Jste zde

KNX Data Secure – Část 2: Konfigurace v ETS

První část se zabývala teorií KNX data secure. Nyní se zaměříme na konfiguraci v ETS, jelikož tato činnost je součástí uvádění knx zařízení do provozu. Jaké změny čekají integrátory, kteří připravují konfiguraci celého projektu ?

KNX organizace uvádí, že KNX Data Secure je obecně podporován v ETS5 od verze 5.5.0. Doporučuje se však používat ETS5 verzi alespoň 5.7.4 nebo ETS6. Použití starších verzí ETS může vést k chybám během konfigurace i problémům při uvádění do provozu (např. při výměně zařízení). Taktéž nemusí správně pracovat diagnostické nástroje pro monitoring sběrnice.

Vytvoření projektu a přiřazení knx data secure zařízení do projektu

Vytvoření projektu probíhá stejným způsobem jako kdyby se jednalo o nezabezpečený projekt. Čili klikneme na ikonu „plus“ v úvodní obrazovce ETS (Obr 1.).

Obr. 1. Vytvoření projektu v ETS

Jakmile máme projekt vytvořen, nic nám nebrání, abychom přidali KNX data secure zařízení do projektu. Proto v katalogu ETS si vybere příslušné KNX zařízení, a že se jedná o zařízení, které podporuje funkci KNX data secure poznáme podle toho, že je u něj ikona v podobě modrého štítu. Pak stačí jen toto zařízení „přetáhnout“ do příslušného místa topologie (Obr. 2).  

Obr. 2. Přidání KNX data secure zařízení do topologie projektu

Jelikož jsme přidali do projektu KNX data secure zařízení, v ten moment jsme vyzváni, abychom zadali heslo, kterým bude celý projekt chráněn. Toto heslo budeme muset vždy vyplnit, pokud budeme chtít projekt otevřít. Toto heslo by měli znát jen oprávněné osoby, které mají co dočinění s konkrétní instalací. Záleží na každé instalační firmě, jak toto heslo bude uchovávat a kdo bude mít k těmto informacích přístup. Ztráta hesla znamená ztrátu celého projektu !

Obr. 3. Výzva pro zadání hesla celého projektu

V konfiguračním nástroji ETS je několik možností označení zařízení. Jak jsme se zmínili výše, zařízení s podporou knx data secure je v katalogu označeno modrým štítem. Po vložení zařízení do projektu je označení následující. Mordý štít je u zařízení, které ma aktivovanou knx data secure podporu. Šedý štít značí knx data secure zařízení, ale je u něho deaktivována tato podpora. V topologii se šedý štít nezobrazuje. Tam se zobrazuje jen zda zařízení komunikuje zabezpečeně nebo ne (obrázek 4 vlevo). A zařízení bez štítu je klasické knx zařízení bez data secure.  

Obr. 4. Označení knx zařízení v ETS

Nyní máme KNX data secure zařízení v projektu na správném místě v topologii. Proto aby konfigurační nástroj vytvořil runtime klíče a Tool key je nutné přiřadit každému zařízení certifikát, který je součástí výrobku (Obr. 5).

Obr. 5. Certifikát součástí KNX zařízení

Přiřazení certifikátu k danému zařízení se provede kliknutím na „Add Device Certifikate“ v pravé části programu v „properties“ daného zařízení (Obr.6).

 Obr. 6. Přiřazení certifikátu k danému KNX zařízení

Po kliknutí na nás vyskočí obrazovka s možností naskenování příslušného QR kódu nebo můžeme daný kód opsat ručně ze zařízení nebo nálepky (Obr. 7). U malé instalace si to dovedu představit, ale skenovat například tisíc zařízení a ještě u toho si schovávat příslušné nálepky je pro mě nepředstavitelné.

Obr. 7. Skenování certifikátu QR kódu nebo jeho ruční zadání

Po naskenování certifikátu si můžeme záložce projektu „Security“ přečíst, že z daného certifikátu bylo dekódováno sériové číslo a tzv. FDSK klíč a je přiřazen k určitému zařízení v projektu. Na obrázku 8 je vidět, že sériové číslo a FDSK klíč je přiřazen k zařízení s individuální adresou 1.1.1.

Obr. 8. Sériové číslo a FDSK klíč přiřazen k zařízení s individuální adresou 1.1.1

Nyní je konfigurační nástroj schopen vygenerovat Toolkey pro komunikaci se zařízením s individuální adresou 1.1.1. a všechny přiřazené skupinové adresy budou zabezpečeny pomocí vygenerovaného runtime klíče. Všechny tyto klíče lze exportovat z ETS. Proto je tak důležité, aby heslo k projektu měli jen oprávněné osoby.

Nastavení skupinových adres v ETS

Základní topologie KNX umožňuje smíšený provoz zabezpečené a nezabezpečené komunikace na senzoru nebo akčním členu prostřednictvím různých komunikačních objektů. Zabezpečená a nezabezpečená komunikace prostřednictvím jednoho komunikačního objektu není ale možná! Pokud bychom, ale i přesto chtěli na jeden objekt přiřadit jak zabezpečenou, tak nezabezpečenou skupinovou adresu, konfigurační nástroj ETS to nedovolí.

Obr. 9. Kombinace zabezpečené a nezabezpečené komunikace

Tak jako jsou onačeny jednotlivá zařízení, jsou označeny i jednotlivé skupinové adresy. Pokud příslušná skupinová adresa komunikuje zabezpečeně, je u ní ikona modrého štítu.

