Rơle mã hóa Zennio KNX Secure Securel v2

CẬP NHẬT TÀI LIỆU

Phiên bản	Thay đổi	Trang
b	Đã thêm hướng dẫn để thực hiện khôi phục cài đặt gốc.

GIỚI THIỆU

Cho đến nay, dữ liệu được truyền trong cài đặt tự động hóa KNX là mở và có thể được đọc và thao tác bởi bất kỳ ai có kiến ​​thức nhất định về quyền truy cập vào phương tiện KNX, do đó, bảo mật được đảm bảo bằng cách ngăn truy cập vào bus KNX hoặc thiết bị. Các giao thức KNX Secure mới bổ sung bảo mật bổ sung cho thông tin liên lạc trong quá trình cài đặt KNX để ngăn chặn kiểu tấn công như vậy.

Các thiết bị có bảo mật KNX sẽ có thể giao tiếp an toàn với ETS và bất kỳ thiết bị bảo mật nào khác, vì chúng sẽ kết hợp hệ thống xác thực và mã hóa thông tin.

Có hai loại bảo mật KNX có thể được triển khai đồng thời trong cùng một cài đặt:

• KNX Data Secure: bảo mật thông tin liên lạc trong quá trình cài đặt KNX.
• KNX IP Secure: dành cho cài đặt KNX với giao tiếp IP, bảo mật giao tiếp qua mạng IP.

Thiết bị KNX an toàn đề cập đến thiết bị có khả năng cơ bản để cho phép liên lạc an toàn, mặc dù không phải lúc nào cũng bắt buộc phải làm như vậy. Giao tiếp không bảo mật trên các thiết bị KNX được bảo mật tương đương với giao tiếp được thiết lập giữa các thiết bị không có bảo mật KNX.

Việc sử dụng bảo mật phụ thuộc vào hai cài đặt quan trọng trong dự án ETS:

• Bảo mật chạy thử: đặt xem trong quá trình chạy thử, giao tiếp với ETS có được bảo mật hay không và mở ra khả năng kích hoạt bảo mật thời gian chạy.
• Bảo mật thời gian chạy: đặt xem trong thời gian chạy, giao tiếp giữa các thiết bị có được bảo mật hay không. Nói cách khác, nó xác định địa chỉ nhóm nào sẽ được bảo mật. Để kích hoạt bảo mật trong thời gian chạy, bảo mật chạy thử phải được kích hoạt.

Kích hoạt bảo mật trên thiết bị KNX Secure là tùy chọn. Nếu nó được kích hoạt, nó sẽ được đặt riêng lẻ trong các địa chỉ nhóm để tất cả hoặc chỉ một phần của các đối tượng có thể được bảo mật, trong khi phần còn lại có thể hoạt động bình thường với các thiết bị không được bảo mật. Nói cách khác, các thiết bị có và không có KNX Secure có thể cùng tồn tại trong cùng một cài đặt.

CẤU HÌNH

Từ phiên bản ETS 5.7 trở đi, việc sử dụng bảo mật KNX và tất cả các chức năng của nó để hoạt động với các thiết bị bảo mật được kích hoạt.
Trong phần này, hướng dẫn cấu hình KNX secure trong các dự án ETS được trình bày.

BẢO MẬT DỮ LIỆU KNX

Việc thực hiện nó đảm bảo giao tiếp giữa các thiết bị đầu cuối. Các thiết bị KNX bảo mật sẽ truyền các bức điện được mã hóa đến các thiết bị khác cũng có KNX bảo mật.

Có thể chọn cho từng địa chỉ nhóm, liệu liên lạc có được bảo mật hay không.

ĐẢM BẢO ĐẢM BẢO

Khi một thiết bị được vận hành an toàn, giao tiếp giữa ETS và thiết bị sẽ được thực hiện ở chế độ an toàn.

Một thiết bị nên được cấu hình chạy thử an toàn bất cứ khi nào có bảo mật thời gian chạy, nghĩa là một trong các đối tượng của nó được liên kết với một địa chỉ nhóm an toàn (xem phần 2.1.2).

Ghi chú: Xin lưu ý rằng sự hiện diện của một thiết bị bảo mật trong một dự án ETS ngụ ý việc bảo vệ chính dự án đó bằng mật khẩu.

THÔNG SỐ CỦA ETS
Có thể đặt vận hành an toàn từ tab “Cấu hình” trong cửa sổ “Thuộc tính” của thiết bị.

Vận hành an toàn [Đã kích hoạt / Đã hủy kích hoạt]: cho phép chọn liệu ETS có nên giao tiếp với thiết bị ở chế độ an toàn hay không, tức là bật hoặc tắt KNX bảo mật trên thiết bị.
Nếu tùy chọn “Đã kích hoạt” được chọn, bắt buộc phải có mật khẩu cho dự án.

