Joost Demarest explique comment les coupleurs média dotés de la fonction KNX Security Proxy peuvent être utilisés pour intégrer des installations non KNX-Secure avec des produits KNX Secure RF.
KNX Secure couvre plusieurs cas d’utilisation dans lesquels la communication KNX est limitée à un groupe d’appareils authentifiés, ou où la communication du système dans son ensemble est protégée contre les écoutes clandestines et les manipulations.
Il sécurise notamment les cas d’usage suivants :
- Accès à distance à l’installation (KNX IP Secure Tunnelling).
- Configuration des appareils dans l’installation (KNX Data Security, KNX IP Secure Device Management).
- Communication d’exécution de certaines applications (KNX Data Security)
- Communication KNX dans les réseaux IP ouverts (KNX IP Secure Routing).
- Le dernier cas d’utilisation couvre un scénario courant dans lequel une installation KNX filaire (éventuellement déjà existante), c’est-à-dire une installation KNX TP (paire torsadée), est étendue par l’ajout d’appareils KNX RF S-Mode via un coupleur média.
Contrairement aux câbles à paires torsadées cachés derrière les murs et les plafonds, offrant une sécurité de base contre les attaques extérieures, le spectre sans fil KNX RF est un support ouvert, facilement accessible de manière anonyme depuis l’extérieur de l’installation.
Il est donc important de sécuriser toutes les communications au sein de ce sous-réseau KNX RF, mais en même temps, de permettre l’intégration des appareils KNX RF Secure dans des applications non sécurisées qui existent sur le segment KNX TP. Un exemple de ceci serait l’ajout d’un bouton-poussoir KNX RF sécurisé qui fait partie du même groupe que les boutons-poussoirs KNX TP non sécurisés et un actionneur d’interrupteur d’éclairage KNX TP non sécurisé.
Pour y parvenir, le dispositif coupleur qui sépare le sous-réseau à sécuriser du sous-réseau non sécurisé doit agir comme intermédiaire lors du routage des trames KNX d’un sous-réseau à l’autre, et ajouter, ou supprimer, de manière transparente la sécurité des données KNX vers ou depuis le cadre KNX. Un dispositif coupleur doté d’une fonction de proxy de sécurité facultative permet de cette façon à une adresse de groupe d’être configurée de manière sécurisée pour l’un de ses sous-réseaux, mais sans sécurité (c’est-à-dire « clairement ») pour son autre sous-réseau. En d’autres termes, il peut traduire de manière transparente entre une communication sécurisée et une communication simple, rendant ainsi possible la communication d’exécution entre les appareils de différents sous-réseaux via cette adresse de groupe.
La traduction des communications d’exécution unicast (point à point) entre communication sécurisée et communication simple n’est pas prise en charge par un proxy de sécurité KNX, pas plus que la communication d’exécution de diffusion (du système). Cependant, le proxy de sécurité inclut des méthodes pour activer temporairement le routage de monodiffusion et de diffusion (système) entre des adresses individuelles spécifiques.
Le proxy de sécurité s’applique uniquement aux coupleurs de segments, aux coupleurs de lignes et aux coupleurs de dorsale.
Joost Demarest est directeur technique et directeur financier de l’Association KNX, créateur et propriétaire de la technologie KNX, la norme mondiale pour toutes les applications de contrôle de maison et de bâtiment.
