CN120165839B - 一种双重可变轮结构的sm4算法实现方法及系统 - Google Patents

Abstract

本发明属于硬件安全领域，公开了一种双重可变轮结构的SM4算法实现方法及系统，通过ICB总线，将主机需要的配置数据传输到SM4算法核中；将SM4算法核计算后的数据传输到主机中。本发明提出的双重可变轮结构使SM4算法可灵活配置加密轮数，以平衡吞吐量与资源消耗。在高吞吐量需求下增加轮数以提升加解密速度；在低功耗需求下减少轮数以延长电池续航。该设计结合RISC‑V的模块化和低功耗特性，为多样化物联网场景中的加密处理提供高效、灵活的技术支持。

Description

一种双重可变轮结构的SM4算法实现方法及系统

技术领域

本发明属于硬件安全领域，具体涉及一种双重可变轮结构的SM4算法实现方法及系统。

背景技术

SM4分组密码算法是我国自主设计的对称加密算法，广泛用于各类物联网设备的数据加密保护。然而，随着物联网技术的快速发展，这些设备在低时钟速率下的数据加解密需求日益复杂，传统SM4实现方式在此场景中暴露出诸多局限。目前，SM4算法的实现主要分为软件加密和硬件加密。软件加密尽管实现简单，但其在低时钟速率条件下难以提供流畅的加解密服务，运算效率不足，且安全性相对较低，容易成为系统性能的瓶颈。而硬件加密尽管性能更高，但往往需要较多的硬件资源支持，并带来更高的功耗，使得小型化、低成本的物联网设备难以承受。因此，现有的实现方式在资源和功耗上难以满足低时钟速率、低数据量的物联网场景的需求。

除此之外，当前的SM4硬件实现还面临两方面的不足。首先，硬件实现方式在吞吐量与硬件资源消耗之间难以平衡。32轮流水线结构可以显著提升加密吞吐量，但其对硬件资源的消耗也相应增加，限制了在小型化、低成本物联网设备上的应用。而32轮循环迭代结构虽然能降低硬件资源消耗，但却导致处理时间显著增加，影响系统的响应速度，不适用于高实时性场景。其次，功耗控制也是一个重要难题。物联网设备大多依赖电池供电，对能耗要求严格，SM4算法的硬件实现可能会带来较高的能耗，影响续航表现。因此，在满足加解密需求的前提下，如何降低功耗以确保设备长时间稳定运行，成为一项急需解决的关键问题。

发明内容

为解决现有技术存在的问题，本发明提供了一种双重可变轮结构的SM4算法实现方法及系统，这种可变结构设计不仅有效平衡了吞吐量、功耗和硬件资源的消耗，还提升了系统的响应速度，使SM4算法在满足小型、低时钟速率物联网设备的应用需求上具备更强的适应性，为低功耗物联网设备中的高效加解密提供了安全且可靠的技术保障。

为实现上述目的，本发明提供了如下方案：

一种双重可变轮结构的SM4算法实现方法，所述方法包括：

通过ICB总线，将主机需要的配置数据传输到SM4算法核中；

将SM4算法核计算后的数据传输到主机中。

优选的，主机需要的配置数据包括：加解密的数据和加解密选择信号、轮数选择信号。

优选的，SM4算法核包括：控制模块、参数存储模块、S-box模块、加解密模块、密钥扩展模块和轮缓冲模块。

优选的，控制模块用于实现位宽匹配和信号分配功能，是一个状态机的形式，分为空闲状态即IDLE、加密状态即EC_EN、解密状态即DEC_EN、密钥准备状态即PRE_KEY和密钥扩展状态即KEY_EXP；当收到ICB总线传递的状态数据即EN_SEL，通过解析，传入相应的模块，状态机会从IDLE状态进入对应的状态；假如EN_SEL为00时，为复位状态，进入IDLE状态；假如EN_SEL为11时，状态机从IDLE跳转至PRE_KEY状态，进而跳转到KEY_EXP状态；假如EN_SEL为01时，状态机从IDLE跳转至EN_EN状态；假如EN_SEL为10时，状态机从IDLE跳转至DEC_EN状态。

