Zennio KNX Secure Securel v2 šifrētā releja lietotāja rokasgrāmata

Līdz šim KNX automatizācijas instalācijā pārsūtītie dati bija atvērti, un ar tiem varēja lasīt un manipulēt ikviens, kam bija zināmas zināšanas un ir piekļuve KNX datu nesējam, tāpēc drošība tiek garantēta, liedzot piekļuvi KNX kopnei vai ierīcēm. Jaunie KNX Secure protokoli nodrošina papildu drošību KNX instalācijas sakariem, lai novērstu šāda veida uzbrukumus.

Ierīces ar KNX safe varēs droši sazināties ar ETS un jebkuru citu drošu ierīci, jo tajās būs iekļauta informācijas autentifikācijas un šifrēšanas sistēma.

Ir divi KNX drošības veidi, kurus var ieviest vienlaikus vienā instalācijā:

KNX Data Secure: nodrošina saziņu KNX instalācijā.

KNX IP Secure: KNX instalācijām ar IP komunikāciju, nodrošina saziņu caur IP tīklu.

Droša KNX ierīce attiecas uz ierīci, kurai ir pamata iespējas nodrošināt drošu saziņu, lai gan tas ne vienmēr ir jādara. Nenodrošināta saziņa aizsargātās KNX ierīcēs ir vienāda ar saziņu, kas izveidota starp ierīcēm bez KNX drošības.

Drošības izmantošana ir atkarīga no diviem būtiskiem iestatījumiem ETS projektā:

Nodošanas ekspluatācijā drošība: iestata, vai nodošanas ekspluatācijā laikā saziņai ar ETS jābūt drošai vai nē, un paver iespēju aktivizēt izpildlaika drošību.

Izpildlaika drošība: iestata, vai izpildlaikā saziņai starp ierīcēm jābūt drošai. Citiem vārdiem sakot, tas nosaka, kuras grupas adreses ir jānodrošina. Lai darbības laikā aktivizētu drošību, ir jāaktivizē nodošanas ekspluatācijā drošība.

Drošības aktivizēšana KNX Secure ierīcēs nav obligāta. Ja tas ir aktivizēts, tas tiek iestatīts individuāli grupu adresēs, lai visus vai tikai daļu objektu varētu nodrošināt, bet pārējie var normāli funkcionēt ar nenodrošinātām ierīcēm. Citiem vārdiem sakot, ierīces ar un bez KNX Secure var pastāvēt līdzās vienā instalācijā.

KONFIGURĀCIJA

Sākot ar ETS versiju 5.7, ir iespējota KNX drošības un visu tās funkcionalitātes izmantošana darbam ar drošām ierīcēm.
Šajā sadaļā ir sniegta rokasgrāmata KNX safe konfigurēšanai ETS projektos.

KNX DATU DROŠI

Tās ieviešana nodrošina saziņu starp gala ierīcēm. Drošas KNX ierīces pārsūtīs šifrētas telegrammas uz citām ierīcēm, kurām ir arī KNX droša.

Katrai grupas adresei būs iespēja izvēlēties, vai saziņa būs droša vai nē.

DROŠA IEDARBĪBA

Kad ierīcei ir droša nodošana ekspluatācijā, saziņa starp ETS un ierīci tiks veikta drošajā režīmā.

Ierīcei jābūt konfigurētai drošai nodošanai ekspluatācijā ikreiz, kad pastāv izpildlaika drošība, ti, viens no tās objektiem ir saistīts ar drošas grupas adresi (sk. 2.1.2. sadaļu).

Piezīme: Lūdzu, ņemiet vērā, ka drošas ierīces klātbūtne ETS projektā nozīmē paša projekta aizsardzību ar paroli.

ETS PARAMETERIZĀCIJA
Drošo nodošanu ekspluatācijā var iestatīt no cilnes "Konfigurācija" ierīces logā "Properties".

Droša nodošana ekspluatācijā [aktivizēts/deaktivizēts]: ļauj izvēlēties, vai ETS sazināties ar ierīci drošajā režīmā vai nē, ti, iespējot vai atspējot KNX safe ierīcē.
Ja ir atlasīta opcija “Aktivizēts”, projektam būs obligāti jābūt parolei.

3. attēls. Projekts – Iestatīt paroli.

