本文作用
本文具體說明了一種互聯網標準傳輸協議，本文需要討論和改進的建議。要得到規定和本協議
的狀態，請參考最新版的"InternetOfficial摘要
本文講述了一種用在ip認證報頭（IPAuthenticationHeader）上的keyed-md5轉換，這種非凡
的轉換基于[HMAC-MD5]，另外還具體說明了一種防止重復攻擊的選項。

目錄

1.緒論 1
1.1術語 1
1.2Keys 2
1.3數據長度 2
2.數據包格式 2
2.1重復攻擊防護 3
2.2認證數據計算 3
3.安全考慮 4
致謝 4
參考文獻 4
作者地址 4

1.緒論
認證報頭（AH）[RFC-1826]提供了IP數據包的完整性檢查和認證，本文中指出的變換使用一
種keyed-MD5機制[HMAC-MD5]，本機制用到了一種(key-less)MD5的散列函數，它能夠產生報
文摘要。當它和認證報頭密鑰(AH密鑰)結合時，就能產生認證數據，此值放在AH的認證數據字
段，它也是AH協議提供的完整性檢查的基礎。
為了防止重復性攻擊，必須含有一個重復性攻擊防護字段作為變換式選項，此字段是用來防止
一種攻擊的，在這種攻擊中，消息會保存并且在后來還會被重復利用，代替或者重復原始消息。安
全參數索引（SPI）[RFC-1825]用來決定是否包含AH。
需要熟悉以下下文獻："SecurityArchitecturefortheInternetProtocol"(Internet協議安全結構)
[RFC-1825],"IPAuthenticationHeader"（IP認證報頭）[RFC-1826],以及"HMAC-MD5:Keyed-MD5
forMessageAuthentication"（HMAC-MD5：Keyed-MD5消息認證）[HMAC-MD5]。
所有要符合或同“IP認證報頭”一致的應用必須（MUST）執行HMAC-MD5轉換。
1.1術語
本文中用來定義每一個需求的重要性的單詞都用大寫表示，包括：
- MUST
它和"REQUIRED"表示此條款在規定中是絕對需要的。

-SHOULD
它和"RECOMMENDED"表示在某些特定的環境下有有效的原因可以忽略此條款，但是必須知
道充足的含義，并且在采取不同的方法前必須慎重考慮。
1.2Keys
“認證報頭（AH）密鑰”是通訊雙方共享的秘密，這種“密鑰”不是傳統意義上的“密鑰”，
認證報頭密鑰同傳輸的數據一起進行散列運算，以確保侵犯者不能復制認證數據。
即使認證報頭密鑰不是一種密鑰，但是仍然涉及了密鑰的基本應用，考慮到算法和用以產生輸
出的大部分數據是公開的，轉換的強度就決定于密鑰的獨立映射（需要很健壯）以及認證數據IP
包，因此應用中就需要盡可能多次的改變認證報頭密鑰，密鑰需要隨機的選擇或者由一個隨機的種
子在一個強大的密鑰隨機發生器中產生。[HMAC-MD5]
所有的支持AH協議的應用都必須（MUST）支持128位或短一些地密鑰長度，應用能夠
（SHOULD）支持更長的密鑰將會更好。推薦密鑰長度選擇為輸出散列值長度，在MD5中是128
位，定為其它長度則必須考慮下面提到的相關的事項。
零長度的密鑰是禁止使用的，應用中必須防止在變換式中使用它，因為零長度的密鑰必能提供
有效的認證。密鑰長度小于128位的也強烈被阻止使用，因為這會降低函數的安全性能，大于128
位的也可以使用，但是增長的部分不一定會增加函數的安全性能。在密鑰產生的隨機性有懷疑的情
況下推薦使用長于128位的密鑰。MD5是在64字節的分組上操作的，長于64字節的密鑰第一次
是通過MD5進行散列運算的，結果散列值用來計算認證數據。
1.3數據長度
MD5產生一個128位的散列值用作認證數據，它自然的64位一行，這樣對那些雙字長的機器
就不需要任何的補位。
2.數據包格式

+---------------+---------------+---------------+---------------+
NextHeaderLengthRESERVED
+---------------+---------------+---------------+---------------+
SPI
+---------------+---------------+---------------+---------------+
ReplayPrevention

+---------------+---------------+---------------+---------------+

+AuthenticationData

+---------------+---------------+---------------+---------------+
12345678123456781234567812345678

