1 范圍

      GB/T 15852的本部分規定了三種采用專用雜湊函數的消息鑒別碼算法。這些消息鑒別碼算法可用作數據完整性檢驗，檢驗數據是否被非授權地改變。同樣這些消息鑒別碼算法也可用作消息鑒別，保證消息源的合法性。數據完整性和消息鑒別的強度依賴于密鑰的長度及其保密性、雜湊函數的算法強度及其輸出長度、消息鑒別碼的長度和具體的消息鑒別碼算法。

      本部分適用于任何安全體系結構、進程或應用的安全服務。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 1988-1998 信息技術 信息交換用七位編碼字符集（eqv ISO/IEC 646：1991）

      ISO/IEC 10118-3:2004 信息技術 安全技術 雜湊函數 第3部分：專用雜湊函數(Information technology-Security techniques-Hash-functions-Part 3:Dedicated hash-functions)

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      消息鑒別碼 message authentication code；MAC

      利用對稱密碼技術，以密鑰為參數，由消息導出的數據項。任何持有這一密鑰的實體，都可利用消息鑒別碼檢查消息的完整性和始發者。

3.2

      消息鑒別碼（MAC）算法密鑰 MAC algorithm key

      一種用于控制消息鑒別碼算法運算的密鑰。

3.3

      消息鑒別碼算法 message authentication code algorithm

      消息鑒別碼算法簡稱MAC算法，其輸入為密鑰和消息，輸出為一個固定長度的比特串，滿足下面兩個性質：

      ——對于任何密鑰和消息，MAC算法都能夠快速地計算。

      ——對于任何固定的密鑰，攻擊者在沒有獲得密鑰信息的情況下，即使獲得了一些（消息，MAC）對，對任何新的消息預測其MAC在計算上是不可行的。

      注：一個MAC算法有時被稱作一個密碼校驗函數。計算不可行性依賴于使用者具體的安全要求及其環境。

3.4

      輸出變換 output transformation

      應用在算法中，對迭代操作的輸出所進行的變換。

3.5

      抗碰撞雜湊函數 collision-resistant hash-function

      滿足如下性質的雜湊函數：

      ——尋找兩個不同的輸入，使得它們的輸出相同，在計算上是不可行的。

3.6

      消息比特串（數據）data string（data）

      雜湊函數的輸入比特串。

3.7

      雜湊值 hash-code

      雜湊函數的輸出比特串。

3.8

      雜湊函數 hash-function

      將任意長消息比特串映射到定長比特串的函數，并且滿足如下兩個性質：

      ——對于任何輸出，找到它所對應的輸入在計算上是不可行的。

      ——對于任何輸入，找到區別于它且和它具有相同輸出的輸入在計算上是不可行的。

3.9

      初始值 initializing value

      雜湊函數開始工作時用到的值。

3.10

      填充 padding

      在消息比特串后面附加額外比特串的操作。

3.11

      分組 block

      一種定義了長度的比特串。

3.12

      輪函數 round-function

      將兩個長度為L1和L2的比特串映射到一個長度為L2的比特串的函數 Φ(· ,·)。

      注：它被反復地用在雜湊函數中，將長度為L1的比特串和前面長度為L2的輸出值相合并。

3.13

      字 word

      長度為32位的比特串。

4 符號和記法

      下列符號和記法適用于本部分。

      D、D＇  將要被輸入到MAC算法的消息比特串

      m MAC值的比特長度

      q 經過填充和分割操作后，消息比特串D的分組個數

      MSB_j(X) 比特串X最左邊的j比特

      X⊕Y 比特串X和Y的異或值

      X||Y  按順序將比特串X和Y連接所構成的比特串

      :=  MAC算法定義中使用的賦值符號

      D 經過填充的消息比特串

      h 雜湊函數

      h＇被修改了常數和初始值的雜湊函數h

      簡化的雜湊函數h，沒有數據填充和長度附加

      H'、H” 長度為L2比特串，在MAC算法計算中被用來存儲臨時結果

      IV、IV'、IV1、IV2 初始值

      k MAC算法密鑰的比特長度

      K MAC算法的密鑰

      K'、K₀、K₁、K₂ MAC算法1和3中的導出密鑰

      K、K₁、K₂  MAC算法2中的導出密鑰 

      L MAC算法3中表示消息長度的比特串

      OPAD、IPAD  MAC算法2中使用的常數比特串

      R、S₀、S₁、S₂  MAC算法1和3中，用來導出一系列常數的常數比特串

      T₀、T₁、T₂  MAC算法1和3中，用來導出子密鑰的128比特常數

      U₀、U₁、U₂   MAC算法1和3中，用來導出子密鑰的768比特常數

      Φ＇使用修改后常數的輪函數

      K₁[i] 128比特串K1的第i個字，即：K1=K1[0]||K1K1[1]||K1[2]||K1[3]

      H 雜湊值

      Lx 比特串X的比特長度

      C₁、C 輪函數中用到的常數字

      CC_i 專用雜湊函數4中用到的常數矩陣

      L₁ 輸入到輪函數φ的兩個比特串中，第一個比特串的比特長度

      L₂ 輸入到輪函數φ的兩個比特串中，第二個比特串的比特長度；輪函數φ輸出值的比特長度；初始值IV的比特長度

      φ 輪函數，即：若X和Y分別表示長度為L1和 L2的比特串，則 φ(X,Y)表示將?作用到X和Y所得到的比特串

      +₃₂ 模 232加法操作，即：若A和B是字，那么把A和B看作是整數的2進制表示，計算它們的和再模 2³²，所得到的結果在0和 2³²-1之間，把它看作為字，記作 A+₃₂B

      注：h只能被用來處理長度為L₁整數倍的輸入比特串。

5 要求

      采用本部分MAC算法的使用者應當選擇：

      1）從第6、7、8章中選取一種MAC算法；

      2）從ISO/IEC 10118-3：2004中的專用雜湊函數1、2、3和7中選取一個雜湊函數；

      3）MAC的長度m。

      對于MAC算法1和2，MAC的長度m應該是一個正整數并且不大于雜湊值長度 H。對于 MAC算法3，MAC的長度m應該是一個正整數并且不大于雜湊值長度的二分之一，即 m≤LH/2。

      對于MAC算法1和2，消息比特串D的比特長度不大于 264-1；對于MAC 算法3，消息比特串D的比特長度不大于256。

      對一個具體MAC算法、專用雜湊函數、m值的選擇超出了本部分所規定的范圍。

      注：上述選擇將影響MAC算法的安全強度，具體請參考附錄B。

      生成MAC和驗證MAC應當使用同樣的密鑰。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。