KNX Secure
KNX Secure защищает твою инсталляцию KNX от несанкционированного доступа и вмешательства. Используются два механизма:
KNX Data Secure защищает само устройство от несанкционированных изменений конфигурации (Secure Commissioning) и дополнительно позволяет шифровать отдельные телеграммы KNX на шине TP.
KNX IP Secure шифрует IP-трафик, то есть соединение между KNX Bridge и IP-клиентами, такими как ETS.
Типичная инсталляция использует KNX Secure для защиты от несанкционированного доступа через IP, что требует активации Data Secure. Однако шифрование телеграмм KNX на шине существенно усложняет настройку и применяется редко. Если к зелёному кабелю шины KNX нет несанкционированного физического доступа, этого можно избежать.

Factory Default Setup Key (FDSK)
Каждое устройство KNX Secure имеет уникальный Factory Default Setup Key (FDSK). FDSK Atios KNX Bridge отображается на странице настроек KNX (например, ALODDQ-DW4XY3-W5LL77-LLRM7W-22OZE4-3FJBRH) и также находится на нижней стороне устройства.
Требования
- ETS 6.0 или выше
- файл knxprod: KNX Bridge v3.0 или выше
- Прошивка KNX Bridge 3.1.0 или выше
Secure Commissioning
Первый Atios KNX Bridge
- В онлайн-каталоге ETS перейди к производителю Atios AG, выбери Atios KNX Bridge, Version 3.0 or higher и перетащи его в топологию проекта.
- Задай пароль проекта при появлении запроса.
- Когда ETS попросит добавить FDSK, открой Web Interface.
- Перейди в KNX Settings → KNX Secure, скопируй FDSK, отображённый под QR-кодом (например,
ALOG2M-E4XZO2-CCEC53-L4B6XA-TSKIG4-DFBXTF), и вставь его в ETS. - Secure Commissioning и Secure Tunneling включены по умолчанию.
- Щёлкни правой кнопкой по KNX Bridge в ETS, затем выбери Download Individual Address, а после него Download Application.
Atios KNX Bridge уже есть в проекте ETS
- В онлайн-каталоге ETS перейди к производителю Atios AG, выбери Atios KNX Bridge, Version 3.0 or higher и перетащи его в топологию проекта.
- Задай пароль проекта при появлении запроса.
- Когда ETS попросит добавить FDSK, нажми Later.
- Удали KNX Bridge, который ты только что перетащил.
- Нажми на существующий KNX Bridge в топологии.
- Перейди в Properties → Info → Application и нажми Update внизу панели.
- Добавь FDSK к существующему устройству через Properties → Settings → Add Device Certificate.
- Щёлкни правой кнопкой по KNX Bridge в ETS и выбери Download Application.
INFO
Возможно, сначала потребуется установить Secure Commissioning в значение active, чтобы кнопка Add Device Certificate стала видимой.
При обновлении существующего KNX Bridge
Не меняй программу приложения через ComboBox. Это сотрёт все твои аксессуары и настройки. Если это произошло случайно, сразу нажми Undo.

IP Secure Tunneling
IP Secure шифрует IP-коммуникацию между Atios KNX Bridge и IP-клиентами. Это защищает от попыток перехвата или внедрения IP-телеграмм со стороны тех, кто имеет доступ к сети.
Подключение клиентов (например, Home Assistant) к Atios KNX Bridge
- Разверни узел Tunnel Address для Atios KNX Bridge в окне топологии.
- Выбери туннель, который должен использовать клиент.
- Перетащи каждый групповой адрес, который клиент должен принимать или отправлять.
- Экспортируй файл keyring через Properties → Settings → Export Interface Information.
- Импортируй файл keyring в клиент.
WARNING
Туннель 4 зарезервирован для Matter/HomeKit. Используй другой туннель для сторонних клиентов.
Зачем это нужно: файл keyring содержит код аутентификации, ключи для каждого группового адреса, добавленного в туннель, и идентификатор пользователя, необходимый для открытия зашифрованного IP-соединения между Bridge и клиентом.
Защищённые групповые адреса (опционально)
По умолчанию ETS автоматически включает безопасность для групповых адресов, когда все подключённые устройства имеют Secure Commissioning. Ты можешь принудительно включить или выключить безопасность для каждого группового адреса.
Защищённые групповые адреса необходимы только в том случае, если кто-то может получить физический доступ к шине KNX. Для типичных жилых инсталляций защищать отдельные групповые адреса не нужно, так как это существенно усложняет настройку.
Защищённые групповые адреса Accessory Manager
- Включи безопасность для группового адреса (если ETS не сделал это автоматически).
- Перетащи групповой адрес в туннель 4 (Matter/HomeKit).
- Перезагрузи приложение на все подключённые устройства, чтобы обновить их списки допустимых адресов-отправителей.
- Экспортируй файл keyring из ETS через Project Details → Security → Backup Keyring.
- Открой Web Interface и импортируй файл keyring (KNX Settings).
Защищённые групповые адреса KNX-DALI Gateway
- Включи безопасность для группового адреса (если ETS не сделал это автоматически).
- Перезагрузи приложение на Atios KNX Bridge.
- Перезагрузи приложение на все подключённые устройства.
Зачем это нужно: Web Interface управляет твоими аксессуарами Matter и сопоставляет их с групповыми адресами KNX. Чтобы отправлять команды защищённым групповым адресам или считывать их статус, аксессуарам нужны ключи шифрования, хранящиеся в файле keyring. Назначение группового адреса туннелю 4 также указывает ETS добавить адрес туннеля в качестве допустимого отправителя на всех подключённых устройствах и обновить их таблицы фильтров. Без этого назначения у Bridge нет ключа для этого адреса, и зашифрованные телеграммы не дойдут до актуатора.
Обновление keyring после изменений в защищённой конфигурации
Любое изменение защищённой конфигурации в ETS требует:
- Повторного экспорта keyring из ETS.
- Повторного импорта в Web Interface KNX Bridge и во все другие подключённые сторонние системы, использующие KNX Secure.