基于复合域的SM4算法FPGA设计与实现_李俊榜.pdf-道客多多

资源描述

1、第43卷第1期桂林电子科技大学学报Vo l.43,No.1 2023年2月J o u r n a l o f G u i l i n U n i v e r s i t y o f E l e c t r o n i c T e c h n o l o g y Fe b.2023收稿日期:2021-04-28基金项目:广西青年创新人才科研专项(桂科AD20238082);广西大学生创新训练计划(202010595195,202010595138).通信作者:张润莲(1974-),女,副教授,博士,研

2、究方向为信息安全和分布式计算.E-ma i l:z h a ng r lgu e t.e du.c n引文格式:李俊榜,李金林,潘晟,等.基于复合域的SM4 算法FPGA 设计与实现J.桂林电子科技大学学报,2023,43(1):49-55.基于复合域的SM4算法FPGA设计与实现李俊榜,李金林,潘晟,梁家任,钟雪绮,张润莲(桂林电子科技大学广西密码学与信息安全重点实验室,广西桂林 541004)摘要:推广和应用

3、国密算法是加强我国信息安全的重要举措。提高密码算法的实现速度,降低其硬件实现成本,已成为实际应用中的迫切需求。该问题的解决方案之一是基于复合域的SM4算法FPGA硬件设计与实现。基于对S盒的复合域分解和电路优化,该方案降低了硬件逻辑门数;同时重构基于复合域的SM4算法硬件电路,并改进了轮常量和轮密钥的生成和存储方式,以降低硬件面积;设计

4、了数据通信模式,以实现上位机和FPGA之间的通信,并通过数据加解密为应用提供安全支持。仿真测试和软硬件实现证实了基于复合域的SM4算法FPGA硬件实现的正确性,同时提高了算法的吞吐量。综合评测结果表明,该方案具有更小的实现面积。关键词:SM4;S盒;复合域;仿射变换;FPGA中图分类号:TP393 文献标志码:A 文章编号:1673-808X(2023)01-0049-07T h e F P

5、G A d e s ign a n d i mpl e m e n t a t i o n o f S M 4 b a s e d o n c o mpo s i t e f i e l dLI J unb a ng,LI J i n l i n,PAN Sh e ng,LIANG J i a r e n,ZHONG Xu e q i,ZHANG Run l i a n(Gu a ngx i Ke y La bo r a t o r y o f Cr yp t og r a phy a nd I n f o rma t i on S e c u r i t y,Gu i l i n Un i

6、v e r s i t y o f E l e c t r on i c Te c hno l ogy,Gu i l i n 541004,Ch i n a)A b s t r a c t:Th e p r omo t i on a nd a pp l i c a t i on o f t h e SM(Comme r c i a l Cr yp t og r a phy)a l go r i t hm i s a n impo r t a n t me a s u r e f o r s t r e ng t h e n i ng i n f o rma t i on s e c u r i

7、 t y i n Ch i n a.I n c r e a s i ng t h e s p e e d o f imp l eme n t i ng e n c r yp t i on a l go r i t hms a nd r e du c i ng t h e h a r dwa r e imp l eme n t a t i on c o s t s h a v e b e c ome u r g e n t n e e d s i n p r a c t i c a l a pp l i c a t i on s.On e s o l u t i on t o t h i s p

8、 r ob l em i s t h e FPGA h a r dwa r e d e s i gn a nd imp l eme n t a t i on o f t h e SM4 a l go r i t hm b a s e d on c ompo s i t e f i e l d s.Th e s o l u t i on r e du c e s t h e numb e r o f h a r dwa r e l og i c g a t e s by u s i ng t h e c ompo s i t e f i e l d d e c ompo s i t i on o

9、 f t h e S-box a nd c i r c u i t op t imi z a t i on.I n a dd i t i on,t h e h a r d-wa r e c i r c u i t o f t h e SM4 a l go r i t hm b a s e d on c ompo s i t e f i e l d s i s r e s t r u c t u r e d,a nd t h e g e n e r a t i on a nd s t o r a g e me t hod o f r ound c on s t a n t s a nd r ou

