Статьи

К списку статей

Краткий обзор Lon-совместимых систем охранной сигнализации и контроля доступа

Сегодня на рынке систем автоматизации преобладают системы закрытого протокола. Так производитель пытается защититься от хакеров элементарным сокрытием полного описания процесса взаимодействия компонент системы между собой. Ситуация выглядит примерно так: пользователь спрашивает: «Реализована ли аутентификация отправителя сообщения на уровне протокола в вашей системе?» и получает ответ: «Протокол засекречен, на ваш вопрос ответить не можем». Конечно, огульно заявлять, что производители скрывают простой факт, что «король-то голый», нельзя. Срабатывает простой принцип презумпции невиновности. Однако гораздо больше доверия вызывает производитель, использующий открытый протокол совместно с надежными механизмами защиты данных и аутентификации. Наиболее подходящим для систем безопасности является протокол LonWorks, поэтому темой данной статьи является попытка провести анализ рынка систем безопасности применительно к этому протоколу.

О протоколе LonWorks слышали многие, однако вкратце напомним еще раз о том, что же он собой представляет:
  • разработан компанией Echelon Corporation в 1990 году;
  • технология является стандартом «де- факто» для сетей контроля, поддерживается более 3000 производителей оборудования;
  • в данный момент принят комитетом Electronic Industry Assotiation (EIA) как стандарт EIA/IS-709;
  • соответствует 7-уровневой модели ISO и поддерживает все 7 уровней;
  • обеспечивает решение проблем разработки, построения и обслуживания СКУ любого масштаба и назначения;
  • включает в себя инструменты проектирования, устройства, протоколы взаимодействия, инструменты управления сетью, форматы данных, техническую поддержку.
Автоматизация, системы закрытого протокола В основе реализации лежит специализированная микросхема Neuron Chip, содержащая три микропроцессора с общей разделяемой памятью. Каждый из указанных микропроцессоров специализируется на своей подзадаче:
  • обеспечение процесса измерения и контроля (сигнальный процессор) посредством аппаратных аналоговых и дискретных входов/выходов;
  • реализация прикладного алгоритма (реализация алгоритма управления технологическим процессом );
  • обеспечение обмена информацией по специализированному протоколу передачи данных Lontalk, разработанному специально для решения задач автоматизации и безопасности.
Микросхема Neuron (рис. 1) изобретенная компанией Echelon Corporation в 1990 году и являющаяся краеугольным камнем всей технологии LonWorks, содержит, на самом деле, три процессора. На рисунке вы можете видеть структурную схему этого кристалла (рис. 2).
Модель MC143150B1FU1, выпускаемая фирмой Motorola, имеет:

Модель MC143150B1FU1
  • три 8-битных процессора конвейерной архитектуры для одновременной обработки кода приложения и сетевых пакетов;
  • программируемый 11-контактный порт ввода - вывода, имеющий 34 режима работы;
  • два 16-битных таймера/счетчика;
  • 5-контактный коммуникационный порт для подключения сетевого трансивера;
  • 2 Кб статической ОЗУ;
  • 512 байт флэш-памяти и встроенный накристальный преобразователь напряжения для ее перепрограммирования;
  • 48-битный идентификационный серийный номер, уникальный для каждого кристалла;
  • энергопотребление 16 ma на частоте 10 Mhz, 4 ma на частоте 625 Khz и 15 µa в энергосберегающем режиме;
  • позволяет адресовать до 64 Кб внешней ОЗУ (16 из них необходимы для реализации протокола LonWorks).
Несмотря на то, что протоколу уже 16 лет, он не устаревал и сейчас. И главная причина этого - отсутствие реального конкурента «трехголовому монстру» Neuron Chip-а. В тех случаях, когда ресурсов микросхемы не хватает, используется так называемая Host-архитектура, когда Neuron Chip работает в паре с более мощным процессором и памятью. Именно такая архитектура наиболее подходит для реализации решений задач безопасности.
Приведем конкретные количественные показатели по наиболее популярным в мировой практике открытым протоколам передачи данных в сетях автоматики (таблица).

Открытые протоколы передачи данных в сетях автоматики

Без ограничения общности можно сказать, что в большинстве представленных на отечественном рынке систем преобладают протоколы на базе RS-485. В приведенной таблице нет колонки для RS-485, но любой специалист без труда заполнит ее.
Однако главная «изюминка» протокола LonWorks, делающая его уникальным с точки зрения задач обеспечения безопасности, - это аутентификация отправителя сообщения на «сеансовом» уровне 7-уровневой модели OSI/ISO. Таким образом, в LonWorks решена проблема «компрометирующего воздействия».

