Zennio KNX Securel v2 verschlüsseltes Relais

DOKUMENTEN-UPDATES

Version	Änderungen	Seite (n)
b	Anweisungen zum Zurücksetzen auf die Werkseinstellungen hinzugefügt.

EINFÜHRUNG

Bisher waren die in einer KNX-Automatisierungsinstallation übertragenen Daten offen und konnten von jedem mit etwas Wissen mit Zugriff auf das KNX-Medium gelesen und manipuliert werden, sodass die Sicherheit gewährleistet ist, indem der Zugriff auf den KNX-Bus oder auf die Geräte verhindert wird. Die neuen KNX Secure-Protokolle fügen der Kommunikation in einer KNX-Installation zusätzliche Sicherheit hinzu, um solche Angriffe zu verhindern.

Geräte mit KNX Secure können sicher mit ETS und jedem anderen sicheren Gerät kommunizieren, da sie ein System zur Authentifizierung und Verschlüsselung der Informationen enthalten.

Es gibt zwei Arten von KNX-Sicherheit, die gleichzeitig in derselben Installation implementiert werden können:

• KNX Data Secure: sichert die Kommunikation innerhalb einer KNX Installation.
• KNX IP Secure: für KNX-Installationen mit IP-Kommunikation, sichere Kommunikation über IP-Netzwerk.

Ein sicheres KNX-Gerät bezieht sich auf ein Gerät, das die grundlegende Fähigkeit besitzt, eine sichere Kommunikation zu ermöglichen, obwohl dies nicht immer erforderlich ist. Eine ungesicherte Kommunikation auf gesicherten KNX-Geräten ist gleichbedeutend mit einer Kommunikation, die zwischen Geräten ohne KNX-Sicherheit aufgebaut wird.

Die Verwendung der Sicherheit hängt von zwei wesentlichen Einstellungen im ETS-Projekt ab:

• Inbetriebnahmesicherheit: legt fest, ob während der Inbetriebnahme die Kommunikation mit der ETS sicher sein soll oder nicht und eröffnet die Möglichkeit, die Laufzeitsicherheit zu aktivieren.
• Laufzeitsicherheit: Legt fest, ob während der Laufzeit die Kommunikation zwischen Geräten sicher sein soll oder nicht. Mit anderen Worten, es bestimmt, welche Gruppenadressen sicher sein sollen. Um die Sicherheit zur Laufzeit zu aktivieren, muss die Inbetriebnahmesicherheit aktiviert werden.

Die Aktivierung der Sicherheit auf KNX Secure Geräten ist optional. Wenn es aktiviert ist, wird es individuell in den Gruppenadressen eingestellt, sodass alle oder nur ein Teil der Objekte gesichert werden kann, während der Rest mit nicht gesicherten Geräten normal funktioniert. Mit anderen Worten, Geräte mit und ohne KNX Secure können in derselben Installation koexistieren.

KONFIGURATION

Ab der ETS-Version 5.7 ist die Verwendung von KNX Security und all seinen Funktionalitäten zum Arbeiten mit sicheren Geräten aktiviert.
In diesem Abschnitt wird eine Anleitung zur Konfiguration von KNX Secure in ETS-Projekten vorgestellt.

KNX-DATEN SICHER

Seine Implementierung stellt die Kommunikation zwischen Endgeräten sicher. Sichere KNX-Geräte übertragen verschlüsselte Telegramme an andere Geräte, die ebenfalls KNX-sicher sind.

Für jede Gruppenadresse kann ausgewählt werden, ob die Kommunikation sicher ist oder nicht.

SICHERE INBETRIEBNAHME

Wenn ein Gerät eine sichere Inbetriebnahme hat, wird die Kommunikation zwischen ETS und dem Gerät im abgesicherten Modus durchgeführt.

Ein Gerät sollte immer dann eine sichere Inbetriebnahme konfiguriert haben, wenn Laufzeitsicherheit besteht, dh eines seiner Objekte einer sicheren Gruppenadresse zugeordnet ist (siehe Abschnitt 2.1.2).

Notiz: Bitte beachten Sie, dass das Vorhandensein eines sicheren Geräts in einem ETS-Projekt den Schutz des Projekts selbst mit einem Passwort impliziert.

ETS-PARAMETERISIERUNG
Die sichere Inbetriebnahme kann im Reiter „Konfiguration“ im Fenster „Eigenschaften“ des Geräts eingestellt werden.

Sichere Inbetriebnahme [Aktiviert / Deaktiviert]: ermöglicht die Wahl, ob die ETS im abgesicherten Modus mit dem Gerät kommunizieren soll oder nicht, dh KNX Secure auf dem Gerät zu aktivieren oder zu deaktivieren.
Wenn die Option „Aktiviert“ ausgewählt ist, ist es zwingend erforderlich, ein Passwort für das Projekt zu haben.