10、nd k e y s a r e imp r o v e d t o r e du c e h a r dwa r e a r e a.Fu r t h e rmo r e,a d a t a c ommun i c a t i on mod e i s d e s i gn e d t o e n a b l e c ommun i c a t i on b e twe e n t h e ho s t c ompu t e r a nd t h e FPGA,p r o v i d i ng s e c u r e s uppo r t f o r t h e a pp l i c a t

11、 i on t h r ough d a t a e n c r yp t i on a nd d e c r yp t i on.Th e c o r r e c t n e s s o f t h e SM4 a l go r i t hm b a s e d on c ompo s i t e f i e l d s imp l eme n t e d on FPGA h a r dwa r e i s v e r i f i e d t h r ough s imu l a t i on t e s t i ng a nd s o f twa r e a nd h a r dwa r

12、e imp l eme n t a t i on,a nd t h e t h r oughpu t o f t h e a l go r i t hm i s im-p r o v e d.Th e c omp r e h e n s i v e e v a l u a t i on r e s u l t s s how t h a t t h e s o l u t i on h a s a l owe r imp l eme n t a t i on a r e a.K e y w o r d s:SM4;S-box;c ompo s i t e f i e l d;a f f i n

13、 e t r a n s f o rma t i on;f i e l d p r og r amma b l e g a t e a r r a y(FPGA)自2020年1月1日起,中国人民共和国密码法正式施行 1,这将有利于促进我国密码技术及其应用的快速发展。SM4算法是中国无线标准中使用的分组密码算法,于2012年被国家商用密码管理局确定为国家密码行业标准,是我国第一个官方公布的商业密码算法 2。2021年6月,SM4

14、算法正式被选为国际标准算法 3。SM4算法已被推广应用于无线通信 4、车联网 5、文件系统加解密 6及安全通信协议等方面。随着物联网技术的快速发展及广泛应用,如何在资源受限环境下提供SM4算法的安全支持,降低实现成本,提高算法的实现效率,成为推动国密算法应用新的需求。FPGA具有布线资源丰富、可重复编程、集成度高和并行处理等特点,广泛应用于嵌入式设

15、备的开DOI:10.16725/45-1351/tn.2023.01.013桂林电子科技大学学报2023年2月发 7。基于FPGA,文献8 给出了1种循环型、3种流水线型SM4硬件架构,用于应对不同的使用场景;文献9 提出一种剪裁式实现方案,以求达到面积和速度的平衡;文献10 给出了一种适用于AES和SM4的新型实现方式,在SMIC 0.18 m 1.8 V工艺下,S盒的实现面积比查表实现方式减小24.76%;文献11 表明

16、,采用基于复合域实现SM4的S盒方式比使用查表方式更能抵抗机器学习攻击;文献12 给出了SM4算法在FPGA上实现的1种迭代型和1种流水线型设计,此外还给出了3种处于2者之间的综合考虑速度和面积平衡的设计。文献13 使用复合加/解密算法与密钥扩展算法的S盒的方式来减少资源消耗;文献14 对SM4算法的硬件进行了设计并完成了软件仿真;文献15 采用循环结构完成了SM4算

17、法密钥扩展及加/解密算法的FPGA硬件实现。为减小硬件实现面积,文献16 针对SM4算法构造了一种基于复合域的S盒实现方式,通过同构映射矩阵来简化有限域求逆运算。相对于查找表方式,其硬件实现面积减小了约27%;文献17 采用复合域计算、优化运算顺序和复用公因子等手段来减小S盒硬件实现的电路面积。为减小SM4算法的硬件实现面积,对文献17中的方法进行优化,

18、提出一种基于复合域的SM4算法FPGA硬件设计和实现方法,该方法采用循环迭代方式设计SM4算法的FPGA实现框架和SM4算法加/解密核的电路结构。设计上位机与FPGA的数据通信协议,并仿真验证其正确性;在加/解密核电路中,基于复合域分解完成非线性变换部件S盒的分解,以减小硬件实现面积,并基于设计和实现的串口通信进行实际测试和验证。1 SM4算法在复合域下的S盒实

