Zennio KNX セキュア Securel v2 暗号化リレー
ドキュメントの更新
| バージョン | 変更点 | ページ |
| b |
工場出荷時設定へのリセットを実行するための手順を追加しました。 |
導入
これまで、KNX オートメーション インストールで送信されたデータはオープンであり、KNX メディアにアクセスできる知識があれば誰でも読み取って操作できたので、KNX バスまたはデバイスへのアクセスを防止することでセキュリティが保証されました。 新しい KNX セキュア プロトコルは、KNX インストールの通信に追加のセキュリティを追加して、この種の攻撃を防ぎます。
KNXセキュアを備えたデバイスは、情報の認証と暗号化のためのシステムを組み込むため、ETSやその他のセキュアデバイスと安全に通信できます.
同じインストールで同時に実装できる KNX セキュリティには、次の XNUMX つのタイプがあります。
- KNX Data Secure: KNX インストール内の通信を保護します。
- KNX IP セキュア: IP 通信を使用する KNX インストールの場合、IP ネットワーク経由の通信を保護します。
安全な KNX デバイスとは、安全な通信を可能にする基本的な機能を備えたデバイスを指しますが、常にそうする必要があるわけではありません。 セキュリティで保護された KNX デバイスでのセキュリティで保護されていない通信は、KNX セキュリティなしでデバイス間で確立された通信と同じです。
セキュリティの使用は、ETS プロジェクトの XNUMX つの重要な設定に依存します。
- コミッショニング セキュリティ: コミッショニング中に ETS との通信を安全にするかどうかを設定し、ランタイム セキュリティを有効にする可能性を開きます。
- ランタイム セキュリティ: ランタイム中にデバイス間の通信を保護するかどうかを設定します。 つまり、どのグループ アドレスを保護するかを決定します。 実行時にセキュリティを有効にするには、コミッショニング セキュリティを有効にする必要があります。
KNX Secure デバイスでのセキュリティの有効化はオプションです。 アクティブ化されている場合は、グループ アドレスに個別に設定されるため、オブジェクトのすべてまたは一部のみが保護され、残りは保護されていないデバイスで正常に機能します。 つまり、KNX セキュアを使用するデバイスと使用しないデバイスを同じインストールに共存させることができます。
構成
ETS バージョン 5.7 以降では、KNX セキュリティとそのすべての機能を使用して、安全なデバイスを操作できます。
このセクションでは、ETS プロジェクトで KNX セキュアを構成するためのガイドを示します。
KNXデータセキュア
その実装により、エンド デバイス間の通信が保証されます。 セキュアな KNX デバイスは、暗号化されたテレグラムを KNX セキュアを備えた他のデバイスに送信します。
グループアドレスごとに、通信を安全にするかどうかを選択できます。
安全なコミッショニング
デバイスに安全なコミッショニングがある場合、ETS とデバイス間の通信はセーフ モードで実行されます。
ランタイム セキュリティがある場合、つまりデバイスのオブジェクトの 2.1.2 つが安全なグループ アドレスに関連付けられている場合は常に、デバイスに安全なコミッショニングを設定する必要があります (セクション XNUMX を参照)。
注記: ETS プロジェクト内に安全なデバイスが存在するということは、プロジェクト自体がパスワードで保護されていることを意味することに注意してください。
ETSパラメータ化
セキュア コミッショニングは、デバイスの [プロパティ] ウィンドウの [構成] タブから設定できます。
セキュア コミッショニング [アクティブ化/非アクティブ化]: ETS がセーフ モードでデバイスと通信するかどうかを選択できます。つまり、デバイスで KNX セキュアを有効または無効にできます。
「アクティブ化」オプションが選択されている場合、プロジェクトのパスワードが必須になります。
図 3. プロジェクト - パスワードの設定。
プロジェクトにパスワードを設定するもう XNUMX つの方法は、メイン ウィンドウ (「Overview」)ETSの。 プロジェクトを選択すると、右側にセクションが表示され、[詳細] の下に必要なパスワードを入力できます。
図 4. ETS – デバイスのパスワード。
デバイス証明書の追加: セキュア コミッショニングが「アクティブ化」されている場合、ETS はパスワードに加えて、デバイスの一意の証明書を要求します。
追加する証明書 [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] は、デバイスのシリアル番号と FDSK (Factory Default Setup Key) から生成された 36 文字の英数字で構成されます。 これはデバイスに付属しており、簡単にスキャンできるように対応する QR コードが含まれています。
図 5. プロジェクト – デバイス証明書を追加します。
デバイス証明書は、メインの ETS ウィンドウ (「Overview」)、プロジェクトを選択すると右側に表示される新しいウィンドウの「セキュリティ」セクションにアクセスします。
図 6. ETS – デバイス証明書を追加します。
最初のセキュア コミッショニング中に、ETS はデバイスの FDSK を、デバイスごとに個別に生成された新しいキー (ツール キー) に置き換えます。
プロジェクトが失われると、すべてのツール キーが失われるため、デバイスを再プログラムすることはできません。 それらを回復できるようにするには、FDSK をリセットする必要があります。
FDSK は 3 つの方法で復元できます。アンロード後 (最初の試運転が実行されたプロジェクトから実行される場合)、または手動の工場出荷時設定へのリセット後 (セクション XNUMX を参照)。
安全なグループ通信
安全なデバイスの各オブジェクトは、その情報を暗号化された形式で送信できるため、通信または操作のセキュリティが確立されます。
