Zennio KNX Secure Securel v2 Encrypted Relay
MGA UPDATE NG DOKUMENTO
| Bersyon | Mga pagbabago | (Mga) Pahina |
| b |
Nagdagdag ng mga tagubilin para sa pagsasagawa ng factory reset. |
PANIMULA
Sa ngayon, ang data na ipinadala sa isang KNX automation installation ay bukas at maaaring basahin at manipulahin ng sinumang may ilang kaalaman na may access sa KNX medium, upang ang seguridad ay ginagarantiyahan sa pamamagitan ng pagpigil sa pag-access sa KNX bus o sa mga device. Ang mga bagong protocol ng KNX Secure ay nagdaragdag ng karagdagang seguridad sa mga komunikasyon sa isang instalasyon ng KNX upang maiwasan ang mga ganitong uri ng pag-atake.
Ang mga device na may secure na KNX ay makakapag-komunika nang ligtas sa ETS at anumang iba pang secure na device, dahil isasama nila ang system para sa authentication at pag-encrypt ng impormasyon.
Mayroong dalawang uri ng seguridad ng KNX na maaaring ipatupad nang sabay-sabay sa parehong pag-install:
- KNX Data Secure: sinisiguro ang komunikasyon sa loob ng pag-install ng KNX.
- KNX IP Secure: para sa KNX installation na may IP communication, sinisigurado ang komunikasyon sa pamamagitan ng IP network.
Ang isang secure na KNX device ay tumutukoy sa isang device na may pangunahing kakayahan upang paganahin ang secure na komunikasyon, bagama't hindi palaging kinakailangan na gawin ito. Ang isang hindi secure na komunikasyon sa mga secure na KNX device ay katumbas ng komunikasyon na itinatag sa pagitan ng mga device na walang KNX security.
Ang paggamit ng seguridad ay nakasalalay sa dalawang makabuluhang setting sa proyekto ng ETS:
- Seguridad sa pagkomisyon: itinatakda kung, sa panahon ng pagkomisyon, ang komunikasyon sa ETS ay dapat na ligtas o hindi at nagbubukas ng posibilidad na i-activate ang seguridad ng runtime.
- Seguridad sa runtime: nagtatakda kung sa panahon ng runtime, dapat na secure o hindi ang komunikasyon sa pagitan ng mga device. Sa madaling salita, tinutukoy nito kung aling mga address ng grupo ang dapat maging secure. Upang maisaaktibo ang seguridad sa panahon ng runtime, dapat na i-activate ang seguridad sa pagkomisyon.
Ang activation ng seguridad sa KNX Secure device ay opsyonal. Kung ito ay isinaaktibo, ito ay itinatakda nang isa-isa sa mga address ng grupo, upang ang lahat o isang bahagi lamang ng mga bagay ay ma-secure, habang ang iba ay maaaring gumana nang normal sa mga hindi secure na device. Sa madaling salita, ang mga device na mayroon at walang KNX Secure ay maaaring magkasama sa parehong pag-install.
CONFIGURATION
Mula sa bersyon ng ETS 5.7 pataas, pinagana ang paggamit ng seguridad ng KNX at lahat ng functionality nito upang gumana sa mga secure na device.
Sa seksyong ito ay ipinakita ang isang gabay para sa pagsasaayos ng KNX secure sa mga proyekto ng ETS.
KNX DATA SECURE
Tinitiyak ng pagpapatupad nito ang komunikasyon sa pagitan ng mga end device. Ang mga secure na KNX device ay magpapadala ng mga naka-encrypt na telegrama sa iba pang device na mayroon ding secure na KNX.
Posibleng pumili para sa bawat address ng pangkat, kung magiging ligtas ang komunikasyon o hindi.
SECURE COMMISSIONING
Kapag ang isang device ay may secure na commissioning, ang komunikasyon sa pagitan ng ETS at ang device ay isasagawa sa safe mode.
Ang isang device ay dapat magkaroon ng secure na commissioning na naka-configure sa tuwing may runtime security, ibig sabihin, ang isa sa mga object nito ay nauugnay sa isang ligtas na address ng grupo (tingnan ang seksyon 2.1.2).
Tandaan: Pakitandaan na ang pagkakaroon ng isang secure na device sa loob ng isang proyekto ng ETS, ay nagpapahiwatig ng proteksyon ng proyekto mismo gamit ang isang password.
ETS PARAMETERISATION
Ang secure na commissioning ay maaaring itakda mula sa tab na "Configuration" sa window ng "Properties" ng device.