19、现方法SM4算法 2的分组长度和密钥长度均为128 b i t,加/解密算法和密钥扩展算法都采用32轮非线性迭代结构,每轮迭代完成32 b i t的加/解密运算。每轮的轮操作包括轮密钥加、S盒替换和线性操作,每轮输入4个32 b i t字,在与密钥异或后,经过4个S盒和1个线性层完成一轮的加密。解密算法的结构与加密算法相同,但轮密钥的使用顺序相反。S盒作为SM4算法的唯一非

20、线性部件,其硬件实现性能将影响整个算法的综合性能,如电路面积、吞吐量和功耗等,通过复合域分解可有效降低S盒硬件的实现成本。SM4算法的S盒分解是将GF(28)域上的乘法求逆运算转变为GF(22)2)2),最后通过简单的逻辑运算在电路上实现。文献17 提出的复合域构造方法采用了图1所示的实现框架。图1 SM4算法S盒复合域实现框架根据文献18 对SM4算法S盒的代数表达

21、式进行定义,根据文献17 构建出S盒的仿射变换运算:a0a1a2a3a4a5a6a7|=AxT=1 1 1 0 0 1 0 11 1 1 1 0 0 1 00 1 1 1 1 0 0 11 0 1 1 1 1 0 00 1 0 1 1 1 1 00 0 1 0 1 1 1 11 0 0 1 0 1 1 11 1 0 0 1 0 1 1|x0 x1x2x3x4x5x6x7|(1)式(1)若按常规方式实现,需要32个异或门,对其采用文献19 中的方法优化后,可减少16个异或门。因此,图1中的2个仿射变换

22、通过简化共可减少32个异或门;同构映射、逆同构映射中的异或运算采用同样方法进行电路简化,可减少10个异或门。基于上述方法,将GF(28)域上的求逆运算通过同构映射转变为GF(24)2),其电路如图2(a)所示。其中:1、0分别为S盒输入的8 b i t数据映射后的高4位和低4位,为GF(24)2)域不可约多项式的常数,取=1001,1和0分别对应求逆后的高4位和低4位。同理,GF(24)的求逆与上

23、述计算过程类似,得出GF(24)上的求逆电路,如图2(b)所示。2 SM4算法的FPGA设计与实现2.1 FPGA硬件实现框架SM4算法的FPGA硬件实现分为上位机和FP-GA实现2部分。FPGA实现包括SM4算法加/解密核和数据通信;上位机包括数据预处理、数据封装/解包、数据输入/输出。实现框架结构如图3所示。SM4加/解密核是算法FPGA实现的核心,用于完成SM4算法的加/解密算法实现、密钥扩展及

24、核心部件S盒。加/解密算法和密钥扩展都由非线性变0 5第1期李俊榜等:基于复合域的SM4算法FPGA设计与实现图2 S盒复合域GF(28)、GF(24)乘法求逆运算电路图3 SM4算法FPGA实现结构换、线性变换和合成变换组成,但在线性变换上有所区别。核心部件S盒通过复合域分解降低运算的复杂度。数据通信部分设计并实现了串口通信,根据接口规范完成协议实现,与上位机进行数据通

25、信。在上位机中,数据预处理完成对明密文数据的分割;数据封装/解包完成数据类型识别,并按照通信协议进行封装/解包;数据输入/输出分别完成比特流的生成与发送/接收。2.2 FPGA硬件电路设计SM4算法的硬件实现可采用流水线结构或循环迭代结构,流水线结构运算速度快,但资源开销大;循环迭代结构运算周期长,但资源开销较小。根据SM4算法思想,其在加/解密和密钥

