T/CCSA 563-2024 域名服务系统安全扩展（DNSSEC）支持SM2 SM3算法的技术要求

以下是对《T/CCSA 563-2024 域名服务系统安全扩展(DNSSEC)支持SM2/SM3算法的技术要求》核心内容的详细总结：

​​1. 范围与目的​​

• ​​适用场景​​：规范DNSSEC协议中使用​​SM2数字签名算法​​和​​SM3密码杂凑算法​​的技术要求，指导DNS数据的签名和验证。
• ​​核心内容​​：
  • DNSSEC资源记录（DNSKEY、RRSIG、DS）的格式定义。
  • DNS数据签名计算与验证方法。
  • 密钥文件的表示规范。

​​2. 算法标识与资源记录格式​​

​​关键标识​​

• ​​算法字段​​：DNSSEC中SM2算法编号为​​17​​，SM3哈希算法类型为​​6​​。
• ​​密钥长度​​：
  • SM2私钥：256比特。
  • SM2公钥：512比特（由椭圆曲线坐标xP||yP拼接）。
  • SM3哈希值：256比特。

​​资源记录规范​​

• ​​DNSKEY记录​​（公钥记录）：
  • 公钥字段：存储SM2公钥（xP||yP），Base64编码。
  • 示例：example. IN DNSKEY 257 3 17 jZbZMBImG9dtGWSVEwnv...。
• ​​RRSIG记录​​（签名记录）：
  • 签名字段：存储SM2签名(r, s)（各256比特），Base64编码。
  • 示例：example. IN RRSIG DNSKEY 17 ... +MDF1bnH/8zCeOwJQ...。
• ​​DS记录​​（委托签名者记录）：
  • 散列值字段：存储SM3计算的公钥哈希值（256比特）。
  • 示例：child.example. DS 6400 17 6 4236D83078C1...。

​​3. 签名计算与验证​​

​​签名生成（6.2节）​​

• ​​输入​​：
  • 签名前数据：按RFC 4034构造资源记录集（RRset）。
  • SM2私钥（256比特，Base64编码存储于.private文件）。
• ​​步骤​​：
  1. 使用GB/T 32918.2-2016的SM2签名算法生成(r, s)。
  2. 将签名写入RRSIG记录的Signature字段。
• ​​示例​​：附录C.1展示DNSKEY记录的签名生成过程，包括十六进制格式的签名前数据。

​​签名验证（6.3节）​​

• ​​输入​​：
  • 签名前数据（同生成过程）。
  • SM2公钥（来自DNSKEY记录）。
  • RRSIG记录中的签名。
• ​​步骤​​：使用GB/T 32918.2-2016的SM2验证算法校验签名有效性。
• ​​示例​​：附录C.2展示验证流程，成功则通过，失败则拒绝。

​​4. 密钥文件规范（附录A）​​

• ​​私钥文件​​（.private）：

  Algorithm: 17 (SM2SM3)
  PrivateKey: V24tjJgXxp2ykscKRZdT+...  # Base64编码的256比特私钥

• ​​公钥文件​​（.key）：

  example. IN DNSKEY 257 3 17 jZbZMBImG9dtGWSVE...  # Base64编码的512比特公钥

​​5. 完整部署示例（附录B）​​

• ​​权威域区文件​​：
  • 包含SM2/SM3算法的DNSKEY、RRSIG、DS记录。
  • 示例片段：

    example. 3600 IN DNSKEY 256 3 17 7EQ32PTAp+1ac6R9Ze2n...  # ZSK
    example. 3600 IN DNSKEY 257 3 17 jZbZMBImG9dtGWSVE...     # KSK
    child.example. DS 6400 17 6 4236D83078C1...                # DS记录

​​6. 算法参数要求​​

• ​​椭圆曲线​​：采用​​Fp-256曲线​​，参数符合GB/T 32918.5-2017。
• ​​杂凑算法​​：SM3符合GB/T 32905-2016。

​​7. 引用标准​​

• ​​核心标准​​：
  • GB/T 32918.2-2016（SM2签名算法）
  • GB/T 32905-2016（SM3哈希算法）
  • RFC 4034（DNSSEC资源记录格式）
• ​​辅助标准​​：
  • YD/T 2586-2013（DNSSEC协议要求）
  • GB/T 36619-2018（域名命名规范）

​​核心价值​​

• ​​国产密码集成​​：首次在DNSSEC中系统化定义SM2/SM3的应用规范。
• ​​兼容性设计​​：通过扩展DNSSEC算法字段（17/6），实现与国际标准的无缝兼容。
• ​​安全实践指导​​：提供密钥管理、签名生成/验证的完整操作范例，可直接用于工程部署。

​​注​​：本文档版权归中国通信标准化协会（CCSA）所有，未经许可禁止复制或引用。