优选的，参数存储模块用于存储SM4算法密钥扩展过程中所需要的系统参数FK和固定参数CK，当控制模块给出使能信号时，将该参数传输给密钥扩展模块。

优选的，S-box模块用于存储密钥扩展和加解密时非线性变换过程中的映射数据，采用查表法实现S盒的转换。

优选的，加解密模块分为轮变换和逆序变换两个部分，每一轮变换均包含移位、S-box转换和相应的异或操作；采用流水线和循环迭代相结合的形式，在收到控制模块解析的轮数选择信号时，对循环轮数和流水线结构进行调整；解密的密钥输入为加密时的倒序。

优选的，密钥扩展模块是轮变换部分，每一轮变换也包含移位、S-box转换和相应的异或操作；类采用流水线和循环迭代相结合的形式，在收到控制模块解析的轮数选择信号时，对循环轮数和流水线结构进行调整。

本发明还提供了一种双重可变轮结构的SM4算法实现系统，所述系统用于实现任意一项所述的方法，所述系统包括：第一传输模块和第二传输模块；

所述第一传输模块用于通过ICB总线，将主机需要的配置数据传输到SM4算法核中；

所述第二传输模块用于将SM4算法核计算后的数据传输到主机中。

与现有技术相比，本发明的有益效果为：

本发明公开了一种基于RISC-V处理器的双重可变轮结构SM4算法IP，适用于低时钟速率运行且加解密数据量小的物联网设备。现有SM4实现方式通常分为软件加密和硬件加密，前者受限于低安全性和效率，后者虽性能优越，但需较多资源且功耗较高，难以满足小型低功耗设备的需求。针对以上不足，本发明提出的双重可变轮结构使SM4算法可灵活配置加密轮数，以平衡吞吐量与资源消耗。在高吞吐量需求下增加轮数以提升加解密速度；在低功耗需求下减少轮数以延长电池续航。该设计结合RISC-V的模块化和低功耗特性，为多样化物联网场景中的加密处理提供高效、灵活的技术支持。

附图说明

为了更清楚地说明本发明的技术方案，下面对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例双重可变轮结构的SM4算法实现硬件结构示意图；

图2为本发明实施例控制模块状态转换图；

图3为本发明实施例SM4-n轮合1原理框图；

图4为本发明实施例SM4-4轮合1原理框图；

图5为本发明实施例SM4-32轮迭代原理框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

实施例一

在ECB工作模式下，SM4算法的轮函数硬件实现通常有三种方案。第一种是流水线结构，由32个串联的加解密模块组成，已知每轮的密钥时，仅需一个时钟周期即可完成一次加解密。第二种是循环迭代结构，通过同一组加解密模块循环32次，在已知密钥的前提下完成加解密，但需要32个时钟周期。第三种方案结合了流水线和循环结构，将32轮中的n轮组合为一个“n轮合一”电路，并通过循环方式运行。这种方法的优点是减少电路面积，但每个周期生成的中间结果需存入寄存器，且在循环过程中需要通过多路选择器。本发明选择第三种方案实现。

针对现有技术的问题，本发明提出了基于RISC-V处理器的双重可变轮结构SM4算法IP。RISC-V是一种新兴的开源指令集架构，具有模块化和低功耗的特性，特别适用于嵌入式和物联网设备。双重可变轮结构赋予SM4算法高度灵活的调节能力：在高吞吐量需求场景下，算法可通过增加轮数提升加密速度以应对大数据量；而在低功耗场景中，则可减少轮数以降低能耗，延长设备的电池寿命。这种可变结构设计不仅有效平衡了吞吐量、功耗和硬件资源的消耗，还提升了系统的响应速度，使SM4算法在满足小型、低时钟速率物联网设备的应用需求上具备更强的适应性，为低功耗物联网设备中的高效加解密提供了安全且可靠的技术保障。

本发明设计的双重可变轮结构的SM4算法实现分为ICB总线部分和SM4算法核部分，整个硬件实现结构如图1所示。

ICB总线部分主要是读写协议，将主机需要加解密的数据(data)和加解密选择信号(encdec_sel)、轮数选择信号(round_sel)等配置数据传输到SM4算法核中，再将算法核计算后的数据(out_data)传输到主机中。