26、扩展时需32轮循环迭代,因此采用循环迭代结构。SM4算法硬件电路结构如图4所示。在加/解密模块电路结构中,轮函数的线性变换与异或操作由组合逻辑设计完成,非线性变换由上述的复合域分解实现的S盒替换完成。轮函数中所有操作在一个时钟周期内完成,由时钟沿触发将每轮的结果存入下一轮的缓存器中。即在加/解密操作中,将输入的128位数据分解为32位后,与轮密钥

27、进行一轮运算,并将结果存入缓存器中,等待下一轮的运算。解密操作与加密操作的不同之处是当输入信号为0时,将轮密钥反序使用。密钥扩展模块的电路结构与加/解密模块类似,首先将输入的密钥与SM4算法中的系统参数FK进行异或,然后与固定参数CK异或,并进行合成置换。其中CK使用计算方式产生,与传统的存储参数方式相比可有效减少面积开销。密钥扩展模块结构与

28、加/解密模块类似,以此进行32轮的密钥扩展,并将每轮的结果存入RAM,利用RAM存储轮密钥可有效减小等效门的面积。2.3 数据通信协议设计为实现FPGA与上位机之间的数据传输并采用SM4算法进行数据加/解密,设计了相应的用于数据1 5桂林电子科技大学学报2023年2月图4 SM4算法硬件电路结构通信的数据结构,包括数据类型、数据长度和数据3个部分,具体如图5所示。图5 S

29、M4算法数据通信协议的数据结构1)Frm_t yp e:一个字节,表示该数据帧的数据类型。当Frm_t yp e为0 x01时,表示Da t a为密钥,需要进行密钥扩展;当其为0 x02时,表示Da t a为明文,将进行加密;当其为0 x 04时,表示Da t a为密文,将进行解密。2)Len_a l l:一个字节,表示该数据帧的有效数据长度。若Da t a部分的有效位数为128位,则Le n_a l l的值为0 x 80;当数据出现短块

30、,则根据实际的有效位计算Len_a l l的值。若Da t a是密钥,则Len_a l l恒定为0 x 80,表示Da t a有128位有效数据。3)Da t a:16字节,其为需要传输的数据,具体数据类型和有效位数由上位机确定。基于上述定义的数据结构,上位机与FPGA分别进行数据封装或解包,产生相应控制信号,对SM4算法加/解密核进行控制。对上位机和FPGA的数据传输设计和实现了串口通信模式。在串

31、口通信模式下,数据发送/接收采用通用异步通信(un i v e r s a l a s yn c h r onou s r e c e i v e r/t r an smi t-t e r,简称UART)协议,异步串口通信协议格式包括起始位、数据位、校验位和停止位,如图6所示。在串口通信中,起始位、校验位和停止位各占1位,数据位占8位,数据的收发根据状态机控制的信号变换进行。当接收数据时,若接收到下降沿信号,则判

32、定为串口的起始位,开始接收,每接收8 b i t数据图6 异步串口通信协议格式为一个状态周期,由此循环接收144位SM4数据包并存入RAM,当收到18个数据包时,停止接收,再根据SM4算法及数据通信协议进行数据解析。发送数据则按照SM4算法及数据通信协议进行数据封装后,存入144 b i t输入、8 b i t输出的F I FO部件,当F I FO不空时,则根据异步串口通信协议依次将F I FO中

33、的数据逐个发送。串口采用115,200的波特率进行收发。2.4 SM4算法在S盒复合域实现下的仿真验证针对SM4算法基于复合域的S盒实现,根据上述的FPGA设计电路,在FPGA上采用Ve r i l og HDL语言编程实现;在仿真工具Vi v ado 2017.4环境下,选择X i l i nx公司Ar t i x-7系列型号为XC7A35T-2FGG484 I的器件进行仿真验证。仿真明文:123456789ab c d e f f e d c

34、ba 9876543210,密钥:123456789ab c d e f f e d c ba 9876543210,密文:681e d f 34d 206965e86b3e 94 f 536e 4246,仿真明文波形和输出的密文波形分别如图7(a)、(b)所示。在SM4算法加密过程中,首先由Da t a_r dy、Ke y_g e n_done信号进行触发,根据128 b i t明文数据并行输入,并配合轮密钥顺序读取、加密。每个时钟周期完成一轮循环加密,经过32轮迭