Papildu veids, kā iestatīt paroli projektam, ir galvenajā logā (“Overview”) no ETS. Izvēloties projektu, labajā pusē tiks parādīta sadaļa, kurā zem “Detaļas” var ievadīt vēlamo paroli.

4. attēls. ETS – ierīces parole.

Pievienot ierīces sertifikātu: ja droša nodošana ekspluatācijā ir “Aktivizēta”, ETS papildus parolei pieprasīs unikālu ierīces sertifikātu.
Pievienojamais sertifikāts [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] sastāv no 36 burtciparu rakstzīmēm, kas ģenerētas no sērijas numura un ierīces Default Key (Factory) atslēgas. Tas ir iekļauts ierīces komplektācijā un satur atbilstošu QR kodu ērtai skenēšanai.

5. attēls. Projekts – Pievienot ierīces sertifikātu.

Ierīces sertifikātu var pievienot arī no galvenā ETS loga (“Overview), piekļūstot sadaļai “Drošība” jaunajā logā, kas tiek parādīts labajā pusē, izvēloties projektu.

6. attēls. ETS — pievienojiet ierīces sertifikātu.

Pirmās drošās nodošanas ekspluatācijā laikā ETS aizvieto ierīces FDSK ar jaunu atslēgu (rīka atslēgu), kas tiek ģenerēta katrai ierīcei atsevišķi.
Ja projekts tiek pazaudēts, ar to tiks pazaudētas visas rīku atslēgas, tāpēc ierīces nevar pārprogrammēt. Lai tos varētu atgūt, FDSK ir jāatiestata.
FDSK var atjaunot divos veidos: pēc izkraušanas, ja tā tiek veikta no projekta, kurā tika veikta pirmā nodošana ekspluatācijā, vai pēc manuālas rūpnīcas atiestatīšanas (skatīt 3. sadaļu).

DROŠA GRUPAS KOMUNIKĀCIJA
Katrs drošās ierīces objekts var pārraidīt savu informāciju šifrētā veidā, tādējādi nodrošinot sakaru vai darbības drošību.

Lai objektam būtu KNX drošība, tas ir jākonfigurē no pašas grupas adreses, ti, adreses, ar kuru objekts tiks saistīts.

ETS PARAMETERIZĀCIJA
Sakaru drošības iestatījumi tiek definēti grupas adreses loga “Properties” apakšcilnē “Konfigurācija”.

7. attēls. KNX Data Secure — grupas adrešu drošība.

Drošība [Automātiski / Ieslēgts / Izslēgts]: iestatījumā “Automātiski” ETS izlemj, vai šifrēšana ir aktivizēta, ja divi saistītie objekti var droši sazināties.

Piezīmes:

Visi objekti, kas saistīti ar drošas grupas adresi, ir droši objekti.
Vienai un tai pašai ierīcei var būt gan droša, gan nedroša grupas adrese.

Drošus objektus var identificēt ar “zilo vairogu”.

8. attēls. Drošs objekts.

KNX IP SECURE

KNX IP drošība ir paredzēta KNX instalācijām ar IP komunikāciju. Tā ieviešana nodrošina drošu KNX datu apmaiņu starp sistēmām, izmantojot drošas KNX ierīces ar IP savienojumu.

Šis drošības veids tiek izmantots kopņu saskarnēs un tikai IP vidē, ti, drošas telegrammas tiek pārraidītas starp drošiem KNX IP savienotājiem, ierīcēm un saskarnēm.

Lai arī telegrammu pārraide pa galveno līniju vai apakšlīniju būtu droša, KNX kopnē ir jāaktivizē apsardze (sk. 2.1. sadaļu).

9. attēls. KNX IP Secure shēma

DROŠA IEDARBĪBA
Šāda veida drošības gadījumā papildus drošai nodošanai ekspluatācijā sadaļā 1.1.1 var aktivizēt arī “Droša tunelēšana”. Šo parametru var atrast ierīces rekvizītu loga cilnē “Iestatījumi”, kas atrodas ETS ekrāna labajā pusē.

ETS PARAMETERIZĀCIJA
Ekspluatācijas nodošanas un tunelēšanas drošības iestatījumi tiek definēti ierīces loga “Properties” cilnē “Konfigurācija”.

