Zennio KNX Secure Securel v2 šifruota relė

DOKUMENTŲ ATNAUJINIAI

Versija	Pakeitimai	Puslapis (-iai)
b	Pridėtos instrukcijos, kaip atkurti gamyklinius nustatymus.

ĮVADAS

Iki šiol KNX automatikos instaliacijoje perduodami duomenys buvo atviri, juos galėjo skaityti ir manipuliuoti bet kas, turintis šiek tiek žinių, turinčių prieigą prie KNX laikmenos, todėl saugumas garantuojamas užkertant kelią prieigai prie KNX magistralės ar įrenginių. Naujieji KNX Secure protokolai suteikia papildomo saugumo KNX diegimo komunikacijai, kad būtų išvengta tokių atakų.

Įrenginiai su KNX safe galės saugiai bendrauti su ETS ir bet kuriuo kitu saugiu įrenginiu, nes juose bus įdiegta informacijos autentifikavimo ir šifravimo sistema.

Yra dviejų tipų KNX apsauga, kurią galima įdiegti vienu metu tame pačiame diegime:

• KNX Data Secure: apsaugo ryšį KNX įrenginyje.
• KNX IP Secure: KNX įrenginiams su IP ryšiu, apsaugo ryšį per IP tinklą.

Saugus KNX įrenginys reiškia įrenginį, kuris turi pagrindines galimybes užtikrinti saugų ryšį, nors tai ne visada būtina. Nesaugus ryšys saugiuose KNX įrenginiuose yra lygus ryšiui, užmegztam tarp įrenginių be KNX apsaugos.

Apsaugos naudojimas priklauso nuo dviejų svarbių ETS projekto nustatymų:

• Paleidimo apsauga: nustato, ar paleidimo metu ryšys su ETS turi būti saugus, ar ne, ir atveria galimybę aktyvuoti vykdymo apsaugą.
• Vykdymo saugumas: nustato, ar vykdymo metu ryšys tarp įrenginių turi būti saugus, ar ne. Kitaip tariant, ji nustato, kurios grupės adresai turi būti saugūs. Norint suaktyvinti apsaugą eksploatacijos metu, turi būti suaktyvinta paleidimo apsauga.

KNX Secure įrenginių saugos aktyvinimas yra neprivalomas. Jei jis įjungtas, jis nustatomas individualiai grupės adresuose, kad būtų galima apsaugoti visus arba tik dalį objektų, o likusieji galėtų normaliai veikti su neapsaugotais įrenginiais. Kitaip tariant, įrenginiai su KNX Secure ir be jo gali egzistuoti tame pačiame įrenginyje.

KONFIGŪRACIJA

Nuo 5.7 versijos ETS įgalintas KNX saugos ir visų jos funkcijų naudojimas darbui su saugiais įrenginiais.
Šiame skyriuje pateikiamas KNX safe konfigūravimo ETS projektuose vadovas.

KNX DUOMENŲ SAUGI

Jo įgyvendinimas užtikrina ryšį tarp galinių įrenginių. Saugūs KNX įrenginiai perduos šifruotas telegramas į kitus įrenginius, kurie taip pat turi KNX saugų.

Prie kiekvienos grupės adreso bus galima pasirinkti, ar ryšys bus saugus, ar ne.

SAUGI PADĖJIMAS

Kai įrenginys saugiai paleidžiamas, ryšys tarp ETS ir įrenginio bus vykdomas saugiuoju režimu.

Įrenginyje turi būti sukonfigūruotas saugus paleidimas, kai yra vykdymo saugumas, ty vienas iš jo objektų yra susietas su saugios grupės adresu (žr. 2.1.2 skyrių).

Pastaba: Atkreipkite dėmesį, kad saugaus įrenginio buvimas ETS projekte reiškia paties projekto apsaugą slaptažodžiu.

ETS PARAMETERIZAVIMAS
Saugų paleidimą galima nustatyti įrenginio lango „Ypatybės“ skirtuke „Konfigūracija“.

Saugus paleidimas [aktyvinta / išjungta]: leidžia pasirinkti, ar ETS turėtų susisiekti su įrenginiu saugiuoju režimu, ar ne, ty įjungti arba išjungti įrenginyje KNX safe.
Jei pasirinkta parinktis „Suaktyvinta“, bus privaloma turėti projekto slaptažodį.

