SM4算法CTR模式的高吞吐率ASIC实现

第４２卷第１期２０１９年２月

电子器件

ＣｈｉｎｅｓｅＪｏｕｒｎａｌｏｆＥｌｅｃｔｒｏｎＤｅｖｉｃｅｓ

Ｖｏｌ ４２㊀Ｎｏ １Ｆｅｂ.２０１９

项目来源:重庆市教委科研项目(ＫＪ１７３８４６３)

收稿日期:２０１８－０１－２３㊀㊀修改日期:２０１８－０４－１９

ＡＨｉｇｈ￣ＴｈｒｏｕｇｈｐｕｔＡＳＩＣＩｍｐｌｅｍｅｎｔａｔｉｏｎｏｆ

ＳＭ４ＡｌｇｏｒｉｔｈｍｉｎＣＴＲＭｏｄｅ∗

ＷＡＮＧＺｅｆａｎｇ∗ꎬＴＡＮＧＺｈｏｎｇｊｉａｎ

(ＤｅｐａｒｔｍｅｎｔｏｆＩｎｆｏｒｍａｔｉｏｎＥｎｇｉｎｅｅｒｉｎｇꎬＣｈｏｎｇｑｉｎｇＹｏｕｔｈＶｏｃａｔｉｏｎａｌａｎｄＴｅｃｈｎｉｃａｌＣｏｌｌｅｇｅꎬＣｈｏｎｇｑｉｎｇ４００７１２ꎬＣｈｉｎａ)

Ａｂｓｔｒａｃｔ:ＢａｓｅｄｏｎＳＭ４ａｌｇｏｒｉｔｈｍｉｎＣｏｕｎｔｅｒ(ＣＴＲ)ｍｏｄｅｔｈａｔｓｕｐｐｏｒｔｓｔｈｅｐａｒａｌｌｅｌｉｍｐｌｅｍｅｎｔａｔｉｏｎꎬａｈｉｇｈ￣ｐｅｒｆｏｒ￣ｍａｎｃｅａｎｄｓｃａｌａｂｌｅａｒｃｈｉｔｅｃｔｕｒｅｉｓｐｒｏｐｏｓｅｄꎬａｉｍｉｎｇａｔｍｅｅｔｉｎｇｔｈｅｒｅｑｕｉｒｅｍｅｎｔｓｏｆｂｏｔｈｈｉｇｈｓｅｃｕｒｉｔｙａｎｄｈｉｇｈｔｈｒｏｕｇｈｐｕｔ.Ｂｙｓｅｐａｒａｔｉｎｇｃｏｎｔｒｏｌｐｌａｎｅａｎｄｄａｔａｐｌａｎｅꎬａｎｄｐａｒａｍｅｔｅｒｉｚｉｎｇｔｈｅｄａｔａｐｌａｎｅꎬｔｈｅｃｉｒｃｕｉｔｐｅｒｆｏｒｍａｎｃｅｃａｎｂｅｓｃａｌｅｄａｃｃｏｒｄｉｎｇｔｏｒｅｑｕｉｒｅｍｅｎｔｏｆｔｈｒｏｕｇｈｐｕｔ.Ｔｈｒｏｕｇｈｔｈｅｐｒｏｐｏｓｅｄａｒｃｈｉｔｅｃｔｕｒｅꎬｂｏｔｈｔｈｅｓｅｃｕｒｉｔｙｐｅｒｆｏｒｍａｎｃｅａｎｄｔｈｅｈｉｇｈｔｈｒｏｕｇｈｐｕｔｃａｎｂｅｇｕａｒａｎｔｅｅｄ.ＲｅｓｕｌｔｓｏｆＦＰＧＡｉｍｐｌｅｍｅｎｔａｔｉｏｎｄｅｍｏｎｓｔｒａｔｅｔｈａｔｔｈｅｔｈｒｏｕｇｈｐｕｔｃａｎａｃｈｉｅｖｅｕｐｔｏ１４.６４７Ｇｂｉｔ/ｓｏｆｓｉｎｇｌｅｃｈａｎｎｅｌｗｉｔｈ７４２３ＡＬＭｓꎬａｎｄｔｈｅｓｙｎｔｈｅｓｉｓｒｅｓｕｌｔｓｂａｓｅｄｏｎ０.１８μｍＣＭＯＳｔｅｃｈｎｏｌｏｇｙｓｈｏｗｓｔｈａｔｔｈｅａｒｅａｏｆｃｈｉｐｉｓ０.２７１ｍｍ２.

