Page 16 - 241112_BACnet_Journals_France
P. 16
Tendances et évolutions technologiques
Traitement des certificats dans BACnet/SC
BACnet/SC (Secure Connect) a pour but d’éliminer
deux faiblesses majeures des installations
BACnet/IP classiques : les difficultés d’intégration
dans les infrastructures informatiques existantes
dues à la communication pair-à-pair basée sur
UDP, qui comprend des diffusions, et l’insécurité
inhérente à la communication en texte clair.
L’objectif de cet article est d’expliquer les tâches
supplémentaires qu’implique la gestion de la
sécurité dans des environnements hétérogènes
avec des appareils et des logiciels de différents Topologie BACnet/SC
fabricants. © ASHRAE
Hub and spoke Manipulations
La communication dans BACnet/SC est basée La génération et la gestion des certificats Création unique d’un certificat racine
sur le concept « hub and spoke », ce qui signifie TLS n’est pas triviale et demande un effort auto-signé qui identifie l’autorité de
qu’un dispositif ou un logiciel agissant comme supplémentaire lors de la mise en œuvre de certification (AC),
un « hub » (serveur) est au centre. D’autres projets BACnet/SC. De nombreux grands Génération de demandes de signature sur
participants BACnet/SC s’y connectent en fabricants de systèmes de contrôle qui proposent tous les points finaux impliqués (hubs et
tant que nœuds (clients). Dans de nombreux simultanément du matériel et des logiciels pour nœuds), appelées Certificate Signing
diagrammes, ces connexions sont représentées les tâches de gestion, par exemple, ont reconnu Requests (CSR),
comme les rayons d’une roue, avec les nœuds aux le défi. Dans ce cas, le logiciel se charge de Téléchargement des CSR et importation
extrémités et le hub au centre. Contrairement à créer des certificats et de les distribuer aux dans XCA,
BACnet/IP, la communication est alors basée sur dispositifs utilisés. Signature des CSR avec le certificat racine
des connexions WebSocket Secure permanentes du point 1, ce qui permet d’obtenir les
(TCP) avec le hub et non plus sur des messages La question se pose de savoir comment certificats de l’appareil, appelés certificats
non structurés (UDP) entre les nœuds eux- fournir des certificats valides aux hubs et aux opérationnels dans BACnet/SC,
mêmes. Le terme « WebSocket Secure » mérite nœuds BACnet/SC de différents fabricants. Exportation du certificat de l’autorité de
une attention particulière. Qu’est-ce que cela Heureusement, il existe un outil logiciel open- certification du point 1 et les certificats de
signifie et comment la sécurité est-elle assurée ? source utile et gratuit qui peut vous aider dans l’appareil du point 4 et téléchargement par
cette tâche, XCA de Christian Hohnstädt [1]. Il paires vers les participants respectifs.
WSS (WebSocket Secure) est un protocole pour est utilisé dans de nombreux projets BACnet/SC
les connexions bidirectionnelles sécurisées comme suit :
BIM
et utilise actuellement la norme de cryptage OPERATIONS HYPERVISION
TLS 1.3, qui est également utilisée pour la OPEN CONNECTIVITY
communication via https sur le web. La sécurité
est assurée par des certificats, c’est-à-dire des SOFTWARE PLATFORM
passeports numériques, qui sont utilisés pour © ICONAG EFFICIENCY
deux tâches : FOR SMART BUILDINGS OPTIMIZATION ENERGIES
L’identification unique des partenaires de
communication
Le cryptage de la communication de sorte
que seuls les points d’extrémité concernés
la comprennent. SAFETY
SECURITY SOLAR PV
Pour remplir cette tâche, chaque participant au
réseau BACnet/SC dispose d’un trio de fichiers
connexes : le certificat racine d’une autorité de DIGITAL
certification (AC), le certificat opérationnel public ASSISTANCE EV CHARGING
de l’appareil ou du logiciel et la clé privée secrète
correspondante. Comme son nom l’indique, Exemple d’interface
d’utilisateur de certificat
cette dernière ne doit jamais quitter l’appareil et utilisant un contrôleur
être remise à un tiers. WAGO.
16 16 BACnet France Journal 17 11/24