 

3 pav. Projektas – Nustatyti slaptažodį.

Papildomas būdas nustatyti projekto slaptažodį yra pagrindinis langas („Overview“). Pasirinkus projektą, dešinėje pusėje bus rodoma skiltis, kurioje skiltyje „Išsami informacija“ galima įvesti norimą slaptažodį.

4 pav. ETS – įrenginio slaptažodis.

Pridėti įrenginio sertifikatą: jei saugus paleidimas yra „Suaktyvintas“, ETS, be slaptažodžio, paprašys unikalaus įrenginio sertifikato.
Pridedamas sertifikatas [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] susideda iš 36 raidinių ir skaitinių simbolių, sugeneruotų iš serijos numerio ir įrenginio Default Key) FDSK (Fact. Jis pridedamas prie įrenginio ir jame yra atitinkamas QR kodas, kad būtų lengva nuskaityti.

 

5 pav. Projektas – Pridėti įrenginio sertifikatą.

Įrenginio sertifikatą taip pat galima pridėti iš pagrindinio ETS lango („Overview“), pasirinkdami projektą atidarę dešinėje esančio naujo lango skiltį „Sauga“.

6 pav. ETS – pridėti įrenginio sertifikatą.

Pirmojo saugaus paleidimo metu ETS pakeičia įrenginio FDSK nauju raktu (įrankio raktu), kuris sugeneruojamas kiekvienam įrenginiui atskirai.
Praradus projektą, su juo bus prarasti visi įrankių klavišai, todėl įrenginių perprogramuoti negalima. Kad būtų galima juos atkurti, FDSK turi būti nustatytas iš naujo.
FDSK galima atkurti dviem būdais: po iškrovimo, jei tai atliekama pagal projektą, kuriame buvo atliktas pirmasis paleidimas, arba po rankinio gamyklinių parametrų atkūrimo (žr. 3 skyrių).

SAUGI GRUPĖS KOMUNIKACIJA
Kiekvienas saugaus įrenginio objektas gali perduoti savo informaciją šifruota forma, taip užtikrindamas ryšio ar veikimo saugumą.

Kad objektas turėtų KNX apsaugą, jis turi būti sukonfigūruotas pagal patį grupės adresą, ty adresą, su kuriuo objektas bus susietas.

ETS PARAMETERIZAVIMAS
Ryšio saugos parametrai nustatomi grupės adreso lango „Ypatybės“ antriniame skirtuke „Konfigūracija“.

7 pav. KNX Data Secure – grupės adresų sauga.

Apsauga [Automatinis / Įjungtas / Išjungtas]: „Automatinis“ nustatyme ETS nusprendžia, ar suaktyvintas šifravimas, jei du susieti objektai gali saugiai bendrauti.

Pastabos:

• Visi objektai, susieti su saugios grupės adresu, turi būti saugūs objektai.
• Tas pats įrenginys gali turėti ir saugų, ir nesaugų grupės adresą.

Saugūs objektai gali būti identifikuojami su „mėlynuoju skydu“.

8 pav. Saugus objektas.

KNX IP SECURE

KNX IP saugumas skirtas KNX įrenginiams su IP ryšiu. Jo įgyvendinimas užtikrina saugų keitimąsi KNX duomenimis tarp sistemų per saugius KNX įrenginius su IP ryšiu.

Šis apsaugos tipas taikomas magistralės sąsajose ir tik IP terpėje, ty saugios telegramos perduodamos tarp saugių KNX IP jungčių, įrenginių ir sąsajų.

Kad telegramų perdavimas pagrindine arba antrine linija taip pat būtų saugus, KNX magistralėje turi būti įjungta apsauga (žr. 2.1 skyrių).

9 pav. KNX IP Secure schema

SAUGI PADĖJIMAS
Taikant tokio tipo apsaugą, be saugaus paleidimo, nurodyto 1.1.1 skyriuje, taip pat galima suaktyvinti „Saugus tuneliavimas“. Šį parametrą galite rasti įrenginio ypatybių lango skirtuke „Nustatymai“, esančiame dešinėje ETS ekrano pusėje.

ETS PARAMETERIZAVIMAS
Paleidimo ir tuneliavimo saugos parametrai nustatomi įrenginio lango „Ypatybės“ skirtuke „Konfigūracija“.

