기술노트 - KNX 데이터 보안이란 무엇입니까?
스마트 제어 기술의 발전으로 휴대폰으로 문을 열거나 음성 제어로 불을 켜는 등 과거 영화에서나 볼 수 없었던 놀라운 기술이 이제 실현되었습니다.
오늘날 건물의 이러한 지능형 제어 응용 프로그램은 일상 생활에서 더욱 다양해지고 있습니다. 그러나 보안이 취약하거나 취약한 시스템은 승인되지
않은 제3자의 공격을 받을 수 있으며 데이터 침해 및 개인 정보 침해로 이어질 수 있습니다. 따라서 사용자의 개인 및 재산 안전이 위험합니다.
안전한 방식으로 데이터를 전송하려는 요구를 충족하기 위해 KNX Secure는 빌딩 자동화의 사이버 보안과 관련된 현재 및 미래의 과제에 대응하기
위해 개발되었습니다.
KNX Secure의 3가지 주요 기능:
■데이터 무결성
조작된 프레임을 주입하여 공격자가 제어권을 획득하는 것을 방지합니다. KNX에서는 모든 메시지에 인증 코드를 추가하여 이를 보장합니다.
이 추가된 코드는 메시지가 수정되지 않았으며 신뢰할 수 있는 통신 파트너로부터 효과적으로 전송되었음을 확인합니다.
■신선함
공격자가 프레임을 기록하고 콘텐츠를 조작하지 않고 나중에 재생하는 것을 방지합니다. KNX Data Secure에서는 시퀀스 번호로, KNX IP
Secure에서는 시퀀스 식별자로 이를 보장합니다.
■비밀
공격자가 실제로 전송된 데이터에 대해 가능한 한 가장 낮은 통찰력을 갖도록 네트워크 트래픽을 암호화합니다. KNX 네트워크 트래픽 암호화를
허용할 때 KNX 장치는 비대칭 키와 함께 AES-128 CCM 알고리즘에 따라 최소한 암호화를 보장합니다.
KNX Secure에는 KNX IP Secure(IP 미디어) 및 KNX Data Secure(TP/RF 미디어)가 포함됩니다. KNX IP Secure는 인터넷과 같은 외부 IP 네트워크에
노출된 KNX 설치(일반적으로 백본 라인)에 사용됩니다. 그리고 KNX Data Secure는 외부 IP 네트워크에 노출되지 않는 KNX 설치를 위해 사용됩니다.
이 문서는 KNX Data Secure에 중점을 둡니다. 모든 KNX Data Secure 제품은 그림 1과 같이 고유한 FDSK(공장 장치 설정 키)와 함께 배송됩니다.
KNX 보안 장치의 FDSK가 ETS 프로젝트에 추가된 후 ETS는 자동으로 프로젝트에서 도구 키를 설정합니다. , ETS 사용자는 도구 키를 수동으로
정의/수정할 수 없으며 도구 키는 ETS 사용자에게 절대 표시되지 않습니다. 그 이후로 장치는 ETS를 사용한 추가 구성을 위한 도구 키만 허용합니다.
FDSK는 장치가 공장 상태로 재설정되지 않는 한 후속 통신 중에 더 이상 사용되지 않으며, 그 후에 장치의 모든 보안 데이터가 지워집니다.
그림 1. PWM-200-24KN의 FDSK 위치
KNX Data Secure 장치는 데이터 보안이 활성화된 경우에만 Data Secure가 있는 다른 장치와 제휴하여 사용할 수 있습니다. 그러나 보안 통신이 필요하지 않은 경우 KNX Data Secure 장치는 비보안 KNX 장치와 함께 사용할 수도 있습니다. 보안 장치가 비보안 장치와 작동하는 두 가지 방법이 있습니다. 첫 번째 방법은 보안 장치의 보안 시운전을 비활성화하는 것입니다(그림 2). 이 경우 보안 장치의 동작은 비보안 장치와 동일합니다. 두 번째 방법은 개별 그룹 주소를 "Off" 또는 "Automatic"으로 설정하는 것입니다(그림 3). 그런 다음 보안 커미셔닝이 활성화되거나 비활성화된 장치의 그룹 개체에 연결할 수 있습니다. KNX Data Secure 장치의 모든 기능 개체는 다양한 요구 사항에 따라 다른 보안 수준으로 설정할 수 있습니다. 예: 터치 패널의 제어 개체에 대해 보안 전송으로 설정할 수 있고 액추에이터의 보고 개체에 대해 비보안 전송으로 설정할 수 있습니다.
그림 2. 활성화/비활성화된 보안 시운전
그림 3. 그룹 주소 보안 설정
그림 4를 예로 들면 비보안 KNX 장치와 연결되어 있는 동안 KNX Data Secure 스위치의 버튼을 비보안 모드(일반)로 설정하고 나머지 버튼은 보안 장치와 통신하기 위해 Data Secure 모드로 둡니다. 응용 프로그램이 문이나 창문과 같이 개인 또는 재산 안전과 관련된 경우 데이터 보안 통신이 제안됩니다. 예를 들어 TV나 커피 머신과 같이 개인 또는 재산 안전과 관련이 없는 응용 프로그램의 경우 사용자는 보안 통신이 필요한지 여부를 선택할 수 있습니다. 참고: 개체가 비보안 모드로 설정되면 더 이상 데이터 보안의 보호를 받는 통신이 더 이상 이루어지지 않습니다.
