T/CCSA 563-2024 域名服务系统安全扩展(DNSSEC)支持SM2 SM3算法的技术要求
- 文件大小:4.09 MB
- 标准类型:团体标准规范
- 标准语言:中文版
- 文件类型:PDF文档
- 更新时间:2025-06-26
- 下载次数:
- 标签:
资料介绍
以下是对《T/CCSA 563-2024 域名服务系统安全扩展(DNSSEC)支持SM2/SM3算法的技术要求》核心内容的详细总结:
1. 范围与目的
- 适用场景:规范DNSSEC协议中使用SM2数字签名算法和SM3密码杂凑算法的技术要求,指导DNS数据的签名和验证。
- 核心内容:
- DNSSEC资源记录(DNSKEY、RRSIG、DS)的格式定义。
- DNS数据签名计算与验证方法。
- 密钥文件的表示规范。
2. 算法标识与资源记录格式
关键标识
- 算法字段:DNSSEC中SM2算法编号为17,SM3哈希算法类型为6。
- 密钥长度:
- SM2私钥:256比特。
- SM2公钥:512比特(由椭圆曲线坐标
xP||yP拼接)。 - SM3哈希值:256比特。
资源记录规范
- DNSKEY记录(公钥记录):
公钥字段:存储SM2公钥(xP||yP),Base64编码。- 示例:
example. IN DNSKEY 257 3 17 jZbZMBImG9dtGWSVEwnv...。
- RRSIG记录(签名记录):
签名字段:存储SM2签名(r, s)(各256比特),Base64编码。- 示例:
example. IN RRSIG DNSKEY 17 ... +MDF1bnH/8zCeOwJQ...。
- DS记录(委托签名者记录):
散列值字段:存储SM3计算的公钥哈希值(256比特)。- 示例:
child.example. DS 6400 17 6 4236D83078C1...。
3. 签名计算与验证
签名生成(6.2节)
- 输入:
- 签名前数据:按RFC 4034构造资源记录集(RRset)。
- SM2私钥(256比特,Base64编码存储于
.private文件)。
- 步骤:
- 使用GB/T 32918.2-2016的SM2签名算法生成
(r, s)。 - 将签名写入RRSIG记录的
Signature字段。
- 使用GB/T 32918.2-2016的SM2签名算法生成
- 示例:附录C.1展示DNSKEY记录的签名生成过程,包括十六进制格式的签名前数据。
签名验证(6.3节)
- 输入:
- 签名前数据(同生成过程)。
- SM2公钥(来自DNSKEY记录)。
- RRSIG记录中的签名。
- 步骤:使用GB/T 32918.2-2016的SM2验证算法校验签名有效性。
- 示例:附录C.2展示验证流程,成功则通过,失败则拒绝。
4. 密钥文件规范(附录A)
- 私钥文件(
.private):Algorithm: 17 (SM2SM3)PrivateKey: V24tjJgXxp2ykscKRZdT+... # Base64编码的256比特私钥 - 公钥文件(
.key):example. IN DNSKEY 257 3 17 jZbZMBImG9dtGWSVE... # Base64编码的512比特公钥
5. 完整部署示例(附录B)
- 权威域区文件:
- 包含SM2/SM3算法的
DNSKEY、RRSIG、DS记录。 - 示例片段:
example. 3600 IN DNSKEY 256 3 17 7EQ32PTAp+1ac6R9Ze2n... # ZSKexample. 3600 IN DNSKEY 257 3 17 jZbZMBImG9dtGWSVE... # KSKchild.example. DS 6400 17 6 4236D83078C1... # DS记录
- 包含SM2/SM3算法的
6. 算法参数要求
- 椭圆曲线:采用Fp-256曲线,参数符合GB/T 32918.5-2017。
- 杂凑算法:SM3符合GB/T 32905-2016。
7. 引用标准
- 核心标准:
- GB/T 32918.2-2016(SM2签名算法)
- GB/T 32905-2016(SM3哈希算法)
- RFC 4034(DNSSEC资源记录格式)
- 辅助标准:
- YD/T 2586-2013(DNSSEC协议要求)
- GB/T 36619-2018(域名命名规范)
核心价值
- 国产密码集成:首次在DNSSEC中系统化定义SM2/SM3的应用规范。
- 兼容性设计:通过扩展DNSSEC算法字段(17/6),实现与国际标准的无缝兼容。
- 安全实践指导:提供密钥管理、签名生成/验证的完整操作范例,可直接用于工程部署。
注:本文档版权归中国通信标准化协会(CCSA)所有,未经许可禁止复制或引用。