本備忘錄狀態(tài)
本文檔講述了一種Internet通信的標(biāo)準(zhǔn)Internet跟蹤協(xié)議,并對(duì)其改進(jìn)提出了討論和建議。
請參考最新版本的"InternetOfficial和狀態(tài)，此備忘錄的發(fā)布不受任何限制。

版權(quán)注重
版權(quán)歸因特網(wǎng)協(xié)會(huì)所有，保留一切權(quán)利。

摘要
本備忘錄描述了在修訂的ipSEC封裝安全凈荷協(xié)議（ESP）和IPSEC驗(yàn)證頭協(xié)議（AH）
中，使用和md5算法[RFC-1321]關(guān)聯(lián)的HMAC算法[RFC-2104]作為驗(yàn)證機(jī)制。HMAC-MD5
提供數(shù)據(jù)源驗(yàn)證和完整性保護(hù)。
關(guān)于運(yùn)行ESP和AH所需其他組件的更多信息由[Thayer97a]提供。
目錄
1、介紹 2
2、算法和模式 2
2.1性能 3
3.密鑰源 3
4.與ESP密碼機(jī)制的互操作性 3
5.安全考慮 4
6.感謝 4
7.參考 5
8.編者地址 5
9.全部版權(quán)聲明 6


1、介紹
本備忘錄描述了在封裝安全凈荷和驗(yàn)證頭中使用和HMAC[RFC-2104]相關(guān)聯(lián)的
MD5[RFC-1321]的鍵控驗(yàn)證機(jī)制。HMAC-MD5-96的目的是確保數(shù)據(jù)包是可信的而且在傳輸
過程中沒有被修改。
HMAC是一種秘密的密鑰驗(yàn)證算法。HMAC提供的數(shù)據(jù)完整性和源身份驗(yàn)證完全取決于
秘密密鑰分配的范圍。假如只有發(fā)起者和接收者知道HMAC密鑰，那么這就對(duì)兩者間發(fā)送
的數(shù)據(jù)提供了源身份驗(yàn)證和完整
性保證。假如HMAC是正確的那就證實(shí)它一定是真正的發(fā)送者添加的。
在本備忘錄中，HMAC-MD5-96被用在ESP和AH中。關(guān)于不同的ESP片（包括機(jī)密
性機(jī)制）是如何組合在一起提供安全服務(wù)的跟多信息，請參照[ESP]and[Thayer97a]。關(guān)于
AH的更多信息請參照[AH]and[Thayer97a]。
本文檔中的要害字"MUST","MUSTNOT","REQUIRED","SHALL","SHALL
NOT","SHOULD",
"SHOULDNOT","RECOMMENDED","MAY",和"OPTIONAL"的解釋在[RFC-2119]中
有描述。

2、算法和模式

[RFC-1321]描述了基本MD5算法，而[RFC-2104]描述了HMAC算法。HMAC算法為插
入象MD5這樣的各種散列算法提供了一種框架。

HMAC-MD5-96在64位的數(shù)據(jù)塊上運(yùn)行。對(duì)填充的需要在[RFC-1321]中有描述而且填充
是MD5算法一部分。假如依照[RFC-1321]對(duì)MD5進(jìn)行構(gòu)建，那么相關(guān)的HMAC-MD5-96
就不需要添加任何額外的添充。對(duì)于在[AH]中定義的“固定包填充”不是必須的。

HMAC-MD5-96產(chǎn)生128位的驗(yàn)證值。這128位值可以向在FRC2104中描述的那樣刪
減。為了在SEP或AH中使用，被刪節(jié)的驗(yàn)證數(shù)據(jù)必須使用前部的96位。在發(fā)送端，這種
刪節(jié)了的數(shù)據(jù)存儲(chǔ)在驗(yàn)證區(qū)。在接收端，完全的128位值被計(jì)算出來，并和驗(yàn)證區(qū)的96位
值比較。HMAC-MD5-96不支持其它的驗(yàn)證值長度。

選擇96位是因?yàn)檫@是[AH]中描述的默認(rèn)驗(yàn)證長度并且能滿足[RFC-2104]中對(duì)安全需要
的描述。

2.1性能

[Bellare96a]的聲明“（HMAC的性能本質(zhì)上就是根散列函數(shù)的性能”。[RFC-1810]提供了
一些在Internet協(xié)議中使用MD5的性能分析和推薦。但在它里面沒有HMAC或是
HMAC-MD5的性能分析。