35、代循环加密后,输出128 b i t密文,并拉高Da t a_done信号一个周期。新的明文重复上述操作,循环进行分组加密。在SM4算法解密过程中,同样先由Da t a_r dy、Ke y_g e n_done信号进行触发,根据d e o r e n信号对轮2 5第1期李俊榜等:基于复合域的SM4算法FPGA设计与实现图7 仿真波形密钥进行逆序读取,对128 b i t密文进行解密。同样是一个时钟周期完成一轮循环解

36、密,经过32轮循环迭代解密后,输出128 b i t明文,并拉高Da t a_done信号一个周期。新的密文重复上述操作,循环完成分组解密。在加/解密运算过程中,仿真波形和软件执行结果对比验证了加/解密硬件正确。基于上位机采用串口通信实现程序对数据进行加/解密,执行结果同样验证了加/解密硬件执行结果正确。3 实验测试及结果分析3.1 实验环境及软件实现测试采用X i l

37、 i nx公司Ar t i x-7系列XC7A35T-2FGG484 I型号的FPGA芯片,基于Vi v a do 2017.4环境,利用Vi v a do S imu l a t o r仿真工具,设计并完成基于S盒复合域的SM4算法FPGA硬件实现。上位机硬件配置为I n t e l Co r eTM i 5-5200U CPU 2.20 GHz,操作系统为Wi ndows 10。采用C语言实现上位机软件,并与FPGA板通信实现数据传输,在FPGA上基于烧录的算法完成对数

38、据的加/解密,图8所示的输出结果表明了算法软硬件实现的正确性。对SM4算法的FPGA实现,通过对算法的时序检查,发现关键路径时延为13.68 n s,其加/解密时的吞吐率达292.39 Mb i ts-1。采用C语言对SM4算法软件实现,测试其加/解密的吞吐量为112.18 Mb i ts-1,结果如图9所示。上述测试结果表明,采用FPGA硬件实现可有效提高算法的吞吐量。3.2 综合结果对比分析采用S

39、ynop s y s公司L-2016.03-SP1综合工具De s i gn Comp i l e r,选取工艺库SMIC 130 nm(工作电压为1.2 V,温度为25)评估上述AS IC硬件实现。在所有的综合中均使用典型工作条件,并与几种实现结果进行对比,S盒综合结果如表1所示,SM4算法综合结果如表2所示。表1 S盒综合结果实现方法工艺/nm 频率/MHz 面积/g a t e s查表法 SMIC 130 50 579文献16SMIC 130 5

40、0 474文献17SMIC 180 50 460本方法 SMIC 130 50 350 注:S 盒的面积用其等效逻辑门的门数表示,采用g a t e。3 5桂林电子科技大学学报2023年2月图8 基于S盒复合域的SM4算法FPGA实现及测试图9 SM4算法软件实现的加/解密速度测试表1表明,查表法评测的面积最大,文献16 和文献17 采用复合域求逆,其面积都有较大减幅。本方法对文献17 的复合域方法进行优化,降低

41、了电路冗余,并在电路中优化寄存器选取方式及轮常量、轮密钥的生成和存储方式,复合域实现面积进一步减小。在表2中,吞吐率/面积表示电路的品质因数,在不考虑电路翻转率的情况下,相同吞吐率下,面积越小,功耗将越低,即计算的值越高越好。基于查找表的SM4算法实现,其综合面积和吞吐率/面积都较大。文献17 采用的工艺不同,但按照吞吐率/面积计算的结果不太理想;文献2

42、0 给出的测试频率不同,在对频率采用归一化后,其吞吐率/面积相对较小;基于查找表的SM4算法实现和文献16 基于复合域实现的结果相差不大,优于上述2种方法。基于复合域的实现方法对文献17 的方法进行优化,并通过电路优化,有效减小了实现面积,吞吐率/面积的结果最好。4 结束语基于FPGA设计并完成SM4算法的复合域实现方案,基于复合域分解和线性部件二元矩阵的优

