一、SM4算法原理

SM4是中國國家密碼管理局于2012年發布的國家商用密碼算法標準，也稱為GB/T 32907-2016。它是一種分組對稱加密算法，采用32輪非線性迭代結構，分組長度和密鑰長度均為128位。SM4算法的設計充分考慮了安全性、高效性和實現簡便性，其核心思想是通過多輪非線性變換和擴散操作實現數據的充分混淆。算法結構上采用了Feistel網絡的變種，每輪處理都包含異或、S盒替換和線性變換等操作，確保密文與明文及密鑰之間具有高度復雜的非線性關系。

SM4的輪函數設計是其安全性的關鍵所在。每輪操作首先將32位輸入與輪密鑰進行異或，然后通過S盒進行非線性替換，最后進行線性變換L操作。S盒是精心設計的8位輸入8位輸出的置換表，提供算法的非線性特性；線性變換L則通過循環移位和異或操作實現良好的擴散效果。輪函數中，S盒和線性變換L的組合構成了T變換，這是SM4的核心操作。32輪這樣的迭代處理使得算法具有足夠的安全性，能夠抵抗目前已知的各種密碼分析攻擊。

密鑰擴展算法是SM4的重要組成部分，它將128位初始密鑰擴展為32個32位的輪密鑰。擴展過程使用了與加密算法類似的T'變換，但采用了不同的線性變換參數。密鑰擴展中引入了系統參數FK和固定參數CK，FK用于初始密鑰的預處理，CK則在每輪密鑰生成中提供不同的常量。這種設計確保了輪密鑰之間的相關性極低，有效防止了相關密鑰攻擊。密鑰擴展算法的遞歸結構也使得實現更加高效，便于硬件和軟件優化。

SM4算法具有較高的安全性和良好的實現性能。經過嚴格的安全性分析，SM4能夠抵抗差分分析、線性分析等常見攻擊方法。算法設計上特別考慮了在硬件和軟件平臺上的高效實現，適合在智能卡、嵌入式系統、服務器等多種環境中部署。作為中國自主設計的密碼標準，SM4已被廣泛應用于金融、電子政務、物聯網等領域的加密保護，并納入國際標準化組織(ISO/IEC)的國際標準，成為全球認可的密碼算法之一。

二、C語言實現

1. 基本運算與數據結構

實現中首先定義了32位循環左移宏ROT32L和聯合體inter_value，后者用于方便地在32位字和字節數組之間轉換。循環左移是SM4算法中線性變換的基礎操作，而inter_value聯合體則簡化了字節級訪問操作。S盒(sm4_sbox)被定義為256字節的常量數組，提供非線性變換能力。這些基礎組件為后續的密鑰擴展和加密操作提供了必要支持，其高效實現直接影響整個算法的性能表現。

2. 密鑰擴展實現

key_expansion函數實現了SM4的密鑰擴展算法。該函數首先使用系統參數FK對主密鑰進行預處理，然后通過32輪迭代生成輪密鑰。每輪密鑰生成使用了固定參數CK和類似加密的T'變換(與加密T變換的線性參數不同)。實現中巧妙地利用模運算(i & 3)循環訪問中間密鑰狀態，避免了復雜的數組操作。密鑰擴展過程充分混合了主密鑰的各個部分，確保生成的輪密鑰具有良好的隨機性和不可預測性，這是算法安全性的重要保障。

3. 加密核心函數

加密功能由T_transform內聯函數和encrypt函數共同實現。T_transform封裝了SM4的核心T變換，包括S盒替換和線性變換L操作；encrypt則實現了32輪加密迭代，每輪使用不同的輪密鑰。加密過程中采用了類似密鑰擴展的狀態更新方式，通過模運算高效管理中間狀態。最終輸出階段對狀態字進行逆序排列，完成加密過程。這些函數通過精心設計的控制流和數據訪問模式，在保證安全性的同時實現了較高的執行效率。

