Joost Demarest erklärt, wie Medienkoppler mit KNX Security Proxy-Funktionalität verwendet werden können, um nicht-KNX-Secure Installationen mit KNX Secure RF Produkten zu integrieren.
KNX Secure deckt mehrere Anwendungsfälle ab, bei denen die KNX Kommunikation auf eine Gruppe authentifizierter Geräte beschränkt ist oder die Systemkommunikation als Ganzes gegen Abhören oder Manipulation geschützt wird.
Insbesondere sichert es die folgenden Anwendungsfälle:
- Fernzugriff auf die Installation (KNX IP Secure Tunnelling).
- Die Konfiguration von Geräten in der Installation (KNX Data Security, KNX IP Secure Device Management).
- Kommunikation zur Laufzeit bestimmter Anwendungen (KNX Data Security).
- KNX-Kommunikation in offenen IP-Netzen (KNX IP Secure Routing).
- KNX-Kommunikation in offenen Teilnetzen (KNX Data Security). Der letzte Anwendungsfall deckt das übliche Szenario ab, bei dem eine (möglicherweise bereits vorhandene) drahtgebundene KNX Installation, d.h. eine KNX TP (Twisted-Pair) Installation, mit KNX RF S-Mode Geräten über einen Medienkoppler erweitert wird.
Im Gegensatz zu Twisted-Pair-Kabeln, die hinter Wänden und Decken verborgen sind und damit eine grundlegende Sicherheit gegen Angriffe von außen bieten, ist das KNX RF-Funkspektrum ein offenes Medium, das von außerhalb der Installation leicht und anonym zugänglich ist.
Es ist daher eine legitime Forderung, die gesamte Kommunikation innerhalb dieses KNX RF Subnetzes zu sichern, aber gleichzeitig die Integration von KNX RF Secure Geräten in Anwendungen zu ermöglichen, die ungesichert im KNX TP Segment existieren. Ein Beispiel hierfür wäre das Hinzufügen eines gesicherten KNX RF Tasters, der an der gleichen Gruppe wie ungesicherte KNX TP Taster und ein ungesicherter KNX TP Lichtschalteraktor teilnimmt.
Um dies zu erreichen, muss das Koppelgerät, das das zu sichernde Teilnetz vom ungesicherten Teilnetz trennt, als Vermittler beim Routing von KNX Frames von einem Teilnetz zum anderen fungieren und die KNX Datensicherheit transparent zum KNX Frame hinzufügen oder daraus entfernen. Ein Kopplergerät mit einer optionalen Sicherheits-Proxy-Funktionalität ermöglicht somit die sichere Konfiguration einer Gruppenadresse für eines seiner Teilnetzwerke, aber ohne Sicherheit (d.h. "einfach") für sein anderes Teilnetzwerk. Mit anderen Worten, sie kann transparent zwischen sicherer und einfacher Kommunikation übersetzen, so dass die Laufzeitkommunikation zwischen Geräten in verschiedenen Teilnetzen über diese Gruppenadresse möglich ist.
Die Umwandlung von Unicast-Laufzeitkommunikation (Punkt-zu-Punkt) zwischen sicherer und einfacher Kommunikation wird von einem KNX Security Proxy nicht unterstützt, ebenso wenig wie die (System-)Broadcast-Laufzeitkommunikation. Der Security Proxy enthält jedoch Methoden, um vorübergehend Unicast- und (System-)Broadcast-Routing zwischen bestimmten Einzeladressen zu aktivieren.
Der Sicherheitsproxy ist nur für Segmentkoppler, Linienkoppler und Backbone-Koppler anwendbar.
Joost Demarest ist CTO/CFO der KNX Association, dem Erfinder und Eigentümer der KNX Technologie - dem weltweiten Standard für alle Anwendungen in der Haus- und Gebäudesystemtechnik.
