Der neue BACnet/SC-Daten-Link fügt Authentifizierung und Verschlüsselung auf der Kommunikationsebene mit Geräten und Systemen hinzu.

BACnet/IP und BACnet MS/TP

BACnet Secure Connect (BACnet/SC)

Keine eingebauten Sicherheits-Features

Eingebaute Sicherheits-Features

Zusätzliche Sicherheitsmassnahmen können kostspielig sein

Bieten kostengünstige Sicherheit bis zur Geräteebene

Das UDP-Protokoll bietet keine gute Sicherheit; Broadcasts

TCP-Protokoll mit TLS-gesicherten WebSockets; Unicasts

Keine Verschlüsselung

Verschlüsselte Kommunikation basierend auf der Sicherheit TLS 1.3

Keine Authentifizierung

Individuelle, gegenseitige Geräteauthentifizierung basierend auf X.509-Zertifikaten

Kommunikation primär auf lokaler Seite, geschützt durch IT-Massnahmen (wie dedizierte VLANs)

Kommunikation ausgeweitet auf mehrere Standorte inklusive Sicherung der Cloud-Kommunikation

BACnet/SC verwendet gegenseitige TLS-Authentifizierung. Es sichert die Authentizität der BACnet-Protokollpakete an beiden Enden. So kann Fehlkommunikation reduziert und eine End-zu-End-Verschlüsselung etabliert werden.

Das BACnet/SC-Addendum definiert nur den neuen Cybersicherheits-Datenlink, ändert deswegen jedoch die BACnet-Applikation nicht grundlegend. Daher ist BACnet/SC kompatibel mit vorherigen wie auch späteren Versionen von BACnet. Als Folge müssen Gebäudebetreiber und Manager weder Geräte ersetzen noch verlieren Sie Funktionen im vorhandenen BACnet-System. Für sie ist dies einfach ein neuer TLS-gesicherter Datenlink für ihre BACnet/SC-aktivierten Geräte.

BACnet-Applikation mit BACnet Secure Connect-Virtual-Datalink

Applikation

BACnet-Applikation

BACnet-Applikationsschicht

BACnet-Netzwerkschicht

BACnet/SC

Applikationsschicht

WebSockets / HTTP

Transportschicht

TLS V1.3

TCP

Internet-Schicht

IP/IPv6

Link-Schicht

Beliebiger Datenlink für IP oder IPv6

BACnet/SC ist ein virtueller Datenlink, das direkt zum BACnet-Protokoll-Stack unter der BACnet-Netzwerkschicht in der Applikation hinzugefügt wird.

Die oberen BACnet-Schichten und spezifisch die Applikations- und Netzwerkschichten ändern gar nicht.

Die Architektur stützt auf dem Hub ab, der als zentrale Komponente agiert, mit der sich alle anderen BACnet/SC-Geräte (namens Spoke-Nodes) verbinden. Sie verwendet das Prinzip Hub-and-Spoke basierend auf TLS-gesicherten WebSockets zur Verbindung mit einem Hub. Wenn aufgrund der Systemgrösse mehr als ein Hub im System vorkommt, wird ein gesicherter Unicast-Mechanismus zwischen den routeraktivierten Hubs durch reguläres, verschlüsseltes BACnet-Routing gemanaged. Die ist besser als BACnet/IP, welches UDP-Broadcasts und BACnet Broadcast Management Devices (BBMDs) einsetzen musste, sobald das BACnet-System mehr als ein IP-Subnetz umspannte.

Historisch gesehen bedeuteten BBMDs immer eine Konfigurationsherausforderung in Grosssystemen, weil sie einen tiefen Einfluss auf das zugrundeliegende IP-Netzwerkverhalten haben können. BACnet/SC-Netzwerke sind vollständig unabhängig von der zugrundeliegenden IP-Netzwerkstruktur. In einer extremen Umsetzung können alle Knoten (Spoke-Nodes und Hubs) beliebig in verschiedenen IP-Netzwerk rund um den Globus verteilt sein. Solange die Spoke-Nodes ihren Hub erreichen können, funktioniert das BACnet/SC-Kommunikationsnetzwerk.