具体的，计算过程主要分为加解密运算和密钥扩展运算。加密过程包含32轮非线性迭代和一次逆序变换。每轮迭代都通过轮密钥加法和合成置换来实现。在每一轮迭代中，使用轮密钥rk_i进行异或操作，轮密钥通过密钥扩展算法生成。具体而言，对于每轮迭代，从X_i到X_i+4的状态更新中，通过合成置换函数T进行非线性变换，公式如下：

其中，合成置换函数为T(·)＝L(τ(·))，τ(m)＝S(m)表示S-box替换，表示线性变换。经过32轮迭代后，将状态向量(X₃₂,X₃₃,X₃₄,X₃₅)反序排列得到密文输出(Y₀,Y₁,Y₂,Y₃)。解密运算即加密的逆过程。

轮密钥的生成过程即密钥扩展过程，该过程与加密过程类似，主要区别在于线性移位操作的不同。具体来说，密钥扩展生成32轮轮密钥rk_i，并与加解密过程共用一个S盒。该算法使用系统参数FK＝(FK₀,FK₁,FK₂,FK₃)和固定参数CK_i(轮常数)来初始化密钥的非线性迭代计算。

密钥扩展的初始密钥(k₀,k₁,k₂,k₃)通过将用户密钥K＝(K₀,K₁,K₂,K₃)与系统参数FK进行异或得到，即：

在每一轮迭代中，轮密钥rk_i由以下公式生成：

其中T(·)＝L(τ(·))，τ(m)＝S(m)表示S盒替换，表示线性变换。经过32轮迭代后，生成的rk_i值将作为加解密过程中每轮所需的轮密钥。

SM4算法核主要包括控制模块、参数存储模块、S盒模块、加解密模块、密钥扩展模块和轮缓冲模块。各功能模块说明如下：

1、控制模块

控制模块实现位宽匹配和信号分配功能，是一个状态机的形式，具体如图2所示，分为空闲状态(IDLE)、加密状态(EC_EN)、解密状态(DEC_EN)、密钥准备状态(PRE_KEY)和密钥扩展状态(KEY_EXP)。当收到ICB总线传递的状态数据(EN_SEL)，通过解析，传入相应的模块，状态机会从IDLE状态进入对应的状态。假如EN_SEL为00时，为复位状态，进入IDLE状态；假如EN_SEL为11时，状态机从IDLE跳转至PRE_KEY状态，进而跳转到KEY_EXP状态；假如EN_SEL为01时，状态机从IDLE跳转至EN_EN状态；假如EN_SEL为10时，状态机从IDLE跳转至DEC_EN状态。

2、参数存储模块

参数存储模块主要存储SM4算法密钥扩展过程中所需要的系统参数FK和固定参数CK，当控制模块给出使能信号时，将该参数传输给密钥扩展模块。

3、S-box模块

S-box模块存储密钥扩展和加解密时非线性变换过程中的映射数据，采用查表法实现S盒的转换。由于密钥扩展和加解密使用同一个S-box，故为了节约硬件资源，使两个模块共用一个S-box模块。

4、加解密模块

加解密模块分为轮变换和逆序变换两个部分，每一轮变换均包含移位、S-box转换和相应的异或操作。若是只有一个轮结构，则轮变换需要经过32轮迭代；若是采用流水线和循环迭代相结合的形式，则能达到提高吞吐率的目的，比如四级流水线结合八轮迭代。在收到控制模块解析的轮数选择信号时，对循环轮数和流水线结构进行调整。由于加解密过程完全相同，只是顺序相反，所以进行加解密复用以减少面积消耗，故解密的密钥输入为加密时的倒序。

5、密钥扩展模块

密钥扩展模块主要是轮变换部分，每一轮变换也包含移位、S-box转换和相应的异或操作。类似也采用流水线和循环迭代相结合的形式，在收到控制模块解析的轮数选择信号时，对循环轮数和流水线结构进行调整。

