MAC、HMAC、CBC-MAC、OMAC的介绍

大家好，欢迎来到IT知识分享网。

来源：CSDN 
原文：MAC、HMAC、CBC-MAC、OMAC的介绍
作者：_你微笑时很美 

MAC(消息认证码)解读

背景

在开放的计算和通信世界（例如Internet）中，我们会使用不可靠的媒介传输和存储信息。而对信息完整性（integrity）的校验在某些情景下就十分重要。基于密钥作完整性校验的方法常称为MAC(Message Authentication Code)。通常MAC在共享密钥的双方之间，校验相互传递的信息。

实现过程

类别

单向hash函数实现

上图是MAC算法的的加密过程, 如上图所示，实现过程较为简单对要传输的消息加上一个通信双方共享的密钥，然后作一次hash运算，得到一个MAC值。传输消息时，连同MAC值一起发送给接收放，接收方收到信息后，自己再对信息作一次相同的hash运算得到另一个MAC值，与发送方传来的进行比对，若有差异则说明消息被篡改。

而MAC函数用单项hash函数加密时，MAC被称为HMAC(Hash Message Authentication Code).

这里对其进行简要介绍

HMAC (k,m) = H ( (k XOR opad ) + H( (k XORipad ) + m ) )

其中

H 是一个Hash函数, 比如, MD5, SHA-1and SHA-256，

k 是一个密钥，从左到右用0填充到hash函数规定的block的长度，如果密钥长度大于block的长度，就对先对输入key作hash。

m 是需要认证的消息,

+ 代表“连接”运算，

XOR 代表异或运算，

opad 是外部的填充常数(0x5c5c5c…5c5c, 一个block长度的十六进制常数constant)，

ipad 是内部填充常数 (0x…3636,一个block长度的十六进制常数constant)。

特定HMAC实现需要选择一个特定的hash函数。这些不同的HMAC实现通常标记为：HMAC-MD5,HMAC-SHA1, HMAC-SHA256等等. 论文 [Bellare+96]对HMAC的安全性作了全面的分析。

分组密码实现（基于AES组）

分组加密的工作模式有ECB,CBC,CFB,OFB四种，其中CBC和ECB这两种模式比较常用。

CBC-MAC

上图分别为CBC(密文分组链接方式)的加密和解密过程。可以看出不同于EBC(电子密码本模式)，他在加密过程中，报文的不同分组之间是有联系的，增加了其安全性。

加密步骤如下：

1）首先将数据按照8个字节一组进行分组得到D1D2…Dn（若数据不是8的整数倍，用指定的PADDING数据补位）

2）第一组数据D1与初始化向量IV异或后的结果进行AES加密得到第一组密文C1（初始化向量I为全零）

3）第二组数据D2与第一组的加密结果C1异或以后的结果进行DES加密，得到第二组密文C2

4）之后的数据以此类推，得到Cn

5）按顺序连为C1C2C3…Cn即为加密结果。

解密是加密的逆过程，步骤如下：

1）首先将数据按照8个字节一组进行分组得到C1C2C3…Cn

2）将第一组数据进行解密后与初始化向量I进行异或得到第一组明文D1（注意：一定是先解密再异或）

3）将第二组数据C2进行解密后与第一组密文数据进行异或得到第二组数据D2

4）之后依此类推，得到Dn

5）按顺序连为D1D2D3…Dn即为解密结果。

这里注意一点，解密的结果并不一定是我们原来的加密数据，可能还含有补位数据，将其去掉才是最终的结果。

特点：

1.每个密文块依赖于所有的信息块，明文消息中一个改变会影响所有密文块，不容易主动攻击，安全性好于ECB,适合传输长报文

2.发送方和接受方都需要知道初始化向量（IV）

3.加密过程是串行的，无法被并行化（在解密时，从两个邻接的密文块可以得到一个平文块，因此解密过程可以并行执行）

OMAC

omac算法的核心是cbc-mac的一种变种，是基于一种叫xcbc的算法改进的。xcbc算法有效的解决了cbc-mac的一些安全方面的缺陷，但是需要三个密钥。有人在此基础上，改进了xcbc算法，并把它命名为one-key cbc-mac(omac).之后提交了omac1，在omac的基础了做了精简，并做了一些安全性分析。

上图是omac算法的执行过程，为了使用b比特块密码（E）和秘密密钥（k）生成消息（m）的l比特CMAC标签（t），首先生成两个b比特子密钥（k1和k2）使用以下算法（这相当于在有限域GF（2b）中乘以x和x2）设«表示标准左移运算符，⊕表示逐位排他或：

1.计算临时值k0 = Ek（0）
2.如果msb（k0）= 0，则k1 = k0 << 1，否则k1 =（k0 << 1）⊕C;其中C是一个仅取决于b的特定常数。 （具体来说，C是按字典顺序排列的第一个不可约度-b二元多项式的非前导系数，具有最小数量的1：64位为0x1B，128位为0x87，256位为0x425）
3.如果msb（k1）= 0，则k2 = k1 << 1，否则k2 =（k1 << 1）⊕C
4.返回MAC生成过程的密钥（k1，k2）

作为一个小例子，假设 b = 4，C = 00112，并且k0 = Ek（0）= 01012。然后k1 = 10102并且k2 =0100⊕0011= 01112。

CMAC标签生成过程如下：

1.将消息分成b位块m =m1∥…∥mn-1∥mn，其中m1，…，mn-1是完整的块。（空消息被视为一个不完整的块。）
2.如果mn是一个完整的块，则mn’=k1⊕mnmn’=k2⊕（mn∥10… 02）。
3.设C0 = 00 … 02
4.对于i = 1，…，n – 1，计算ci = Ek（ci-1⊕mi。
5.Cn = Ek（Cn-1⊕mn’）
6.输出t =msbℓ（cn）
验证过程如下：

1.使用上面的算法生成标记。
2.检查生成的标记是否与接收的标记相同。