組織：中國互動出版網(wǎng)（http://www.china-pub.com/）
RFC文檔中文翻譯計(jì)劃（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
譯者  wangh（Javen_wang  ykilyfe@china.com）
譯文發(fā)布時(shí)間：2001-7-1
版權(quán)：本中文翻譯文檔版權(quán)歸中國互動出版網(wǎng)所有。可以用于非商業(yè)用途自由轉(zhuǎn)載，但必須
保留本文檔的翻譯及版權(quán)信息。

Network Working Group                                          C. Madson
Request for Comments: 2403                            Cisco Systems Inc.
Category: Standards Track                                       R. Glenn
                                                                    NIST
                                                           November 1998

在ESP和AH中使用HMAC-MD5-96
(RFC2403 The Use of HMAC-MD5-96 within ESP and AH)

本備忘錄狀態(tài)
   本文檔講述了一種Internet通信的標(biāo)準(zhǔn)Internet跟蹤協(xié)議,并對其改進(jìn)提出了討論和建議。
請參考最新版本的"Internet Official Protocol Standards" (STD 1) 來獲得本協(xié)議的標(biāo)準(zhǔn)化進(jìn)程
和狀態(tài)，此備忘錄的發(fā)布不受任何限制。

版權(quán)注意
   版權(quán)歸因特網(wǎng)協(xié)會所有，保留一切權(quán)利。

摘要
   本備忘錄描述了在修訂的IPSEC封裝安全凈荷協(xié)議（ESP）和IPSEC驗(yàn)證頭協(xié)議（AH）
中，使用和MD5算法[RFC-1321]關(guān)聯(lián)的HMAC算法[RFC-2104]作為驗(yàn)證機(jī)制。HMAC-MD5
提供數(shù)據(jù)源驗(yàn)證和完整性保護(hù)。
   關(guān)于運(yùn)行ESP和AH所需其他組件的更多信息由[Thayer97a]提供。
目錄
1、介紹	2
2、算法和模式	2
2.1 性能	3
3. 密鑰源	3
4. 與ESP密碼機(jī)制的互操作性	3
5. 安全考慮	4
6. 感謝	4
7. 參考	5
8. 編者地址	5
9.全部版權(quán)聲明	6


1、介紹
   本備忘錄描述了在封裝安全凈荷和驗(yàn)證頭中使用和HMAC[RFC-2104]相關(guān)聯(lián)的
MD5[RFC-1321]的鍵控驗(yàn)證機(jī)制。HMAC-MD5-96的目的是確保數(shù)據(jù)包是可信的而且在傳輸
過程中沒有被修改。
   HMAC是一種秘密的密鑰驗(yàn)證算法。HMAC提供的數(shù)據(jù)完整性和源身份驗(yàn)證完全取決于
秘密密鑰分配的范圍。如果只有發(fā)起者和接收者知道HMAC密鑰，那么這就對兩者間發(fā)送
的數(shù)據(jù)提供了源身份驗(yàn)證和完整
性保證。如果HMAC是正確的那就證明它一定是真正的發(fā)送者添加的。
    在本備忘錄中，HMAC-MD5-96被用在ESP和AH中。關(guān)于不同的ESP片（包括機(jī)密
性機(jī)制）是如何組合在一起提供安全服務(wù)的跟多信息，請參照[ESP] and [Thayer97a]。關(guān)于
AH的更多信息請參照[AH] and [Thayer97a]。
    本文檔中的關(guān)鍵字"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL 
NOT","SHOULD",
 "SHOULD NOT", "RECOMMENDED",  "MAY",和 "OPTIONAL"的解釋在[RFC-2119]中
有描述。

2、算法和模式
   
   [RFC-1321]描述了基本MD5算法，而[RFC-2104]描述了HMAC算法。HMAC算法為插
入象MD5這樣的各種散列算法提供了一種框架。

   HMAC-MD5-96在64位的數(shù)據(jù)塊上運(yùn)行。對填充的需要在[RFC-1321]中有描述而且填充
是MD5算法一部分。如果依照[RFC-1321]對MD5進(jìn)行構(gòu)建，那么相關(guān)的HMAC-MD5-96
就不需要添加任何額外的添充。對于在[AH]中定義的“固定包填充”不是必須的。
   
