DB32/T 4717-2024 住宅和楼宇电子系统（HBES）设备加密及配置技术规范

ICS35.040

CCSL80

!7,



DB32/T4717—2024

住宅和楼宇电子系统（HBES）设备

加密及配置技术规范

Technicalspecificationforencryptionandconfigurationofhome

andbuildingelectronicsystems（HBES）device

2024-03-25发布2024-04-25实施

江苏省市场监督管理局发布

中国标准出版社出版

DB32/T4717—2024

目次

前言……………………………Ⅲ

1范围…………………………1

2规范性引用文件……………1

3术语和定义…………………1

4缩略语………………………2

5总体要求……………………2

6硬件组成……………………2

6.1系统组成………………2

6.2总线电源………………3

6.3管理网关………………3

6.4传感类设备……………3

6.5控制类设备……………3

6.6执行类设备……………3

6.7协议网关类设备………………………3

7加密要求……………………3

7.1系统初始化……………3

7.2密钥的生成与管理……………………4

7.3配置工作模式…………………………4

7.4设备工程密钥管理……………………5

7.5时间同步功能实现流程………………7

7.6KNX报文加密…………………………9

8配置要求……………………9

8.1执行类设备组地址定义规范要求……………………9

8.2分配物理地址规范要求………………13

8.3分配控制组地址规范要求……………14

8.4设备查询说明规范要求………………15

9接口规范……………………17

9.1报文格式………………17

9.2配置类报文……………18

9.3时间同步类报文………………………21

9.4查询类报文……………22

Ⅰ

DB32/T4717—2024

9.5KNX加密报文格式…………………24

附录A（资料性）接口协议表………………26

参考文献………………………27

Ⅱ

DB32/T4717—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由江苏省工业和信息化厅提出并归口。

本文件起草单位：中科芯集成电路有限公司、无锡物联网产业研究院、北京未来产业互联网研究院有

限公司、江苏未来网络集团有限公司、南京理工大学、北京未来网信科技有限公司、深圳图灵思智能科技

有限公司、江苏省电子信息产品质量监督检验研究院（江苏省电子信息评测中心）、南京同科科技发展有

限公司、江苏中驱智能科技有限公司、广州河东科技有限公司、广州视声电子科技有限公司、嘉环科技股

份有限公司、杭州控客信息技术有限公司、江苏从佳智能科技有限公司、成都壹石新科信息技术有限公

司、无锡桐光科技有限公司、东部战区总医院、无锡感知金服物联网科技有限公司、无锡吉兴汽车声学部

件科技有限公司。

本文件主要起草人：韩磊、陈涛、陆旭、刘豪杰、王兴元、陈竞飞、徐楠、肖凯、张露韬、黄涛、刘念、闫继鹏、

孙万源、钱维林、吴兰、张腾标、王志坚、庄新、叶迎春、吴中骅、薛朝波、童锋、曹丹志、李晓路、吴瑜君、

黄威。

Ⅲ

DB32/T4717—2024

住宅和楼宇电子系统（HBES）设备

加密及配置技术规范

1范围

本文件规定了住宅和楼宇电子系统（HBES）的硬件组成、功能要求和接口规范，明确了密钥的生成

和管理机制，以及加密通信的流程。

本文件适用于住宅和楼宇电子系统的生产商、集成商，用于对楼宇智能化方案的设计和实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20965—2013控制网络HBES技术规范住宅和楼宇控制系统