10 pav. KNX IP Secure – saugus paleidimas ir tuneliavimas.
Be saugaus paleidimo ir mygtuko Pridėti įrenginio sertifikatą, kaip paaiškinta anksčiau 2.1.1 skyriuje, taip pat bus rodomas:

• Saugus tuneliavimas [Įjungta / Išjungta]: parametras pasiekiamas tik tada, kai įjungtas saugus paleidimas. Jei ši savybė yra „Įjungta“, tunelinėmis jungtimis perduodami duomenys bus saugūs, ty informacija bus užšifruota per IP laikmeną. Kiekvienas tunelio adresas turės savo slaptažodį.

11 pav. Tuneliavimo adreso slaptažodis.

Gaminio IP skirtuke taip pat yra paleidimo slaptažodis ir autentifikavimo kodas, kurių reikia norint saugiai prisijungti prie įrenginio.

12 pav. Eksploatacijos pradžios slaptažodis ir autentifikavimo kodas.

Pastaba: Rekomenduojama, kad kiekvieno įrenginio autentifikavimo kodas būtų individualus (ir pageidautina numatytasis ETS).
Paleidimo slaptažodis bus paprašytas, kai ETS bus pasirinkta IP sąsaja prisijungti prie jos (autentifikavimo kodas neprivalomas):

13 pav. Paleidimo slaptažodžio užklausa renkantis saugią IP sąsają.

GAMYKLINIAI NUSTATYMAI

Kad įrenginys netaptų netinkamas, jei pamettumėte projektą ir (arba) įrankio raktą, su kuriuo jis užprogramuotas, galima grąžinti jį į gamyklinę būseną atkuriant FDSK, atlikdami toliau nurodytus veiksmus.

1. Įjunkite įrenginį į saugųjį režimą. Tai pasiekiama įjungiant jį nuspaudus programavimo mygtuką, kol mirksės programavimo šviesos diodas.
2. Atleiskite programavimo mygtuką. Jis nuolat mirksi.
3. Paspauskite programavimo mygtuką 10 sekundžių. Paspaudus mygtuką, jis užsidega raudonai. Atstatymas įvyksta, kai šviesos diodas akimirksniu užgęsta.

Šis procesas, be įrankio rakto, taip pat ištrina BCU slaptažodį ir iš naujo nustato individualų adresą į 15.15.255 reikšmę.

Iškraunant taikomąją programą taip pat ištrinamas įrankio raktas ir BCU slaptažodis, nors šiuo atveju reikalingas ETS projektas, su kuriuo ji buvo užprogramuota.

PASTABOS

Kai kurie aspektai, susiję su KNX saugos naudojimu: 

• Individualaus adreso keitimas: projekte su keliais jau užprogramuotais saugiais įrenginiais, kurie tarpusavyje dalijasi grupės adresais, pakeitus individualų adresą viename iš jų, reikia užprogramuoti likusius įrenginius, kurie su juo dalijasi grupės adresais.
• Atkūrimo įrenginio programavimas: bandant programuoti gamyklinių parametrų atkūrimo įrenginį, ETS aptinka, kad naudojamas FDSK, ir prašo patvirtinimo, kad būtų sukurtas naujas įrankio raktas, kad būtų galima perprogramuoti įrenginį.
• Įrenginys užprogramuotas kitame projekte: jei bandysite atsisiųsti įrenginį (saugiai ar ne), kuris jau buvo saugiai užprogramuotas kitame projekte, jo atsisiųsti negalėsite. Turėsite atkurti pradinį projektą arba atkurti gamyklinius nustatymus.
• BCU raktas: šis slaptažodis prarandamas rankiniu būdu atkuriant gamyklinius nustatymus arba iškraunant.

Prisijunkite ir atsiųskite mums savo užklausas apie Zennio įrenginius: https://support.zennio.com

Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Ispanija

Tel. +34 925 232 002

www.zennio.com
info@zennio.com

Dokumentai / Ištekliai

Zennio KNX Secure Securel v2 šifruota relė [pdfVartotojo vadovas KNX, Secure Securel v2 Encrypted Relay, KNX Secure Securel v2 Encrypted Relay, v2 Encrypted Relay, Encrypted Relay, Relay

Nuorodos

• Vartotojo vadovas