完整代碼如下：

#include <stdint.h>
#include <stdio.h>#define ROT32L(x, n) (((x) << ((n) & 0x1F)) | ((x) >> ((32 - (n)) & 0x1F)))typedef union {uint32_t w;uint8_t b[4];
} inter_value;static const uint8_t sm4_sbox[256] = {0xD6, 0x90, 0xE9, 0xFE, 0xCC, 0xE1, 0x3D, 0xB7, 0x16, 0xB6, 0x14, 0xC2, 0x28, 0xFB, 0x2C, 0x05,0x2B, 0x67, 0x9A, 0x76, 0x2A, 0xBE, 0x04, 0xC3, 0xAA, 0x44, 0x13, 0x26, 0x49, 0x86, 0x06, 0x99,0x9C, 0x42, 0x50, 0xF4, 0x91, 0xEF, 0x98, 0x7A, 0x33, 0x54, 0x0B, 0x43, 0xED, 0xCF, 0xAC, 0x62,0xE4, 0xB3, 0x1C, 0xA9, 0xC9, 0x08, 0xE8, 0x95, 0x80, 0xDF, 0x94, 0xFA, 0x75, 0x8F, 0x3F, 0xA6,0x47, 0x07, 0xA7, 0xFC, 0xF3, 0x73, 0x17, 0xBA, 0x83, 0x59, 0x3C, 0x19, 0xE6, 0x85, 0x4F, 0xA8,0x68, 0x6B, 0x81, 0xB2, 0x71, 0x64, 0xDA, 0x8B, 0xF8, 0xEB, 0x0F, 0x4B, 0x70, 0x56, 0x9D, 0x35,0x1E, 0x24, 0x0E, 0x5E, 0x63, 0x58, 0xD1, 0xA2, 0x25, 0x22, 0x7C, 0x3B, 0x01, 0x21, 0x78, 0x87,0xD4, 0x00, 0x46, 0x57, 0x9F, 0xD3, 0x27, 0x52, 0x4C, 0x36, 0x02, 0xE7, 0xA0, 0xC4, 0xC8, 0x9E,0xEA, 0xBF, 0x8A, 0xD2, 0x40, 0xC7, 0x38, 0xB5, 0xA3, 0xF7, 0xF2, 0xCE, 0xF9, 0x61, 0x15, 0xA1,0xE0, 0xAE, 0x5D, 0xA4, 0x9B, 0x34, 0x1A, 0x55, 0xAD, 0x93, 0x32, 0x30, 0xF5, 0x8C, 0xB1, 0xE3,0x1D, 0xF6, 0xE2, 0x2E, 0x82, 0x66, 0xCA, 0x60, 0xC0, 0x29, 0x23, 0xAB, 0x0D, 0x53, 0x4E, 0x6F,0xD5, 0xDB, 0x37, 0x45, 0xDE, 0xFD, 0x8E, 0x2F, 0x03, 0xFF, 0x6A, 0x72, 0x6D, 0x6C, 0x5B, 0x51,0x8D, 0x1B, 0xAF, 0x92, 0xBB, 0xDD, 0xBC, 0x7F, 0x11, 0xD9, 0x5C, 0x41, 0x1F, 0x10, 0x5A, 0xD8,0x0A, 0xC1, 0x31, 0x88, 0xA5, 0xCD, 0x7B, 0xBD, 0x2D, 0x74, 0xD0, 0x12, 0xB8, 0xE5, 0xB4, 0xB0,0x89, 0x69, 0x97, 0x4A, 0x0C, 0x96, 0x77, 0x7E, 0x65, 0xB9, 0xF1, 0x09, 0xC5, 0x6E, 0xC6, 0x84,0x18, 0xF0, 0x7D, 0xEC, 0x3A, 0xDC, 0x4D, 0x20, 0x79, 0xEE, 0x5F, 0x3E, 0xD7, 0xCB, 0x39, 0x48
};void key_expansion(const uint32_t *main_key, uint32_t *round_key) {static const uint32_t FK[4] = {0xa3b1bac6, 0x56aa3350, 0x677d9197, 0xb27022dc};static const uint32_t CK[32] = {0x00070E15, 0x1C232A31, 0x383F464D, 0x545B6269, 0x70777E85, 0x8C939AA1, 0xA8AFB6BD, 0xC4CBD2D9,0xE0E7EEF5, 0xFC030A11, 0x181F262D, 0x343B4249, 0x50575E65, 0x6C737A81, 0x888F969D, 0xA4ABB2B9,0xC0C7CED5, 0xDCE3EAF1, 0xF8FF060D, 0x141B2229, 0x30373E45, 0x4C535A61, 0x686F767D, 0x848B9299,0xA0A7AEB5, 0xBCC3CAD1, 0xD8DFE6ED, 0xF4FB0209, 0x10171E25, 0x2C333A41, 0x484F565D, 0x646B7279};inter_value x[4] = {0};inter_value X;for (uint8_t i = 0; i < 4; i++) {x[i].w = main_key[i] ^ FK[i];}for (int i = 0; i < 32; i++) {X.w = x[(i + 1) & 3].w ^ x[(i + 2) & 3].w ^ x[(i + 3) & 3].w ^ CK[i];inter_value t;t.b[0] = sm4_sbox[X.b[0]];t.b[1] = sm4_sbox[X.b[1]];t.b[2] = sm4_sbox[X.b[2]];t.b[3] = sm4_sbox[X.b[3]];t.w = t.w ^ ROT32L(t.w, 13) ^ ROT32L(t.w, 23);x[i & 3].w = x[i & 3].w ^ t.w;round_key[i] = x[i & 3].w;}
}static inline uint32_t T_transform(inter_value X) {inter_value t;t.b[0] = sm4_sbox[X.b[0]];t.b[1] = sm4_sbox[X.b[1]];t.b[2] = sm4_sbox[X.b[2]];t.b[3] = sm4_sbox[X.b[3]];t.w ^= ROT32L(t.w, 2) ^ ROT32L(t.w, 10) ^ ROT32L(t.w, 18) ^ ROT32L(t.w, 24);return t.w;
}void encrypt(const uint32_t *plain, const uint32_t *round_key, uint32_t *cipher) {uint32_t X[4];for (uint8_t i = 0; i < 4; i++) {X[i] = plain[i];}for (int i = 0; i < 32; i++) {inter_value tmp;tmp.w = X[(i + 1) & 3] ^ X[(i + 2) & 3] ^ X[(i + 3) & 3] ^ round_key[i];X[i & 3] ^= T_transform(tmp);}for (uint8_t i = 0; i < 4; i++) {cipher[i] = X[3 - i];}
}