Ｋｅｙｗｏｒｄｓ:ｃｒｙｐｔｏｇｒａｐｈｙꎻＳＭ４ａｌｇｏｒｉｔｈｍꎻＡＳＩＣＩｍｐｌｅｍｅｎｔａｔｉｏｎꎻＣＴＲｍｏｄｅꎻｈｉｇｈ￣ｔｈｒｏｕｇｈｐｕｔＥＥＡＣＣ:７２２０㊀㊀㊀㊀ｄｏｉ:１０.３９６９/ｊ.ｉｓｓｎ.１００５－９４９０.２０１９.０１.０３３

ＳＭ４算法ＣＴＲ模式的高吞吐率ＡＳＩＣ实现∗

王泽芳∗ꎬ唐中剑

(重庆青年职业技术学院信息工程系ꎬ重庆４００７１２)

摘㊀要:针对同时要求安全性能高和吞吐率高的应用场景ꎬ基于支持并行实现的计数器模式ＳＭ４算法ꎬ提出一种高性能㊁可

扩展的电路结构ꎮ该结构分离了控制平面和数据平面ꎬ并对数据平面进行了参数化ꎬ使得电路性能可依据吞吐率需求进行扩展ꎮ通过该结构ꎬ既可保障数据的安全性能ꎬ又可保证较高的吞吐率ꎮＦＰＧＡ实现结果显示ꎬ单通道设计的吞吐率可达１４.６４７Ｇｂｉｔ/ｓꎬ而资源开销仅为７４２３ＡＬＭｓꎮ在０.１８μｍＣＭＯＳ工艺下进行综合的芯片面积为０.２７１ｍｍ２ꎮ

关键词:加密ꎻＳＭ４算法ꎻＡＳＩＣ实现ꎻＣＴＲ模式ꎻ高吞吐率

中图分类号:ＴＰ３０９.７㊀㊀㊀㊀文献标识码:Ａ㊀㊀㊀㊀文章编号:１００５－９４９０(２０１９)０１－０１７３－０５㊀㊀ＳＭ４算法是一种分组对称密码算法ꎬ该算法于２００６年公开发布ꎬ２０１２年成为密码行业标准(ＧＭ/Ｔ０００－２０１２)ꎬ２０１６年成为国家标准(ＧＢ/Ｔ３２９０７－

２０１６)[１]ꎮ作为一种分组密码算法ꎬＳＭ４每次能够处

理１２８ｂｉｔ的数据块ꎮ与美国ＮＩＳＴ公布的ＡＥＳ算法相比ꎬＳＭ４的算法结构比ＡＥＳ简洁清晰ꎬ并且更易理解ꎬ更易实现

[１]

ꎮ

分组密码算法具有多种类型的工作模式ꎬ比如电子密码本ＥＣＢ(ＥｌｅｃｔｒｏｎｉｃｓＣｏｄｅＢｌｏｃｋ)㊁密码分组链ＣＢＣ(ＣｉｐｈｅｒＢｌｏｃｋＣｈａｉｎｉｎｇ)㊁密文反馈ＣＦＢ(Ｃｉｐｈｅｒ

Ｆｅｅｄｂａｃｋ)㊁输出反馈ＯＦＢ(ＯｕｔｐｕｔＦｅｅｄｂａｃｋ)㊁计数器

ＣＴＲ(Ｃｏｕｎｔｅｒ)模式[２－３]ꎮ其中ꎬＣＢＣ模式和ＣＴＲ模式安全性能最高[４]ꎮ但是ꎬ在ＣＢＣ模式下ꎬ前后分组存在数据依赖性ꎬ因此ꎬ不适合于并行实现ꎬ仅适合于对数据吞吐率要求不高的场景ꎮ相比于ＣＢＣ模式ꎬＣＴＲ模式下的各个数据分组不存在数据依赖性ꎬ非常适合于并行实现ꎮ因此ꎬＣＴＲ模式可保证安全性能的同时ꎬ实现较高的数据吞吐率ꎮ

在网络功能虚拟化[５]场景中ꎬ为了满足用户对于使用体验和质量的需求ꎬ需要将部分计算密集型的网络功能卸载到加速设备上运行ꎬ以实现网络加速和计算加速ꎮＩＰＳＥＣ网关就是一种很具代表性的

电㊀子㊀器㊀件第４２卷

计算密集型网络功能ꎮ在ＩＰＳＥＣ网关中ꎬ需要执行密钥协商和报文加密ꎮ其中ꎬ报文加密是指采用分组密码算法对报文进行加密ꎮ为了推广国密算法ꎬ国家商业密码管理局公布了«ＧＭ/Ｔ００２４－２０１４:ＳＳＬ

ＶＰＮ技术规范»ꎬ将ＳＭ４作为ＩＰＳＥＣ网关中使用的分组密码算法ꎮ

为了满足网络功能虚拟化场景的需求ꎬ以及密码行业标准的要求ꎬ针对ＳＭ４分组密码算法ꎬ本文设计了一款高吞吐率可扩展的ＳＭ４－ＣＴＲ的电路结构ꎮＦＰＧＡ实现结果显示ꎬ单个加/解密通道时ꎬ吞吐率分别可达１４.６４７Ｇｂｉｔ/ｓꎮ本文的设计灵活可扩展ꎬ并可以ＩＰ核的形式集成到支持国密算法的ＩＰＳＥＣ网关中ꎬ以实现报文加密加速的目的ꎮ本文第１节介绍了ＳＭ４算法应用背景及工作模式ꎻ第２节介绍了ＳＭ４算法原理及ＣＴＲ模式ꎻ第３节介绍了ＳＭ４－ＣＴＲ电路结构及设计过程ꎻ第４节介绍了ＦＰＧＡ实现结果及性能对比ꎻ第５节给出结论ꎮ１㊀ＳＭ４算法简介