   HMAC-MD5-96產(chǎn)生128位的驗(yàn)證值。這128位值可以向在FRC 2104中描述的那樣刪
減。為了在SEP或AH中使用，被刪節(jié)的驗(yàn)證數(shù)據(jù)必須使用前部的96位。在發(fā)送端，這種
刪節(jié)了的數(shù)據(jù)存儲在驗(yàn)證區(qū)。在接收端，完全的128位值被計(jì)算出來，并和驗(yàn)證區(qū)的96位
值比較。HMAC-MD5-96不支持其它的驗(yàn)證值長度。

   選擇96位是因?yàn)檫@是[AH]中描述的默認(rèn)驗(yàn)證長度并且能滿足[RFC-2104]中對安全需要
的描述。

2.1 性能
 
   [Bellare96a]的聲明“（HMAC的性能本質(zhì)上就是根散列函數(shù)的性能”。[RFC-1810]提供了
一些在Internet協(xié)議中使用MD5的性能分析和推薦。但在它里面沒有HMAC或是
HMAC-MD5的性能分析。

   [RFC-2104]中概述了一種執(zhí)行修正，可以在不影響互操作性的前提下提高每個(gè)包的性能。

3. 密鑰源

   HMAC-MD5-96是一種秘密密鑰算法。在[RFC-2104]中沒有描述固定的密鑰長度，但為
了在ESP或AH中使用，固定的128位密鑰長度必須被支持。而其他不同于128位的密鑰
長度一定不被支持（也就是說HMAC-MD5-96只能使用128位密鑰）。根據(jù)[RFC-2104]的推
薦選擇128位密鑰長度（也就是說密鑰長度比驗(yàn)證值短會減弱安全的健壯性，而比驗(yàn)證值長
的也不會明顯的增強(qiáng)安全的健壯性）。

   [RFC-2104]討論了對密鑰源的需求，包括對健壯的隨機(jī)性的需求的討論。必須的128位
密鑰必須由一個(gè)健壯的偽隨機(jī)函數(shù)產(chǎn)生。

   在討論本文檔時(shí)，還沒有一種虛弱的密鑰在HMAC上使用。這不意味著暗示虛弱的密鑰
不存在。在某個(gè)意義上，如果一套HMAC使用的虛弱的密鑰被鑒別，那么這些虛弱密鑰的
使用必須被丟棄，然后發(fā)送重新安排密鑰或一次新的安全聯(lián)盟協(xié)商請求。

   當(dāng)一個(gè)單一的SA需要多個(gè)密鑰時(shí)（也就是說當(dāng)一個(gè)ESP SA需要一個(gè)加密密鑰和一個(gè)驗(yàn)
證密鑰），[ARCH]為獲得密鑰源描述了一個(gè)通用的機(jī)制。

   為了提供數(shù)據(jù)源驗(yàn)證，密鑰分配機(jī)制必須確保唯一的密鑰對被分配，而且只分配給通信
的參與者。

   [RFC-2104]對于密鑰的重新分配提出了以下建議。并不能因?yàn)楫?dāng)前的攻擊實(shí)際上是不可
行的就認(rèn)為這些攻擊并可以預(yù)示一個(gè)特殊的被推薦的密鑰使用時(shí)間。無論如何，定期的密鑰
更新是一種基本的安全習(xí)慣，這可以幫助抵抗函數(shù)和密鑰潛在的弱點(diǎn)，減少對于一個(gè)破譯者
的信息可用性，限制了由于密鑰暴露引起的危害。

4. 與ESP密碼機(jī)制的互操作性

   在寫作本文檔時(shí)，還沒有一種已知的出版物排除了HMAC-MD5-96算法和其它任何特殊
的密碼算法公用的可能。

5. 安全考慮

   HMAC-MD5-96提供的安全性依靠HMAC的健壯性，更少的使用頻度，MD5的健壯性。
[RFC-2104]主張HMAC不只是依靠健壯的抵抗沖突的性質(zhì)，考慮評估MD5的使用也是重要
的，在當(dāng)前的審查下已有的算法比最初所考慮的有更差的抗沖突性。在寫作本文檔時(shí)，還沒
有一種實(shí)際的密文攻擊可以攻破HMAC-MD5-96。

