KNX Data Secure · AES-128 · Шина TP · Безопасность групповых адресов · ETS6 · 10 мин чтения

KNX Data Secure: Шифрование на прикладном уровне для чувствительных групповых адресов и исполнительных устройств

KNX Data Secure шифрует отдельные телеграммы непосредственно на шине KNX TP — защищая обмен данными по чувствительным групповым адресам на прикладном уровне независимо от физической среды или конфигурации безопасности IP-магистрали. Это подходящая мера безопасности везде, где физический доступ к шине TP является реальной угрозой.

Обзор KNX Data Secure

KNX Data Secure применяет шифрование AES-128-CBC и аутентификацию HMAC-SHA256 на прикладном уровне KNX — то есть отдельные телеграммы KNX TP на шине шифруются. Это отличается от KNX IP Secure, который шифрует пакеты KNXnet/IP на магистрали Ethernet, но оставляет телеграммы шины TP в открытом виде.

ХарактеристикаKNX Data SecureKNX IP Secure
ЗащищаетТелеграммы шины KNX TP (прикладной уровень)Пакеты KNXnet/IP (уровень IP)
АлгоритмAES-128-CBC + HMAC-SHA256AES-128-CBC + HMAC-SHA256
Область ключаУникальный ключ на устройствоМагистральный ключ (проектный)
Физическая угрозаФизический доступ к шинеДоступ к сети Ethernet
Обратная совместимостьДа — небезопасные устройства сосуществуют на одной шинеНет — все IP-маршрутизаторы должны поддерживать Secure

Угрозы, устраняемые Data Secure: прослушивание шины TP с помощью накладного монитора шины (злоумышленнику нужен физический доступ к кабельному лотку или распределительной коробке), инжекция телеграммы злоумышленником, подключившим вредоносное устройство KNX к шине, и добавление вредоносных устройств на линию TP, пытающихся управлять защищёнными исполнительными устройствами. Без Data Secure: любое устройство KNX на шине может отправлять телеграммы записи на любой групповой адрес, включая адреса управления дверным замком.

Варианты использования: когда требуется Data Secure

KNX Data Secure не требуется для всех цепей — он добавляет накладные расходы на телеграммы и требует совместимых устройств на стороне отправителя и получателя. Приоритет Data Secure для цепей, где несанкционированная телеграмма может иметь последствия для физической безопасности или защиты.

Data Secure настоятельно рекомендуется

  • Исполнительные устройства контроля доступа (реле дверного замка, электрозамок, магнитный замок)
  • Интерфейс KNX панели сигнализации (команды постановки/снятия с охраны)
  • Триггер KNX для видеорегистратора (включение/выключение записи)
  • Интерфейсы KNX для противопожарных клапанов и дымовых заслонок
  • Управление эвакуационным освещением через KNX
  • Правительственные и банковские установки — все исполнительные устройства

Data Secure редко требуется

  • Стандартное управление освещением офиса или жилого помещения (низкий риск)
  • Управление уставкой температуры HVAC (низкое влияние на безопасность)
  • Управление положением жалюзи/штор (конфиденциальность, не безопасность)
  • Кнопки сценариев в неограниченных зонах
  • Групповые адреса учёта энергии (только чтение, без исполнительного устройства)

Совместимые устройства

KNX Data Secure требует, чтобы и отправляющее устройство (кнопка или логический контроллер), и принимающее устройство (исполнительное устройство) поддерживали Data Secure. Зашифрованная телеграмма от защищённой кнопки не может быть обработана незащищённым исполнительным устройством — исполнительное устройство отбрасывает её как нераспознанный формат.

Примеры устройств, поддерживающих Data Secure

Switch actuators:
  MDT AKS-0816.02   — 8×16A Data Secure switch actuator
  MDT AKS-0424.02   — 4×16A Data Secure switch actuator
  Gira 2094-00      — 8-channel Data Secure switch actuator
  ABB SA/S 8.10.2.2 — 8×10A switch actuator with Data Secure

Push-buttons / inputs:
  Gira 2093-00      — Push-button with Data Secure support
  MDT BE-GT2W.02    — Glass push-button with Data Secure
  ABB M4120-01      — 4-gang binary input with Data Secure

Logic / coupling:
  Gira X1           — Logic processor and gateway with Data Secure
  MDT SCN-IP100.02  — IP router with Data Secure gateway function
  Weinzierl KNX IP Interface 740 — with Data Secure support

Check: KNX Secure logo (lock icon) in device datasheet
ETS6: Data Secure capable devices show padlock icon
in device catalog and in the device properties panel

Настройка Data Secure в ETS6

Data Secure настраивается в ETS6 для каждого устройства индивидуально. ETS6 генерирует уникальные случайные ключи для каждого устройства и загружает их в процессе стандартной полной конфигурации устройства. Ключи доступны только для записи — их невозможно прочитать из сконфигурированного устройства по соображениям безопасности.

