《信息技术 安全技术 消息鉴别码 第1部分：采用分组密码的机制-编制说明》

一、工作简况

1.1任务来源

根据全国信息安全标准化技术委员会2018年7月下发的国家标准制定任务，

GB/T15852.1《信息技术安全技术消息鉴别码第1部分：采用分组密码的机

制》修订项目正式获得国标委标准修订立项，国标计划号为：2018BZXD-WG4-002。

该项修订工作由全国信息安全标准化技术委员会归口管理，由中国科学院软件研

究所负责承办。

1.2主要起草单位和工作组成员

中国科学院软件研究所主要负责起草，成都卫士通信息产业股份有限公司、

桂林电子科技大学、国家密码管理局商用密码检测中心共同参与了该标准的起草

工作。吴文玲、眭晗、张立廷、张蕾、韦永壮、毛颖颖、郑雅菲、涂彬彬、刘仁

章、丁勇、王玉珏、张众等为主要起草人。

1.3主要工作过程

2018年7月，编制组成员在对本标准进行深入的需求分析的基础上，全面

学习掌握所修改采用的国际标准ISO/IEC9797-1:2011，以此作为GB/T15852.1

修订工作的重要参考，并对后期工作做出计划安排和分工。

2018年8月，编制组充分调研GB/T15852.1-2008中的6个算法的分析与

应用现状，参考国际标准ISO/IEC9797-1:2011的修订情况，讨论决定删除原标

准中的MAC算法5和6，增加四个新的算法OMAC1、LMAC、TrCBC和CBCR0，并归

纳形成统一的算法模型。

2018年9月，编制组进一步完善标准文本，修改文本说明，采用国家标准

GB/T32907-2016中规定的SM4分组密码算法生成相应的MAC算法的测试向量，

并在附录B中补充完善算法的安全性说明，最终形成标准草案，于2018年9月

提交信安标委WG4工作组征求意见。

2018年10月18日，编制组成员眭晗在北京参加WG4工作组组织的专家评

审会，根据专家意见更新标准文本。

2018年10月24日，编制组成员眭晗、张立廷参加信安标委2018年第二次

工作组会议周；眭晗在WG4工作组会议上汇报了标准修订工作情况，经WG4工作

组内投票决议本标准形成征求意见稿。

1

2018年11月18日，根据专家审查提出的意见，编制组对标准文本进行修

改完善。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准修订原则

本次标准修订以国际标准ISO/IEC9797-1:2011为依据，结合行业应用情况

和理论研究分析进展，更新原标准中的MAC算法，增加性能良好的我国自主研制

的MAC算法；将底层的分组密码算法由国际标准ISO/IEC18033-3中的密码算法

替换为符合国家管理要求的密码算法；相应地修改文本说明，扩展算法模型，更

新测试向量与算法安全性说明。

2.2主要修订内容及确定修订内容的依据

本部分修改采用国际标准ISO/IEC9797-1:2011《InformationTechnology

–SecurityTechniques–MessageAuthenticationCodes(MACs)–Part1:

Mechanismsusingablockcipher》，同时是对国家标准GB/T15852.1-2008

《信息技术安全技术消息鉴别码第1部分：采用分组密码的机制》（等同采

用ISO/IEC9797-1:1999）的修订。

本部分修订的主要内容及依据包括如下几个方面：

1）更新原标准中的算法

保留MAC算法1、2、3和4，删除GB/T15852.1-2008中的MAC算法5和6，

增加两个新算法OMAC1和LMAC作为新的MAC算法5和6。

根据密码理论研究成果，ISO/IEC9797-1:1999中的MAC算法5和6获得的

额外安全强度低于预期，因此ISO/IEC9797-1:2011删除了这两个算法，替换为

OMAC1和LMAC。其中，OMAC1仅需要一次分组密码密钥设置，但需要一个较长的

中间密钥；相较于MAC算法1具有更高的安全性，相较于MAC算法2、3和4降

低了密钥量和分组密码调用次数，具有更好的实现性能。LMAC是MAC算法2的

可选变种，减少了一次分组密码调用。

本部分参考使用了ISO/IEC9797-1:2011的修订策略，用OMAC1和LMAC替

换掉原有的MAC算法5和6。

2）增加自主研发算法

增加我国自主研发的两个新算法TrCBC和CBCR0作为MAC算法7和8。

2

TrCBC和CBCR0均是我国自主研发的采用分组密码的MAC算法，分别提出于

2012年和2011年，安全性具有可证明安全理论的保障。TrCBC在MAC算法1的

基础上修改了截断操作以提高算法的安全性，当MAC值的长度小于分组长度的

1/2时具有可证明安全性。CBCR0在最终迭代步骤中采用循环移位操作，与MAC

算法5具有相同的安全性。

TrCBC和CBCR0在提出时，设计者给出了安全性分析并给出了算法的可证明

安全界。同时，近几年相关的密码理论研究成果也佐证了该可证明安全界的正确

性，包括：CRYPTO2015中Gai等论证了截断CBC的安全性并给出了紧致的安

全界，印证了TrCBC的安全性分ž析；FSE2009中Nandi提出的GCBC框架，统一

给出了CBCR0通用结构的安全界。此外，CBCR0在最终迭代步骤中采用循环移位

操作，也被借鉴用于可鉴别加密CLOC的设计（FSE2014）。

TrCBC和CBCR0仅使用一个密钥，其密钥即为分组密码密钥，无须进行密钥

诱导或存储额外的密钥，可以达到最优的存储空间，存储空间需求低于MAC算法

2、3、4、5、6；采用填充方法4，填充长度达到最优；并且具有可证明安全性。

相较于ISO/IEC9797-1中的算法，TrCBC和CBCR0在安全性、实现性能等方面

具有一定的优势，因此选择纳入本部分。

3）扩展MAC算法的模型

融合ISO/IEC9797-1:2011和ISO/IEC9797-1:1999中的一般模型，将MAC

算法的模型扩展为八步操作，包括密钥诱导（可选）、消息填充、数据分割、初

始变换、迭代应用分组密码、最终迭代、输出变换和截断操作，并增加了初始变

换3、最终迭代4、截断操作2。

ISO/IEC9797-1:1999中MAC算法的模型包含消息填充、数据分割、初始变

换、迭代应用分组密码、输出变换和截断操作共六步操作。ISO/IEC9797-1:2011

将模型修改为七步操作，增加了密钥诱导（可选）、最终迭代，删除了初始变换，

将初始变换视为迭代应用分组密码操作的一部分。然而，删除了初始变换的模型

并不适用于MAC算法4，该算法在迭代的初始阶段与其他阶段不同，模型的适用

性较差。因此，本部分融合了ISO/IEC9797-1中MAC算法的模型，形成了包含

八步操作的一般模型，适用于本部分推荐的所有MAC算法。

对应于新增加的MAC算法7，本部分对截断操作的方法进行了扩展，将原截

断操作命名为截断操作1，并增加了截断操作2，以适应于MAC算法7的设计。

3

对应于新增加的MAC算法8，本部分增加了初始变换3和最终迭代4。

4）替换底层分组密码

将底层分组密码替换为我国SM4分组密码，并相应地修改了测试向量。

ISO/IEC9797-1:2011中指定采用ISO/IEC18033-3中的分组密码作为MAC

算法的底层分组密码。在分析验证了融合SM4分组密码不会降低算法安全性的基

础上，本部分指定以GB/T32907的SM4分组密码算法作为采用分组密码的MAC

算法的底层分组密码。相应地，根据SM4分组密码的参数特点重新选择了测试用

的密钥和数据比特串，使得密钥长度满足SM4分组密码的密钥长度、数据比特串

1和数据比特串2在填充后可以体现出不同填充方法之间的区别，并给出了完整

的MAC算法的测试向量。

5）删除存在异议的方法

删除了附录中获得高安全强度的MAC算法的方法及建议。

ISO/IEC9797-1:1999中的MAC算法5使用两个并行的MAC算法1，分别得

到两个中间量MAC1和MAC2，将MAC1与MAC2的异或值作为MAC值。这一算法以