 

Hình 3. Dự án – Đặt mật khẩu.

Một cách bổ sung để đặt mật khẩu cho một dự án là thông qua cửa sổ chính (“Overview”) của ETS. Khi chọn dự án, một phần sẽ được hiển thị ở phía bên phải, trong đó, bên dưới “Chi tiết”, có thể nhập mật khẩu mong muốn.

Hình 4. ETS – Mật khẩu thiết bị.

Thêm chứng chỉ thiết bị: Nếu vận hành an toàn là “Đã kích hoạt”, ngoài mật khẩu, ETS sẽ yêu cầu một chứng chỉ duy nhất cho thiết bị.
Chứng chỉ cần thêm [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] bao gồm 36 ký tự chữ và số được tạo từ số sê-ri và FDSK (Khóa thiết lập mặc định của nhà sản xuất) của thiết bị. Nó đi kèm với thiết bị và chứa mã QR tương ứng để dễ dàng quét.

 

Hình 5. Dự án – Thêm chứng chỉ thiết bị.

Chứng chỉ thiết bị cũng có thể được thêm vào từ cửa sổ ETS chính (“Overview”), bằng cách truy cập phần “Security” của cửa sổ mới hiển thị ở bên phải khi chọn dự án.

Hình 6. ETS – Thêm chứng chỉ thiết bị.

Trong lần chạy thử an toàn đầu tiên, ETS sẽ thay thế FDSK của thiết bị bằng một khóa mới (Khóa công cụ) được tạo riêng cho từng thiết bị.
Nếu dự án bị mất, tất cả các khóa công cụ sẽ bị mất cùng với dự án, do đó, không thể lập trình lại thiết bị. Để có thể khôi phục chúng, FDSK phải được đặt lại.
FDSK có thể được khôi phục theo hai cách: sau khi dỡ tải, với điều kiện là nó được thực hiện từ dự án trong đó lần chạy thử đầu tiên được thực hiện hoặc sau khi khôi phục cài đặt gốc thủ công (xem phần 3).

GIAO TIẾP NHÓM AN TOÀN
Mỗi đối tượng của một thiết bị bảo mật có thể truyền thông tin của nó ở dạng mã hóa, do đó thiết lập tính bảo mật trong giao tiếp hoặc vận hành.

Để một đối tượng có bảo mật KNX, nó phải được cấu hình từ chính địa chỉ nhóm, tức là địa chỉ mà đối tượng sẽ được liên kết.

THÔNG SỐ CỦA ETS
Cài đặt bảo mật liên lạc được xác định từ tab phụ “Cấu hình” trong cửa sổ “Thuộc tính” của địa chỉ nhóm.

Hình 7. KNX Data Secure – Bảo mật địa chỉ nhóm.

Bảo mật [Tự động / Bật / Tắt]: trong cài đặt “Tự động”, ETS quyết định liệu mã hóa có được kích hoạt hay không nếu hai đối tượng được liên kết có thể giao tiếp an toàn.

Ghi chú:

• Tất cả các đối tượng được liên kết với một địa chỉ nhóm an toàn sẽ là các đối tượng an toàn.
• Cùng một thiết bị có thể có cả địa chỉ nhóm an toàn và không an toàn.

Các Đối tượng Bảo mật có thể được xác định bằng một “lá chắn màu xanh lam”.

Hình 8. Đối tượng an toàn.

KNX IP BẢO MẬT

Bảo mật KNX IP được thiết kế để cài đặt KNX với giao tiếp IP. Việc triển khai nó đảm bảo trao đổi an toàn dữ liệu KNX giữa các hệ thống thông qua các thiết bị KNX an toàn có kết nối IP.

Loại bảo mật này được áp dụng trên các giao diện bus và chỉ trong môi trường IP, tức là các bức điện an toàn được truyền giữa các bộ ghép nối, thiết bị và giao diện KNX IP an toàn.

Để việc truyền điện tín trên đường chính hoặc đường phụ cũng được bảo mật, bảo mật phải được kích hoạt trên bus KNX (xem phần 2.1).

Hình 9. Sơ đồ KNX IP Secure

ĐẢM BẢO ĐẢM BẢO
Trong loại bảo mật này, ngoài việc vận hành an toàn trong phần 1.1.1, “Đường hầm an toàn” cũng có thể được kích hoạt. Bạn có thể tìm thấy tham số này trong tab “Cài đặt” của cửa sổ thuộc tính thiết bị ở phía bên phải màn hình ETS.

