文：李韋誠/技服中心
gabriel@meanwell.com

智能建築產品日益更新下，實現了很多以往可能只在電影中才能看到的未來技術，舉凡使用手機作為門扇開關的控制或是聲控點燈等。不過，這些便利生活的數位智能產品也有機會被未經認可的第三方或是有心人控制進而竊取您的生活習慣而影響您的人身安全，尤其是當他們發現安全漏洞或是該系統使用的訊號原理。因此為了提升資訊安全要求，KNX協會推出了KNX Secure。

KNX Secure有以下三大優勢:
■資料完整性 (Data Integrity)
KNX Secure傳輸的每個訊息皆附加驗證碼，以防止外部人士植入虛假資訊竊取控制權。
■資料即時性 (Freshness)
KNX Secure設備傳輸時只接受當下最新通訊訊息，不接受過時之訊息，防止來自於拷貝過往訊息之攻擊。
■保密性 (Confidentiality)
KNX Secure編碼方式採取AES-128 CCM演算法以降低被攻擊的比例。

KNX Secure分為KNX IP Secure以及KNX Data Secure，KNX IP Secure主要是專注於網路方面的通訊安全；而KNX Data Secure則是負責KNX設備之間的通訊及資料保護。
此篇文章主題主要會專注於KNX Data Secure的介紹。為了保證通訊安全，KNX Data Secure產品於出廠時會隨包裝附上一組獨特的FDSK (Factory Device Setup Key)密鑰，每台設備的密鑰皆不相同，如圖1所示。將FDSK輸入至ETS (KNX專用配置軟體)後，方可進行該設備的設定與配置。於通訊傳輸時，ETS會將FDSK轉換為工具密鑰後才用於與設備通訊，所以原始的密鑰資訊並不會外洩。

圖1 PWM-200-24KN FDSK密鑰標示位置

KNX Data Secure設備只能與同樣具備KNX Data Secure的設備搭配使用，以保證資料安全的穩固性。不過，KNX Data Secure設備也可以與一般不具備KNX Data Secure保護功能的KNX設備搭配使用。有以下兩種方式，第一種方式：停用KNX Data Secure功能，如圖2所示。在這種情況下，該設備的行為與一般沒有KNX Data Secure安全功能的設備一樣；第二種方式：與一般KNX設備共用部分功能物件(communication objects) ，如圖3所示，設定個別Group address的security條件。理由為一個KNX Data Secure設備中的所有功能物件可依不同需求設定為不同的安全等級，舉例來說: 控制開關的物件傳輸間使用加密訊號，不過回傳開關狀態的物件則可設為非加密訊號傳輸。

圖2 KNX Data Secure 設定畫面

圖3 Group Address的Security設定畫面

以下舉個實際範例說明:
以圖4系統為例，KNX Data Secure面板開關將其中一組開關按鈕設定為一般模式(Plain)，即可與一般KNX設備搭配使用(例如: 電視或是咖啡機)，而其他按鈕則保持Data Secure模式通訊(例如: 窗戶或是燈具)。涉及人身安全的設備，例如:門或窗等使用KNX Data Secure功能，而比較不影響人身安全的設備則可使用一般非加密通訊。請注意: 設定為一般模式之物件，之後的任何通訊將不具備Data Secure保護功能。
 

圖4 KNX系統設備配置圖

明緯KNX產品系列陸續推出或升級為具備KNX Data Secure功能。例如：新推出的PWM-200KN以及即將完成升級的KAA-8R-S及KAA-4R4V-S等，將為使用者帶來全面安全及高品質信賴度的完整體驗。
 
若有任何KNX產品相關應用技術問題，可直接與明緯業務或技術服務單位聯繫，若需要其他技術影片、技術文章、常見問題等技術支援，歡迎連結明緯線上展覽館中的技術服務館和KNX樓宇自動化解決方案，使用快速搜尋功能以獲取更多相關資訊。

技術服務館
http://expo.meanwell.com.tw/exhibition_12.html
KNX智慧建築解決方案
http://building.meanwell.com.tw/

參考文獻:
KNX官方網站(KNX Secure資訊)
https://www.knx.org/
明緯線上展覽館
https://expo.meanwell.com/
KNX樓宇自動化解決方案
http://building.meanwell.com.tw/