 

Abbildung 3. Projekt – Passwort festlegen.

Eine weitere Möglichkeit, ein Passwort für ein Projekt festzulegen, ist über das Hauptfenster („Overview“) von ETS. Bei der Auswahl des Projekts wird auf der rechten Seite ein Bereich angezeigt, in dem unter „Details“ das gewünschte Passwort eingegeben werden kann.

Abbildung 4. ETS – Gerätepasswort.

Gerätezertifikat hinzufügen: Wenn die sichere Inbetriebnahme „aktiviert“ ist, fordert die ETS zusätzlich zum Passwort ein eindeutiges Zertifikat für das Gerät an.
Das hinzuzufügende Zertifikat [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] besteht aus 36 alphanumerischen Zeichen, die aus der Seriennummer und dem FDSK (Factory Default Setup Key) des Geräts generiert werden. Er liegt dem Gerät bei und enthält den entsprechenden QR-Code zum einfachen Scannen.

 

Abbildung 5. Projekt – Gerätezertifikat hinzufügen.

Das Gerätezertifikat kann auch aus dem ETS-Hauptfenster hinzugefügt werden („Overview“), indem Sie auf den Abschnitt „Sicherheit“ des neuen Fensters zugreifen, das auf der rechten Seite angezeigt wird, wenn Sie das Projekt auswählen.

Abbildung 6. ETS – Gerätezertifikat hinzufügen.

Bei der ersten sicheren Inbetriebnahme ersetzt die ETS den FDSK des Geräts durch einen neuen Schlüssel (Tool Key), der für jedes Gerät individuell generiert wird.
Wenn das Projekt verloren geht, gehen alle Werkzeugschlüssel verloren, daher können die Geräte nicht neu programmiert werden. Um sie wiederherstellen zu können, muss der FDSK zurückgesetzt werden.
Der FDSK kann auf zwei Arten wiederhergestellt werden: nach einem Entladen, sofern es aus dem Projekt heraus erfolgt, in dem die Erstinbetriebnahme durchgeführt wurde, oder nach einem manuellen Werksreset (siehe Abschnitt 3).

SICHERE GRUPPENKOMMUNIKATION
Jedes Objekt eines sicheren Geräts kann seine Informationen verschlüsselt übertragen und so Sicherheit in der Kommunikation oder im Betrieb herstellen.

Damit ein Objekt KNX-Sicherheit hat, muss es von der Gruppenadresse selbst konfiguriert werden, dh der Adresse, der das Objekt zugeordnet wird.

ETS-PARAMETERISIERUNG
Die Kommunikationssicherheitseinstellungen werden auf der Unterregisterkarte „Konfiguration“ im Fenster „Eigenschaften“ der Gruppenadresse definiert.

Abbildung 7. KNX Data Secure – Gruppenadresssicherheit.

Sicherheit [Automatisch / Ein / Aus]: Bei der Einstellung „Automatisch“ entscheidet die ETS, ob die Verschlüsselung aktiviert wird, wenn die beiden verknüpften Objekte sicher kommunizieren können.

Hinweise:

• Alle mit einer sicheren Gruppenadresse verknüpften Objekte müssen sichere Objekte sein.
• Dasselbe Gerät kann sowohl eine sichere als auch eine nicht sichere Gruppenadresse haben.

Sichere Objekte sind mit einem „blauen Schild“ gekennzeichnet.

Abbildung 8. Sicheres Objekt.

KNX IP SICHER

KNX IP Security ist für KNX-Installationen mit IP-Kommunikation konzipiert. Seine Implementierung gewährleistet den sicheren Austausch von KNX-Daten zwischen Systemen über sichere KNX-Geräte mit IP-Verbindung.

Diese Art der Sicherheit wird auf Busschnittstellen und nur im IP-Medium angewendet, dh sichere Telegramme werden zwischen sicheren KNX IP-Kopplern, Geräten und Schnittstellen übertragen.

Damit die Übertragung von Telegrammen auf einer Haupt- oder Nebenlinie auch sicher ist, muss die Sicherheit auf dem KNX-Bus aktiviert werden (siehe Abschnitt 2.1).

Abbildung 9. KNX IP Secure-Schema

SICHERE INBETRIEBNAHME
Bei dieser Art der Sicherheit kann neben der sicheren Inbetriebnahme in Abschnitt 1.1.1 auch „Secure Tunneling“ aktiviert werden. Dieser Parameter befindet sich im Reiter „Einstellungen“ des Geräteeigenschaften-Fensters auf der rechten Seite des ETS-Bildschirms.