10. attēls. KNX IP Secure — droša nodošana ekspluatācijā un tunelēšana.
Papildus drošai nodošanai ekspluatācijā un pogai Pievienot ierīces sertifikātu, kas iepriekš tika paskaidrots 2.1.1. sadaļā, parādīsies arī:

Droša tunelēšana [Iespējota / Atspējota]: parametrs pieejams tikai tad, ja ir iespējota droša nodošana ekspluatācijā. Ja šis rekvizīts ir “Iespējots”, caur tuneļa savienojumiem pārsūtītie dati būs droši, ti, informācija tiks šifrēta, izmantojot IP datu nesēju. Katrai tuneļa adresei būs sava parole.

11. attēls. Tunelēšanas adreses parole.

Produkta IP cilnē ir arī ekspluatācijas parole un autentifikācijas kods, kas ir nepieciešami, lai izveidotu drošu savienojumu ar ierīci.

12. attēls. Ekspluatācijas parole un autentifikācijas kods.

Piezīme: Ieteicams, lai katras ierīces autentifikācijas kods būtu individuāls (un vēlams ETS iestatītais noklusējuma kods).
Ekspluatācijas parole tiks pieprasīta, kad ETS ir izvēlēts IP interfeiss, lai ar to izveidotu savienojumu (autentifikācijas kods nav obligāts):

13. attēls. Ekspluatācijas paroles pieprasījums, izvēloties drošu IP interfeisu.

RŪPNĪCAS REŽĪMA IESTATĪŠANA

Lai nepieļautu, ka ierīce kļūst nelietojama gadījumā, ja tiek pazaudēts projekts un/vai rīka atslēga, ar kuru tā ir ieprogrammēta, ir iespējams to atgriezt rūpnīcas stāvoklī, atjaunojot FDSK, veicot tālāk norādītās darbības.

Ievietojiet ierīci drošajā režīmā. Tas tiek panākts, ieslēdzot to, nospiežot programmēšanas pogu, līdz mirgo programmēšanas LED.
Atlaidiet programmēšanas pogu. Tas turpina mirgot.
Nospiediet programmēšanas pogu 10 sekundes. Nospiežot pogu, tas iedegas sarkanā krāsā. Atiestatīšana notiek, kad gaismas diode īslaicīgi izslēdzas.

Šis process, izņemot rīka taustiņu, arī dzēš BCU paroli un atiestata individuālo adresi uz vērtību 15.15.255.

Lietojumprogrammas izkraušana izdzēš arī rīka atslēgu un BCU paroli, lai gan šajā gadījumā ir nepieciešams ETS projekts, ar kuru tā tika ieprogrammēta.

APSVĒRUMI

Daži apsvērumi par KNX drošības izmantošanu:

Individuālās adreses maiņa: projektā ar vairākām jau ieprogrammētām drošām ierīcēm, kas savā starpā dala grupu adreses, mainot individuālo adresi vienā no tām, ir nepieciešams ieprogrammēt pārējās ierīces, kurām ir kopīgas grupas adreses.
Atiestatīšanas ierīces programmēšana: mēģinot programmēt rūpnīcas atiestatīšanas ierīci, ETS nosaka, ka tiek izmantots FDSK, un pieprasa apstiprinājumu jaunas rīka atslēgas ģenerēšanai, lai pārprogrammētu ierīci.
Ierīce ieprogrammēta citā projektā: ja mēģināsit lejupielādēt ierīci (droši vai nē), kas jau ir droši ieprogrammēta citā projektā, to nevarēsit lejupielādēt. Jums būs jāatjauno sākotnējais projekts vai jāveic rūpnīcas atiestatīšana.

BCU atslēga: šī parole tiek pazaudēta manuāli atiestatot rūpnīcas datus vai izkraujot.

Pievienojieties un nosūtiet mums savus jautājumus par Zennio ierīcēm: https://support.zennio.com

Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Spānija

Tālr. +34 925 232 002

www.zennio.com
info@zennio.com

Dokumenti / Resursi

Zennio KNX Secure Securel v2 šifrētais relejs [pdfLietotāja rokasgrāmata
KNX, Secure Securel v2 šifrētais relejs, KNX Secure Securel v2 šifrētais relejs, v2 šifrēts relejs, šifrēts relejs, relejs

Atsauces

Lietotāja rokasgrāmata

Zennio KNX Secure Securel v2 šifrētais relejs

DOKUMENTU ATJAUNINĀJUMI

IEVADS