Zennio KNX Secure Securel v2 šifrirani relej

AŽURIRANJA DOKUMENTA

Verzija	Promjene	Stranice
b	Dodane upute za vraćanje na tvorničke postavke.

UVOD

Do sada su podaci koji se prenose u KNX automatiziranoj instalaciji bili otvoreni i mogli su ih čitati i njima manipulirati bilo tko s određenim znanjem i pristupom KNX mediju, tako da je sigurnost zajamčena sprječavanjem pristupa KNX sabirnici ili uređajima. Novi KNX Secure protokoli dodaju dodatnu sigurnost komunikaciji u KNX instalaciji kako bi spriječili takve vrste napada.

Uređaji s KNX secure moći će sigurno komunicirati s ETS-om i bilo kojim drugim sigurnim uređajem, budući da će sadržavati sustav za autentifikaciju i enkripciju informacija.

Postoje dvije vrste KNX sigurnosti koje se mogu implementirati istovremeno u istoj instalaciji:

• KNX Data Secure: osigurava komunikaciju unutar KNX instalacije.
• KNX IP Secure: za KNX instalacije s IP komunikacijom, osigurava komunikaciju putem IP mreže.

Siguran KNX uređaj odnosi se na uređaj koji ima osnovnu sposobnost za omogućavanje sigurne komunikacije, iako to nije uvijek potrebno. Nezaštićena komunikacija na zaštićenim KNX uređajima jednaka je komunikaciji uspostavljenoj između uređaja bez KNX zaštite.

Korištenje sigurnosti ovisi o dvije značajne postavke u ETS projektu:

• Sigurnost pri puštanju u pogon: postavlja hoće li tijekom puštanja u rad komunikacija s ETS-om biti sigurna ili ne i otvara mogućnost aktiviranja sigurnosti tijekom rada.
• Sigurnost izvođenja: postavlja hoće li tijekom izvođenja komunikacija između uređaja biti sigurna ili ne. Drugim riječima, određuje koje grupne adrese trebaju biti sigurne. Kako biste aktivirali sigurnost tijekom rada, mora biti aktivirana sigurnost puštanja u rad.

Aktivacija sigurnosti na KNX Secure uređajima nije obavezna. Ako je aktiviran, postavlja se pojedinačno u grupnim adresama, tako da svi ili samo dio objekata mogu biti osigurani, dok ostali mogu normalno funkcionirati s neosiguranim uređajima. Drugim riječima, uređaji sa i bez KNX Secure mogu koegzistirati u istoj instalaciji.

KONFIGURACIJA

Od ETS verzije 5.7 nadalje omogućeno je korištenje KNX sigurnosti i svih njegovih funkcionalnosti za rad sa sigurnim uređajima.
U ovom odjeljku predstavljen je vodič za konfiguraciju KNX secure u ETS projektima.

KNX SIGURNOST PODATAKA

Njegova implementacija osigurava komunikaciju između krajnjih uređaja. Sigurni KNX uređaji prenosit će šifrirane telegrame drugim uređajima koji također imaju KNX secure.

Za svaku adresu grupe moći će se odabrati hoće li komunikacija biti sigurna ili ne.

SIGURNO PUŠTANJE U RAD

Kada uređaj ima sigurno puštanje u pogon, komunikacija između ETS-a i uređaja odvijat će se u sigurnom načinu rada.

Uređaj bi trebao imati konfigurirano sigurno puštanje u pogon kad god postoji sigurnost tijekom izvođenja, tj. jedan od njegovih objekata povezan je sa sigurnom grupnom adresom (pogledajte odjeljak 2.1.2).

Bilješka: Imajte na umu da prisutnost sigurnog uređaja unutar ETS projekta podrazumijeva zaštitu samog projekta lozinkom.

ETS PARAMETRIZACIJA
Sigurno puštanje u rad može se postaviti na kartici "Konfiguracija" u prozoru "Svojstva" uređaja.

Sigurno puštanje u rad [aktivirano / deaktivirano]: omogućuje odabir hoće li ETS komunicirati s uređajem u sigurnom načinu rada ili ne, tj. omogućiti ili onemogućiti KNX secure na uređaju.
Ako je odabrana opcija “Aktivirano”, bit će obavezno imati lozinku za projekt.