Конфигурация устройства Data Secure в ETS6

Per-device configuration in ETS6:
  Select device in topology → Properties panel
  Security tab → Data Secure: Enable (checkbox ON)
  Tool access code: set a 6-digit code (prevents unauthorised
  ETS6 parameter access to this device without the code)
  Key: generated automatically by ETS6 (unique per device)

Key properties:
  Generated: 128-bit random key per device
  Stored: in ETS6 project file (encrypted)
  Downloaded: to device during Full Device Configuration
  Cannot be read back: device stores key in write-only memory
  If key lost: must factory reset device to clear it,
  then re-download with new key from ETS6

Tool access code usage:
  Required when accessing device parameters in ETS6
  (prevents unauthorised configuration changes on-site)
  Store tool access codes in password manager
  Document in commissioning record (access-restricted copy)

Уровни безопасности групповых адресов

ETS6 позволяет каждому групповому адресу индивидуально назначать уровень безопасности. Это позволяет выборочно применять шифрование — защищая только чувствительные групповые адреса, оставляя некритичные по производительности адреса незашифрованными для минимизации накладных расходов телеграмм.

Уровень безопасностиЗащитаНакладные расходыРекомендуется для
НетБез безопасности — стандартная телеграмма KNXНет (+0 байт)Совместимость с устаревшим оборудованием, нечувствительные значения (базовое освещение)
АутентифицированныйТолько целостность HMAC-SHA256, без шифрования+4 байта тега аутентификации, +6 байт seqЗначения датчиков температуры, показания энергопотребления — целостность без конфиденциальности
КонфиденциальныйШифрование AES-128-CBC + аутентификация HMAC-SHA256+10 байт общих накладных расходовУправление дверными замками, постановка/снятие с охраны, контроль доступа — максимальная защита

Рекомендуемое назначение уровней безопасности: Групповые адреса контроля доступа (замок двери, управление воротами, электрозамок) — Конфиденциально. ГА системы сигнализации (постановка/снятие с охраны, тревога) — Конфиденциально. ГА уставки температуры — Аутентифицировано (предотвращает вмешательство без полных накладных расходов шифрования). Стандартные ГА включения/выключения освещения — Нет (нет практической выгоды для безопасности, избегает накладных расходов).

Смешанные Secure и non-Secure на одной шине

Устройства KNX Data Secure и стандартные незащищённые устройства могут сосуществовать на одной линии KNX TP без помех. Эта обратная совместимость позволяет поэтапно повышать безопасность — начиная с цепей с самым высоким риском, оставляя другие на стандартных незащищённых устройствах.

Правила работы смешанной шины

Secured GAs (Confidential or Authenticated):
  Only Data Secure devices with correct key can send/receive
  Non-Secure devices receive encrypted telegram → cannot decrypt
  → Non-Secure device ignores the telegram (no action)

Non-secured GAs (None security level):
  Both Secure and non-Secure devices participate normally
  Standard KNX telegram — no overhead

Migration strategy for adding security incrementally:
  Phase 1: Add Data Secure actuators for access control circuits
           (replace existing door lock actuators with Data Secure models)
           Update ETS6, download, test
  Phase 2: Replace alarm panel KNX interface with Secure version
  Phase 3: Add Secure push-buttons for access-controlled areas
           (non-Secure push-buttons on same bus still work for
           non-secured GAs — lighting control unchanged)

Coexistence check:
  ETS6 topology scan: Secure devices show padlock icon
  Non-Secure devices show no lock icon
  Group Monitor: secured GAs show encrypted status in ETS6
  (ETS6 decodes them locally — other bus monitors see encrypted)

Влияние на производительность

KNX Data Secure добавляет накладные расходы телеграммы как по количеству байт, так и по времени обработки. Для большинства приложений автоматизации зданий эти накладные расходы незаметны для пользователей — дополнительная задержка находится в пределах допустимого времени отклика для управления исполнительными устройствами.