三、實驗結果

為了驗證函數的準確性，我們編寫了下面的測試代碼，同時給出了標準測試向量和運行結果，如下圖所示。

int main(void) {uint32_t plain[4] = {0x01234567, 0x89abcdef, 0xfedcba98, 0x76543210};uint32_t key[4] = {0x01234567, 0x89abcdef, 0xfedcba98, 0x76543210};uint32_t expect_cipher[4] = {0x681edf34, 0xd206965e, 0x86b3e94f, 0x536e4246};uint32_t cipher[4] = {0};uint32_t round_key[32] = {0};printf("plain: ");for (int i = 0; i < 4; i++)printf("%08x ", plain[i]);printf("\n");printf("key: ");for (int i = 0; i < 4; i++)printf("%08x ", key[i]);printf("\n");key_expansion(key, round_key);encrypt(plain, round_key, cipher);uint8_t pass = 1;printf("cipher: ");for (int i = 0; i < 4; i++) {printf("%08x ", cipher[i]);if (cipher[i] != expect_cipher[i]) pass = 0;}printf("\n");if (pass) printf("[PASS] Result matches expected value.\n");else printf("[FAIL] Mismatch with expected value.\n");return 0;
}

測試代碼使用標準測試向量驗證SM4實現的正確性。main函數中定義了明文{0x01234567, 0x89abcdef, 0xfedcba98, 0x76543210}和相同值的密鑰，預期密文為{0x681edf34, 0xd206965e, 0x86b3e94f, 0x536e4246}。程序首先打印輸入明文和密鑰，然后執行密鑰擴展和加密操作，輸出得到的密文并與預期值比較。測試結果顯示實現正確，輸出密文與標準測試向量完全一致，驗證了代碼的正確性。

四、總結

本文詳細介紹了中國商用密碼標準SM4的算法原理、C語言實現及驗證過程。SM4作為我國自主設計的分組密碼算法，通過32輪非線性迭代和精心設計的密鑰擴展機制實現高安全性。文中提供的C語言實現采用模塊化設計，包含基礎運算組件、密鑰擴展和加密核心函數，代碼結構清晰且高效。測試結果表明該實現完全符合算法規范，能夠正確完成加密功能。SM4算法及其實現不僅具有重要的理論價值，也在金融、政務等領域的實際應用中發揮著關鍵作用，是我國密碼技術自主創新的重要成果。