ETS-PARAMETERISIERUNG
Die Inbetriebnahme- und Tunnelsicherheitseinstellungen werden auf der Registerkarte „Konfiguration“ im Fenster „Eigenschaften“ des Geräts definiert.

Abbildung 10. KNX IP Secure – Sichere Inbetriebnahme und Tunneling.
Zusätzlich zu Secure Commissioning und der Schaltfläche Add Device Certificate, die zuvor in Abschnitt 2.1.1 erläutert wurde, wird auch Folgendes angezeigt:

• Secure Tunneling [Enabled / Disabled]: Parameter nur verfügbar, wenn Secure Commissioning aktiviert ist. Wenn diese Eigenschaft „aktiviert“ ist, werden die über die Tunnelverbindungen übertragenen Daten sicher, dh die Informationen werden durch das IP-Medium verschlüsselt. Jede Tunneladresse hat ihr eigenes Passwort.

Abbildung 11. Passwort für die Tunneling-Adresse.

Die Registerkarte IP des Produkts enthält auch das Inbetriebnahmepasswort und den Authentifizierungscode, die erforderlich sind, um eine sichere Verbindung zum Gerät herzustellen.

Abbildung 12. Inbetriebnahmepasswort und Authentifizierungscode.

Notiz: Es wird empfohlen, dass der Authentifizierungscode für jedes Gerät individuell ist (und vorzugsweise der in der ETS voreingestellte).
Das Inbetriebnahmepasswort wird abgefragt, wenn die IP-Schnittstelle in der ETS ausgewählt wird, um sich damit zu verbinden (der Authentifizierungscode ist optional):

Abbildung 13. Abfrage des Inbetriebnahmepassworts bei Auswahl einer sicheren IP-Schnittstelle.

WERKSEINSTELLUNGEN ZURÜCKGESETZT

Um zu verhindern, dass ein Gerät bei Verlust des Projekts und/oder des Tool Keys, mit dem es programmiert wurde, unbrauchbar wird, kann es durch Wiederherstellen des FDSK in den Werkszustand zurückgesetzt werden, indem Sie die folgenden Schritte ausführen:

1. Versetzen Sie das Gerät in den abgesicherten Modus. Dies wird erreicht, indem es mit gedrückter Programmiertaste eingeschaltet wird, bis die Programmier-LED blinkt.
2. Lassen Sie die Programmiertaste los. Es blinkt weiter.
3. Drücken Sie die Programmiertaste für 10 Sekunden. Während die Taste gedrückt wird, leuchtet sie rot. Der Reset erfolgt, wenn die LED kurzzeitig ausgeht.

Dieser Vorgang löscht neben dem Tool Key auch das BCU-Passwort und setzt die individuelle Adresse auf den Wert 15.15.255 zurück.

Ein Entladen des Anwendungsprogramms löscht auch den Tool Key und das BCU-Passwort, allerdings wird in diesem Fall das ETS-Projekt benötigt, mit dem es programmiert wurde.

BEMERKUNGEN

Einige Überlegungen zum Einsatz von KNX Security: 

• Individuelle Adressänderung: In einem Projekt mit mehreren bereits programmierten sicheren Geräten, die Gruppenadressen gemeinsam nutzen, macht es die Änderung der individuellen Adresse in einem von ihnen erforderlich, die restlichen Geräte zu programmieren, die Gruppenadressen gemeinsam nutzen.
• Programmieren eines Reset-Geräts: Beim Versuch, ein auf die Werkseinstellungen zurückgesetztes Gerät zu programmieren, erkennt ETS, dass der FDSK verwendet wird, und bittet um Bestätigung, um einen neuen Tool Key zu generieren, um das Gerät neu zu programmieren.
• In einem anderen Projekt programmiertes Gerät: Wenn Sie versuchen, ein Gerät herunterzuladen (sicher oder nicht), das bereits in einem anderen Projekt sicher programmiert wurde, können Sie es nicht herunterladen. Sie müssen das ursprüngliche Projekt wiederherstellen oder einen Werksreset durchführen.
• BCU-Schlüssel: Dieses Passwort geht entweder durch manuellen Werksreset oder durch Entladen verloren.

Machen Sie mit und senden Sie uns Ihre Anfragen zu Zennio-Geräten: https://support.zennio.com

Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Kirchenschiff P-8.11 45007 Toledo. Spanien

Tel. +34 925 232 002

www.zennio.com
info@zennio.com

Dokumente / Ressourcen

Zennio KNX Securel v2 verschlüsseltes Relais [pdf] Benutzerhandbuch KNX, Securel v2 verschlüsseltes Relais, KNX Securel v2 verschlüsseltes Relais, v2 verschlüsseltes Relais, verschlüsseltes Relais, Relais

Verweise

• Bedienungsanleitung