KNX Secure

KNX Secure 可保护您的 KNX 安装不被未经授权地访问或篡改。它通过两种机制实现：

• KNX Data Secure 保护设备本身，防止未经授权的配置更改（Secure Commissioning），并可选地在 TP 总线上加密单条 KNX 报文。

• KNX IP Secure 加密 IP 通信，也就是 KNX Bridge 与 ETS 等 IP 客户端之间的连接。

典型的安装会使用 KNX Secure 防止未经授权的 IP 访问，这需要先启用 Data Secure。但在总线上加密 KNX 报文会显著增加复杂度，使用场景很少。只要不存在对绿色 KNX 总线电缆的未授权物理接触，就可以不启用这一项。

Factory Default Setup Key (FDSK)

每台 KNX Secure 设备都有一个唯一的 Factory Default Setup Key (FDSK)。Atios KNX Bridge 的 FDSK 会显示在 KNX 设置页面上（如 ALODDQ-DW4XY3-W5LL77-LLRM7W-22OZE4-3FJBRH），也可以在设备底部找到。

要求

• ETS 6.0 或更高版本
• knxprod 文件：KNX Bridge v3.0 或更高版本
• KNX Bridge 固件 3.1.0 或更高版本

---

Secure Commissioning

首台 Atios KNX Bridge

1. 在 ETS Online Catalogue 中找到制造商 Atios AG，选择 Atios KNX Bridge, Version 3.0 or higher，将其拖入项目拓扑。
2. 出现提示时设置项目密码。
3. 当 ETS 提示添加 FDSK 时，打开 Web Interface。
4. 进入 KNX Settings → KNX Secure，复制二维码下方显示的 FDSK（如 ALOG2M-E4XZO2-CCEC53-L4B6XA-TSKIG4-DFBXTF），粘贴到 ETS 中。
5. Secure Commissioning 和 Secure Tunneling 默认已启用。
6. 在 ETS 中右键点击 KNX Bridge，依次选择 Download Individual Address 和 Download Application。

ETS 项目中已有 Atios KNX Bridge

1. 在 ETS Online Catalogue 中找到制造商 Atios AG，选择 Atios KNX Bridge, Version 3.0 or higher，将其拖入项目拓扑。
2. 出现提示时设置项目密码。
3. 当 ETS 提示添加 FDSK 时，点击 Later。
4. 删除刚刚拖入的 KNX Bridge。
5. 在拓扑中点击您已有的 KNX Bridge。
6. 进入 Properties → Info → Application，点击面板底部的 Update。
7. 通过 Properties → Settings → Add Device Certificate 为已有设备添加 FDSK。
8. 在 ETS 中右键点击 KNX Bridge，选择 Download Application。

INFO

您可能需要先将 Secure Commissioning 设置为 active，Add Device Certificate 按钮才会显示出来。

更新已有 KNX Bridge 时

请勿通过 ComboBox 更改应用程序。这会清除所有配件和设置。如果不慎触发，请立即点击 Undo。

IP Secure Tunneling

IP Secure 会加密 Atios KNX Bridge 与 IP 客户端之间的 IP 通信。它可防止有网络访问权限的人读取或注入 IP 报文。

如何将客户端（如 Home Assistant）连接到 Atios KNX Bridge

1. 在拓扑视图中展开 Atios KNX Bridge 的 Tunnel Address 节点。
2. 选择客户端要使用的 tunnel。
3. 将客户端需要接收或发送的每个组地址拖放到该 tunnel 上。
4. 通过 Properties → Settings → Export Interface Information 导出 keyring 文件。
5. 将 keyring 文件导入客户端。

WARNING

Tunnel 4 保留给 Matter/HomeKit 使用。第三方客户端请使用其他 tunnel。

为什么需要这样做： keyring 文件包含认证码、拖入 tunnel 的每个组地址的密钥，以及用于在桥接器与客户端之间打开加密 IP 连接所需的用户 ID。

安全组地址（可选）

默认情况下，当所有连接的设备都启用了 Secure Commissioning 时，ETS 会自动为组地址启用安全机制。您也可以强制 ETS 为每个组地址启用或禁用安全机制。

只有在他人可能物理接触到您的 KNX 总线时，才有必要使用安全组地址。对于典型住宅安装，无需为单个组地址启用安全机制，因为这会显著增加复杂度。

Accessory Manager 的安全组地址

1. 为组地址启用安全机制（如果 ETS 没有自动启用）。
2. 将组地址拖放到 Tunnel 4 (Matter/HomeKit)。
3. 重新向所有相关设备下载应用程序，以更新它们的有效源地址列表。
4. 在 ETS 中通过 Project Details → Security → Backup Keyring 导出 keyring 文件。
5. 打开 Web Interface，导入 keyring 文件（KNX Settings）。

KNX-DALI 网关的安全组地址

1. 为组地址启用安全机制（如果 ETS 没有自动启用）。
2. 重新向 Atios KNX Bridge 下载应用程序。
3. 重新向所有相关设备下载应用程序。

为什么需要这样做： Web Interface 管理着您的 Matter 配件，并将它们映射到 KNX 组地址。要向安全组地址发送命令或读取其状态，配件需要存储在 keyring 中的加密密钥。把组地址指派给 Tunnel 4 还会让 ETS 把该 tunnel 地址加入所有相关设备的有效发送方列表，并更新它们的过滤表。如果不做这项指派，桥接器就没有该地址的密钥，加密报文也无法到达执行器。

安全配置变更后更新 keyring

ETS 中的任何安全配置变更都需要：

1. 在 ETS 中重新导出 keyring。
2. 将其重新导入 KNX Bridge Web Interface，以及所有使用 KNX Secure 的第三方系统。