现代密码学 第18讲HMAC.pptVIP

HMAC算法 传统上构造MAC基于分组密码,但近年来研究构造MAC的兴趣已转移到杂凑函数 密码杂凑函数(如MD5、SHA)的软件实现快于分组密码(如DES)的软件实现； 密码杂凑函数的库代码来源广泛； 密码杂凑函数没有出口限制，而分组密码即使用于MAC也有出口限制。 杂凑函数不使用密钥，因此不能直接用于MAC HMAC提出了用杂凑函数构造MAC的方法 作为RFC2104，并在IPSec和其他网络协议(如SSL)中得以应用 HMAC的设计目标 Hash函数不使用密钥，不能直接用于MAC HMAC要求 可不经修改使用现有hash函数 其中镶嵌的hash函数可易于替换为更快和更安全的hash函数 保持镶嵌的hash函数的最初性能，不因适用于HAMC而使其性能降低 以简单方式使用和处理密钥 在对镶嵌的hash函数合理假设的基础上，易于分析HMAC用于认证时的密码强度 算法描述 HMAC的安全性 取决于hash函数的安全性 证明了算法强度和嵌入的hash函数强度的确切关系，即证明了对HMAC攻击等价于对内嵌hash函数的下述两种攻击 攻击者能够计算压缩函数的一个输出，即使IV是秘密的和随机的 攻击者能够找出hash函数的碰撞，即使IV是随机的和秘密的。 HMAC的典型应用 （Challenge/Response）身份认证: (1) 先由客户端向服务器发出一个验证请求。 (2) 服务器接到此请求后生成一个随机数并通过网络传输给客户端（此为挑战）。 (3) 客户端将收到的随机数提供给ePass，由ePass使用该随机数与存储在ePass中的密钥进行HMAC-MD5运算并得到一个结果作为认证证据传给服务器（此为响应）。 (4) 与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行HMAC-MD5运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户 西安电子科技大学 * 将杂凑函数当作一个黑盒:代码重用；模块替换。 可证明是安全 Ipad:b/8Opad:b/8K为密钥 K+:左面经填充0后的K.K＋的长度为b比特 可预先求出下面两个量作为杂凑函数的初值IV 其中f(cv，block)是杂凑函数中的压缩函数