GB/T32905—2016信息安全技术SM3密码杂凑算法

GB/T32907—2016信息安全技术SM4分组密码算法

3术语和定义

GB/T20965—2013、GB/T32907—2016、GB/T32905—2016界定的以及下列术语和定义适用于

本文件。

3.1

物理地址physicaladdress

子网中每个设备唯一的标识符。

注：物理地址是一个16比特值。

3.2

根密钥rootkey

由厂商出厂时设定的唯一值，用于生成管理密钥。

3.3

管理密钥managementkey

用于配置工程密钥和查询管理接口的一种密钥。

3.4

工程密钥projectkey

用于通信加密的一种密钥，是每个工程的唯一密钥。

3.5

管理网关managergateway

用于对系统中其他智能设备的密钥管理、部署管理、控制管理，以及与上位机进行数据交换的软硬件

设备。

1

DB32/T4717—2024

3.6

时间戳timestamp

根据当前时间生成，为1970年1月1日到当前时间的经过的秒数。

4缩略语

下列缩略语适用于本文件。

AT：地址类型（AddressType）

CTRL：控制域（Control）

DA：目的地址（DestinationAddress）

FCS：检验序列（FrameCheckSequence）

HBES：住宅和楼宇电子系统（HomeandBuildingElectronicSystem）

KNX：一种住宅和楼宇电子系统总线通讯协议（Konnex）

LG：报文长度（Length）

NPCI：网络层协议控制信息（NetworkProtocolControlInformation）

SA：源地址（SourceAddress）

XML：可扩展标记语言（eXtensibleMarkupLanguage）

5总体要求

对住宅和楼宇电子系统中的标准KNX报文加密并利用KNX扩展帧传输，其中KNX报文应遵循

GB/T20965—2013要求，加密算法采用国家商用密码算法SM4（ECB模式，不足16字节的后补零），符

合GB/T32907—2016的要求，杂凑算法采用SM3（根据需要取32字节的部分），符合GB/T32905—

2016的要求。

按照指定规则对KNX设备的物理地址、组地址进行分配，设备支持通过管理网关实现对物理地址、

组地址的配置。

6硬件组成

6.1系统组成

系统硬件应由总线电源、管理网关、控制类设备、执行类设备和协议网关类设备，通过KNX总线连

接，其系统硬件组成见图1。

2

DB32/T4717—2024

图1系统硬件组成图

6.2总线电源

总线电源为系统供电，应符合GB/T20965—2013中5.2.2.3的要求。

6.3管理网关

管理网关应包含工程密钥管理、时间同步、组地址设置和物理地址设置等功能，应支持通过管理软件

进行配置。

6.4传感类设备

传感类设备指可感知环境变化并将信息发送到总线上的设备，如人体传感器、光照传感器等。

6.5控制类设备

控制类设备指能够接受外部指令，向总线发送控制指令的设备，如含智能面板等。

6.6执行类设备

执行类设备指能够执行开关控制、调节电流或者控制电机的设备，如开关执行器、调光执行器、窗帘

执行器等。

6.7协议网关类设备

协议网关类设备是指将KNX报文转换成其他类协议报文的网关设备，如485网关、Dali网关等。

注：下文中出现的“设备”泛指传感类设备、控制类设备、执行类设备和协议网关类设备。

7加密要求

7.1系统初始化

系统在初始化时，需要先通过网关设置网内设备采用加密模式或是非加密模式。其中加密模式应符

合以下要求。

a）系统设置为加密模式后，应使用管理软件配置管理网关的物理地址、工程密钥，再通过网关配置

系统内其他智能设备的物理地址、工程密钥、工作模式、组地址等相关参数。

b）设备应按照加密模式进行上电工作。系统配置流程见图2。

3

DB32/T4717—2024

图2系统配置流程图

7.2密钥的生成与管理

根密钥：设备内置的16字节密钥，由厂家在出厂时提供给客户使用。客户在使用前将设备的根密钥

信息导入至相应的管理网关。

管理密钥：该密钥由根密钥（16字节）+随机数（16字节）SM3运算后的结果取前16字节组成，该密

钥用于管理网关对设备进行配置时的报文加密。

工程密钥：该密钥为16字节，由用户通过管理软件设置，下发给管理网关及网内其他设备，用于

KNX扩展帧中Data域数据的加解密及时间同步校验。

7.3配置工作模式

管理网关应通过配置工作模式协议，使设备（包括控制类设备、执行类设备和协议网关类设备，下同）

进入加密模式或非加密模式，其配置流程见图3。

图3配置工作模式流程图