Secure Commissioning [Na-activate / Na-deactivate]: nagbibigay-daan upang piliin kung dapat makipag-ugnayan ang ETS sa device sa safe mode o hindi, ibig sabihin, paganahin o huwag paganahin ang KNX secure sa device.
Kung pipiliin ang opsyong "Na-activate", magiging mandatory na magkaroon ng password para sa proyekto.
Figure 3. Project – Itakda ang Password.
Ang isang karagdagang paraan upang magtakda ng password sa isang proyekto ay sa pamamagitan ng pangunahing window ("Overview”) ng ETS. Kapag pumipili ng proyekto, isang seksyon ang ipapakita sa kanang bahagi kung saan, sa ilalim ng "Mga Detalye", maaaring ipasok ang nais na password.
Larawan 4. ETS – Password ng device.
Magdagdag ng Sertipiko ng Device: Kung ang secure na pag-commissioning ay "Na-activate", ang ETS ay, bilang karagdagan sa password, ay hihiling ng isang natatanging certificate para sa device.
Ang certificate na idaragdag [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] ay binubuo ng 36 alphanumeric character na nabuo mula sa serial number at ang FDSK (Factory Default Setup Key) ng device. Kasama ito sa device at naglalaman ng kaukulang QR code para sa madaling pag-scan.
Larawan 5. Proyekto – Magdagdag ng Sertipiko ng Device.
Maaari ding idagdag ang certificate ng device mula sa pangunahing window ng ETS (“Overview”), sa pamamagitan ng pag-access sa seksyong “Seguridad” ng bagong window na ipinapakita sa kanang bahagi kapag pumipili ng proyekto.
Figure 6. ETS – Magdagdag ng sertipiko ng device.
Sa unang secure na pag-commissioning, pinapalitan ng ETS ang FDSK ng device ng bagong key (Tool Key) na indibidwal na binuo para sa bawat device.
Kung ang proyekto ay nawala, ang lahat ng mga key ng tool ay mawawala kasama nito, samakatuwid, ang mga aparato ay hindi mai-reprogram. Upang mabawi ang mga ito, dapat na i-reset ang FDSK.
Maaaring maibalik ang FDSK sa dalawang paraan: pagkatapos ng pag-unload, sa kondisyon na ito ay ginanap mula sa proyekto kung saan isinagawa ang unang pag-commissioning, o pagkatapos ng manu-manong factory reset (tingnan ang seksyon 3).
SECURE GROUP COMMUNICATION
Ang bawat bagay ng isang secure na aparato ay maaaring magpadala ng impormasyon nito sa naka-encrypt na anyo, kaya nagtatatag ng seguridad sa komunikasyon o operasyon.
Para magkaroon ng seguridad ng KNX ang isang bagay, kailangan itong i-configure mula sa address ng grupo mismo, ibig sabihin, ang address kung saan iuugnay ang object.
ETS PARAMETERISATION
Ang mga setting ng seguridad ng komunikasyon ay tinukoy mula sa sub-tab na "Configuration" sa window ng "Properties" ng address ng grupo.
Figure 7. KNX Data Secure – Seguridad ng Address ng Grupo.
Seguridad [Awtomatikong / Naka-on / Naka-off]: sa setting na "Awtomatiko", ang ETS ay nagpapasya kung ang pag-encrypt ay isasaaktibo kung ang dalawang naka-link na bagay ay maaaring makipag-usap nang ligtas.
Mga Tala:
- Ang lahat ng bagay na naka-link sa isang secure na address ng grupo ay dapat na mga secure na bagay.
- Ang parehong device ay maaaring magkaroon ng parehong secure at hindi secure na address ng grupo.
Ang mga Secure Object ay maaaring makilala sa pamamagitan ng isang "asul na kalasag".
Figure 8. Secure Object.
KNX IP SECURE
Ang KNX IP security ay idinisenyo para sa KNX installation na may IP communication. Tinitiyak ng pagpapatupad nito ang secure na pagpapalitan ng data ng KNX sa pagitan ng mga system sa pamamagitan ng mga secure na KNX device na may koneksyon sa IP.
Ang ganitong uri ng seguridad ay inilalapat sa mga interface ng bus at sa medium lamang ng IP, ibig sabihin, ang mga secure na telegrama ay ipinapadala sa pagitan ng mga secure na KNX IP coupler, device at interface.
Upang maging ligtas din ang paghahatid ng mga telegrama sa isang pangunahing linya o sub-linya, dapat na i-activate ang seguridad sa KNX bus (tingnan ang seksyon 2.1).