 

Slika 3. Projekt – Postavljanje lozinke.

Dodatni način za postavljanje lozinke na projekt je kroz glavni prozor (“Gotovoview“) ETS-a. Prilikom odabira projekta, s desne strane će se prikazati odjeljak u koji se pod “Detalji” može unijeti željena lozinka.

Slika 4. ETS – Lozinka uređaja.

Dodavanje certifikata uređaja: Ako je sigurno puštanje u pogon “Aktivirano”, ETS će, uz lozinku, zahtijevati jedinstveni certifikat za uređaj.
Certifikat koji se dodaje [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] sastoji se od 36 alfanumeričkih znakova generiranih iz serijskog broja i FDSK (tvornički zadani ključ za postavljanje) uređaja. Isporučuje se s uređajem i sadrži odgovarajući QR kod za jednostavno skeniranje.

 

Slika 5. Projekt – Dodavanje certifikata uređaja.

Certifikat uređaja također se može dodati iz glavnog ETS prozora (“Overview“), pristupom odjeljku „Sigurnost” u novom prozoru koji se prikazuje s desne strane prilikom odabira projekta.

Slika 6. ETS – Dodavanje certifikata uređaja.

Tijekom prvog sigurnog puštanja u pogon ETS zamjenjuje FDSK uređaja novim ključem (Tool Key) koji se generira pojedinačno za svaki uređaj.
Ako se projekt izgubi, svi ključevi alata bit će izgubljeni s njim, stoga se uređaji ne mogu reprogramirati. Kako biste ih mogli oporaviti, FDSK se mora resetirati.
FDSK se može vratiti na dva načina: nakon pražnjenja, pod uvjetom da se ono izvodi iz projekta u kojem je izvršeno prvo puštanje u rad, ili nakon ručnog vraćanja na tvorničke postavke (vidi odjeljak 3).

SIGURNA GRUPNA KOMUNIKACIJA
Svaki objekt sigurnog uređaja može prenositi svoje informacije u šifriranom obliku, čime se uspostavlja sigurnost u komunikaciji ili radu.

Da bi objekt imao KNX sigurnost, mora biti konfiguriran iz same adrese grupe, tj. adrese na koju će objekt biti pridružen.

ETS PARAMETRIZACIJA
Sigurnosne postavke komunikacije definirane su u podkartici "Konfiguracija" u prozoru "Svojstva" adrese grupe.

Slika 7. KNX Data Secure – Sigurnost grupne adrese.

Sigurnost [Automatski / Uključeno / Isključeno]: u postavci "Automatski", ETS odlučuje hoće li se enkripcija aktivirati ako dva povezana objekta mogu sigurno komunicirati.

Bilješke:

• Svi objekti povezani sa sigurnom grupnom adresom bit će sigurni objekti.
• Isti uređaj može imati i sigurnu i nesigurnu grupnu adresu.

Zaštićeni objekti mogu se identificirati "plavim štitom".

Slika 8. Zaštićeni objekt.

KNX IP SECURE

KNX IP sigurnost dizajnirana je za KNX instalacije s IP komunikacijom. Njegova implementacija osigurava sigurnu razmjenu KNX podataka između sustava putem sigurnih KNX uređaja s IP vezom.

Ova vrsta sigurnosti primjenjuje se na sučeljima sabirnice i samo u IP mediju, tj. sigurni telegrami se prenose između sigurnih KNX IP spojnica, uređaja i sučelja.

Kako bi prijenos telegrama na glavnoj liniji ili podliniji također bio siguran, sigurnost mora biti aktivirana na KNX sabirnici (vidi odjeljak 2.1).

Slika 9. KNX IP Secure shema

SIGURNO PUŠTANJE U RAD
U ovoj vrsti sigurnosti, osim sigurnog puštanja u pogon u odjeljku 1.1.1, također se može aktivirati "Sigurno tuneliranje". Ovaj se parametar može pronaći u kartici "Postavke" u prozoru svojstava uređaja na desnoj strani ETS zaslona.