   [RFC-2104]聲明對于“最小合理的散列函數(shù)”和“生日攻擊”，這些最強(qiáng)的最HMAC的
攻擊是不實(shí)際的。對于一個(gè)進(jìn)行了HMAC-MD5-96運(yùn)算的64字節(jié)的數(shù)據(jù)塊，包括成功的處
理2**64個(gè)塊是不實(shí)際的，除非在處理2**30個(gè)塊后發(fā)現(xiàn)潛在的散列沖突。有弱抗沖突特性
的散列被認(rèn)為是不可用的。

   認(rèn)為被使用的MD5是不完善的鍵控散列算法也是重要的，HMAC有來自攻擊的標(biāo)準(zhǔn)。
當(dāng)在數(shù)據(jù)安全策略中使用MD5正在經(jīng)受再審議時(shí)，HMAC和MD5的組合算法已經(jīng)攔截了
對密文的詳細(xì)審查。

   [RFC-2104]也討論了由于結(jié)果散列的是刪節(jié)所帶來的潛在的附加安全問題。包括HMAC
的規(guī)范強(qiáng)烈推薦執(zhí)行這種散列刪節(jié)。

   正象[RFC-2104]為合并各種散列算法和HMAC提供了框架，使用其他算法象SHA-1取
代MD5是可能的。[RFC-2104]包含一個(gè)關(guān)于HMAC算法健壯性和虛弱性的詳細(xì)的討論。

   對于任何的密文算法，它的健壯性在于算法執(zhí)行的正確性，密鑰管理機(jī)制和它的執(zhí)行的
安全性，關(guān)聯(lián)的秘密密鑰的健壯性，各個(gè)參與系統(tǒng)執(zhí)行的正確性。[RFC-2202]包含測試向量
和實(shí)例代碼用于幫助核查HMAD-MD5-96代碼的正確性。

6. 感謝

   本文檔部分源于Jim Hughes先前的工作，和Jim一起為組合DES/CBC+HMAC-MD5 ESP
轉(zhuǎn)換工作的人們，ANX bakeoff的參與者和IPsec工作組的成員。

   我們也很高興感謝為本文檔中的一些特殊內(nèi)容提出意見和解釋的Hugo Krawczyk先生。

7. 參考

   [RFC-1321]   Rivest, R., "MD5 Digest Algorithm", RFC 1321, April
                1992.

   [RFC-2104]   Krawczyk, H., Bellare, M., and R. Canetti, "HMAC:
                Keyed-Hashing for Message Authentication", RFC 2104,
                February 1997.

   [RFC-1810]   Touch, J., "Report on MD5 Performance", RFC 1810, June
                1995.

   [Bellare96a] Bellare, M., Canetti, R., and H. Krawczyk, "Keying Hash
                Functions for Message Authentication", Advances in
                Cryptography, Crypto96 Proceeding, June 1996.

   [ARCH]       Kent, S., and R. Atkinson, "Security Architecture for
                the Internet Protocol", RFC 2401, November 1998.

   [ESP]        Kent, S., and R. Atkinson, "IP Encapsulating Security
                Payload", RFC 2406, November 1998.

   [AH]         Kent, S., and R. Atkinson, "IP Authentication Header",
                RFC 2402, November 1998.

   [Thayer97a]  Thayer, R., Doraswamy, N., and R. Glenn, "IP Security
                Document Roadmap", RFC 2411, November 1998.

   [RFC-2202]   Cheng, P., and R. Glenn, "Test Cases for HMAC-MD5 and
                HMAC-SHA-1", RFC 2202, March 1997.

   [RFC-2119]   Bradner, S., "Key words for use in RFCs to Indicate
                Requirement Levels", BCP 14, RFC 2119, March 1997.

8. 編者地址

   Cheryl Madson
   Cisco Systems, Inc.

   EMail: cmadson@cisco.com


   Rob Glenn
   NIST

   EMail: <rob.glenn@nist.gov>

    The IPsec working group can be contacted through the chairs:

   Robert Moskowitz
   ICSA

   EMail: rgm@icsa.net


   Ted T'so
   Massachusetts Institute of Technology

   EMail: tytso@mit.edu

9.全部版權(quán)聲明

   Copyright (C) The Internet Society (1998).  All Rights Reserved.

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
RFC2403——RFC2403 The Use of HMAC-MD5-96 within ESP and AH
                                                在ESP和AH中使用HMAC-MD5-96


7
RFC文檔中文翻譯計(jì)劃