オブジェクトに KNX セキュリティを持たせるには、グループ アドレス自体、つまりオブジェクトが関連付けられるアドレスから構成する必要があります。
ETSパラメータ化
通信セキュリティ設定は、グループ アドレスの [プロパティ] ウィンドウの [構成] サブタブから定義されます。
図 7. KNX データ セキュア – グループ アドレス セキュリティ。
セキュリティ [自動 / オン / オフ]: 「自動」設定では、リンクされた XNUMX つのオブジェクトが安全に通信できる場合、ETS が暗号化を有効にするかどうかを決定します。
注:
- セキュア グループ アドレスにリンクされたすべてのオブジェクトは、セキュア オブジェクトである必要があります。
- 同じデバイスがセキュア グループ アドレスと非セキュア グループ アドレスの両方を持つことができます。
セキュア オブジェクトは「青い盾」で識別できます。
図 8. セキュア オブジェクト。
KNX IP セキュア
KNX IP セキュリティは、IP 通信を使用する KNX インストール用に設計されています。 その実装により、IP接続を備えた安全なKNXデバイスを介して、システム間でKNXデータの安全な交換が保証されます。
このタイプのセキュリティは、バス インターフェイスに適用され、IP メディアのみに適用されます。つまり、安全なテレグラムは、安全な KNX IP カプラー、デバイス、およびインターフェイス間で送信されます。
メインラインまたはサブラインでのテレグラムの送信も安全に行うためには、KNX バスでセキュリティを有効にする必要があります (セクション 2.1 を参照)。
図 9. KNX IP セキュア スキーム
安全なコミッショニング
このタイプのセキュリティでは、セクション 1.1.1 の安全な試運転に加えて、「安全なトンネリング」も有効にすることができます。 このパラメータは、ETS 画面の右側にあるデバイス プロパティ ウィンドウの [設定] タブにあります。
ETSパラメータ化
コミッショニングとトンネリングのセキュリティ設定は、デバイスの「プロパティ」ウィンドウの「構成」タブから定義されます。
図 10. KNX IP セキュア – セキュアなコミッショニングとトンネリング。
セクション 2.1.1 で説明したセキュア コミッショニングとデバイス証明書の追加ボタンに加えて、以下も表示されます。
- Secure Tunneling [Enabled / Disabled]: 安全なコミッショニングが有効な場合にのみ使用可能なパラメーター。 このプロパティが「有効」の場合、トンネル接続を介して送信されるデータは安全になります。つまり、情報は IP メディアを介して暗号化されます。 各トンネル アドレスには独自のパスワードがあります。
図 11. トンネリング アドレス パスワード。
製品の [IP] タブには、デバイスへの安全な接続を確立するために必要なコミッショニング パスワードと認証コードも含まれています。
図 12. コミッショニング パスワードと認証コード。
注記: 各デバイスの認証コードは個別にすることをお勧めします (できれば ETS で設定されたデフォルト)。
コミッショニング パスワードは、ETS で接続する IP インターフェイスが選択されたときに要求されます (認証コードはオプションです)。
図 13. 安全な IP インターフェースを選択する際のコミッショニング パスワードの要求。
工場リセット
プロジェクトやプログラムされたツール キーを失った場合にデバイスが使用できなくなるのを防ぐために、以下の手順に従って FDSK を復元して工場出荷時の状態に戻すことができます。
- デバイスをセーフ モードにします。 これは、プログラミング LED が点滅するまでプログラミング ボタンを押して電源を入れることで実現されます。
- プログラミング ボタンを離します。 点滅し続けます。
- プログラミングボタンを 10 秒間押します。 ボタンを押している間、赤く点灯します。 LED が一瞬消えるとリセットが発生します。
このプロセスは、ツール キーとは別に、BCU パスワードも削除し、個々のアドレスを値 15.15.255 にリセットします。
アプリケーション プログラムをアンロードすると、ツール キーと BCU パスワードも削除されますが、この場合、プログラムされた ETS プロジェクトが必要です。
観察
KNX セキュリティーの使用に関する考慮事項:
- 個々のアドレスの変更: グループ アドレスを共有する複数のセキュア デバイスが既にプログラムされているプロジェクトでは、そのうちの XNUMX つの個別アドレスを変更すると、グループ アドレスを共有する残りのデバイスをプログラムする必要があります。
- リセット デバイスのプログラミング: 工場出荷時のリセット デバイスをプログラムしようとすると、ETS は FDSK が使用されていることを検出し、デバイスを再プログラムするために新しいツール キーを生成するための確認を求めます。
- 別のプロジェクトでプログラムされたデバイス: 別のプロジェクトで既に安全にプログラムされているデバイス (安全であろうとなかろうと) をダウンロードしようとしても、それをダウンロードすることはできません。 元のプロジェクトを復元するか、出荷時設定にリセットする必要があります。
- BCU キー: このパスワードは、手動の出荷時設定へのリセットまたはアンロードによって失われます。
Zennioデバイスに関するお問い合わせに参加して送信してください。 https://support.zennio.com
Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 トレド. スペイン
電話 +34 925 232 002
www.zennio.com
info@zennio.com
ドキュメント / リソース
 |
Zennio KNX セキュア Securel v2 暗号化リレー [pdf] ユーザーガイド KNX、Secure Securel v2 暗号化リレー、KNX Secure Securel v2 暗号化リレー、v2 暗号化リレー、暗号化リレー、リレー |
