消息認證包含以下三方面含義。

1.對消息內容的認證。消息在傳送過程中可能出現差錯或被篡改、偽造,顺利获得完整性驗證,可確保消息內容的真實性。

2.對消息來源的認證。攻擊者可能偽裝成發送者,發出假冒消息,可顺利获得使用雙方的共享密鑰,確保發送者就是其聲稱的合法用戶。

3.對消息時效性的認證。消息在傳送過程中可能被重傳或延遲,可顺利获得消息認證驗證消息發送的先後順序以及是否實時發送。

從消息認證的含義可看出,消息認證既可對消息內容本身認證,也可對消息的數據源進行認證,那麼消息認證與數字簽名有何不同呢?數字簽名是用發送者的私鑰對消息或消息的摘要值加密的結果,它代表發送者的身份。而消息認證是用發送者與接收者所共享的密鑰來處理消息的結果,它雖然能夠證明消息不是第三者所為,但是不能抵制發送者與接收者兩人之間互相抵賴的情況,因此它只能用來作為認證消息的代碼,而不是唯一代表發信人憑據的簽名。

消息認證的實質是:發送者顺利获得雙方協商的某種函數(如Hash函數),以待發消息作為輸入經過函數變換產生消息認證碼,該認證碼對於要保護的消息來說是唯一的,它與原始消息一起在公開信道上傳送;接收者收到消息後,使用相同的函數對收到的消息再次計算,也得到一個消息認證碼。如果兩個消息認證碼相同，則說明消息是合法可信的。消息在認證過程中沒有第三方參與,只在通信雙方之間進行,消息認證用來驗證消息的完整性。

MAC可用做認證符,也稱為密碼校驗和。例如通信雙方A和B共享一密鑰K,設發送者A欲發送給接收者B的消息是M,A第一时间計算MAC=Ck(M),其中Ck(·)是密鑰控制的公開函數,它類似於Hash函數,是不可逆的壓縮函數。然後A向B發送M‖MAC,B收到後做與A相同的計算求得一新MAC’,並將收到的MAC與計算得出的MAC’進行比較,如果兩者相同,B就可以確認收到的消息是合法的,接受該消息,否則拒絕。