그림 4. KNX 시스템 구성
MEAN WELL은 더 많은 새로운 KNX Data Secure 제품을 발표하고 기존 제품을 Data Secure로 업그레이드할 것입니다. 최근 우리는 Data Secure와 함께 PWM-200KN을 출시했습니다. 또한 KAA-8R 및 KAA-4R4V의 보안 버전인 KAA-8R-S 및 KAA-4R4V-S가 곧 출시될 예정입니다. 우리는 고품질과 우수한 안정성을 유지하면서 완전히 안전한 환경으로 사용자에게 더 나은 경험을 제공할 것이라고 믿습니다.
KNX 제품과 관련하여 궁금한 사항이 있으시면 MEAN WELL 영업팀에 문의하십시오. MEAN WELL 온라인 전시관 및 빌딩 전원 솔루션을 확인하여 기술 비디오, 기사, FAQ 및 기타 지원을 받으십시오.
기술지원관
https://expo.meanwell.com/exhibition_12.html
KNX Building Power Solution
https://building.meanwell.com/
Reference links:
KNX official website
https://www.knx.org/
Mean Well Online Exhibition Hall
https://expo.meanwell.com/
Building Power Solution
https://building.meanwell.com/
By advancing smart control technology, many incredible technologies only shown in movies in the past have now been realized, such as opening a door via mobile phone or turning on the light with voice control. Nowadays these intelligent control applications in buildings are becoming more versatile in daily life. However, unsecured or vulnerable systems can be attacked by an unauthorized third party, and leads to data breaches and invasion of privacy. User’s personal and property safety is therefore at risk. To fulfil the demand of transmitting data in a secure way, KNX Secure has been developed to respond to current and future challenges regarding cyber security in building automation.
3 key features of KNX Secure:
■Data Integrity
Preventing attackers from gaining control by injecting manipulated frames. In KNX this is ensured by appending an authentication code to every message: this appended code verifies that the message has not been modified and that it effectively originates from the trusted communication partner.
■Freshness
Preventing attackers from recording frames and playing them back at a later time without manipulating the content. In KNX Data Secure this is ensured with a sequence number and in KNX IP Secure with a sequence identifier.
■Confidentiality
Encrypting network traffic to ensure that an attacker has the lowest possible insight into the data actually transmitted. When allowing encrypting KNX network traffic, the KNX devices ensure at least encryption according to the AES-128 CCM algorithms together with the asymmetrical keys.
KNX Secure includes KNX IP Secure(IP media) and KNX Data Secure(TP/RF media). KNX IP Secure shall be used for KNX installation (typically its backbone line) exposed to an external IP network, like the internet. And KNX Data Secure shall be used for KNX installation not exposed to an external IP network.
This article focuses on KNX Data Secure. Every KNX Data Secure product is shipped with a unique FDSK (Factory Device Setup Key) as shown in Figure 1. After the FDSK of the KNX secure device has been added to an ETS project, ETS automatically sets its Tool Key in the project, i.e., ETS user cannot define/modify the Tool Key manually, and the Tool Key is never visible for ETS user. The device from then onwards only accepts the Tool Key for further configuration with ETS. The FDSK is no longer used during subsequent communication unless the device is reset to the factory state, after which all the secure data in the device will be erased.
Figure 1. FDSK location of PWM-200-24KN
KNX Data Secure device can only be used in alliance with other devices with Data Secure when data secure is activated. However, when secure communication is not needed, KNX Data Secure devices can also be used in alliance with non-secure KNX devices. There are two ways for a secure device to work with a non-secure device. The first way is to deactivate the secure commissioning of the secure device (Figure 2). In this case, the behaviour of the secure device is the same as a non-secure device. The second way is to set individual Group addresses to “Off” or “Automatic” (Figure 3), then it can be linked to group objects of devices with activated or deactivated secure commissioning. All functional objects in a KNX Data Secure device can be set to different security levels according to different requirements. For example: for a control object from a touch panel, it can be set as secure transmission, and for a report object from an actuator it can be set as non-secure transmission.
Figure 2. Activated/Deactivated secure commissioning
Figure 3. Security setting of Group Address
Take Figure 4 for example, setting buttons of KNX Data Secure switch to non-secure mode (Plain) while linked with non-secure KNX device, and leaving the rest of the buttons in Data Secure mode to communicate with secure devices. If an application involves personal or property safety, such as the one for doors or windows, then Data Secure communication is suggested. If an application is not related to personal or property safety, for example, the one for TV or coffee machine, then users may choose whether secure communication is necessary. Please note: Once an object is set to non-secure mode, further communication will be no longer under the protection of Data Secure.
Figure 4. KNX system configuration
MEAN WELL will announce more new KNX Data Secure products, and will upgrade existing products with Data Secure. Recently we have launched PWM-200KN with Data Secure. Furthermore, KAA-8R-S and KAA-4R4V-S, which are the secured version of KAA-8R and KAA-4R4V, will come soon. We believe that they will give users a better experience with a completely secure environment while maintaining high quality and good reliability.
If you have any questions related to KNX products, welcome to contact MEAN WELL sales. Please feel free to check MEAN WELL Online Exhibition Hall and Building Power Solution to get technical videos, articles, FAQs and more supports from us.
Technical Service Hall
https://expo.meanwell.com/exhibition_12.html
KNX Building Power Solution
https://building.meanwell.com/
Reference links:
KNX official website
https://www.knx.org/
Mean Well Online Exhibition Hall
https://expo.meanwell.com/
Building Power Solution
https://building.meanwell.com/