Joost Demarest erklärt, wie Medienkoppler mit KNX Security Proxy Funktionalität verwendet werden können, um nicht-KNX-Secure Installationen mit KNX Secure RF Produkten zu integrieren.
KNX Secure deckt mehrere Anwendungsfälle ab, bei denen die KNX Kommunikation auf eine Gruppe authentifizierter Geräte beschränkt ist oder die gesamte Systemkommunikation gegen Abhören oder Manipulation geschützt wird.
Es sichert insbesondere die folgenden Anwendungsfälle ab:
- Fernzugriff auf die Installation (KNX IP Secure Tunnelling).
- Die Konfiguration der Geräte in der Installation (KNX Data Security, KNX IP Secure Device Management).
- Echtzeit-Kommunikation von bestimmten Anwendungen (KNX Data Security).
- KNX Kommunikation in offenen IP-Netzwerken (KNX IP Secure Routing).
- KNX Kommunikation in offenen Sub-Netzwerken (KNX Datensicherheit). Der letzte Anwendungsfall deckt das übliche Szenario ab, bei dem eine (möglicherweise bereits vorhandene) kabelgebundene KNX Installation, d.h. eine KNX TP (Twisted-Pair)-Installation, mit KNX RF S-Mode-Geräten über einen Medienkoppler erweitert wird.
Im Gegensatz zu Twisted-Pair-Kabeln, die hinter Wänden und Decken verborgen sind und somit eine grundlegende Sicherheit gegen Angriffe von außen bieten, ist das KNX RF-Funkspektrum ein offenes Medium, auf das von außerhalb der Installation leicht und anonym zugegriffen werden kann.
Es ist deshalb eine legitime Voraussetzung, die gesamte Kommunikation innerhalb dieses KNX RF Sub-Netzwerks zu sichern, aber gleichzeitig die Integration von KNX RF Secure-Geräten in Anwendungen zu ermöglichen, die im KNX TP-Segment ungesichert sind. Ein Beispiel hierfür wäre das Hinzufügen eines gesicherten KNX RF-Tasters, der an derselben Gruppe teilnimmt wie ungesicherte KNX TP-Taster und ein ungesicherter KNX TP- Lichtschalteraktor.
Um dies zu erreichen, muss der Medienkoppler, der das zu sichernde Teilnetz vom ungesicherten Teilnetz trennt, beim Routing von KNX Datenblöcken von einem Teilnetz zum anderen als Vermittler fungieren und die KNX Datensicherheit transparent zum KNX Datenblock hinzufügen oder daraus entfernen. Ein Medienkoppler mit einer optionalen Sicherheits-Proxy-Funktionalität ermöglicht es also, eine Gruppenadresse für eines seiner Subnetzwerke sicher zu konfigurieren, für das andere Subnetzwerk jedoch ohne Sicherheit (d.h. „einfach”). Anders gesagt, es kann transparent zwischen gesicherter und normaler Kommunikation übersetzen, so dass die Echtzeit-Kommunikation zwischen Geräten in verschiedenen Subnetzwerken über diese Gruppenadresse möglich ist.
Die Übersetzung von Unicast Echtzeitkommunikation (Punkt-zu-Punkt) zwischen gesichert und ungesichert wird von einem KNX Security Proxy nicht unterstützt, ebenso wie (System) Broadcast Echtzeitkommunikation. Allerdings enthält der Security Proxy Methoden zur vorübergehenden Aktivierung von Unicast- und (System-)Broadcast-Routing zwischen bestimmten Einzeladressen.
Der Security Proxy ist nur für Segmentkoppler, Linienkoppler und Backbone-Koppler anwendbar.
Joost Demarest ist CTO/CFO der KNX Association, dem Erfinder und Eigentümer der KNX-Technologie – dem weltweiten Standard für alle Anwendungen in der Haus- und Gebäudesystemtechnik.