ETS PARAMETRIZACIJA
Sigurnosne postavke puštanja u pogon i tuneliranja definirane su na kartici "Konfiguracija" u prozoru "Svojstva" uređaja.

Slika 10. KNX IP Secure – Sigurno puštanje u rad i tuneliranje.
Osim Sigurnog puštanja u rad i gumba Dodaj certifikat uređaja, koji je prethodno objašnjen u odjeljku 2.1.1, također će se pojaviti:

• Sigurno tuneliranje [Omogućeno / Onemogućeno]: parametar dostupan samo ako je omogućeno sigurno puštanje u pogon. Ako je ovo svojstvo "Omogućeno", podaci koji se prenose kroz tunelske veze bit će sigurni, tj. podaci će biti šifrirani putem IP medija. Svaka adresa tunela će imati svoju lozinku.

Slika 11. Lozinka adrese tuneliranja.

Kartica IP proizvoda također sadrži lozinku za puštanje u rad i kod za provjeru autentičnosti, koji su potrebni za uspostavljanje bilo kakve sigurne veze s uređajem.

Slika 12. Lozinka za puštanje u rad i kod za provjeru autentičnosti.

Bilješka: Preporuča se da autentifikacijski kod za svaki uređaj bude individualan (i po mogućnosti zadani postavljen u ETS-u).
Lozinka za puštanje u rad bit će zatražena kada se u ETS-u odabere IP sučelje za povezivanje s njim (kod za autentifikaciju nije obavezan):

Slika 13. Zahtjev za lozinku za puštanje u rad pri odabiru sigurnog IP sučelja.

PONIŠTENJE TVRTKE

Kako biste spriječili da uređaj postane neupotrebljiv u slučaju gubitka projekta i/ili ključa alata s kojim je programiran, moguće ga je vratiti u tvorničko stanje vraćanjem FDSK slijedeći korake u nastavku:

1. Stavite uređaj u siguran način rada. To se postiže uključivanjem s tipkom za programiranje pritisnutom dok LED dioda za programiranje ne treperi.
2. Otpustite tipku za programiranje. Stalno treperi.
3. Pritisnite tipku za programiranje 10 sekundi. Dok pritiskate tipku svijetli crveno. Resetiranje se događa kada se LED dioda trenutno isključi.

Ovaj proces, osim ključa alata, također briše BCU lozinku i resetira pojedinačnu adresu na vrijednost 15.15.255.

Učitavanje aplikacijskog programa također briše ključ alata i lozinku BCU, iako je u ovom slučaju potreban ETS projekt s kojim je programiran.

ZAPAŽANJA

Neka razmatranja za korištenje KNX sigurnosti: 

• Individualna promjena adrese: u projektu s nekoliko već programiranih sigurnih uređaja koji međusobno dijele grupne adrese, promjena pojedinačne adrese u jednom od njih čini nužnim programirati ostale uređaje koji s njim dijele grupne adrese.
• Programiranje uređaja za resetiranje: kada pokušava programirati uređaj za resetiranje na tvorničke postavke, ETS otkriva da se koristi FDSK i traži potvrdu za generiranje novog ključa alata kako bi reprogramirao uređaj.
• Uređaj programiran u drugom projektu: ako pokušate preuzeti uređaj (sigurno ili ne) koji je već sigurno programiran u drugom projektu, nećete ga moći preuzeti. Morat ćete oporaviti izvorni projekt ili izvršiti vraćanje na tvorničke postavke.
• BCU ključ: ova lozinka se gubi ili ručnim vraćanjem na tvorničke postavke ili istovarom.

Pridružite nam se i pošaljite nam svoje upite o Zennio uređajima: https://support.zennio.com

Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Brod P-8.11 45007 Toledo. Španjolska

Tel. +34 925 232 002

www.zennio.com
info@zennio.com

Dokumenti / Resursi

Zennio KNX Secure Securel v2 šifrirani relej [pdf] Korisnički priručnik KNX, Secure Securel v2 Encrypted Relay, KNX Secure Securel v2 Encrypted Relay, v2 Encrypted Relay, Encrypted Relay, Relay

Reference

• korisnički priručnik