43、化,重构了S盒电路结构,降低了逻辑门数;基于设计的硬件实现框架,完成了电路设计,并优化寄存器选取方式,对轮常量、轮密钥的生成和存储方式进行改进;设计和实现数据通信模式,以实现上位机和FP-GA间的数据通信,使得SM4算法能够在实际环境中有效应用并提供安全支持。仿真测试结果及硬件实现验证了基于复合域的SM4算法FPGA硬件设计和实现的正确性,评测结果表

44、明,该方法具有更低的实现成本。下一步工作将在此基础上,设计掩码防护方案,以保护算法的运行安全。表2 SM4算法综合结果实现方法工艺/nm 频率/MHz 面积/g a t e 吞吐率/(Mb i ts-1)吞吐率/面积/(Mb i ts-1)/kg a t e)查找表 SMIC 130 50 7 424 200 26.9文献16SMIC 130 50 7 612 193.9 25.47文献17SMIC 180 50 19 600 200 10.2文献20SMIC 130 285.5

45、 3 824 142.7 6.5(频率归一化)本方法 SMIC 130 50 5 986 200 33.4 注:S 盒的面积用其等效逻辑门的门数表示,采用g a t e。参考文献:1 中华人民共和国国家互联网信息办公室.中国人民共和国密码法EB/OL.(2019-10-26)2021-03-20.h t-t p s:/www.c a c.go v.c n/2019-10/26/c_1572860358171248.h tm.4 5第1期李俊榜等:基于复合域的SM4算法FPGA设

46、计与实现2 国家密码管理局.无线局域网产品使用的SMS 4密码算法EB/OL.(2016-11-18)2021-03-20.h t t p:/www.s c a.go v.c n/s c a/c 100061/201611/1002423/f i l e s/330480 f 731 f 64e 1e a 75138211e a 0d c 27.pd f.3 I SO.I SO/IEC 18033-3:2010/AMD 1:2021 I n f o rma-t i on t e c hno l ogy-s e c u r i t y t e c hn

47、i qu e s-e n c r yp t i on a l go-r i t hms-p a r t 3:b l o c k c i ph e r s-ame ndme n t 1:SM4S.New Yo r k:I SO/IEC,2021.4 吴滢,马睿,邹成智,等.基于国密算法的ACARS数据保护技术J.信息安全研究,2021,7(4):342-350.5 蒋炯炜,洪泽,陈振娇.SM4加密算法在车联网上的应用J.计算机与网络,2020,46(3):58-60.6 CHEN J i ng j i ng,YOU F

48、u c h e ng.An ima g e e n c r yp t i on a l go r i t hm b a s e d on SM4 a nd Ba s e 64J.J ou r n a l o f Phy s i c s:Con f e r e n c e S e r i e s,2021,1812(1):012041.7 关杰,王健.基于FPGA与ARM协同工作的网络数据采集系统J.桂林电子科技大学学报,2014,34(4):315-318.8 何诗洋,李晖,李凤华.SM4算法的FPGA优化实现方法J.西安

49、电子科技大学学报,2021,48(3):155-162.9 刘金峒,梁科,王锦,等.SM4加密算法可裁剪式结构设计与硬件实现J.南开大学学报(自然科学版),2019,52(4):41-45.10 LIU Ya op i ng,WU Ni ng,ZHANG X i a o q i a ng,e t a l.A n ew c omp a c t h a r dwa r e a r c h i t e c t u r e o f S-Box f o r b l o c k c i ph e r s AES a nd SM4J.IE

50、I CE E l e c t r on i c s Exp r e s s,2017,14(11):1-6.11 LI We i,BAI Guo q i a ng,WU X i ng j un.Ha r dwa r e imp l e-me n t a t i on o f SM4 b a s e d on c ompo s i t e f i l e d S-box a nd i t s s e c u r i t y a g a i n s t ma c h i n e l e a r n i ng a t t a c kC/2018 IEEE I n t e r n a t i on a

展开阅读全文