6、轮缓冲模块

轮缓冲模块主要是由寄存器阵列、数据选择器和时序控制逻辑组成，用于存储每轮加解密模块和密钥扩展模块产生的的中间数据。

由于加解密过程一致，仅顺序相反，因此对加解密过程进行了复用，以降低面积消耗。同时，在本设计中引入了“可变轮合一”结构，使得加解密模块和密钥扩展模块可以灵活设置合并的轮数，具体可配置信息如表1所示。整个系统框图如图3所示，密钥扩展模块每完成一组轮次的操作后，将密钥中间结果存入寄存器，供加解密模块使用，从而减少寄存器数量。同时，密钥扩展模块和加解密模块在绝大部分轮次中可以并行工作，有效提高了算法的执行效率。

表1密钥扩展和加解密轮数配置表

实施例二

本发明提出的SM4算法IP具备动态配置能力，可根据物联网应用场景灵活调整以满足不同的性能和资源需求，从而提高算法的实用性和效率。该IP特别适用于低时钟速率、数据量较小的场景，例如，在智能环境监测传感器的场景中，设备通常在特定条件下上传少量数据，如空气质量或温湿度数据。该IP能够在低时钟速率下高效运行，为此类低功耗设备提供安全的数据加密处理，确保数据传输的安全性。其灵活的配置特性使得该IP能够在多样化的物联网环境中适应不同设备的加密性能要求，满足高效、安全的数据传输需求。

在数据传输部分，设计采用了蜂鸟E203处理器的自定义总线ICB(InternalCompact Bus)连接方式，将设计好的SM4算法IP与蜂鸟E203连接。与传统的AXI和AHB协议相比，ICB协议更为简单，且易于控制，适合资源有限的物联网设备应用。ICB总线仅包含两个独立的通道：命令通道和结果返回通道，读写操作共享命令和返回通道，极大地简化了通信结构。

ICB的时序控制也非常简单：主设备通过ICB的命令通道向从设备发送写操作请求。当信号icb_cmd_read为低(写请求)或高(读请求)时，从设备立即接受该请求，且在请求有效时设置icb_cmd_ready信号为高，指示请求被成功接收。若从设备在同一个时钟周期返回正确的反馈结果，icb_rsp_ready信号则置高，主设备即可立即接收这一结果。通过这种紧凑且明确的控制方式，ICB实现了低延迟的传输响应，减少了数据传输的复杂性，使得IP核可以高效地进行数据交互。

在加解密部分，当物联网设备需要在高速加密的同时受到硬件资源限制时，本发明提供了高效的硬件配置方案，密钥扩展和加解密的轮数可配置为4轮，并采用8级流水线结构，以提高吞吐量。四轮合一的系统框图如图4所示。在此结构中，轮密钥扩展模块(keyexpansion)由多个“one round for exp”子模块组成。每个子模块执行一轮密钥扩展，依次完成轮密钥的生成和更新。多路选择器MUX1用于配置寄存器地址，以便于迭代生成密钥的过程中将中间结果存储在合适的寄存器中。而MUX2和MUX3则用于切换首轮迭代和后续迭代的输入数据。这样设计的优势在于可以灵活调整加解密轮数，从而在不同场景下调节硬件消耗与计算速度之间的平衡。假设需要加密的数据为date_in＝(X₀,X₁,X₂,X₃),初始轮密钥rk＝(r₀,r₁,r₂,r₃)。

步骤1：CPU通过ICB总线发送加解密请求和配置信息。

步骤2：SM4算法IP核收到信息后，开始配置加解密轮数，并读取需要加密的数据。

步骤3：数据准备完成后，首先进行第一轮的密钥扩展8级流水线，将每一级的流水线输出都暂存到轮缓冲模块中。

步骤4：利用轮缓冲模块的密钥进行第一轮8级流水线的加解密运算，同时进行第二轮8级流水线的密钥扩展，并将中间数据都保存至轮缓冲模块。

步骤5：对步骤4进行3轮重复。

步骤6：4轮重复结束后，将输出数据通过ICB总线返回到内存中。

当物联网设备处于硬件资源极其匮乏的场景，此时，需要配置的密钥扩展和加解密轮数设置为32轮，即32轮迭代，具体结构如图5所示，此时就相当于普通的SM4加解密，但不同的是，除了第1轮的密钥扩展和最后一轮的加解密计算，其余轮数两者都近乎并行，在节约资源的同时，保证了速度。假设需要加密的数据为date_in＝(X₀,X₁,X₂,X₃),初始轮密钥rk＝(r₀,r₁,r₂,r₃)。