THÔNG SỐ CỦA ETS
Cài đặt bảo mật chạy thử và đường hầm được xác định từ tab “Cấu hình” trong cửa sổ “Thuộc tính” của thiết bị.

Hình 10. KNX IP Secure – Chạy thử và tạo đường hầm an toàn.
Ngoài Vận hành an toàn và nút Thêm chứng chỉ thiết bị, được giải thích trước đây trong phần 2.1.1, cũng sẽ xuất hiện:

• Đường hầm an toàn [Đã bật / Đã tắt]: tham số chỉ khả dụng nếu vận hành an toàn được bật. Nếu thuộc tính này là “Enabled” thì dữ liệu truyền qua đường hầm kết nối sẽ được bảo mật, tức là thông tin sẽ được mã hóa thông qua phương tiện IP. Mỗi địa chỉ đường hầm sẽ có mật khẩu riêng.

Hình 11. Mật khẩu địa chỉ đường hầm.

Tab IP của sản phẩm cũng chứa Mật khẩu chạy thử và Mã xác thực, được yêu cầu để thực hiện bất kỳ kết nối an toàn nào với thiết bị.

Hình 12. Mật khẩu chạy thử và Mã xác thực.

Ghi chú: Bạn nên đặt mã xác thực cho từng thiết bị riêng lẻ (và tốt nhất là mã mặc định được đặt trong ETS).
Mật khẩu chạy thử sẽ được yêu cầu khi Giao diện IP được chọn trong ETS để kết nối với nó (mã xác thực là tùy chọn):

Hình 13. Yêu cầu Mật khẩu chạy thử khi chọn Giao diện IP an toàn.

NHÀ MÁY NHÀ MÁY

Để ngăn thiết bị trở nên không sử dụng được trong trường hợp mất dự án và/hoặc Khóa công cụ mà thiết bị được lập trình, có thể đưa thiết bị về trạng thái xuất xưởng khôi phục FDSK bằng cách thực hiện theo các bước bên dưới:

1. Đặt thiết bị ở chế độ an toàn. Điều này đạt được bằng cách bật nó lên bằng cách nhấn nút lập trình cho đến khi đèn LED lập trình nhấp nháy.
2. Nhả nút lập trình. Nó cứ nhấp nháy.
3. Nhấn nút lập trình trong 10 giây. Trong khi nhấn nút, nó sẽ sáng màu đỏ. Việc thiết lập lại xảy ra khi đèn LED tắt trong giây lát.

Quá trình này, ngoài Tool Key, còn xóa mật khẩu BCU và đặt lại địa chỉ riêng lẻ thành giá trị 15.15.255.

Việc dỡ bỏ chương trình ứng dụng cũng sẽ xóa Khóa công cụ và mật khẩu BCU, mặc dù trong trường hợp này, dự án ETS mà nó được lập trình là bắt buộc.

NHẬN XÉT

Một số cân nhắc khi sử dụng bảo mật KNX: 

• Thay đổi địa chỉ riêng lẻ: trong một dự án có một số thiết bị bảo mật đã được lập trình chia sẻ địa chỉ nhóm giữa chúng, việc thay đổi địa chỉ riêng lẻ ở một trong số chúng khiến cần phải lập trình phần còn lại của thiết bị chia sẻ địa chỉ nhóm với nó.
• Lập trình thiết bị đặt lại: khi cố gắng lập trình thiết bị khôi phục cài đặt gốc, ETS phát hiện ra rằng FDSK đang được sử dụng và yêu cầu xác nhận để tạo Khóa công cụ mới nhằm lập trình lại thiết bị.
• Thiết bị được lập trình trong một dự án khác: nếu bạn cố tải xuống một thiết bị (an toàn hoặc không) đã được lập trình an toàn trong một dự án khác, bạn sẽ không thể tải xuống thiết bị đó. Bạn sẽ phải khôi phục dự án ban đầu hoặc thực hiện khôi phục cài đặt gốc.
• Khóa BCU: mật khẩu này bị mất do khôi phục cài đặt gốc thủ công hoặc do dỡ tải.

Tham gia và gửi cho chúng tôi những thắc mắc của bạn về thiết bị Zennio: https://support.zennio.com

Zennio Avance và Công nghệ SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Tây ban nha

Điện thoại: +34 925 232 002

www.zennio.com
info@zennio.com

Tài liệu / Tài nguyên

Rơle mã hóa Zennio KNX Secure Securel v2 [tập tin pdf] Hướng dẫn sử dụng Rơle được mã hóa KNX, Secure Securel v2, Rơle được mã hóa KNX Secure Securel v2, Rơle được mã hóa v2, Rơle được mã hóa, Rơle

Tài liệu tham khảo

• Hướng dẫn sử dụng