1 范圍

      GB/T 15852的本部分規定了4種采用泛雜湊函數的消息鑒別碼算法：UMAC、Badger、Poly1305和GMAC。這些算法基于GB/T33133.1-2016中規定的序列密碼算法和GB/T 32907-2016中規定的分組密碼算法，或符合國家規定的其他序列密碼算法和分組密碼算法，使用一個密鑰和一個泛雜湊函數處理一個長度為m位的比特串，輸出一個長度為n位的比特串作為MAC。

      本部分適用于安全體系結構、進程及應用的安全服務。這些算法可以作為數據完整性機制，用于檢驗數據是否在未經授權的方式下被更改。也可以作為消息鑒別機制，確保消息來自于擁有密鑰的實體。數據完整性機制和消息鑒別機制的強度由以下指標決定：密鑰的長度（按比特）與保密性、泛雜湊函數產生的雜湊碼的長度（按比特）、泛雜湊函數的強度、MAC的長度（按比特），以及具體的機制。

注：提供完整性服務的一般框架在ISO/IEC 10181-6[1]中指定。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 15852.1-2008 信息技術 安全技術 消息鑒別碼 第1部分：采用分組密碼的機制(ISO/IEC 9797-1:1999,IDT)

      GB/T 32907-2016 信息安全技術 SM4分組密碼算法

      GB/T 33133.1-2016 信息安全技術 祖沖之序列密碼算法 第1部分：算法描述

      GB/T 36624-2018 信息技術 安全技術 可鑒別的加密機制

3 術語和定義

      GB/T 15852.1-2008界定的以及下列術語和定義適用于本文件。

3.1

      空串 empty string

      長度為零的比特串。

3.2

      臨時值 nonce

      使用一次的值，用于向MAC算法提供新鮮輸入。

3.3

      標簽 tag

      MAC算法的結果，附加一個可能的加密消息以提供完整性保護。

3.4

      泛雜湊函數 universal hash-function

      由密鑰確立的映射，將一定范圍內任意長比特串映射到定長比特串，滿足：對于所有不同的輸入，其輸出在密鑰均勻隨機的前提下發生碰撞的概率極小。

      注：泛雜湊函數由Carter和 Wegman 提出出 ，其在MAC算法中的應用最早由Wegman和Carter 描述^［11］。

4 符號和縮略語

4.1 符號

      下列符號適用于本文件。

      bit(S,n) 若比特串S的第n個比特是1則輸出整數1，否則輸出整數0（索引從1開始）

      bitlength(S) 比特串S的比特長度

      bitstr2uint(S) 一個非負整數，其二進制表示為比特串S。形式化地，若S的長度為t比特，則bbitstr2uint(S)=2-1*bit(S,1)+2-2*bit(S,t)

      注1：比特串是以高位順序排列的，也就是說，第一個比特為最高位。

      blocklen 底層分組密碼的分組長度（按字節計）

      ceil 向上取整操作，也就是說，若x是一個浮點數，則 ceil(x)是滿足 n≥x的最小的整數n

      Enc(K,X) 明文分組X在密鑰K的作用下通過分組密碼Enc進行加密

      floor 向下取整操作，也就是說，若x是一個浮點數，則 floor(x)是滿足 n≤x的最大的整數n

      H 雜湊值

      K 主密鑰

      Kg 加密密鑰

      KH 雜湊密鑰

      keylen 分組密碼的密鑰長度（按字節計）

      log2 二進制對數函數

      M 消息

      max 指定參數中的最大值

      N 臨時值

      octetlength(S) 比特串S按字節計的長度（假定S的比特長度是8的倍數）

      octetstr2uint(S) 定義為 S[0]+2⁸*S[1]+2¹⁶*S[2]+···+2^8n-8*S[n-1]的非負整數，其中 n=octetlengtth(S)

      注2：字節串是以低位順序排列的，即第一個字節為最低位

      prime(n) 對任意正整數n，小于2ⁿ的最大素數值

      注3：本部分使用的素數如表1所示。

表1 素數值

      S[i] 比特串S的第i個字節（索引從0開始）

      注4：6.2中關于UMAC的條款使用了一個起始為1而不是0的索引。

      S[i…j] 由S的第i個到第j個字節組成的子串

      taglen  標簽的字節長度

      uint2bitstr(x,n) 長度為n的字節串S，滿足 bitstr2uint(S)=x

      uint2octetstr(x,n) 長度為n的字節串S，滿足 x=octetstr2uint((S)

      X|s 比特分組X的左截斷：若X的比特長度大于或等于s，則X ，是由X最左側的s個比特組成的長度為s位的比特分組

      X|s 比特分組X的右截斷：若X的比特長度大于或等于s，則X 是由X最右側的s個比特組成的長度為s位的比特分組

      X >>1比特分組X右移一位：Y=X>>1最左側的比特恒為0

      |X| X的比特長度

      zeropad(S,n)

      對于非負整數n，用零比特對比特串S進行填充，直到其長度是最接近的n個字節的整數倍。形式化地， ropad(S,n)=S||T ，其中T是滿足S||T非空并且n可以整除 octetlength（S||T）的最短的零比特串（T可能為空）

      ⊕ 比特串的比特級邏輯異或運算。若A，B是長度相等的比特串，則表示A和B的比特級邏輯異或所形成的比特串

      ∧比特串的比特級邏輯與運算。若A，B是長度相等的比特串，則A∧B表示A和B的比特級邏輯與所形成的比特串

      +₃₂ 兩個32位的比特串的加法運算，得到一個32位的比特串。形式化地，S+₃₂T=uint2bitstr(bitstr2uint(S)+bitstr2uint(T)mod2³²,4)

      +₆₄ 兩個64位的比特串的加法運算，得到一個64位的比特串。形式化地，S+₆₄T=uint2bitstr(bitstr2uint(S)+bitstr2uint(T)mod2⁶⁴,8)

      * 整數的乘法運算

      *64 兩個64位的比特串的乘法運算，得到一個64位的比特串。形式化地，S*₆₄T=uint2bitstr(bitstr2uint(S) *bitstr2uint(T)mod2⁶⁴,8)

      注5:+32,+64和 運算與在現代計算機上可以高效執行的加法和乘法運算有著很好的對應。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。