
Dokumenter/ressourcer
 |
Zennio KNX Secure Securel v2 krypteret relæ [pdfBrugervejledning KNX, Secure Securel v2 Encrypted Relay, KNX Secure Securel v2 Encrypted Relay, v2 Encrypted Relay, Encrypted Relay, Relay |