[RFC-2104]中概述了一種執(zhí)行修正，可以在不影響互操作性的前提下提高每個(gè)包的性能。

3.密鑰源

HMAC-MD5-96是一種秘密密鑰算法。在[RFC-2104]中沒有描述固定的密鑰長度，但為
了在ESP或AH中使用，固定的128位密鑰長度必須被支持。而其他不同于128位的密鑰
長度一定不被支持（也就是說HMAC-MD5-96只能使用128位密鑰）。根據(jù)[RFC-2104]的推
薦選擇128位密鑰長度（也就是說密鑰長度比驗(yàn)證值短會(huì)減弱安全的健壯性，而比驗(yàn)證值長
的也不會(huì)明顯的增強(qiáng)安全的健壯性）。

[RFC-2104]討論了對(duì)密鑰源的需求，包括對(duì)健壯的隨機(jī)性的需求的討論。必須的128位
密鑰必須由一個(gè)健壯的偽隨機(jī)函數(shù)產(chǎn)生。

在討論本文檔時(shí)，還沒有一種虛弱的密鑰在HMAC上使用。這不意味著暗示虛弱的密鑰
不存在。在某個(gè)意義上，假如一套HMAC使用的虛弱的密鑰被鑒別，那么這些虛弱密鑰的
使用必須被丟棄，然后發(fā)送重新安排密鑰或一次新的安全聯(lián)盟協(xié)商請求。

當(dāng)一個(gè)單一的SA需要多個(gè)密鑰時(shí)（也就是說當(dāng)一個(gè)ESPSA需要一個(gè)加密密鑰和一個(gè)驗(yàn)
證密鑰），[ARCH]為獲得密鑰源描述了一個(gè)通用的機(jī)制。

為了提供數(shù)據(jù)源驗(yàn)證，密鑰分配機(jī)制必須確保唯一的密鑰對(duì)被分配，而且只分配給通信
的參與者。

[RFC-2104]對(duì)于密鑰的重新分配提出了以下建議。并不能因?yàn)楫?dāng)前的攻擊實(shí)際上是不可
行的就認(rèn)為這些攻擊并可以預(yù)示一個(gè)非凡的被推薦的密鑰使用時(shí)間。無論如何，定期的密鑰
更新是一種基本的安全習(xí)慣，這可以幫助反抗函數(shù)和密鑰潛在的弱點(diǎn)，減少對(duì)于一個(gè)破譯者
的信息可用性，限制了由于密鑰暴露引起的危害。

4.與ESP密碼機(jī)制的互操作性

在寫作本文檔時(shí)，還沒有一種已知的出版物排除了HMAC-MD5-96算法和其它任何非凡
的密碼算法公用的可能。

5.安全考慮

HMAC-MD5-96提供的安全性依靠HMAC的健壯性，更少的使用頻度，MD5的健壯性。
[RFC-2104]主張HMAC不只是依靠健壯的反抗沖突的性質(zhì)，考慮評(píng)估MD5的使用也是重要
的，在當(dāng)前的審查下已有的算法比最初所考慮的有更差的抗沖突性。在寫作本文檔時(shí)，還沒
有一種實(shí)際的密文攻擊可以攻破HMAC-MD5-96。

[RFC-2104]聲明對(duì)于“最小合理的散列函數(shù)”和“生日攻擊”，這些最強(qiáng)的最HMAC的
攻擊是不實(shí)際的。對(duì)于一個(gè)進(jìn)行了HMAC-MD5-96運(yùn)算的64字節(jié)的數(shù)據(jù)塊，包括成功的處
理2**64個(gè)塊是不實(shí)際的，除非在處理2**30個(gè)塊后發(fā)現(xiàn)潛在的散列沖突。有弱抗沖突特性
的散列被認(rèn)為是不可用的。

認(rèn)為被使用的MD5是不完善的鍵控散列算法也是重要的，HMAC有來自攻擊的標(biāo)準(zhǔn)。
當(dāng)在數(shù)據(jù)安全策略中使用MD5正在經(jīng)受再審議時(shí)，HMAC和MD5的組合算法已經(jīng)攔截了
對(duì)密文的具體審查。

