消息认证码的原理与实现

老牛浏览 724评论 0发表于 7 年前

1. 简介

在信息安全领域中，常见的信息保护手段大致可以分为保密和认证两大类。目前的认证技术有对用户的认证和对消息的认证两种方式。用户认证用于鉴别用户的身份是否是合法用户；消息认证就是验证所收到的消息确实是来自真实的发送方且未被修改的消息，也可以验证消息的顺序和及时性。

消息认证实际上是对消息本身产生的一个冗余的信息 —— MAC（消息认证码），消息认证码是利用密钥对要认证的消息产生新的数据块并对数据块加密生成的。它对于要保护的信息来说是唯一和一一对应的。因此可以有效的保护消息的完整性，以及实现发送方消息的不可抵赖和不能伪造。

消息认证码的安全性取决于两点：

采用的加密算法，所谓的数字签名。即利用公钥加密算法（不对称密钥）对块加密，以保证消息的不可抵赖和完整性。
待加密数据块的生成方法，本文讨论以数据块生成方法为主。

2. 消息认证码

实现消息认证码可以有多重途径，本文提出了校验码方案，并讨论和实现了消息摘要方案。校验码是数据通信中经常用到的差错控制手段，稍加扩充实际上也可以作为认证码。消息摘要方案是利用目前广泛应用的单向散列函数（Hash 函数）生成 Hash 值来作为认证码。

2.1 校验码方案

校验码是差错控制中的检错方法，数据通信中的噪声使得传输的比特值改变，用校验码可以检测出来，同样道理，一些人为造成的比特值的改变，使用差错控制也是可以检测的。其实现方案是将校验码作为应用层的数据传输，在消息发送时，使用选定的校验码方案对将要发送的消息产生冗余的码值，对该码值加密处理并随消息一并发送，接收方对数据先解密后校验。如果解密的码值和产生的码值一致，则可以证实该消息来自可信赖的发送方，且未被修改。一旦消息被中途截获并篡改，那么消息与解密的校验码就不能一一对应。

通常使用的校验码方案有奇偶校验、循环冗余校验、行列冗余校验，它们产生冗余码的方式不一样，其冗余码长度随着消息长度改变而改变。加密的方法基本上有对称和非对称之分，主流加密方法有 DES、AES 和 RSA 等。将校验码用于消息认证有实现简单、检测能力强的特点，同时由于它的不定长特点为穷举攻击带来了一定的难度，可以适用于抗弱碰撞的环境。

2.2 消息摘要方案

消息摘要方案利用单向散列函数将任意长度的消息全文作为输入，将压缩到某一固定长度的哈希值即消息摘要，或称为“数字指纹”作为输出，因此被称为消息摘要。这种消息认证码方案已广泛应用于数字签名，虚拟专网等。作为消息认证码的一种变形，消息摘要的运算过程不需要加密算法的参与，其实现的关键是所采用的单向散列函数是否有良好的抗碰撞性。Hash 函数值是所有消息位的函数，具有错误检测的能力，经过函数处理，原始信息即使只更改一个字母，对应的压缩信息也会变为截然不同的摘要，这就保证了经过处理信息的唯一性，为电子商务等提供了数字认证的可能。

Hash 函数值可由如下形式的函数表示：h = H (M)

现在的通用算法有 MD5， SHA1， SHA-256等。基本过程是对消息原文分组，附加填充位，附加长度，然后以 512 位数据块位单位处理消息，用压缩函数模块进行 4 次循环，每次循环包括多个处理步骤并且每次循环的函数都不一样，最后才生成消息摘要。它们的区别在于计算过程中使用的填充方法、基本函数、初始向量和运算步数的不同。

3. 消息摘要实现

基于运算速度，安全性和强碰撞性的考虑，对现用的方法简化，其具体实现步骤如下：

预处理；将消息划分为 512 位的分组，最后一个分组补以填充位，该填充位是以 1 开头，后面为 0 的比特值。
初始化 4 个链接向量，该链接向量将存放在寄存器中，因此可以加快运算速度。
进入主循环，循环次数为消息长度除以 512，便于每次循环处理一个 512 位的值，每轮循环大致有 3 个阶段，循环输入是当前处理的分组和链接向量。
- 第一阶段：初始变量拷贝到中间变量。
- 第二阶段：分 4 轮实现，每一轮取 4 个变量中的 3 个进行异或操作，操作结果与分组相加并循环移位。
- 第三阶段：生成结果更新中间变量。
散列值生成，处理完以后，更新后的向量级联即成为 hash 值输出。

本消息摘要的实现能够体现出该 hash 函数的特点：