部署一个 BACnet 系统时解决 IP 安全的问题

BACnet现在是楼宇自动化和管理事实上的标准。它是一个开放协议,跨设备运行。由于这些因素,多个供应商及其受欢迎程度将随着时间而进一步增加。与任何现成的协议一样流行的“默默无闻的安全”方法不是有效的方法。几乎每个人都听说过HTTPS或安全HTTP。这使用使用称为传输层安全(TLS)的IP安全协议来确保安全性。TLS是一个行业标准。用于在Internet上保护数以百万计的HTTP事务。目前,TLS版本1.2正在使用中。它的前身是安全的。套接字层(SSL)。SSL版本1(sslv1)是由Netscape公司开发但从未公开发布。版本2和3是发展于20世纪90年代中期,直到几年前才使用。SSL版本3是TLS版本1的基础,但SSL和TLS是不可互操作。当安全漏洞被发现的SSL,SSL版本2和SSLv3使用过时的。TLS版本1和1.1也遭受同样的命运,只有TLS版本1.2是建议的版本,应该被用来提供安全性。即使,SSL不再使用,已被TLS替换,术语“SSL”继续用于引用TLS。网络有其自己的网络安全的定义,允许标准BACnet信息成为安全。BACnet的网络服务,BACnet/WS,可以实现TLS和OAuth提供保障。OAuth(开放授权)是一个开放的协议,允许安全的身份验证和授权。这用于授权访问授权应用程序的数据。BACnet/WS可以利用HTTPS和TLS是一个行业标准以安全的方式进行交流的方式。但并不是所有的BACnet设备支持BACnet / WS。此外,它有许多设备。不可能实现TLS或BACne/WS。在使用中更新所有遗留系统和应用程序也是不可行的。添加安全性而不会产生高成本。其他选项需要被用在这样的情况下实现安全的需求时,利用BACnet。

TLS安全

TLS或传输层安全是通过提供加密来保护因特网及其通信的一种被广泛使用的协议。

数据。TLS使用加密提供机密性。加密的数据可以在开放互联网上自由传输,而不必通过第三方解密原始数据。加密过程中使用的密钥对数据进行加密,发送方使用密钥和解密数据的接收机使用的关键。如果双方都使用相同的密钥,则称为对称加密。如果使用不同的密钥进行加密和解密,则称为对称加密或公钥加密。数据完整性提供了防止数据篡改或丢失的哈希算法的使用。

由于通信问题造成的数据。散列是类似的概念,如校验但散列算法是更复杂的,任何数据的更改将导致一个不同的散列。数据集两不同不应产生相同的哈希值,如果它是被发现的情况下,哈希算法,使用那么沮丧。在数据集上计算的较大散列将不同,这也是使用中哈希长度不断增加的原因。TLS还通过确保使用数字证书的设备的身份来提供身份验证。证书的使用确保只有授权的设备才能相互通信。

VPN作为一种替代方法

为设备不执行BACnet/WS或设备以最小的内存,这是不可能的TLS实现BACnet/WS或BACnet网络安全,一个单独的设备,如IP路由器实现VPN可以提供安全。虚拟专用网网络包括在设备/网络之间创建安全连接。这种安全连接通常称为VPN隧道,它提供了一种发送加密数据的方法。VPN也使用TLS协议实现安全。数据加密发生在边缘和末端设备不计算着加密或解密交通任务和自由履行BACnet功能。同时,现有的应用程序不需要修改添加BACnet/WS提供保障。在一个BACnet设备发送的流量,它是由一个IP路由器和加密的数据加密并发送到IP路由器的VPN隧道的另一端。第二路由器接收数据加密,解密和正常的BACnet数据转发到收件人的BACnet设备。任何类型的数据可以通过VPN发送,包括BACnet/IP流量。所有的网络交通利用任何标准的UDP端口,0xbac0到0xbacf,可以在VPN隧道易发和不需要更改防火墙配置以适应各种BACnet UDP端口。需要在防火墙中配置的唯一端口是VPN端口。VPN还有一个附加优势,即提供VPN的IP路由器后面的终端设备和基础设施是隐藏的。它可以用来安全地连接和监控远程站点和BACnet控制器程序。BACnet的MSTP技术设备可以配合使用BACnet/MSTP BACnet/IP路由器也可以安全地通过VPN连通。

VPN是灵活的,可以用来连接两个站点或多个站点的安全。这是有用的,如果它是一个大的校园和多个建筑物需要连接。VPN还提供配置访问不同网站的能力。

安全是一个移动的目标,安全可靠的今天可能不是明天。加密依赖于加密数据难以破解的能力,并且随着计算能力的降低,提供加密的设备必须能够轻松地实现对TLS标准的更改和增强。利用IT领域现有的知识和实施一些技术来提高安全性是朝着正确方向迈出的一步。

了解更多关于我们的IP路由器和BAScontrol系列。


返回首页