Das Prinzip Hub-and-Spoke oder Topologie versendet Meldungen zwischen Geräten. Ein BACnet/SC-Hub ist eine Software-Funktion, die typischerweise auf einem BACnet-Router oder auch autonom auf einem Hardware-Gerät oder aber als virtuelle Software-Komponente ausgebildet ist.. Da die Hub-Funktion für die Kommunikation zwischen Geräten äusserst wichtig ist, wird BACnet/SC optional mit redundanten Hubs für ein ausfallsicheres Netzwerk eingerichtet (Failover-Hubs).

BACnet/SC logische Netzwerktopologie

BACnet/SC Primär-Hub

BACnet/SC Standardknoten

Hub-Verbindung

Der Hub sendet immer alle Meldungen an die Netzwerkgeräte. Alle BACnet/SC-aktivierten Geräte müssen eine Verbindung zum Primär-Hub aufnehmen. Dazu müssen sie korrekte digitale Zertifikate an den Hub senden (und dieser an die Geräte). Nach der Geräteauthentifizierung durch den Hub können Meldungen mit verschlüsselten Inhalten über den Hub gesendet werden.

Eine akzeptierte Zertifizierungsstelle (CA) prüft die eingesetzten Zertifikate auf ihre Signatur. Hub-Verbindungen werden immer zwischen Knoten und Hub aufgebaut, was Firewall-freundliche Topologien mit weit entfernten Hubs ermöglicht. Es reicht, wenn der Hub durch die Spoke-Nodes erreichbar ist, da die darunterliegenden WebSocket-Verbindungen (WSS://) immer zwischen Node und Hub erstellt werden.

Beachten Sie im Bild oben die logische Topologie eines BACnet/SC-Netzwerks. Dies hat mit der physikalischen Netzwerktopologie nichts gemeinsam. D.h. die Verkabelung des darunterliegenden IP-Netzwerks ist frei. Sie kann als Stern-, Daisy-Chain- oder eine beliebige andere Topologie aufgebaut sein.

Aus Engineering-Sicht unterscheidet sich BACnet/SC wie folgt von herkömmlichen BACnet-Projekten.

  • Das Gerät, das als Primär-Hub agiert, muss definiert werden.
  • Das Gerät, das als Failover-Hub agiert, muss definiert werden (optional).
  • Jeder Spoke-Node muss die zugehörige Hub- und Failober-Hub-Adresse erhalten, falls verwendet.
  • In grösseren Projekte, kann die Netzwerklast durch Abbildung der Knoten in einer Gebäudestruktur verringert werden.
  • Jedes Gerät muss ein (öffentliches) Root-Zertifikat (gemeinsamer Pass) erhalten, vorausgesetzt, das Gerät gehört zu, BACnet/SC-Standort.
  • Jedes Gerät muss ein individuelles, privates Betriebszertifikat und den zugehörigen Private-Key (individueller Geräte-Pass) erhalten, mit dem Daten für dieses Geräte ver- und entschlüsselt werden.
  • Beachten Sie, dass jeder Hub eine max. Anzahl Knoten hat, die unterstützt werden können (direkt oder indirekt über untergeordneten, als Hub verbundenen Knoten) und nie überschritten werden darf.
  • Es gibt ein paar wenige Eigenschaften (spez. im Netzwerk-Port-Objekt der Geräte), die z.B. für Timeout-Werte gesetzt werden müssen sowie der zu verwendende TCP-Port für WebSocket-Kommunikation usw.
  • Das BACnet-Projekt besteht meist aus einer Mischung von BACnet/SC und nicht-BACnet/SC-Geräten wie BACnet IP und BACnet MS/TP. Dies wird über das BACnet-Routing adressiert wie bis anhin in gemischten Datenlink-Projekten. Das Engineering richte die Geräte mit bestimmten Datenlink-Typen im eigenen BACnet-Netzwerk ein und bestimmt dann das BACnet-Routing zwischen den BACnet-Netzwerken.