《DB32_T4717-2024住宅和楼宇电子系统(HBES)设备加密及配置技术规范.docx》由会员分享,可在线阅读,更多相关《DB32_T4717-2024住宅和楼宇电子系统(HBES)设备加密及配置技术规范.docx(32页珍藏版)》请在优知文库上搜索。
1、ICS 35.040CCS L 80DB32江苏省地方标准DB32/T47172024住宅和楼宇电子系统(HBES)设备加密及配置技术规范Technicalspecificationforencryptionandconfigurationofhomeandbuildingelectronicsystems(HBES)device2024-03-25发布2024-04-25实施江苏省市场监督管理局发布中国标准出版社出版目次前言III1范围12规范性引用文件13术语和定义14缩略语25总体要求26硬件组成26.1 系统组成26.2 总线电源36.3 管理网关36.4 传感类设备36.5 控制类设
2、备36.6 执行类设备36.7 协议网关类设备37加密要求37.1 系统初始化37.2 密钥的生成与管理47.3 配置工作模式47.4 设备工程密钥管理57.5 时间同步功能实现流程77.6 KNX报文加密98配置要求98.1 执行类设备组地址定义规范要求98.2 分配物理地址规范要求138.3 分配控制组地址规范要求148.4 设备查询说明规范要求159接口规范179.1 报文格式179.2 配置类报文189.3 时间同步类报文219.4 查询类报文229.5 KNX加密报文格式24附录A(资料性)接口协议表26参考文献27本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的
3、结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的贲任。本文件由江苏省工业和信息化厅提出并归口。本文件起草单位:中科芯集成电路有限公司、无锡物联网产业研究院、北京未来产业互联网研究院有限公司、江苏未来网络集团有限公司、南京理工大学、北京未来网信科技有限公司、深圳图灵思智能科技有限公司、江苏省电子信息产品质量监督检验研究院(江苏省电子信息评测中心)、南京同科科技发展有限公司、江苏中驱智能科技有限公司、广州河东科技有限公司、广州视声电子科技有限公司、嘉环科技股份有限公司、杭州控客信息技术有限公司、江苏从佳智能科技有限公司、成都壹石新科信息技术有限公司、无
4、锡桐光科技有限公司、东部战区总医院、无锡感知金服物联网科技有限公司、无锡吉兴汽车声学部件科技有限公司。本文件主要起草人:韩磊、陈涛、陆旭、刘豪杰、王兴元、陈竞飞、徐楠、肖凯、张露韬、黄涛、刘念、闫继鹏、孙万源、钱维林、吴兰、张腾标、王志坚、庄新、叶迎春、吴中骅、薛朝波、童锋、普丹志、李晓路、吴瑜君、黄威。Ill住宅和楼宇电子系统(HBES)设备加密及配置技术规范1范围本文件规定了住宅和楼宇电子系统(HBES)的硬件组成、功能要求和接口规范,明确了密钥的生成和管理机制,以及加密通信的流程。本文件适用于住宅和楼宇电子系统的生产商、集成商,用于对楼宇智能化方案的设计和实施。2规范性引用文件下列文件中
5、的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注U期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T209652013控制网络HBES技术规范住宅和楼宇控制系统GB/T329052016信息安全技术SM3密码杂凑算法GB/T329072016信息安全技术SM4分组密码算法3术语和定义GB/T209652013sGB/T329072016、GB/T329052016界定的以及下列术语和定义适用于本文件。3.1物理地址physicaladdress子网中每个设备唯一的标识符。注:物理地址是一个16比特值。3.2根密钥
6、rootkey由厂商出厂时设定的唯一值,用于生成管理密钥。3.3管理密钥managementkey用于配置工程密钥和查询管理接口的一种密钥。3.4工程密钥projectkey用于通信加密的一种密钥,是每个工程的唯一密钥。3.5管理网关managergateway用于对系统中其他智能设备的密钥管理、部署管理、控制管理,以及与上位机进行数据交换的软硬件设备。3.6时间邀timestamp根据当前时间生成,为1970年1月1日到当前时间的经过的秒数。4缩略语下列缩略语适用于本文件。AT:地址类型(Addre6$Type)CTRL:控制域(COntrol)DA:目的地址(DeStinatiOnAddr
7、ess)FCS:检验序列(FrameCheckSequence)HBES:住宅和楼宇电子系统(HOnleandBuildingElectronicSystem)KNX:一种住宅和楼宇电子系统总线通讯协议(KonneX)1.G:报文长度(Length)NPCI:网络层协议控制信息(NeEWorkProtocolControlInformation)SA:源地址(SOUrCeAddress)XML:可扩展标记语言(extensibleMarkupLanguage)5总体要求对住宅和楼宇电子系统中的标准KNX报文加密并利用KNX扩展帧传输,其中KNX报文应遵循GB/T20965-2013要求,加密算
