随着信息产业的快速发展,人们对信息安全的要求越来越高,特别是随着电子商务的兴起,使得信息的加密、认证以及安全传输等变得尤为重要。消息认证码(Message Authentication Code,简称MAC码)是保证消息完整性和进行数据源认证的基本算法,它将密钥和任意长度的消息作为输入,输出-个固定长度的“数字指纹”,使验证者能够校验消息的发送者,以及消息传输过程中的完整性。消息认证码主要有三种构造方法——基于分组密码、杂凑函数或者泛杂凑函数族。基于杂凑函数的MAC被广泛应用于各种安全协议中,如IPSec、SSL/TLS、SSH、SNMP等,所以消息认证码又被称为带密钥的杂凑函数。HMAC是目前使用最广泛的消息认证码之一。HMAC使用一个密钥,利用两个常量opad和ipad,通过密钥压缩运算得到内部密钥和外部密钥,即在计算MAC值时需两次访问种子密钥,为密钥管理带来不便。H2-MAC通过直接利用杂凑函数的初始IV代替外部密钥解决了这个问题。H2-MAC是Kan Yasuda在ISC2009上提出的一种新型MAC结构,与HMAC目比,只访问一次密钥,更易于算法实现及密钥管理。在导师的悉心指导下,本论文对基于SHA-1的H2-MAC码的安全性进行分析,并有如下结果：由于H2-MAC将HMAC结构的外部密钥用常数代替,一旦内部密钥经过杂凑函数的值,即等价密钥泄露,就可以进行一般性伪造攻击,带来安全隐患。本文首次给出基于缩减到61(20-80)步SHA-1的H2-MAC的一般性伪造攻击。首先构造H2-MAC-SHA-1区分器,利用区分器和比特探测技术,恢复中间链接变量,即等价密钥,最后进行一般性伪造攻击。在不知道密钥的前提下,攻击者可伪造任意消息M的合法MAC值,攻击的复杂度为286次MAC查询,远低于一般性伪造攻击的理想复杂度,成功率是0.815。同时,给出了基于缩减到53(20-72)步SHA-1的H2-MAC的密钥恢复攻击和一般性伪造攻击,复杂度是299的MAC询问。最后,指出基于缩减轮数的的LPMAC-SHA-1区分攻击中存在的问题,并进行改正。