Следующее кардинальное преимущество LonWorks - легкость интеграции с системами вентиляции, отопления, кондиционирования, управления освещением и диспетчеризацией. Конечно, при условии что эти системы используют либо LonWorks, либо другой открытый протокол, имеющий шлюз на LonWorks. Однако сегодня смело можно утверждать, что во многих случаях крупный корпоративный Заказчик явно указывает в своем Техническом Задании LonWorks как основной протокол автоматизации объекта.
Существенным фактором в пользу LonWorks является реализация пособытийного обмена информацией, реализованного аппаратно в самом Neuron Chip. Это означает, что контроллер будет высылать значение измеряемого параметра, только если он изменился. Данный прием позволяет многократно увеличивать количество «точек контроля» системы, не перегружая сеть передачи данных.
Итак, зададимся вопросом, что именно должен реализовать добросовестный производитель, решившийся осчастливить рынок системой контроля доступа на открытом протоколе LonWorks. Изложим требования по пунктам:
  1. Поддержка стандартных считывателей Touch Memory, магнитных, смарт-карт, проксимити-карт. Лучше всего если поддерживается интерфейс Wiegand. Таким образом можно обеспечить максимальную совместимость со считывателями наиболее популярных производителей.
  2. Контроллер считывателя должен поддерживать не менее двух считывателей. Это необходимо для снижения стоимости решения.
  3. Контроллер считывателя должен иметь достаточный объем энергонезависимой памяти для хранения базы данных по проходам.
  4. В системе должна быть реализована постоянная проверка (тестирование) всех сетевых устройств на работоспособность и отсутствие сбоев в работе оборудования и целостности данных.
  5. Система должна быть максимально децентрализована. В идеале каждый считыватель должен иметь внутри себя полную версию базы данных по проходам на все здание. Нежелательно применение персонального компьютера в цепи принятия решения по разрешению прохода. Это, во-первых, увеличивает время реакции системы, а во-вторых, сильно снижает уровень надежности системы в целом.
  6. Система должна иметь защиту от двойного пасбэка, реализованную на уровне контроллеров считывателей.
  7. Все сетевые обмены должны быть только с включенной аутентификацией. Все данные передаются по сети только в зашифрованном виде. Ключи должны меняться регулярно. Желательно применить аппаратный прибор генерации ключей, позволяющий избежать регулярности в значениях разовых ключей.
  8. Питание контроллеров должно осуществляться локально. Нежелательно использовать схемы питания от шины передачи данных (Lonwork LPT10) во избежание блокирования работы контроллера путем короткого замыкания шины.
  9. При интеграции системы контроля доступа (СКД) с другими системами жизнеобеспечения в рамках концепции ИЗ шлюзовые элементы не должны позволять реализовывать управляющие воздействия на систему контроля доступа со стороны смежных систем (вентиляция, управление освещением, кондиционирование, отопление и т.д.).
  10. Для предотвращения вывода из строя сетевых приемопередатчиков контроллеров путем подачи высокого напряжения на шину передачи данных необходимо использовать так называемые Overvoltage arresters (ограничители напряжения), подключаемые на каждом физическом сегменте шины.
  11. Каждый физический сегмент шины должен быть терминирован согласно каноническим схемам по технологии LonWorks.
  12. Нежелательно использовать сети общего пользования для передачи трафика системы контроля доступа. В случае, если это происходит, необходимо обеспечить стойкое шифрование трафика и гарантированную полосу пропускания.
  13. Доступ к активному оборудованию системы контроля доступа должен быть строго разграничен. На всех шкафах, содержащих такое оборудование, должны быть тамперы, фиксирующие факт открытия шкафа.
  14. Желательно чтобы журнал тревог велся самим контроллером считывателей и хранился в его энергонезависимой памяти.
К сожалению, ни у одного из присутствующих сегодня на отечественном рынке производителей нет решения, удовлетворяющего всем вышеперечисленным требованиям. Скорее, наоборот, проще перечислить типовые ошибки:
  1. Контроллеры считывателей чаще всего совместимы лишь с узким перечнем считывателей, часто один контроллер рассчитан на работу всего с одним считывателем.
  2. Часто производитель закрывает интегратору возможность использовать для инсталляции типовой софт (Lonmaker), навязывая фирменный программный пакет, имеющий заведомо более сокращенный функционал, в частности не позволяющий включить аутентификацию.
  3. Многие производители реализуют блок регистрации тревог как отдельный контроллер, однако при потере связи по сети теряется протоколирование событий.
  4. Наиболее именитые производители увлекаются использованием так называемого «механизма явных сообщений». Эта технология позволяет контроллерам обмениваться нетипизированными данными произвольной длинны. Так, например, реализован BACNET поверх Lontalk. При этом инсталлятор не имеет инструментария для проверки защищенности обмена. Ввиду того, что производитель секретов не раскрывает, и специального инструментария не выдает, приходится констатировать закрытость решения.
  5. Ни один производитель пока что не удосужился снабдить свое решение встроенным диагностическим инструментарием для сети. Поэтому инсталлятор пока что должен позаботиться о себе сам, приобретая программно-аппаратные средства анализа трафика за свой счет. Приведем несколько примеров.
Система охранной сигнализации и контроля доступа Apice («Эпиче»). Набор предлагаемых компонент весьма скромен:
  • контроллер считывателя на один считыватель с Wiegand-интерфейсом;
  • модуль контроля проходов (содержит базу данных по проходам);
  • интерфейсные модули шлейфов, клавишные панели и т.д.
Система реализована на LonWorks TP/FT10 со свободной топологией и может быть интегрирована в общий BMS здания.
Система охранной сигнализации и контроля доступа SECULON («Секьюлон»). Набор компонентов более широк и включает:
  • центральную панель системы, поддерживающую подключение до 4 информационных магистралей;
  • контроллеры считывателей на два считывателя;
  • интерфейсные модули шлейфов, клавишные панели и т.д.;
  • модуль подключения принтера;
  • модуль подключения GSM-модема.
Система использует LonWorks-RS-485, что несколько затрудняет интеграцию в общую BMS здания.
Система охранной сигнализации и контроля доступа Timecon («Тимекон»). Набор компонент аналогичен Apice.
Система охранной сигнализации и контроля доступа «Итриум» (Россия). Набор компонент гораздо больше, удачно решены задачи подключения стандартных считывателей, используется как стандартный, так и свой конфигурационный софт. Используется аутентификация. Однако модуль регистрации тревог выполнен отдельным контроллером. Система реализована на LonWorks TP/FT10 со свободной топологией и может быть интегрирована в общий BMS здания.