8、法采用国家商用密码算法SM4(ECB模式,不足16字节的后补零),符合GB/T329072016的要求,杂凑算法采用SM3(根据需要取32字节的部分),符合GB/T329052016的要求。按照指定规则对KNX设备的物理地址、组地址进行分配,设备支持通过管理网关实现对物理地址、组地址的配置。6硬件组成6.1 系统组成系统硬件应由总线电源、管理网关、控制类设备、执行类设备和协议网关类设备,通过KNX总线连接,其系统硬件组成见图1。管理平台传班设备共执行类设备图1系统硬件组成图6.2 总线电源总线电源为系统供电,应符合GB/T209652013中5.2.2.3的要求。6.3 管理网关管理网关应包含
9、工程密钥管理、时间同步、组地址设置和物理地址设置等功能,应支持通过管理软件进行配置。6.4 感类设备传感类设备指可感知环境变化并将信息发送到总线上的设备,如人体传感器、光照传感器等。6.5 控制类设备控制类设备指能够接受外部指令,向总线发送控制指令的设备,如含智能而板等。6.6 行类设备执行类设备指能够执行开关控制、调节电流或者控制电机的设备,如开关执行器、调光执行器、窗帘执行器等。6.7 协议网关类设备协议网关类设备是指将KNX报文转换成其他类协议报文的网关设备,如485网关、DaIi网关等。注:下文中出现的“设备”泛指传感类设备、控制类设备、执行类设备和协议网关类设备。7加密要求7.1 系
10、统初始化系统在初始化时,需要先通过网关设置网内设备采用加密模式或是非加密模式。其中加密模式应符合以下要求。a)系统设置为加密模式后,应使用管理软件配置管理网关的物理地址、工程密钥,再通过网关配置系统内其他智能设备的物理地址、工程密钥、工作模式、组地址等相关参数。b)设备应按照加密模式进行上电工作。系统配置流程见图2。图2系统配置流程图7.2 密钥的生成与管理根密钥:设备内置的16字节密钥,由厂家在出厂时提供给客户使用。客户在使用前将设备的根密钥信息导入至相应的管理网关。管理密钥:该密钥由根密钥(16字节)+随机数(16字节)SM3运算后的结果取前16字节组成,该密钥用于管理网关对设备进行配置时
11、的报文加密。工程密钥:该密钥为16字节,由用户通过管理软件设置,下发给管理网关及网内其他设备,用于KNX扩展帧中Data域数据的加解密及时间同步校验。7.3 配置工作模式管理网关应通过配置工作模式协议,使设备(包括控制类设备、执行类设备和协议网关类设备,下同)进入加密模式或非加密模式,其配置流程见图3。图3配量工作模式流程图报文组成应符合表1的规定。表1”配置工作模式”的协议包报文组成序号报文名称参考协议号1建立连接请求20062建立连接应答10063查询处于编程状态设备请求20034查询处于编程状态设备应答10035配置工作模式请求20096配置工作模式应答10097断开连接请求20088断
12、开连接应答1008当设备未配置成加密模式时,设备默认为非加密模式,非加密模式下的设备应符合GB/T20965-2013中51.2的要求。7.4 设备工程密钥管理7.4.1 配置工程密钥流程要求管理网关与设备建立连接,应使用管理密钥加密工程密钥,并配置到设备。其配置流程见图4。图4配置工程密钥流程图实现该流程采用的报文协议应包括:与设备建立连接、设备返回连接状态、工程密钥配置、返回配置结果。其中工程密钥配置和返回配置应使用管理密钥加密传输,其他协议应采用明文,其组成应符合表2的规定。表2配置工程密钥”的协议包报文组成序号报文名称参考协议号1建立连接请求20062建立连接应答10063设置工程密钥
13、请求20074设置工程密钥应答10075断开连接请求20086断开连接应答10087.4.2校验工程密钥流程要求校验工程密钥应采用点对点报文收发,其流程见图5。图5校验工程密钥流程图实现该流程报文协议应包括:与设备建立连接、设备返回连接状态、网关请求随机数、返回设备随机数、工程密钥配置和返回配置结果。工程密钥配置和返回配置应采用管理密钥加密传输,其他报文应采用明文,其组成应符合表3的规定。表3校验工程密钥”的协议包报文蛆成序号报文名称参考协议号1建立连接请求20062建立连接应答10063校验工程密钥请求20134校验工程密钥应答10135断开连接请求20086断开连接应答10087.5 时间
14、同步功能实现流程7.5.1 时间同步机制设备上电后应与管理网关进行时间同步,同步完成后应采用加密方式实现KNX报文的收发,实现设备查询等操作。管理网关系统时间应支持通过网页配置或通过互联网获取。时间同步机制应包括:上电请求同步:定期时间同步;时间异常同步(管理网关和设备)。7.5.2 上电同步请求处于加密模式的KNX设备收到广播报后应先验证时间同步指令的合法性,验证通过后执行时间同步操作。设备上电时也应主动发送请求时间同步广播包,此时若收到其他设备的时间同步广播包,则不进行发送时间同步广播包。网关上电时间同步流程见图6。图6网关上电时间同步流程图设备上电流程见图7。7.5.3定期时间同步管理网关宜每隔12h 流程见图8。发送时间同步广播包,网内的所有设备应一起更新系统时间。定期时间同步开始图8定期时间同步流程图7.5.4 时间异常同步网内设备在进行密文通信时,若报文时间和本地时间相差Imin以上时,则认为时间异常,此时放发起时间同步请求,管理网关收到同步请求后发送时间同步广播包,同时网内的所有设备将一起更新本地时间。时间异常同步流程见图9。图9时间异常同步流程图时间同步功能协议应包括:设备请求时间同步和返回时间值。该报文应采用明文十校验形式