Desde hace más de 10 años, KNX/IP posibilita la comunicación de instalaciones KNX a través de redes basadas en IP. Para ello se necesita un router KNX/IP que cumple con dos tareas: por un lado permite enlazar dos instalaciones KNX a través de redes IP, aunque estén a gran distancia entre sí (routing), y por otro permite un acceso basado en IP de un dispositivo terminal al bus KNX (tunnelling). Dicho de otra forma, KNX/IP tunnelling es el procedimiento usado por clientes web, sistemas de visualización o Smartphones para comunicarse con dispositivos KNX, y en consecuencia una solución que permite al usuario final realizar aplicaciones de monitorización y supervisión.
Los requisitos de seguridad en instalaciones KNX son cada vez mayores. Hasta hace años en las instalaciones de control y automatización se transmitían datos ‘simples’ como por ejemplo apagar o encender las luces, subir o bajar las persianas o regular la temperatura del aire acondicionado. Sin embargo, actualmente, con nuevas aplicaciones y funcionalidades, se transmiten datos críticos y confidenciales, como por ejemplo información sobre consumos que no deben ser vistos por terceros o datos en áreas de seguridad donde el código de acceso se debe transmitir de forma codificada y no en texto legible.
Y precisamente, debido a estos nuevos medios como LAN y WLAN, el acceso a Internet, el control remoto inalámbrico así como aplicaciones en áreas sensibles, los sistemas KNX están más expuestos al riesgo de daños debido a accesos inapropiados. Por ello, KNX ha desarrollado dos nuevos conceptos de seguridad: KNX Data Secure y KNX IP Secure, basados en protocolos de seguridad reconocidos mundialmente y pueden ser integrados sin problema en instalaciones existentes.
Concepto de protección doble
El acceso remoto al sistema bus KNX desde internet debe estar protegido de tal forma que la configuración de dispositivos bus solo sea posible por usuarios autorizados. Un mecanismo de protección útil contra manipulación está dado si los dispositivos bus se reconocen mutuamente como parte integrante del sistema. Por tanto, KNX ha desarrollado estos nuevos conceptos de seguridad en base a estas exigencias. Y es que, tanto KNX Data Secure como KNX IP Secure utilizan mecanismos que se usan también, por ejemplo, para una comunicación segura entre los contadores inteligentes y las compañías eléctricas.
Si se transmiten datos a través de internet es posible proteger la conexión entre emisor y receptor mediante una conexión VPN. Pero con ello no se garantiza que el emisor está autorizado para configurar el sistema bus o intercambiar datos. KNX IP Secure ofrece aquí seguridad adicional, ampliando el protocolo KNX IP de tal forma que los datos transmitidos sean codificados en su totalidad. Si los datos son transmitidos solamente de forma local a través de KNX es suficiente proteger los datos de aplicación adicionalmente mediante una ampliación del protocolo de bus.
A través del mecanismo de protección especificado KNX Data Secure se consigue que telegramas KNX sean autentificados y/o codificados, independiente del medio elegido. Los códigos son asignados por el software ETS a los dispositivos u objetos. Dado que es posible transmitir en un sistema KNX datos asegurados y no asegurados, no todos los dispositivos deben estar protegidos. También es posible mantener los componentes del sistema. Con todo ello, se reduce el esfuerzo y mantiene la inversión en la tecnología bus KNX.
Con los nuevos mecanismos de protección KNX Data Secure y KNX IP Secure es posible diseñar canales de comunicación seguros entre los dispositivos KNX. De esta forma, se imposibilita que un agresor externo pueda obtener el control sobre una instalación KNX mediante la inyección de mensajes manipulados. Para ello, cada mensaje dispone de un código de autentificación. El intento de grabar mensajes y enviarlos posteriormente para sabotear el sistema se impide mediante una asignación automática de números secuenciales, o de una identificación secuencial. De esta manera, la codificación del tráfico de datos hace prácticamente imposible manipular una instalación KNX. El procedimiento se corresponde a protocolos de seguridad reconocidos a nivel mundial.
En una instalación KNX se pueden usar KNX Data Secure y KNX IP Secure en paralelo así como utilizar aplicaciones aseguradas en paralelo a aplicaciones no aseguradas, es decir, no todos los dispositivos deben ser seguros. Ambas funciones de seguridad se pueden integrar sin problema en instalaciones existentes y estarán disponibles a partir de la versión ETS 5.5.