步骤1：CPU通过ICB总线发送加解密请求和配置信息。

步骤2：SM4算法IP核收到信息后，开始配置加解密轮数，并读取需要加密的数据。

步骤3：数据准备完成后，首先进行第1轮密钥扩展，将输出暂存到轮缓冲模块中。

步骤4：利用轮缓冲模块的密钥进行第1轮的加解密运算，同时进行第2轮密钥扩展，并将中间数据都保存至轮缓冲模块。

步骤5：对步骤4进行31轮重复。

步骤6：32轮重复结束后，将输出数据通过ICB总线返回到内存中。

实施例三

本发明还提供了一种双重可变轮结构的SM4算法实现系统，所述系统用于实现任意一项所述的方法，所述系统包括：第一传输模块和第二传输模块；

第一传输模块用于通过ICB总线，将主机需要的配置数据传输到SM4算法核中；

第二传输模块用于将SM4算法核计算后的数据传输到主机中。

以上所述的实施例仅是对本发明优选方式进行的描述，并非对本发明的范围进行限定，在不脱离本发明设计精神的前提下，本领域普通技术人员对本发明的技术方案做出的各种变形和改进，均应落入本发明权利要求书确定的保护范围内。

Claims (3)

1.一种双重可变轮结构的SM4算法实现方法，其特征在于，所述方法包括：

通过ICB总线，将主机需要的配置数据传输到SM4算法核中；

将SM4算法核计算后的数据传输到主机中；

SM4算法核包括：控制模块、参数存储模块、S-box模块、加解密模块、密钥扩展模块和轮缓冲模块；

控制模块用于实现位宽匹配和信号分配功能，是一个状态机的形式，分为空闲状态即IDLE、加密状态即EC_EN、解密状态即DEC_EN、密钥准备状态即PRE_KEY和密钥扩展状态即KEY_EXP；当收到ICB总线传递的状态数据即EN_SEL，通过解析，传入相应的模块，状态机会从IDLE状态进入对应的状态；假如EN_SEL为00时，为复位状态，进入IDLE状态；假如EN_SEL为11时，状态机从IDLE跳转至PRE_KEY状态，进而跳转到KEY_EXP状态；假如EN_SEL为01时，状态机从IDLE跳转至EN_EN状态；假如EN_SEL为10时，状态机从IDLE跳转至DEC_EN状态；

参数存储模块用于存储SM4算法密钥扩展过程中所需要的系统参数FK和固定参数CK，当控制模块给出使能信号时，将该参数传输给密钥扩展模块；

S-box模块用于存储密钥扩展和加解密时非线性变换过程中的映射数据，采用查表法实现S盒的转换；

加解密模块分为轮变换和逆序变换两个部分，每一轮变换均包含移位、S-box转换和相应的异或操作；采用流水线和循环迭代相结合的形式，在收到控制模块解析的轮数选择信号时，对循环轮数和流水线结构进行调整；解密的密钥输入为加密时的倒序；

密钥扩展模块是轮变换部分，每一轮变换也包含移位、S-box转换和相应的异或操作；类采用流水线和循环迭代相结合的形式，在收到控制模块解析的轮数选择信号时，对循环轮数和流水线结构进行调整。

2.根据权利要求1所述的方法，其特征在于，主机需要的配置数据包括：加解密的数据和加解密选择信号、轮数选择信号。

3.一种双重可变轮结构的SM4算法实现系统，所述系统用于实现权利要求1-2任意一项所述的方法，其特征在于，所述系统包括：第一传输模块和第二传输模块；

所述第一传输模块用于通过ICB总线，将主机需要的配置数据传输到SM4算法核中；

所述第二传输模块用于将SM4算法核计算后的数据传输到主机中。