Figure 9. KNX IP Secure scheme
SECURE COMMISSIONING
Sa ganitong uri ng seguridad, bilang karagdagan sa secure na pagkomisyon sa seksyon 1.1.1, maaari ding i-activate ang "Secure Tunneling". Ang parameter na ito ay matatagpuan sa tab na "Mga Setting" ng window ng mga katangian ng device sa kanang bahagi ng screen ng ETS.
ETS PARAMETERISATION
Ang mga setting ng seguridad sa pagkomisyon at pag-tunnel ay tinukoy mula sa tab na "Configuration" sa window ng "Properties" ng device.
Figure 10. KNX IP Secure – Secure Commissioning at Tunneling.
Bilang karagdagan sa Secure Commissioning at ang button na Add Device Certificate, na dati nang ipinaliwanag sa seksyon 2.1.1, ay lalabas din:
- Secure Tunneling [Enabled / Disabled]: available lang ang parameter kung naka-enable ang secure commissioning. Kung ang property na ito ay "Pinagana", ang data na ipinadala sa pamamagitan ng mga koneksyon sa tunnel ay magiging secure, ibig sabihin, ang impormasyon ay ie-encrypt sa pamamagitan ng IP medium. Ang bawat tunnel address ay magkakaroon ng sarili nitong password.
Figure 11. Tunneling Address Password.
Ang tab na IP ng produkto ay naglalaman din ng Commissioning Password at ang Authentication Code, na kinakailangan upang makagawa ng anumang secure na koneksyon sa device.
Figure 12. Commissioning Password at Authentication Code.
Tandaan: Inirerekomenda na ang authentication code para sa bawat device ay indibidwal (at mas mabuti ang default na set sa ETS).
Hihilingin ang commissioning password kapag napili ang IP Interface sa ETS para kumonekta dito (opsyonal ang authentication code):
Figure 13. Kahilingan para sa Commissioning Password kapag pumipili ng secure na IP Interface.
FACTORY RESET
Upang maiwasang maging hindi magamit ang isang device kung sakaling mawala ang proyekto at/o ang Tool Key kung saan ito naka-program, posibleng ibalik ito sa factory state na nagpapanumbalik ng FDSK sa pamamagitan ng pagsunod sa mga hakbang sa ibaba:
- Ilagay ang device sa safe mode. Ito ay nakakamit sa pamamagitan ng pagpapagana nito sa pamamagitan ng pagpindot sa programming button hanggang sa kumikislap ang programming LED.
- Bitawan ang programming button. Patuloy itong kumikislap.
- Pindutin ang programming button sa loob ng 10 segundo. Habang pinindot ang button, ito ay umiilaw sa pula. Ang pag-reset ay nangyayari kapag ang LED ay naka-off saglit.
Ang prosesong ito, bukod sa Tool Key, ay tinatanggal din ang password ng BCU at ni-reset ang indibidwal na address sa halagang 15.15.255.
Tinatanggal din ng unload ng application program ang Tool Key at ang password ng BCU, bagama't sa kasong ito, kinakailangan ang ETS project kung saan ito na-program.
MGA OBSERBASYON
Ang ilang mga pagsasaalang-alang para sa paggamit ng seguridad ng KNX:
- Pagbabago ng indibidwal na address: sa isang proyekto na may ilang naka-program na secure na device na nagbabahagi ng mga address ng grupo sa pagitan nila, ang pagpapalit ng indibidwal na address sa isa sa mga ito ay kinakailangan na i-program ang iba pang device na nagbabahagi ng mga address ng grupo dito.
- Pagprograma ng reset device: kapag sinusubukang mag-program ng factory reset device, nakita ng ETS na ginagamit ang FDSK at humihingi ng kumpirmasyon upang makabuo ng bagong Tool Key upang ma-reprogram ang device.
- Naka-program ang device sa ibang proyekto: kung susubukan mong mag-download ng device (ligtas o hindi) na ligtas nang na-program sa ibang proyekto, hindi mo ito mada-download. Kakailanganin mong bawiin ang orihinal na proyekto o magsagawa ng factory reset.
- BCU key: ang password na ito ay nawala alinman sa pamamagitan ng manual factory reset o sa pamamagitan ng pag-unload.
Sumali at ipadala sa amin ang iyong mga katanungan tungkol sa Zennio device: https://support.zennio.com
Zennio Avance at Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Espanya
Tel. +34 925 232 002
www.zennio.com
info@zennio.com
Mga Dokumento / Mga Mapagkukunan
 |
Zennio KNX Secure Securel v2 Encrypted Relay [pdf] Gabay sa Gumagamit KNX, Secure Securel v2 Encrypted Relay, KNX Secure Securel v2 Encrypted Relay, v2 Encrypted Relay, Encrypted Relay, Relay |