两倍于MAC算法1的实现代价期望获得额外的高安全性，然而在采用填充方法1

或2时，存在生日伪造攻击。ISO/IEC9797-1:2011删除了这一算法和采用类似

方法得到的MAC算法6，并建议在需要高安全强度的MAC算法时，可以使用相互

独立的密钥执行两个MAC的计算并将结果连接起来（而不是异或）。然而这个建

议是错误的，经过理论分析，将两个MAC值连接并不能够一定得到高安全强度的

MAC算法。因此，本部分删去了这种获得高安全强度的MAC算法的方法及建议，

避免引起误导。

本部分与ISO/IEC9797-1:2011相比，主要变化如下：

——本部分在前言中，指出增加了MAC算法7和8，将ISO/IEC18033-3中

指定的密码算法替换为GB/T32907-2016《信息安全技术SM4分组密码算法》中

的分组密码算法SM4，并在资料性附录中列举了采用SM4的消息鉴别码算法所生

成的测试向量；

——本部分在引言中，增加了对MAC算法7和8的介绍；声明凡涉及到采用

密码技术解决机密性、完整性、真实性、不可否认性需求的须遵循密码相关国家

标准和行业标准；

4

——本部分在第1章中，删除了密钥管理机制和对象标识符的说明；

——本部分在第2章中，增加规范性引用文件GB/T9387.2-1995《信息处

理系统开放系统互联基本参考模型第2部分：安全体系结构》、GB/T

15843.1-2017《信息技术安全技术实体鉴别第1部分：概述》和GB/T

17964-2008《信息安全技术分组密码算法的工作模式》，替换ISO/IEC18033-3

为GB/T32907-2016《信息安全技术SM4分组密码算法》；

——本部分在第3章中，调整了条目顺序，按照术语的英文首字母进行排序；

——本部分在第4章中，增加符号I、LSBj(X)、、，以及相应的说明；

增加缩略语部分，给出MAC、CTR、CBC的说明；

——本部分在第5章中，修改标题“要求”为“用户要求”；修改用户选择

密钥诱导方法的要求，增加MAC算法7的参数要求；删除管理密钥、泄露中间状

态对安全性影响的说明；

——本部分在第6章中，扩展模型为八步操作并修改了相应的标号及描述，

按照扩展后的模型修改“MAC算法模型”图；增加初始变换3、最终迭代4、截

断操作2，给出相应的说明；

——本部分在第7章中，增加了MAC算法7和8，给出算法的说明及图示；

修改了MAC算法4的描述，将“分组密码密钥K和K'用于输出变换2”改为“分

组密码密钥K'用于输出变换2”，修正错误描述。

——本部分删除了ISO/IEC9797-1:2011中附录A关于对象标识符的描述，

主要依据为目前国内尚未注册国家标准15852系列的OID，无法编写相应的对象

标识符描述；

——本部分的附录A为测试向量，对应于ISO/IEC9797-1:2011中的附录B，

根据SM4分组密码的参数修改了测试向量；增加了MAC算法7和8的测试向量；

——本部分的附录B为安全性说明，对应于ISO/IEC9797-1:2011中的附录

C，删除了获得高安全强度的MAC算法的方法，增加了MAC算法7和8的安全性

说明、算法的特性、安全强度估计，修改了表B.1中序号为1.2的算法效率；

——本部分的参考文献增加了MAC算法7和8的参考文献[28]和[29]。

三、主要试验（验证）情况分析

在生成测试向量的过程中，严格按照标准文本中的算法描述，首先实现了

5

ISO/IEC9797-1:2011中的MAC算法代码，并规定了对接DES、AES的接口。通

过对比ISO/IEC9797-1:2011中附录B的测试向量确保了该实现过程的正确性。

其次根据算法描述完成新增的MAC算法和SM4算法的代码实现，多方验证以确保

实现过程的正确性。最后，使用SM4代码替换了AES算法代码生成测试向量。接

口的重新对接保证了MAC算法和DES、AES、SM4算法的代码互不干扰，确保了最

终测试向量的正确性。

四、知识产权情况说明

无

五、产业化情况、推广应用论证和预期达到的经济效果

无

六、采用国际标准和国外先进标准情况

ISO/IEC9797-1:2011为ISO正在应用的采用分组密码的MAC算法标准，2016

年通过重审。本部分在ISO/IEC9797-1:2011的基础上增加了两个我国自主研发

的MAC算法，与我国SM4分组密码算法相结合，构成了适用于我国密码管理要求

的采用分组密码的MAC算法。这些MAC算法的实现性能、安全强度与国际水平相

当。

七、与相关法律、法规、规章及相关标准的协调性

本标准的修订工作与目前国家开展的信息系统安全工作紧密相关，本标准符

合现有法律法规，是国家标准GB/T15852系列的第一部分,与GB/T15852.2、

GB/T15852.3互为姊妹篇。本部分在编制过程中，查阅了《中华人民共和国电

子签名法》等相关法规，确保本部分的内容遵守相关法律规定；同时查阅了GB/T

1585