NextHeader(下個報頭),RESERVED（保留）,和SPI（安全參數索引）字段在[RFC-1826]中講
述了。Length（長度）字段是ReplayPrevention（重復防護）字段和32位字的認證數據的長度。
2.1重復攻擊防護
ReplayPrevention（重復攻擊）字段是一個64位的字段，用以確保通訊雙方交換的每個數據包
沒有重復，每一個IPsec安全協會指定自己協會中是否使用重復性攻擊防護，假如不用，那么
AuthenticationData（認證數據）字段將直接跟在SPI字段后面。ReplayPrevention字段是一個以1
開頭的加法計數器。
共享密鑰不能用太長的時間以至于計數器超值，也就是使用同一個密鑰傳輸的超過2^64個數
據包，接收時，重復值會增長，應用程序可能會收到的雜亂的包，雜亂包的數量是一個應用細節，
假如支持“雜亂窗口”，應用程序會確定所有的包以前沒有收到過，也就是，應用程序最多只會收
到一次數據包。
當目的地址是多點傳送地址時，重復性攻擊防護在使用，對此多點傳送地址不只一個遵循同一
個IPsec安全協會規定的發送者，那么重復性攻擊保護功能就不應該（SHOULDNOT）激活，在此
情況下假如要求重復性攻擊保護，每個發送者應該有他自己的IPsec安全聯盟。
[ESP-DES-MD5]中提供了一個執行32位包的重復窗口的例子的代碼，并提供了展示了工作流
程。
2.2認證數據計算
認證數據是認證算法（MD5）的輸出值，此值是在整個IP數據報上計算的結果，數據報在轉
變中可變的字段和認證數據字段本身必須包含計算前的所有的0[RFC-1826]，假如重復性攻擊字段
采用，那它就包含在計算中。MD5的定義和參考程序在[RFC-1321]中講述了，用‘text’表示
HMAC-MD5要用到的數據，K表示通訊方共享的信息認證私鑰，假如K長度超過64字節，那它
必須（MUST）先用MD5進行散列運算，這樣，K就是最終的散列值。
我們定義兩個固定的不同字符串ipad和opad，（‘i’，‘o’代表輸入和輸出）如下所示：
ipad=字節0x36重復64次
opad=字節0x5C重復64次
為了計算‘text’的HMAC-MD5，我們執行
MD5(KXORopad,MD5(KXORipad,text))
即：
(1) 在K后面補0，使得K的長度是64字節（假如K長16字節，那么要補48
個0字節0x00）
(2) 用ipad異或(XOR)第一步中產生的64字節的值
(3) 在第二步中產生的64字節的字符串后面不上‘text’
(4) 對第三步產生的值進行MD5運算
(5) 用opad異或第一步中產生的64字節的字符串
(6) 第5步中產生的字符串后面補上第4步中的運算結果
(7) 對第6步中產生的結果進行MD5散列運算，輸出結果
在[HMAC-MD5]中對此計算進行了很細致的描述，并帶有例子程序代碼和性能改進，執行者應
該參考[HMAC-MD5]以得到更多的加密散列函數的技術信息。
3.安全考慮
此變換的安全性取決于MD5的強度，應用算法的正確性，密鑰處理機制和它的應用的安全性，
關聯的秘密密鑰的強度，還取決于所有非凡系統中應用程序的強度，[HMAC-MD5]中對MD5的優
缺點進行了細致的討論。
致謝
本文的完成很大程度地基于HugoKrawczyk.寫的文章，使用的格式來源于WilliamSimpson和
Perry的文章，重復性攻擊保護直接引自JimHughes的文章。
參考文獻
[RFC-1825]Atkinson,R.,"SecurityArchitecturefortheInternet
Protocol",RFC1852,NavalResearchLaboratory,
July1995.
[RFC-1826]Atkinson,R.,"IPAuthenticationHeader",
RFC1826,August1995.
[RFC-1828]Metzger,P.,andW.Simpson,"IPAuthenticationusing
KeyedMD5",RFC1828,August1995.
[RFC-1321]Rivest,R.,"TheMD5Message-DigestAlgorithm",
RFC1321,April1992.
[HMAC-MD5]Krawczyk,H.,Bellare,M.,andR.Canetti,
"HMAC:Keyed-HashingforMessageAuthentication",
RFC2104,February1997.
[ESP-DES-MD5]Hughes,J.,"CombinedDES-CBC,MD5,andReplay
PreventionSecurityTransform",WorkinProgress.
作者地址
MichaelJ.Oehler
NationalSecurityAgency
Atn:R23,INFOSECResearchandDevelopment
9800SavageRoad
FortMeade,MD20755
EMail:mjo@tycho.ncsc.mil
RobertGlenn
NIST
Building820,Room455
Gaithersburg,MD20899
EMail:rob.glenn@nist.gov