Joost Demarest legt uit hoe mediakoppelaars met KNX Security Proxy functionaliteit gebruikt kunnen worden om niet-KNX-Secure installaties te integreren met KNX Secure RF producten.
KNX Secure bestrijkt verschillende gebruikssituaties waarbij de KNX-communicatie beperkt is tot een groep geauthenticeerde apparaten, of waarbij de systeemcommunicatie in zijn geheel beschermd is tegen afluisteren of manipulatie.
Het beveiligt met name de volgende gebruikssituaties:
- Toegang op afstand tot de installatie (KNX IP Secure Tunnelling).
- De configuratie van apparaten in de installatie (KNX Data Security, KNX IP Secure Device Management).
- Realtime communicatie van bepaalde toepassingen (KNX Data Security).
- KNX communicatie in open IP netwerken (KNX IP Secure Routing).
- KNX communicatie in open subnetwerken (KNX Data Security). De laatste gebruikssituatie behandelt het veel voorkomende scenario waarbij een (mogelijk reeds bestaande) bekabelde KNX installatie, d.w.z. een KNX TP (twisted-pair) installatie, uitgebreid wordt met KNX RF S-Mode apparaten via een mediakoppelaar.
In tegenstelling tot twisted-pair kabels die verborgen zijn achter muren en plafonds, en daardoor een basisbeveiliging bieden tegen aanvallen van buitenaf, is het draadloze RF-spectrum van KNX een open medium dat gemakkelijk anoniem toegankelijk is van buiten de installatie.
Het is daarom een gerechtvaardigde vereiste om alle communicatie binnen dit KNX RF subnetwerk te beveiligen, maar tegelijkertijd integratie van KNX RF Secure apparaten toe te laten in toepassingen die onbeveiligd zijn op het KNX TP segment. Een voorbeeld hiervan is het toevoegen van een beveiligde KNX RF drukknop die deelneemt aan dezelfde groep als onbeveiligde KNX TP drukknoppen en een onbeveiligde KNX TP lichtschakelaar.
Om dit te bereiken, moet het koppelapparaat dat het te beveiligen subnetwerk scheidt van het onbeveiligde subnetwerk, als tussenschakel fungeren bij het routeren van KNX-frames van het ene subnetwerk naar het andere, en op transparante wijze de KNX Data Security toevoegen aan of verwijderen uit het KNX Frame. Een koppelapparaat met een optionele beveiligingsproxyfunctie maakt het dus mogelijk om een groepsadres veilig te configureren voor één van de subnetwerken, maar zonder beveiliging (d.w.z. “ongecodeerd”) voor het andere subnetwerk. Met andere woorden, het kan transparant vertalen tussen veilige en onbeveiligde communicatie, waardoor runtime-communicatie tussen apparaten in verschillende subnetwerken via dit groepsadres mogelijk wordt.
Het vertalen van unicast (point-to-point) runtimecommunicatie tussen veilig en onbeveiligd wordt niet ondersteund door een KNX Security Proxy, evenmin als (systeem) broadcast runtimecommunicatie. De beveiligingsproxy bevat echter methoden om tijdelijk unicast- en (systeem)broadcastroutering tussen specifieke individuele adressen in te schakelen.
De beveiligingsproxy is alleen van toepassing op segmentkoppelaars, lijnkoppelaars en backbonekoppelaars.
Joost Demarest is CTO/CFO van KNX Association, de bedenker en eigenaar van KNX technologie – de wereldwijde standaard voor alle toepassingen in huis- en gebouwenautomatisering.
