近期，信息学院沈耀斌副教授课题组的研究成果《Security Analysis of NIST Key Derivation Using Pseudorandom Functions》被国际密码学会会刊《Journal of Cryptology》（JoC）录用。JoC 是国际密码学会主办的密码学领域顶尖学术期刊，刊发标准严格，重点收录能够显著推动密码学研究进展、具有重要学术影响的高水平论文。该期刊创刊39年以来，年均发文量不足22篇，以中国大陆为第一单位发表的论文迄今为止不足25篇论文。该研究是厦门大学首篇、也是福建省首篇被JoC录用的论文。

密钥派生函数（Key Derivation Function, KDF）是支撑现代信息系统密钥管理的重要基础密码组件，可将一个主密钥扩展并派生为一个或多个满足特定长度要求的密钥材料，广泛应用于TLS、IPsec等国际主流通信协议中。美国国家标准与技术研究院（NIST）在SP 800-108标准中规范了多款基于伪随机函数的KDF。理论上，安全的KDF不仅应满足可变输出长度伪随机函数的基本安全属性，还应具备上下文绑定与密钥控制等高级安全性质。然而，尽管NIST SP 800-108中的KDF方案已被广泛采用，相关标准此前仍缺乏系统的形式化安全性分析。针对这一问题，本研究将密钥控制安全性、上下文绑定安全性分别刻画为抗原像性和抗碰撞性，并对NIST SP 800-108r1-upd1中基于CMAC、HMAC的多种可变长度输出KDF 模式，包括计数器模式、反馈模式和双管道模式，开展了系统安全性分析；同时，研究还进一步覆盖了NIST修复密钥控制安全性问题之前的基于CMAC的KDF，以及基于KMAC的KDF。

NIST SP 800-108 KDF安全性总结

分析结果表明，基于CMAC的KDF中，反馈模式和双管道模式能够同时满足可变输出伪随机性、抗原像性和抗碰撞性，而计数器模式存在常数时间碰撞攻击；基于HMAC的三种KDF模式均具备可变输出伪随机函数安全性，在不允许可变长度主密钥时满足抗碰撞性和抗原像性，但在允许可变长度主密钥时存在碰撞攻击。此外，研究还证明，修复前双管道模式下CMAC的KDF仍可实现抗原像性和抗碰撞性，基于KMAC的KDF也具备上述三类安全性。该研究系统理清了NIST SP 800-108标准中KDF的安全边界，为相关标准化算法的安全使用提供了理论依据和有力支撑。

该成果由厦门大学与上海交通大学合作完成，沈耀斌为第一作者，厦门大学为第一单位。