ＳＭ４算法包括密钥扩展算法和加解密算法ꎮ加解密算法与密钥扩展算法结构基本相似ꎬ略有差别ꎬ二者均需经过３２轮计算才能得到最后结果ꎮ１.１㊀加解密算法

ＳＭ４算法的加密和解密流程基本一致ꎬ均需３２轮的迭代计算ꎬ区别在于每一轮迭代使用的轮密钥的顺序不同ꎮ图１即为ＳＭ４加解密流程示意图

ꎮ

图１㊀ＳＭ４加解密流程示意图

Ｘｉ＋４＝Ｆ(ＸｉꎬＸｉ＋１ꎬＸｉ＋２ꎬＸｉ＋３ꎬｒｋｉ)＝

㊀Ｘｉ Ｔ(Ｘｉ＋１ Ｘｉ＋２ Ｘｉ＋３ ｒｋｉ)ꎬ㊀ｉ＝０ꎬ１ꎬ２ꎬ (１)式(１)即为加密和解密过程中使用的迭代计算ꎬ其中Ｔ()为合成变换ꎬ由两部分组成非线性变换()和线性变换Ｌ()ꎬ先执行()ꎬ然后执行Ｌ()ꎬＴ()＝Ｌ(())ꎮ()由４个并行的Ｓ盒构成ꎮ具体定义为:设输入为Ａ＝(ａ０ꎬａ１ꎬａ２ꎬａ３)ꎬ输出为Ｂ＝(ｂ０ꎬｂ１ꎬｂ２ꎬｂ３)ꎬ那么Ｂ＝(ｂ０ꎬｂ１ꎬｂ２ꎬｂ３)＝(Ａ)＝(Ｓ(ａ０)ꎬＳ(ａ１)ꎬＳ(ａ２)ꎬＳ(ａ３))ꎬ其中Ｓ()代表的是查找Ｓ盒ꎬ即以Ｓ盒的输入为索引ꎬ查找Ｓ盒中存放的数值ꎬ然后将输入替换为Ｓ盒中存放的数值ꎮ线性变换Ｌ的定义为:

Ｃ＝Ｌ(Ｂ)＝Ｂ (Ｂ≪２) (Ｂ≪１０)

(Ｂ≪１８) (Ｂ≪２４)(２)１.２㊀密钥扩展算法

图２给出了密钥扩展算法的流程示意ꎬ从图中可以看出ꎬ与加解密算法相比ꎬ除了去除了反序变换ꎬ轮函数中的合成变换略有区别之外ꎬ其他基本相同

ꎮ

图２㊀密钥扩展算法示意图

在ＳＭ４加解密过程中ꎬ每一次迭代都需要一个轮密钥ꎮ轮密钥就是通过密钥扩展算法生成的ꎮ该算法的描述如下:

ｒｋｉ＝Ｋｉ＋４＝Ｋｉ Ｔᶄ(Ｋｉ＋１ Ｋｉ＋２ Ｋｉ＋３ ＣＫｉ)(３)式中:Ｔᶄ()函数包含非线性变换()和线性变换Ｌᶄ()ꎮ非线性变换()与前文描述的一致ꎮ线性变换Ｌᶄ()与前文略有差别ꎬ定义为:

Ｃ＝Ｌᶄ(Ｂ)＝Ｂ (Ｂ≪１３) (Ｂ≪２３)(４)密钥扩展算法中包含的参数 ＣＫｉ ꎬ这个参数的定义为:设ｃｋｉꎬｊ为ＣＫｉ的第ｊｂｉｔꎬ即ＣＫｉ＝(ｃｋｉꎬ０ꎬｃｋｉꎬ１ꎬｃｋｉꎬ２ꎬｃｋｉꎬ３)ꎬｉ＝０ꎬ１ꎬ ꎬ３１ꎬ则ｃｋｉꎬｊ＝(４ˑｉ＋ｊ)ˑ７(ｍｏｄ２５６)ꎮ

１.３㊀ＣＴＲ模式简介

分组密码算法只能加密固定长度的分组ꎬ但是我们需要加密的明文长度可能会超过分组密码的分组长度ꎬ这时就需要对分组密码算法进行迭代ꎬ以便将一段很长的明文全部加密ꎬ而迭代的方法就成为分组密码的模式ꎮ

ＣＴＲ模式是一种先对逐次累加的计数器进行加密ꎬ然后再与明文进行的异或的加密方式ꎮ在ＣＴＲ模式中ꎬ每个数据分组都对应一个计数值ꎬ而加密和解密流程时完全一样的ꎬ如图３所示ꎮ从图３可以看出ꎬＣＴＲ模式下明文/密文分组是没有数据依赖性的ꎮ

４７１