Выводы

LonWorks имеет прекрасные перспективы к использованию на рынке систем безопасности ввиду наличия механизма аутентификации, простоте инсталляции, достаточной скорости передачи данных (78 или 1250 кбит, витая пара сечением 0,8) в сочетании с высокой надежностью и отказоустойчивостью. Между тем, в крупных инсталляциях необходимы специалисты, имеющие высочайшую квалификацию в области самого протокола, дорогостоящие средства диагностики сетевого трафика. Ввиду недостаточной скорости передачи данных в Lontalk не представляется возможным использовать непосредственно сети LonWorks для передачи видеоряда от видеокамер наблюдения. Таким образом, в системах видеонаблюдения LonWorks может использоваться только для управления аппаратурой видеонаблюдения. За последние два года номенклатура lon-совместимого оборудования, доступного на российском рынке увеличилась в два раза, что позволяет прогнозировать появление новых устройств. Будем надеяться что в следующем году подобный список «типовых недостатков» станет короче…

Г. Латышев, исполнительный директор ООО «Квантум-С»
"Алгоритм Безопасности" № 3, 2006 год.



Системы контроля и управления доступом

Внешний вид E-602D бр Внешний вид E-602D бр
Доводчик для дверей весом до 50 кг с фиксацией открытого положения двери
945

Производитель Oubao
Внешний вид E-603D бр Внешний вид E-603D бр
Доводчик для дверей весом до 50 кг с фиксацией открытого положения двери
1 143

Производитель Oubao
Внешний вид CTM-КР Внешний вид CTM-КР
Считыватель ключей TouchMemory врезной
165

Производитель Техносистемы
Внешний вид Z-5R Внешний вид Z-5R
Контроллер для. эл.ключей TM, до 1364 ключей
429

Производитель IronLogic
Внешний вид Z-5R Case Внешний вид Z-5R Case
В пласт.корпусе, 1364 польз.+ ключи блокировки, ОК, свет. и звуковая индикация
616

Производитель IronLogic
Внешний вид Matrix-III карман Внешний вид Matrix-III карман
Светлый перламутр, накладка-карман для счит. Matrix III RD ALL и Matrix III NET
630

Производитель IronLogic
Внешний вид BR-180ZL Внешний вид BR-180ZL
Комплект уголков для крепления замка SL-180
805

Производитель Soca
Внешний вид AXP-REM Внешний вид AXP-REM
AXP-REM Считыватель
820

Производитель Центр-СБ
Внешний вид E-602 с Внешний вид E-602 с
Доводчик для дверей весом до 50 кг, двухскоростной, установочный размер 132х20 мм, габариты 148х58х37 мм, -35...+40° С, 1,3 кг, цвет - серебро
887

Производитель Oubao
Внешний вид E-602 бр Внешний вид E-602 бр
Доводчик для дверей весом до 50 кг, габариты (мм): 180х41х64, температурный диапазон (град.С) -35..+40, двухскоростной, регулируемый, идеальное решение для легких и офисных дверей
887

Производитель Oubao
Найдено товаров: 1393
1 2 3 4 5

Возврат к списку

Создание проекта системы видеонаблюдения всего за несколько минут;
Все РЕАЛЬНО: в т.ч. сектора наблюдения, параметры кабельных трасс;
Загрузка готовых планов и их масштабирование;
Спецификация обрудования и смета создается автоматически;
Дружелюбный интерфейс;
Индивидуальные настройки программы и оборудования.
Техподдержка встроена непосредственно в программу.
Регистрация занимает одну минуту.

ОТ ЗАПРОСА ДО ОФОРМЛЕННОГО ПРЕДЛОЖЕНИЯ - 15 МИНУТ