1 范圍

      GB/T 15852的本部分規(guī)定了4種采用泛雜湊函數(shù)的消息鑒別碼算法：UMAC、Badger、Poly1305和GMAC。這些算法基于GB/T33133.1-2016中規(guī)定的序列密碼算法和GB/T 32907-2016中規(guī)定的分組密碼算法，或符合國家規(guī)定的其他序列密碼算法和分組密碼算法，使用一個密鑰和一個泛雜湊函數(shù)處理一個長度為m位的比特串，輸出一個長度為n位的比特串作為MAC。

      本部分適用于安全體系結(jié)構(gòu)、進程及應(yīng)用的安全服務(wù)。這些算法可以作為數(shù)據(jù)完整性機制，用于檢驗數(shù)據(jù)是否在未經(jīng)授權(quán)的方式下被更改。也可以作為消息鑒別機制，確保消息來自于擁有密鑰的實體。數(shù)據(jù)完整性機制和消息鑒別機制的強度由以下指標(biāo)決定：密鑰的長度（按比特）與保密性、泛雜湊函數(shù)產(chǎn)生的雜湊碼的長度（按比特）、泛雜湊函數(shù)的強度、MAC的長度（按比特），以及具體的機制。

注：提供完整性服務(wù)的一般框架在ISO/IEC 10181-6[1]中指定。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 15852.1-2008 信息技術(shù) 安全技術(shù) 消息鑒別碼 第1部分：采用分組密碼的機制(ISO/IEC 9797-1:1999,IDT)

      GB/T 32907-2016 信息安全技術(shù) SM4分組密碼算法

      GB/T 33133.1-2016 信息安全技術(shù) 祖沖之序列密碼算法 第1部分：算法描述

      GB/T 36624-2018 信息技術(shù) 安全技術(shù) 可鑒別的加密機制

3 術(shù)語和定義

      GB/T 15852.1-2008界定的以及下列術(shù)語和定義適用于本文件。

3.1

      空串 empty string

      長度為零的比特串。

3.2

      臨時值 nonce

      使用一次的值，用于向MAC算法提供新鮮輸入。

3.3

      標(biāo)簽 tag

      MAC算法的結(jié)果，附加一個可能的加密消息以提供完整性保護。

3.4

      泛雜湊函數(shù) universal hash-function

      由密鑰確立的映射，將一定范圍內(nèi)任意長比特串映射到定長比特串，滿足：對于所有不同的輸入，其輸出在密鑰均勻隨機的前提下發(fā)生碰撞的概率極小。

      注：泛雜湊函數(shù)由Carter和 Wegman 提出出 ，其在MAC算法中的應(yīng)用最早由Wegman和Carter 描述^［11］。

4 符號和縮略語

4.1 符號

      下列符號適用于本文件。

      bit(S,n) 若比特串S的第n個比特是1則輸出整數(shù)1，否則輸出整數(shù)0（索引從1開始）

      bitlength(S) 比特串S的比特長度

      bitstr2uint(S) 一個非負(fù)整數(shù)，其二進制表示為比特串S。形式化地，若S的長度為t比特，則bbitstr2uint(S)=2-1*bit(S,1)+2-2*bit(S,t)

      注1：比特串是以高位順序排列的，也就是說，第一個比特為最高位。

      blocklen 底層分組密碼的分組長度（按字節(jié)計）

      ceil 向上取整操作，也就是說，若x是一個浮點數(shù)，則 ceil(x)是滿足 n≥x的最小的整數(shù)n

      Enc(K,X) 明文分組X在密鑰K的作用下通過分組密碼Enc進行加密

      floor 向下取整操作，也就是說，若x是一個浮點數(shù)，則 floor(x)是滿足 n≤x的最大的整數(shù)n

      H 雜湊值

      K 主密鑰

      Kg 加密密鑰

      KH 雜湊密鑰

      keylen 分組密碼的密鑰長度（按字節(jié)計）

      log2 二進制對數(shù)函數(shù)

      M 消息

      max 指定參數(shù)中的最大值

      N 臨時值

      octetlength(S) 比特串S按字節(jié)計的長度（假定S的比特長度是8的倍數(shù)）

      octetstr2uint(S) 定義為 S[0]+2⁸*S[1]+2¹⁶*S[2]+···+2^8n-8*S[n-1]的非負(fù)整數(shù)，其中 n=octetlengtth(S)

      注2：字節(jié)串是以低位順序排列的，即第一個字節(jié)為最低位

      prime(n) 對任意正整數(shù)n，小于2ⁿ的最大素數(shù)值

      注3：本部分使用的素數(shù)如表1所示。

表1 素數(shù)值

      S[i] 比特串S的第i個字節(jié)（索引從0開始）

      注4：6.2中關(guān)于UMAC的條款使用了一個起始為1而不是0的索引。

      S[i…j] 由S的第i個到第j個字節(jié)組成的子串

      taglen  標(biāo)簽的字節(jié)長度

      uint2bitstr(x,n) 長度為n的字節(jié)串S，滿足 bitstr2uint(S)=x

      uint2octetstr(x,n) 長度為n的字節(jié)串S，滿足 x=octetstr2uint((S)

      X|s 比特分組X的左截斷：若X的比特長度大于或等于s，則X ，是由X最左側(cè)的s個比特組成的長度為s位的比特分組

      X|s 比特分組X的右截斷：若X的比特長度大于或等于s，則X 是由X最右側(cè)的s個比特組成的長度為s位的比特分組

      X >>1比特分組X右移一位：Y=X>>1最左側(cè)的比特恒為0

      |X| X的比特長度

      zeropad(S,n)

      對于非負(fù)整數(shù)n，用零比特對比特串S進行填充，直到其長度是最接近的n個字節(jié)的整數(shù)倍。形式化地， ropad(S,n)=S||T ，其中T是滿足S||T非空并且n可以整除 octetlength（S||T）的最短的零比特串（T可能為空）

      ⊕ 比特串的比特級邏輯異或運算。若A，B是長度相等的比特串，則表示A和B的比特級邏輯異或所形成的比特串

      ∧比特串的比特級邏輯與運算。若A，B是長度相等的比特串，則A∧B表示A和B的比特級邏輯與所形成的比特串

      +₃₂ 兩個32位的比特串的加法運算，得到一個32位的比特串。形式化地，S+₃₂T=uint2bitstr(bitstr2uint(S)+bitstr2uint(T)mod2³²,4)

      +₆₄ 兩個64位的比特串的加法運算，得到一個64位的比特串。形式化地，S+₆₄T=uint2bitstr(bitstr2uint(S)+bitstr2uint(T)mod2⁶⁴,8)

      * 整數(shù)的乘法運算

      *64 兩個64位的比特串的乘法運算，得到一個64位的比特串。形式化地，S*₆₄T=uint2bitstr(bitstr2uint(S) *bitstr2uint(T)mod2⁶⁴,8)

      注5:+32,+64和 運算與在現(xiàn)代計算機上可以高效執(zhí)行的加法和乘法運算有著很好的對應(yīng)。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。