文章总结: 厦门大学沈耀斌副教授课题组在JournalofCryptology发表论文,系统分析了NISTSP800-108标准中基于CMAC和HMAC的密钥派生函数安全性。研究发现计数器模式存在常数时间碰撞攻击,而反馈和双管道模式安全。该成果理清了KDF安全边界,为标准化算法安全使用提供理论依据。 综合评分: 70 文章分类: 漏洞分析,技术标准,安全建设
厦门大学沈耀斌副教授课题组成果被Journal of Cryptology录用
信息网络安全杂志
2026年7月8日 12:00 上海
在小说阅读器读本章
去阅读
近期,厦门大学信息学院沈耀斌副教授课题组的研究成果“Security Analysis of NIST Key Derivation Using Pseudorandom Functions”被国际密码学会会刊《Journal of Cryptology》(JoC)录用。JoC 是国际密码学会主办的密码学领域头部学术期刊,刊发标准严格,重点收录能够显著推动密码学研究进展、具有重要学术影响的高水平论文。该期刊创刊39年以来,年均发文量不足22篇,以中国大陆为第一单位发表的论文迄今为止不足25篇论文。该研究是厦门大学首篇、也是福建省首篇被JoC录用的论文。
密钥派生函数(Key Derivation Function, KDF)是支撑现代信息系统密钥管理的重要基础密码组件,可将一个主密钥扩展并派生为一个或多个满足特定长度要求的密钥材料,广泛应用于TLS、IPsec等国际主流通信协议中。美国国家标准与技术研究院(NIST)在SP 800-108标准中规范了多款基于伪随机函数的KDF。理论上,安全的KDF不仅应满足可变输出长度伪随机函数的基本安全属性,还应具备上下文绑定与密钥控制等高级安全性质。然而,尽管NIST SP 800-108中的KDF方案已被广泛采用,相关标准此前仍缺乏系统的形式化安全性分析。针对这一问题,本研究将密钥控制安全性、上下文绑定安全性分别刻画为抗原像性和抗碰撞性,并对NIST SP 800-108r1-upd1中基于CMAC、HMAC的多种可变长度输出KDF 模式,包括计数器模式、反馈模式和双管道模式,开展了系统安全性分析;同时,研究还进一步覆盖了NIST修复密钥控制安全性问题之前的基于CMAC的KDF,以及基于KMAC的KDF。
NIST SP 800-108 KDF安全性总结
分析结果表明,基于CMAC的KDF中,反馈模式和双管道模式能够同时满足可变输出伪随机性、抗原像性和抗碰撞性,而计数器模式存在常数时间碰撞攻击;基于HMAC的三种KDF模式均具备可变输出伪随机函数安全性,在不允许可变长度主密钥时满足抗碰撞性和抗原像性,但在允许可变长度主密钥时存在碰撞攻击。此外,研究还证明,修复前双管道模式下CMAC的KDF仍可实现抗原像性和抗碰撞性,基于KMAC的KDF也具备上述三类安全性。该研究系统理清了NIST SP 800-108标准中KDF的安全边界,为相关标准化算法的安全使用提供了理论依据和有力支撑。
该成果由厦门大学与上海交通大学合作完成,沈耀斌为第一作者,厦门大学为第一单位。
来源:厦大信息公众号
信息网络安全
《信息网络安全》创刊于2001年,是由公安部主管,公安部第三研究所、中国计算机学会主办,面向国内外公开发行的国内首批信息安全类期刊之一,于2015年成为中国科技核心期刊,2017年成为中国科学引文数据库来源期刊,2018年成为中文核心期刊,2022年入选CCF计算领域高质量科技期刊分级目录。
中文核心期刊
中国科技核心期刊
中国科学引文数据库来源期刊
CCF计算领域高质量科技期刊
我们在不断努力和完善中,期待您的关注和支持!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:信息网络安全杂志 《厦门大学沈耀斌副教授课题组成果被Journal of Cryptology录用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论