Разбивка накладных расходов телеграммы

  • Тег аутентификации: 4 байта (HMAC-SHA256 усечённый)
  • Номер последовательности: 6 байт (счётчик защиты от повторения)
  • Общие накладные расходы: 10 байт на защищённую телеграмму
  • Максимальная полезная нагрузка стандартной телеграммы KNX: 14 байт
  • Максимальная полезная нагрузка защищённой телеграммы Data Secure: 4 байта (Конфиденциально)
  • Для 1-битного переключения (вкл/выкл): полезная нагрузка = 1 бит → накладные расходы несущественны

Влияние на время отклика

  • Стандартная телеграмма KNX: 20–100 мс от конца до конца
  • Дополнительная обработка Data Secure: +5–15 мс
  • Общее защищённое время отклика: 25–115 мс
  • Порог восприятия человеком для переключения света: ~150 мс
  • Результат: накладные расходы Data Secure незаметны для переключения
  • Для многотелеграммных сцен: небольшая совокупная задержка — приемлемо

Управление ключами и резервное копирование

Ключи KNX Data Secure хранятся исключительно в файле проекта ETS6. Если файл проекта утерян без резервной копии, все введённые в эксплуатацию защищённые устройства необходимо сбросить до заводских настроек и перепрограммировать — это серьёзные восстановительные работы на крупных объектах. Дисциплина резервного копирования является единственным важнейшим эксплуатационным требованием для развёртывания Data Secure.

Управление ключами и требования к резервному копированию

ETS6 project backup (contains all Data Secure keys):
  Backup frequency: after every programming session (daily minimum)
  Backup format: encrypted .knxproj file (ETS6 native)
  Backup locations:
    Primary: encrypted network share (RAID protected)
    Secondary: encrypted cloud storage (Backblaze B2, AWS S3)
    Tertiary: encrypted USB drive in physically secure location
  Password: strong (minimum 20 chars) stored in password manager

Test restore procedure (mandatory before handover):
  Restore backup .knxproj to second ETS6 installation
  Verify: all Data Secure devices listed with keys
  Verify: Group Monitor shows decrypted telegrams after restore
  Document: restore test date and result in commissioning record

Loss recovery (ETS6 project lost, no backup):
  Each Data Secure device must be factory reset
  Factory reset: device-specific procedure (see datasheet)
  Effect: clears Data Secure key AND KNX application
  Reprogram required: Full Device Configuration download
  Time estimate: 1 hour per 10 Data Secure devices
  For 50-device installation: estimated 5 hours minimum

Соответствие нормативным требованиям и стандартам

KNX Data Secure может служить частью технического обоснования для соблюдения нормативных требований по кибербезопасности, применимых к зданиям и их системам управления. Конкретная применимость зависит от типа здания и юрисдикции.

Соответствующие нормативные акты и стандарты

  • Директива NIS2 (ЕС 2022/2555): здания критической инфраструктуры — документировать меры безопасности KNX как часть системы управления кибербезопасностью
  • UK Cyber Resilience for Connected Devices (Закон PSTI 2024): здания с подключёнными системами автоматизации
  • IEC 62280: безопасность систем связи на железнодорожном транспорте — используется для KNX в транспортной инфраструктуре
  • ISO 27001: информационная безопасность — KNX Data Secure как средство контроля безопасности зданий

Документация по безопасности для клиента

Для государственных проектов и проектов критической инфраструктуры: подготовьте сводку по внедрению KNX Data Secure для проверки безопасности клиентом. Включите: список защищённых групповых адресов и уровней безопасности, перечень устройств с указанием статуса Data Secure, процедуру резервного копирования проекта ETS6.

Предоставьте выдержку из проекта ETS6 (список групповых адресов с уровнями безопасности) CISO клиента для включения в реестр рисков и документацию по безопасности. Не включайте значения ключей в любую документацию, предназначенную для клиента.

Нужен KNX Data Secure для контроля доступа или цепей, критичных для безопасности?

Мы проектируем и вводим в эксплуатацию исполнительные устройства KNX Data Secure с управлением ключами ETS6, назначением уровня безопасности групповых адресов и полной эксплуатационной документацией — подходит для зданий, регулируемых NIS2, и государственных проектов.

Запросить расчёт →
Loading...
Back to top