报文组成应符合表1的规定。

4

DB32/T4717—2024

表1“配置工作模式”的协议包报文组成

序号报文名称参考协议号

1建立连接请求2006

2建立连接应答1006

3查询处于编程状态设备请求2003

4查询处于编程状态设备应答1003

5配置工作模式请求2009

6配置工作模式应答1009

7断开连接请求2008

8断开连接应答1008

当设备未配置成加密模式时，设备默认为非加密模式，非加密模式下的设备应符合GB/T20965—

2013中5.1.2的要求。

7.4设备工程密钥管理

7.4.1配置工程密钥流程要求

管理网关与设备建立连接，应使用管理密钥加密工程密钥，并配置到设备。其配置流程见图4。

图4配置工程密钥流程图

实现该流程采用的报文协议应包括：与设备建立连接、设备返回连接状态、工程密钥配置、返回配置

结果。其中工程密钥配置和返回配置应使用管理密钥加密传输，其他协议应采用明文，其组成应符合

表2的规定。

5

DB32/T4717—2024

表2“配置工程密钥”的协议包报文组成

序号报文名称参考协议号

1建立连接请求2006

2建立连接应答1006

3设置工程密钥请求2007

4设置工程密钥应答1007

5断开连接请求2008

6断开连接应答1008

7.4.2校验工程密钥流程要求

校验工程密钥应采用点对点报文收发，其流程见图5。

图5校验工程密钥流程图

实现该流程报文协议应包括：与设备建立连接、设备返回连接状态、网关请求随机数、返回设备随机

数、工程密钥配置和返回配置结果。工程密钥配置和返回配置应采用管理密钥加密传输，其他报文应采

用明文，其组成应符合表3的规定。

表3“校验工程密钥”的协议包报文组成

序号报文名称参考协议号

1建立连接请求2006

2建立连接应答1006

3校验工程密钥请求2013

4校验工程密钥应答1013

5断开连接请求2008

6断开连接应答1008

6

DB32/T4717—2024

7.5时间同步功能实现流程

7.5.1时间同步机制

设备上电后应与管理网关进行时间同步，同步完成后应采用加密方式实现KNX报文的收发，实现

设备查询等操作。

管理网关系统时间应支持通过网页配置或通过互联网获取。时间同步机制应包括：

——上电请求同步；

——定期时间同步；

——时间异常同步（管理网关和设备）。

7.5.2上电同步请求

处于加密模式的KNX设备收到广播报后应先验证时间同步指令的合法性，验证通过后执行时间同

步操作。设备上电时也应主动发送请求时间同步广播包，此时若收到其他设备的时间同步广播包，则不

进行发送时间同步广播包。

网关上电时间同步流程见图6。

图6网关上电时间同步流程图

设备上电流程见图7。

7

DB32/T4717—2024

图7设备上电流程图

7.5.3定期时间同步

管理网关宜每隔12h发送时间同步广播包，网内的所有设备应一起更新系统时间。定期时间同步

流程见图8。

图8定期时间同步流程图

7.5.4时间异常同步

网内设备在进行密文通信时，若报文时间和本地时间相差1min以上时，则认为时间异常，此时应发

起时间同步请求，管理网关收到同步请求后发送时间同步广播包，同时网内的所有设备将一起更新本地

时间。时间异常同步流程见图9。

8

DB32/T4717—2024

图9时间异常同步流程图

时间同步功能协议应包括：设备请求时间同步和返回时间值。该报文应采用明文+校验形式，校验

内容应采用时间戳+工程密钥的哈希运算结果，其组成应符合表4的规定。

表4“时间同步”的协议包报文组成

序号报文名称传输方式校验参考协议号

1请求时间同步2002

明文+校验Hash（时间戳+工程密钥）

2时间同步返回1002

7.6KNX报文加密

KNX报文加密是指将原KNX标准帧进行加密后作为扩展帧数据部分，应符合9.5的要求，发送至

总线，加密方式应符合表5的规定。

表5报文加密方式

加密内容加密算法密钥

KNX标准报文SM4算法工程密钥

8配置要求

8.1执行类设备组地址定义规范要求

8.1.1组地址定义规则

本文件在GB/T20965—2013中关于KNX组地址3段规则的基础上，对3个字段的作用进行进一

步约定，分别表示对象功能、设备类型和设备编号。第一段为对象功能，第二段为设备类型，第三段为设

备编号，具体见图10。

9

DB32/T4717—2024

图10组地址定义图

8.1.2设备对象功能

8.1.2.1开关执行器对象

开关执行器对象值定义应符合表6的规定。

表6开关执行器对象功能值

对象名称定义值

统控开关功能0

回路1开关功能1

回路2开关功能2

回路3开关功能3

回路4开关功能4

回路5开关功能