[RFC-2104]也討論了由于結(jié)果散列的是刪節(jié)所帶來的潛在的附加安全問題。包括HMAC
的規(guī)范強(qiáng)烈推薦執(zhí)行這種散列刪節(jié)。

正象[RFC-2104]為合并各種散列算法和HMAC提供了框架，使用其他算法象SHA-1取
代MD5是可能的。[RFC-2104]包含一個(gè)關(guān)于HMAC算法健壯性和虛弱性的具體的討論。

對(duì)于任何的密文算法，它的健壯性在于算法執(zhí)行的正確性，密鑰治理機(jī)制和它的執(zhí)行的
安全性，關(guān)聯(lián)的秘密密鑰的健壯性，各個(gè)參與系統(tǒng)執(zhí)行的正確性。[RFC-2202]包含測試向量
和實(shí)例代碼用于幫助核查HMAD-MD5-96代碼的正確性。

6.感謝

本文檔部分源于JimHughes先前的工作，和Jim一起為組合DES/CBC+HMAC-MD5ESP
轉(zhuǎn)換工作的人們，ANXbakeoff的參與者和IPsec工作組的成員。

我們也很興奮感謝為本文檔中的一些非凡內(nèi)容提出意見和解釋的HugoKrawczyk先生。

7.參考

[RFC-1321]Rivest,R.,"MD5DigestAlgorithm",RFC1321,April
1992.

[RFC-2104]Krawczyk,H.,Bellare,M.,andR.Canetti,"HMAC:
Keyed-HashingforMessageAuthentication",RFC2104,
February1997.

[RFC-1810]ToUCh,J.,"ReportonMD5Performance",RFC1810,June
1995.

[Bellare96a]Bellare,M.,Canetti,R.,andH.Krawczyk,"KeyingHash
FunctionsforMessageAuthentication",Advancesin
Cryptography,Crypto96Proceeding,June1996.

[ARCH]Kent,S.,andR.Atkinson,"SecurityArchitecturefor
theInternetProtocol",RFC2401,November1998.

[ESP]Kent,S.,andR.Atkinson,"IPEncapsulatingSecurity
Payload",RFC2406,November1998.

[AH]Kent,S.,andR.Atkinson,"IPAuthenticationHeader",
RFC2402,November1998.

[Thayer97a]Thayer,R.,Doraswamy,N.,andR.Glenn,"IPSecurity
DocumentRoadmap",RFC2411,November1998.

[RFC-2202]Cheng,P.,andR.Glenn,"TestCasesforHMAC-MD5and
HMAC-SHA-1",RFC2202,March1997.

[RFC-2119]Bradner,S.,"KeyWordsforuseinRFCstoIndicate
RequirementLevels",BCP14,RFC2119,March1997.

8.編者地址

CherylMadson
CiscoSystems,Inc.

EMail:cmadson@cisco.com


RobGlenn
NIST

EMail:<rob.glenn@nist.gov>

TheIPsecworkinggroupcanbecontactedthroughthechairs:

RobertMoskowitz
ICSA

EMail:rgm@icsa.net


TedT'so
MassachusettsInstituteofTechnology

EMail:tytso@mit.edu

9.全部版權(quán)聲明

Copyright(C)TheInternetSociety(1998).AllRightsReserved.

Thisdocumentandtranslationsofitmaybecopiedandfurnishedto
others,andderivativeworksthatcommentonorotherwiseeXPlainit
orassistinitsimplementationmaybeprepared,copied,published
anddistributed,inwholeorinpart,withoutrestrictionofany
kind,providedthattheabovecopyrightnoticeandthisparagraphare
includedonallsuchcopiesandderivativeworks.However,this
documentitselfmaynotbemodifiedinanyway,suchasbyremoving
thecopyrightnoticeorreferencestotheInternetSocietyorother
Internetorganizations,exceptasneededforthepurpoSEOf
developingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbe
followed,orasrequiredtotranslateitintolanguagesotherthan
English.

Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe
revokedbytheInternetSocietyoritssuccessorsorassigns.

Thisdocumentandtheinformationcontainedhereinisprovidedonan
"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING
TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING
BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION
HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF
MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE.
RFC2403——RFC2403TheUseofHMAC-MD5-96withinESPandAH