Obr. 10. Označení skupinových adres v ETS

U každé skupinové adresy lze nastavit atribut „Security“, který určuje jakým způsobem bude daná skupinová adresa komunikovat. Na výběr je nastavení „Automatic“, „ON“ a „OFF“

Security Automatic

Toto je výchozí nastavení atributu. V takovém případě ETS vždy samostatně rozhodne, zda skupinová adresa bude komunikovat bezpečně či ne. Toto rozhodnutí závisí na tom, zda je adresa přiřazena pouze objektům, které podporují zabezpečenou komunikaci, či nikoli. Pokud je příslušná skupinová adresa přiřazena výlučně objektům, které mohou bezpečně komunikovat, ETS vždy aktivuje zabezpečenou komunikaci. Pokud je příslušná skupinová adresa přiřazena komunikačnímu objektu, který nepodporuje zabezpečenou komunikaci, ETS automaticky vypne zabezpečenou komunikaci pro tuto skupinovou adresu a informuje uživatele!(Obr. 11).

Obr. 11. Automatické vypnutí zabezpečené komunikace

V instalaci KNX jsou tři zařízení (1 x senzor a 1 x akční člen A, obě jsou kompatibilní s Data Secure a 1 x aktuátor B, který není kompatibilní s Data Secure). Objekt senzoru je přiřazen k objektu akčního členu A. ETS zvolí zabezpečenou komunikaci a přiřadí runtime klíč k příslušné skupinové adrese. Stejná skupinová adresa je poté také přiřazena objektu aktuátoru B. ETS rozpozná, že nové připojení již nemůže bezpečně komunikovat, odstraní runtime klíč a vypne zabezpečení na ovlivněné skupinové adrese.

Security ON

S tímto nastavením si ETS vynutí zabezpečenou runtime komunikaci přiřazeného komunikačního objektu. V důsledku toho lze tuto adresu pouze přiřadit k objektům, které podporují zabezpečenou komunikaci. Skupinová adresa nemůže být přiřazena k zařízením, která nepodporují KNX Data Secure!(Obr.12.)

Obr. 12. Varování, že skupinová adresa nemůže být přiřazena k nezabezpečenému objektu.

Security OFF

S tímto nastavením si ETS vynutí nezabezpečenou komunikaci. Pokud je taková skupinová adresa přiřazena zabezpečeným objektům, je komunikace vždy nezabezpečená.

Bezpečné uvedení do provozu

Zařízení, která mají bezpečně komunikovat musí být také bezpečně uvedena do provozu ETS. K tomu je zapotřebí mít knx interface, který podporuje zabezpečenou komunikaci. Pokud se pokusíme provést uvedení do provozu prostřednictvím nezabezpečeného rozhraní KNX, konfigurační program ETS to nedovolí a zobrazí následující zprávu (Obr. 13)

Obr. 13. Upozornění, že nelze provést konfiguraci knx zařízení, jelikož knx interface nepodporuje KNX data secure

V zařízení s podporou knx data secure lze jednoduše deaktivovat tuto podporu. To se provede v záložce „properties“ daného zařízení.

Obr. 14. Aktivace a deaktivace knx data secure

Toto nastaveni lze kdykoliv změnit. Musíme mít na paměti, že změna nastavení zabezpečení znamená, že zařízení musí být poté přeprogramováno! Pokud zvolíme „Deactivated“ na zařízení, které má přirazeny zabezpečené skupinové adresy, tyto adresy budou odstraněny a ETS program nás o tom informuje.

Obr. 15. Upozornění, že některé skupinové adresy budou odstraněny

Testování knx data secure zařízení

Obecně se k testování knx zařízení používá certifikovaný nástroj EITT. Od verze 4.3. má plnou podporu KNX data secure. Tento nástroj umožňuje monitoring knx sběrnice, posílání knx telegramů a jejich odezvu. Jelikož EITT musí pracovat s runtime klíči a tool klíči, je zapotřebí provést import těchto klíčů z ETS projektu. Na obrázku 16 jsou všechny potřebné klíče pro komunikaci se zařízeními.

Obr. 16. Importované klíče, potřebné pro komunikaci s knx data secure zařízeními

Jak již bylo řečeno EITT dokáže odesílat knx secure telegramy a kontrolovat přijaté telegramy, zda jsou správně šifrovány a zda přišli ve stanoveném čase. Veškeré možné chyby v komunikaci jsou přehledně označeny v programu EITT v sekci Trace buffer.

Obr. 17. Grafické znázornění chyb v secure komunikaci, které je schopen odhalit testovací nástroj EITT

UVedem si jeden příklad, kde záměrně pozměníme jeden runtime klíč. Po spuštění testovací sekvence vidíme, že testovací program EITT příslušnou komunikaci označí jako nesrávně šifrovanou. Výsledek vidíme v trace bufferu na obrázku 18.

Obr. 18. V tabulce klíčů byl změněn jeden runtime klíč, tím se příslušná komunikace nezašifruje správně, a testovací program tuto komunikaci označí jako nesprávnou.

Závěr

KNX data secure je tady s námi již několik let. Ale teprve nyní se objevují v nabídce konkrétní produkty u výrobců. Sám jsem zvědav, jak se KNX data secure uplatní v praxi, jelikož uvedení do provozu několik zařízení pro domácnost nebude problém. U velkých instalací typu letiště nebo hotely si uvedení do provozu všech zařízení nedovedu představit. Spíš než hrozbu toho, že se někdo nabourá přímo na TP sběrnici KNX, vidím problém v propojení KNX s IP a následné propojení do Cloudu až k mobilní aplikaci. Je obecně známo, že domácí sítě a mobilní telefony nejsou nějak důmyslně zabezpečeny.

 

Hodnocení článku: