CN104092534A - 实现sm3密码杂凑算法中的迭代压缩的方法 - Google Patents

Abstract

本发明涉及一种实现SM3密码杂凑算法中的迭代压缩的方法。所述方法包括：步骤1、设置迭代次数i＝0；设置压缩函数V的第0次迭代值V⁽⁰⁾；步骤2、根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅；确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值；步骤3、设置迭代次数j＝0；步骤4、确定32比特长度的常量T_j；步骤5、判断j是否等于63，如果j等于63，执行步骤6，如果j小于63，j的值增加1，执行步骤4；步骤6、得到V的第i+1次迭代值V⁽ⁱ⁺¹⁾；步骤7、判断i是否等于N-1，如果i等于N-1，输出V^(N)，如果i小于N-1，i的值加1，执行步骤2。本发明可以减少SM3算法在迭代压缩过程中使用的存储单元，降低SM3算法的软硬件实现成本。

Description

实现SM3密码杂凑算法中的迭代压缩的方法

技术领域

本发明涉及密码学领域，尤其涉及一种实现SM3密码杂凑算法中的迭代压缩的方法。

背景技术

国产密码算法是我国自主研制完成的一种密码算法，具有较高安全性，由国家密码管理局任何和推广，用以保障我国信息安全，在国家主导的行业中大多采用国家密码管理局的密码算法，已逐渐成为趋势。

SM3密码杂凑算法是国家密码管理局于2010年12月公布的一种国产密码算法。SM3密码杂凑算法适用于商用密码应用中的数字签名和认证、消息认证码的生成与验证以及随机数的生成，可以满足多种密码应用的安全需求，同时还可为安全产品生产商提供产品和技术的标准定位以及标准化的参考，提高安全产品的可信性与互操作性。

国家密码管理局公布的SM3密码杂凑算法中，规定了SM3的计算方法和计算步骤。SM3密码杂凑算法分为消息填充、迭代压缩和杂凑值三步。其中，消息填充是将长度小于2^64-bit的消息m，填充为长度为512-bit的整倍数的消息块m’；迭代压缩是SM3算法的核心，把填充后的消息m’按照固定的512-bit进行分组，得到消息分组B⁽⁰⁾B⁽¹⁾…B^(n-1)，然后对每个512-bit分组B⁽ⁱ⁾逐次压缩，最终得到整个消息m’的256-bit的杂凑值(hash value)，其中，n＝消息m’的长度/512。迭代压缩过程包括迭代过程、消息扩展和压缩函数，其中，消息扩展和压缩函数的具体算法如下：

1、消息扩展

将消息分组B⁽ⁱ⁾按以下方法扩展生成132个字W₀；W₁；…W₆₇；W’₀；W’₁；…W’₆₃，用于压缩函数CF。其中，68个W和64个W’，均是32-bit的字。

a)将消息分组B⁽ⁱ⁾划分为16个字W₀；W₁；…W₁₅。

b)FOR j＝16TO67

W_j＝P₁(W_j-16⊕W_j-9⊕(W_j-3<<<15))⊕(W_j-1<<<7)⊕W_j-6

ENDFOR

c)FOR j＝0TO63

W’_j＝W_j⊕W_j+4

ENDFOR

2、压缩函数

令A,B,C,D,E,F,G,H为32-bit字寄存器,SS1,SS2,TT1,TT2为32-bit中间变量,压缩函数Vⁱ⁺¹＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾),0≤i≤n-1。计算消息分组B⁽ⁱ⁾的杂凑值V⁽ⁱ⁺¹⁾过程描述如下：

ABCDEFGH＝V⁽ⁱ⁾

FOR j＝0TO63

SS1＝((A<<<12)+E+(T_j<<<j))<<<7

SS2＝SS1⊕(A<<<12)

TT1＝FF_j(A,B,C)+D+SS2+W’_j

TT2＝GG_j(E,F,G)+H+SS1+W_j

D＝C

C＝B<<<9

B＝A

A＝TT1

H＝G

G＝F<<<19

F＝E

E＝P₀(TT2)

ENDFOR

V⁽ⁱ⁺¹⁾＝ABCDEFGH⊕V⁽ⁱ⁾

其中，

$T_j=\left\{\begin{array}{cc}79\mathrm{cc}4519& 0\&le;j\&le;15\\ 7a879d8a& 16\&le;j\&le;63\end{array}\right.$

$P_0\left(X\right)=X\&CirclePlus;(X<<<9)\&CirclePlus;(X<<<17)$

$P_1\left(X\right)=X\&CirclePlus;(X<<<15)\&CirclePlus;(X<<<23)$

32比特异或运算

32比特非运算

+：mod2³²算术加运算

＜＜＜k：循环左移k比特运算

在上述计算步骤中，需要使用大量的存储单元。其中，要用到68个W和64个W’，均是32-bit的字，此外，还有SS1、SS2、TT1、TT2等4个32-bit中间变量，因此，共计136个32-bit的存储器，导致SM3算法的软硬件实现成本高。

发明内容

本发明提供一种实现SM3密码杂凑算法中的迭代压缩的方法，用以实现减少SM3算法在迭代压缩过程中使用的存储单元，降低SM3算法的软硬件实现成本。

本发明提供一种实现SM3密码杂凑算法中的迭代压缩的方法，包括：

步骤1、设置迭代次数i＝0；设置压缩函数V的第0次迭代值V⁽⁰⁾为用16进制表示的7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aae38dee4d b0fb0e4e；

步骤2、根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅；确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值；

步骤3、设置迭代次数j＝0；

步骤4、确定32比特长度的常量T_j；按照迭代公式，确定中间变量字SS1、SS2、TT1、TT2、消息扩展字ww和各变量字A、B、C、D、E、F、G、H的第j次迭代值SS1_j、SS2_j、TT1_j、TT2_j、ww_j、A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j、以及消息扩展字W_(j mod16)，其中，所述迭代公式包括：

SS1_j＝((A_j-1<<<12)+E_j-1+(T_j<<<j))<<<7；

SS2_j＝SS1_j⊕(A_j-1<<<12)；

ww_j＝W_j⊕W_j+4；

TT1_j＝FF_j(A_j-1,B_j-1,C_j-1)+D_j-1+SS2_j+ww_j；

TT2_j＝GG_j(E_j-1,F_j-1,G_j-1)+H_j-1+SS1_j+W_j；

W_(j mod16)＝P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))⊕(W_((j-1)mod16)<<<7)⊕W_((j-6)mod16)；

D_j＝C_j-1；

C_j＝B_j-1<<<9；

B_j＝A_j-1；

A_j＝TT1_j；

H_j＝G_j-1；

G_j＝F_j-1<<<19；

F_j＝E_j-1；

E_j＝P₀(TT2_j)；

步骤5；判断j是否等于63，如果j等于63，执行步骤6，如果j小于63，j的值增加1，执行步骤4；

步骤6、将A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j的先后顺序作为比特位由高到低的排列顺序组合得到的256比特长度的变量A_j B_j C_j D_j E_j F_j G_j H_j与V的第i次迭代值进行异或运算，得到V的第i+1次迭代值V⁽ⁱ⁺¹⁾：

V⁽ⁱ⁺¹⁾＝A_j B_j C_j D_j E_j F_j G_j H_j⊕V⁽ⁱ⁾；

步骤7、判断i是否等于N-1，如果i等于N-1，输出V^(N)，如果i小于N-1，i的值加1，执行步骤2；

其中，N为消息分组的数量；

FF_j(A_j-1,B_j-1,C_j-1)和GG_j(E_j-1,F_j-1,G_j-1)为布尔函数，函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))和P₀(TT2_j)为置换函数，所述置换函数的函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))＝

(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<23)

P₀(TT2_j)＝TT2_j⊕(TT2_j<<<9)⊕(TT2_j<<<17)

其中，<<<12、<<<j、<<<7、<<<15、<<<9、<<<19分别为循环左移12、j、7、15、9、19比特运算，⊕为32比特异或运算，∧为32比特与运算，∨为32比特或运算，mod为模运算，为32比特非运算。

在本发明实施例中，对于每个消息分组B⁽ⁱ⁾的一次迭代过程只使用了21个32比特长度的存储单元，其中包括17个消息扩展字W₀-W₁₅和ww、以及4个中间变量字SS1、SS2、TT1、TT2，而现有技术中的SM3密码杂凑算法的迭代压缩步骤使用136个32比特长度的存储单元，其中包括132个32比特长度的消息扩展字和4个中间变量SS1、SS2、TT1、TT2，本实施例使用的存储单元的数量为现有技术的15.4％，极大地减少了SM3密码杂凑算法的迭代压缩步骤使用的存储单元。此外，本实施例不增加算法的计算量，保证了同样的算法计算效率。

本发明还提供一种实现SM3密码杂凑算法中的迭代压缩的方法，包括：

步骤1、设置迭代次数i＝0；设置压缩函数V的第0次迭代值V⁽⁰⁾为用16进制表示的7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aae38dee4d b0fb0e4e；

步骤2、根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅；确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值；

步骤3、设置迭代次数j＝0；

步骤4、确定32比特长度的常量T_j；按照迭代公式，确定中间变量字TT1、TT2和各变量字A、B、C、D、E、F、G、H的第j次迭代值TT1_j、TT2_j、A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j、以及消息扩展字W_(j mod16)，其中，所述迭代公式包括：

TT1_j＝((A_j-1<<<12)+E_j-1+(T_j<<<j))<<<7；

TT2_j＝GG_j(E_j-1,F_j-1,G_j-1)+H_j-1+TT1_j+W_j；

TT1_j＝FF_j(A_j-1,B_j-1,C_j-1)+D_j-1+(TT1_j⊕(A_j-1<<<12))+W_j⊕W_j+4；

W_(j mod16)＝P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))⊕(W_((j-1)mod16)<<<7)⊕W_((j-6)mod16)；

D_j＝C_j-1；

C_j＝B_j-1<<<9；

B_j＝A_j-1；

A_j＝TT1_j；

H_j＝G_j-1；

G_j＝F_j-1<<<19；

F_j＝E_j-1；

E_j＝P₀(TT2_j)；

步骤5；判断j是否等于63，如果j等于63，执行步骤6，如果j小于63，j的值增加1，执行步骤4；

步骤6、将A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j的先后顺序作为比特位由高到底的排列顺序组合得到的256比特长度的变量A_j B_j C_j D_j E_j F_j G_j H_j与V的第i次迭代值进行异或运算，得到V的第i+1次迭代值V⁽ⁱ⁺¹⁾：

V⁽ⁱ⁺¹⁾＝A_j B_j C_j D_j E_j F_j G_j H_j⊕V⁽ⁱ⁾；

步骤7、判断i是否等于N-1，如果i等于N-1，输出V^(N)，如果i小于N-1，i的值加1，执行步骤2；

其中，N为消息分组的数量；

FF_j(A_j-1,B_j-1,C_j-1)和GG_j(E_j-1,F_j-1,G_j-1)为布尔函数，函数表达式为：

P₁(W_j-16⊕W_j-9⊕(W_j-3<<<15))和P₀(TT2_j)为置换函数，函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))＝

(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<23)

P₀(TT2_j)＝TT2_j⊕(TT2_j<<<9)⊕(TT2_j<<<17)

其中，<<<12、<<<j、<<<7、<<<15、<<<9、<<<19分别为循环左移12、j、7、15、9、19比特运算，⊕为32比特异或运算，∧为32比特与运算，∨为32比特或运算，mod为模运算，为32比特非运算。

在本发明实施例中，对于每个消息分组B⁽ⁱ⁾的一次迭代过程只使用了18个32比特长度的存储单元，其中包括16个消息扩展字W₀-W₁₅、以及2个中间变量字TT1、TT2，而现有技术中的SM3密码杂凑算法的迭代压缩步骤使用136个32比特长度的存储单元，其中包括132个32比特长度的消息扩展字和4个中间变量SS1、SS2、TT1、TT2，本实施例使用的存储单元的数量为现有技术的13.2％，极大地减少了SM3密码杂凑算法的迭代压缩步骤使用的存储单元。此外，本实施例不增加算法的计算量，保证了同样的算法计算效率。

附图说明

图1为本发明实现SM3密码杂凑算法中的迭代压缩的方法第一实施例的流程示意图；

图2为本发明实现SM3密码杂凑算法中的迭代压缩的方法第二实施例的流程示意图；

图3为本发明SM3密码杂凑算法实施例的流程示意图。

具体实施方式

下面结合说明书附图和具体实施方式对本发明作进一步的描述。

实现SM3密码杂凑算法中的迭代压缩的方法第一实施例

如图1所示，为本发明实现SM3密码杂凑算法中的迭代压缩的方法第一实施例的流程示意图，该方法可以包括如下步骤：

步骤11、设置迭代次数i＝0；设置压缩函数V的第0次迭代值V⁽⁰⁾；

具体地，V⁽⁰⁾为用16进制表示的7380166f 4914b2b9 172442d7 da8a0600a96f30bc 163138aa e38dee4d b0fb0e4e；本步骤中的迭代次数i＝0，意味着这是压缩函数V的第1次迭代，迭代结束后得到的迭代值为V⁽¹⁾，以后每次迭代均在上一次迭代值的基础上进行；

步骤12、根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅；确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值；

在该步骤中，消息分组B⁽ⁱ⁾先存放在16个字的循环队列W₀-W₁₅中；根据消息分组B⁽ⁱ⁾确定各消息扩展字的方法很多，原则上只要各消息扩展字与消息分组B⁽ⁱ⁾有关即可；

步骤13、设置迭代次数j＝0；

步骤14、确定32比特长度的常量T_j；按照迭代公式，确定中间变量字SS1、SS2、TT1、TT2、消息扩展字ww和各变量字A、B、C、D、E、F、G、H的第j次迭代值SS1_j、SS2_j、TT1_j、TT2_j、ww_j、A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j、以及消息扩展字W_(j mod16)；

其中，迭代公式包括：

SS1_j＝((A_j-1<<<12)+E_j-1+(T_j<<<j))<<<7；

SS2_j＝SS1_j⊕(A_j-1<<<12)；

ww_j＝W_j⊕W_j+4；

TT1_j＝FF_j(A_j-1,B_j-1,C_j-1)+D_j-1+SS2_j+ww_j；

TT2_j＝GG_j(E_j-1,F_j-1,G_j-1)+H_j-1+SS1_j+W_j；

W_(j mod16)＝P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))⊕(W_((j-1)mod16)<<<7)⊕W_((j-6)mod16)；

D_j＝C_j-1；

C_j＝B_j-1<<<9；

B_j＝A_j-1；

A_j＝TT1_j；

H_j＝G_j-1；

G_j＝F_j-1<<<19；

F_j＝E_j-1；

E_j＝P₀(TT2_j)；

其中，FF_j(A_j-1,B_j-1,C_j-1)和GG_j(E_j-1,F_j-1,G_j-1)为布尔函数，函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))和P₀(TT2_j)为置换函数，置换函数的函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))＝

(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<23)

P₀(TT2_j)＝TT2_j⊕(TT2_j<<<9)⊕(TT2_j<<<17)

其中，<<<12、<<<j、<<<7、<<<15、<<<9、<<<19分别为循环左移12、j、7、15、9、19比特运算，⊕为32比特异或运算，∧为32比特与运算，∨为32比特或运算，mod为模运算，为32比特非运算；

步骤15；判断j是否等于63，如果j等于63，执行步骤17，如果j小于63，执行步骤16；

步骤16、16，执行步骤14；

步骤17、将A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j的先后顺序作为比特位由高到低的排列顺序组合得到的256比特长度的变量A_j B_j C_j D_j E_j F_j G_j H_j与V的第i次迭代值进行异或运算，得到V的第i+1次迭代值V⁽ⁱ⁺¹⁾；

具体地，计算V⁽ⁱ⁺¹⁾的表达式为：V⁽ⁱ⁺¹⁾＝A_j B_j C_j D_j E_j F_j G_j H_j⊕V⁽ⁱ⁾；

步骤18、判断i是否等于N-1，如果i等于N-1，输出V^(N)，如果i小于N-1，执行步骤19；

其中，N为消息分组的数量；

步骤19、i的值加1，执行步骤12。

在本实施例中，FF_j(A_j-1,B_j-₁,C_j-1)和GG_j(E_j-1,F_j-1,G_j-1)为SM3密码杂凑算法中的布尔函数，P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))和P₀(TT2_j)为SM3密码杂凑算法中的置换函数。

步骤14-步骤16为64轮的迭代过程，在每次迭代过程中，首先计算中间变量字SS1、SS2、TT1、TT2和消息扩展字ww的迭代值，然后动态产生消息扩展字W_(j mod16)，存放在16个字的循环队列W₀-W₁₅中，最后计算A-H的迭代值。

本实施例使用循环存储队列动态产生消息扩展字W₀-W₁₅，因此只需要16个字，而现有技术中需要68个消息扩展字W。本实施例使用新的迭代压缩步骤产生1个消息扩展字ww，而现有技术中使用64个消息扩展字W’。

在本实施例中，对于每个消息分组B⁽ⁱ⁾的一次迭代过程只使用了21个32比特长度的存储单元，其中包括17个消息扩展字W₀-W₁₅和ww、以及4个中间变量字SS1、SS2、TT1、TT2，而现有技术中的SM3密码杂凑算法的迭代压缩步骤使用136个32比特长度的存储单元，其中包括132个32比特长度的消息扩展字和4个中间变量SS1、SS2、TT1、TT2，本实施例使用的存储单元的数量为现有技术的15.4％，极大地减少了SM3密码杂凑算法的迭代压缩步骤使用的存储单元。此外，本实施例不增加算法的计算量，保证了同样的算法计算效率。

可选地，在步骤12中，根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅具体为：将消息扩展字W₀-W₁₅分别设置为从512比特长度的消息分组B⁽ⁱ⁾的最高比特位开始的第1-16个字的值，其中，每个字的字长为32比特，消息扩展字W₀-W₁₅依次为W₀、W₁、W₂、W₃、W₄、W₅、W₆、W₇、W₈、W₉、W₁₀、W₁₁、W₁₂、W₁₃、W₁₄、W₁₅。

可选地，在步骤12中确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值具体为：将各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值依次设置为V⁽ⁱ⁾从最高比特位开始的第1-8个字的值，其中，每个字的字长为32比特。在SM3密码杂凑算法中，V为压缩函数，该函数也是通过循环迭代运算得到的，在V的循环迭代结束之后得到的压缩函数值即为SM3密码杂凑算法所要得到的杂凑值。在每次迭代过程中，将压缩函数值从最高比特位开始的各组的值依次赋给变量字A-H，作为各变量字的初始迭代值。

可选地，在步骤14中，确定32比特长度的常量T_j具体为：

$T_j=\left\{\begin{array}{cc}79\mathrm{cc}4519& 0\&le;j\&le;15\\ 7a879d8a& 16\&le;j\&le;63\end{array}\right.;$

其中，79cc4519和7a879d8a为16进制数。T_j采用分段常量的形式，有利于提高SM3密码杂凑算法的运算不可逆性。

可选地，在本实施例中，消息扩展字W₀-W₁₅和中间变量字SS1、SS2、ww、TT1、TT2采用32比特长度的字寄存器进行存储；步骤14-步骤19中的任一加法、减法、循环左移、异或、与、或、模、非运算分别由加法器、减法器、移位寄存器、异或门电路、与门电路、或门电路、模运算电路、非门电路实现。由此可见，本实施例的方法除了可以用软件来实现外，也可以用硬件电路来实现，有利于进一步提高运算速度和算法的安全性。

实现SM3密码杂凑算法中的迭代压缩的方法第二实施例

本实施例对实现SM3密码杂凑算法中的迭代压缩的方法第一实施例的方法进行进一步改进，省掉中间变量字SS1、SS2和消息扩展字ww，将使用的32比特长度的存储单元的数量进一步减少到18个，只有现有技术中的13.2％。

如图2所示，为本发明实现SM3密码杂凑算法中的迭代压缩的方法第二实施例的流程示意图，该方法可以包括如下步骤：

步骤21、设置迭代次数i＝0；设置压缩函数V的第0次迭代值V⁽⁰⁾为用16进制表示的7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aae38dee4d b0fb0e4e；

步骤22、根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅；确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值；

步骤23、设置迭代次数j＝0；

步骤24、确定32比特长度的常量T_j；按照迭代公式，确定中间变量字TT1、TT2和各变量字A、B、C、D、E、F、G、H的第j次迭代值TT1_j、TT2_j、A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j、以及消息扩展字W_(j mod16)；

其中，迭代公式包括：

TT1_j＝((A_j-1<<<12)+E_j-1+(T_j<<<j))<<<7；

TT2_j＝GG_j(E_j-1,F_j-1,G_j-1)+H_j-1+TT1_j+W_j；

TT1_j＝FF_j(A_j-1,B_j-1,C_j-1)+D_j-1+(TT1_j⊕(A_j-1<<<12))+W_j⊕W_j+4；

W_(j mod16)＝P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))⊕(W_((j-1)mod16)<<<7)⊕W_((j-6)mod16)；

D_j＝C_j-1；

C_j＝B_j-1<<<9；

B_j＝A_j-1；

A_j＝TT1_j；

H_j＝G_j-₁；

G_j＝F_j-1<<<19；

F_j＝E_j-1；

E_j＝P₀(TT2_j)；

其中，

FF_j(A_j-1,B_j-1,C_j-1)和GG_j(E_j-1,F_j-1,G_j-1)为布尔函数，函数表达式为：

P₁(W_j-16⊕W_j-9⊕(W_j-3<<<15))和P₀(TT2_j)为置换函数，函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))＝

(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<23)

P₀(TT2_j)＝TT2_j⊕(TT2_j<<<9)⊕(TT2_j<<<17)

其中，<<<12、<<<j、<<<7、<<<15、<<<9、<<<19分别为循环左移12、j、7、15、9、19比特运算，⊕为32比特异或运算，∧为32比特与运算，∨为32比特或运算，mod为模运算，为32比特非运算；

步骤25；判断j是否等于63，如果j等于63，执行步骤27，如果j小于63，执行步骤26；

步骤26、j的值增加1，执行步骤24；

步骤27、将A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j的先后顺序作为比特位由高到底的排列顺序组合得到的256比特长度的变量A_j B_j C_j D_j E_j F_j G_j H_j与V的第i次迭代值进行异或运算，得到V的第i+1次迭代值V⁽ⁱ⁺¹⁾：

V⁽ⁱ⁺¹⁾＝A_j B_j C_j D_j E_j F_j G_j H_j⊕V⁽ⁱ⁾；

步骤28、判断i是否等于N-1，如果i等于N-1，输出V^(N)，如果i小于N-1，执行步骤29；

其中，N为消息分组的数量；

步骤29、i的值加1，执行步骤22。

在本实施例中，FF_j(A_j-1,B_j-1,C_j-1)和GG_j(E_j-1,F_j-1,G_j-1)为SM3密码杂凑算法中的布尔函数，P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))和P₀(TT2_j)为SM3密码杂凑算法中的置换函数。

步骤24-步骤26为64轮的迭代过程，在每次迭代过程中，首先计算中间变量字TT1、TT2的迭代值，然后动态产生消息扩展字W_(j mod16)，存放在16个字的循环队列W₀-W₁₅中，最后计算A-H的迭代值。

本实施例使用循环存储队列动态产生消息扩展字W₀-W₁₅，因此只需要16个字，而现有技术中需要68个消息扩展字W。本实施例使用新的迭代压缩步骤，只需要两个中间变量字TT1、TT2，不需要中间变量字SS1、SS2和消息扩展字W’。

在本实施例中，对于每个消息分组B⁽ⁱ⁾的一次迭代过程只使用了18个32比特长度的存储单元，其中包括16个消息扩展字W₀-W₁₅、以及2个中间变量字TT1、TT2，而现有技术中的SM3密码杂凑算法的迭代压缩步骤使用136个32比特长度的存储单元，其中包括132个32比特长度的消息扩展字和4个中间变量SS1、SS2、TT1、TT2，本实施例使用的存储单元的数量为现有技术的13.2％，极大地减少了SM3密码杂凑算法的迭代压缩步骤使用的存储单元。此外，本实施例不增加算法的计算量，保证了同样的算法计算效率。

可选地，在步骤22中，根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅具体为：将消息扩展字W₀-W₁₅分别设置为从512比特长度的消息分组B⁽ⁱ⁾的最高比特位开始的第1-16个字的值，其中，每个字的字长为32比特。

可选地，在步骤22中，确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值具体为：将各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值依次设置为V⁽ⁱ⁾从最高比特位开始的第1-8个字的值，其中，每个字的字长为32比特。

可选地，在步骤24中，确定32比特长度的常量T_j具体为：

$T_j=\left\{\begin{array}{cc}79\mathrm{cc}4519& 0\&le;j\&le;15\\ 7a879d8a& 16\&le;j\&le;63\end{array}\right.;$

其中，79cc4519和7a879d8a为16进制数。

可选地，在本实施例中，消息扩展字W₀-W₁₅和中间变量字TT1、TT2采用32比特长度的字寄存器进行存储；步骤24-步骤29中的任一加法、减法、循环左移、异或、与、或、模、非运算分别由加法器、减法器、移位寄存器、异或门电路、与门电路、或门电路、模运算电路、非门电路实现。

SM3密码杂凑算法实施例

上述实现SM3密码杂凑算法中的迭代压缩的方法第一实施例和第二实施例的方法也可以应用于SM3密码杂凑算法中，从而节省大量的存储单元。

如图3所示，为本发明SM3密码杂凑算法实施例的流程示意图，本实施例提供的SM3密码杂凑算法是将输入的长度不等的消息m转换为256比特长度的杂凑值的算法，因此输入值为消息m，输出值为杂凑值，该SM3密码杂凑算法可以包括如下步骤：

步骤31、接收长度为L比特的消息m，对消息m进行填充，得到长度为512比特的N倍的填充消息m’；

其中，L为小于或等于(2⁶⁴-1)的正整数，N为小于或等于(2⁵⁵+1)的正整数；如果消息m的长度超过(2⁶⁴-1)比特，则将消息m拆分为多个组，每组的长度不超过(2⁶⁴-1)比特；

步骤32、从填充消息m’的最高比特位开始，将填充消息m’划分为N个512比特长度的消息分组B⁽⁰⁾-B^(N-1)；

其中，消息分组B⁽⁰⁾为填充信息m’中比特位最高的512个比特，消息分组B⁽¹⁾为填充信息m’中比特位次高的512个比特，以此类推，B^(N-1)为填充信息m’中比特位最低的512个比特；

步骤33、计算并输出消息m的杂凑值V^(N)；

步骤33具体可以采用前述实现SM3密码杂凑算法中的迭代压缩的方法第一实施例或第二实施例的方法，在此不再赘述。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种实现SM3密码杂凑算法中的迭代压缩的方法，其特征在于，包括：

步骤1、设置迭代次数i＝0；设置压缩函数V的第0次迭代值V⁽⁰⁾为用16进制表示的7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aae38dee4d b0fb0e4e；

步骤2、根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅；确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值；

步骤3、设置迭代次数j＝0；

步骤4、确定32比特长度的常量T_j；按照迭代公式，确定中间变量字SS1、SS2、TT1、TT2、消息扩展字ww和各变量字A、B、C、D、E、F、G、H的第j次迭代值SS1_j、SS2_j、TT1_j、TT2_j、ww_j、A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j、以及消息扩展字W_(j mod16)，其中，所述迭代公式包括：

SS1_j＝((A_j-1<<<12)+E_j-1+(T_j<<<j))<<<7；

SS2_j＝SS1_j⊕(A_j-1<<<12)；

ww_j＝W_j⊕W_j+4；

TT1_j＝FF_j(A_j-1,B_j-1,C_j-1)+D_j-1+SS2_j+ww_j；

TT2_j＝GG_j(E_j-1,F_j-1,G_j-1)+H_j-1+SS1_j+W_j；

W_(j mod16)＝P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))⊕(W_((j-1)mod16)<<<7)⊕W_((j-6)mod16)；

D_j＝C_j-1；

C_j＝B_j-1<<<9；

B_j＝A_j-1；

A_j＝TT1_j；

H_j＝G_j-1；

G_j＝F_j-1<<<19；

F_j＝E_j-1；

E_j＝P₀(TT2_j)；

步骤5；判断j是否等于63，如果j等于63，执行步骤6，如果j小于63，j的值增加1，执行步骤4；

步骤6、将A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j的先后顺序作为比特位由高到低的排列顺序组合得到的256比特长度的变量A_j B_j C_j D_j E_j F_j G_j H_j与V的第i次迭代值进行异或运算，得到V的第i+1次迭代值V⁽ⁱ⁺¹⁾：

V⁽ⁱ⁺¹⁾＝A_j B_j C_j D_j E_j F_j G_j H_j⊕V⁽ⁱ⁾；

步骤7、判断i是否等于N-1，如果i等于N-1，输出V^(N)，如果i小于N-1，i的值加1，执行步骤2；

其中，N为消息分组的数量；

FF_j(A_j-1,B_j-1,C_j-1)和GGj(E_j-1,F_j-1,G_j-1)为布尔函数，函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))和P₀(TT2_j)为置换函数，所述置换函数的函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))＝

(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<23)

P₀(TT2_j)＝TT2_j⊕(TT2_j<<<9)⊕(TT2_j<<<17)

其中，<<<12、<<<j、<<<7、<<<15、<<<9、<<<19分别为循环左移12、j、7、15、9、19比特运算，⊕为32比特异或运算，∧为32比特与运算，∨为32比特或运算，mod为模运算，为32比特非运算。

2.根据权利要求1所述的方法，其特征在于，所述确定32比特长度的常量T_j具体为：

$T_j=\left\{\begin{array}{cc}79\mathrm{cc}4519& 0\&le;j\&le;15\\ 7a879d8a& 16\&le;j\&le;63\end{array}\right.;$

其中，79cc4519和7a879d8a为16进制数。

3.根据权利要求1所述的方法，其特征在于，所述确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值具体为：

将各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值依次设置为V⁽ⁱ⁾从最高比特位开始的第1-8个字的值，其中，每个字的字长为32比特。

4.根据权利要求1所述的方法，其特征在于，所述根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅具体为：

将消息扩展字W₀-W₁₅分别设置为从512比特长度的消息分组B⁽ⁱ⁾的最高比特位开始的第1-16个字的值，其中，每个字的字长为32比特。

5.根据权利要求1所述的方法，其特征在于，所述消息扩展字W₀-W₁₅和中间变量字SS1、SS2、ww、TT1、TT2采用32比特长度的字寄存器进行存储；

所述步骤4-步骤7中的任一加法、减法、循环左移、异或、与、或、模、非运算分别由加法器、减法器、移位寄存器、异或门电路、与门电路、或门电路、模运算电路、非门电路实现。

6.一种实现SM3密码杂凑算法中的迭代压缩的方法，其特征在于，包括：

步骤1、设置迭代次数i＝0；设置压缩函数V的第0次迭代值V⁽⁰⁾为用16进制表示的7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aae38dee4d b0fb0e4e；

步骤2、根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅；确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值；

步骤3、设置迭代次数j＝0；

步骤4、确定32比特长度的常量T_j；按照迭代公式，确定中间变量字TT1、TT2和各变量字A、B、C、D、E、F、G、H的第j次迭代值TT1_j、TT2_j、A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j、以及消息扩展字W_(j mod16)，其中，所述迭代公式包括：

TT1_j＝((A_j-1<<<12)+E_j-1+(T_j<<<j))<<<7；

TT2_j＝GG_j(E_j-1,F_j-1,G_j-1)+H_j-1+TT1_j+W_j；

TT1_j＝FF_j(A_j-1,B_j-1,C_j-1)+D_j-1+(TT1_j⊕(A_j-1<<<12))+W_j⊕W_j+4；

W_(j mod16)＝P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))⊕(W_((j-1)mod16)<<<7)⊕W_((j-6)mod16)；

D_j＝C_j-1；

C_j＝B_j-1<<<9；

B_j＝A_j-1；

A_j＝TT1_j；

H_j＝G_j-1；

G_j＝F_j-1<<<19；

F_j＝E_j-1；

E_j＝P₀(TT2_j)；

步骤5；判断j是否等于63，如果j等于63，执行步骤6，如果j小于63，j的值增加1，执行步骤4；

步骤6、将A_j、B_j、C_j、D_j、E_j、F_j、G_j、H_j的先后顺序作为比特位由高到底的排列顺序组合得到的256比特长度的变量A_j B_j C_j D_j E_j F_j G_j H_j与V的第i次迭代值进行异或运算，得到V的第i+1次迭代值V⁽ⁱ⁺¹⁾：

V⁽ⁱ⁺¹⁾＝A_j B_j C_j D_j E_j F_j G_j H_j⊕V⁽ⁱ⁾；

步骤7、判断i是否等于N-1，如果i等于N-1，输出V^(N)，如果i小于N-1，i的值加1，执行步骤2；

其中，N为消息分组的数量；

FF_j(A_j-1,B_j-1,C_j-1)和GGj(E_j-1,F_j-1,G_j-1)为布尔函数，函数表达式为：

P₁(W_j-16⊕W_j-9⊕(W_j-3<<<15))和P₀(TT2_j)为置换函数，函数表达式为：

P₁(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕(W_((j-3)mod16)<<<15))＝

(W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<15)⊕

((W_{((j-16)mod16)}⊕W_((j-9)mod16)⊕W_((j-3)mod16)<<<15)<<<23)

P₀(TT2_j)＝TT2_j⊕(TT2_j<<<9)⊕(TT2_j<<<17)

其中，<<<12、<<<j、<<<7、<<<15、<<<9、<<<19分别为循环左移12、j、7、15、9、19比特运算，⊕为32比特异或运算，∧为32比特与运算，∨为32比特或运算，mod为模运算，为32比特非运算。

7.根据权利要求6所述的方法，其特征在于，所述确定32比特长度的常量T_j具体为：

$T_j=\left\{\begin{array}{cc}79\mathrm{cc}4519& 0\&le;j\&le;15\\ 7a879d8a& 16\&le;j\&le;63\end{array}\right.;$

其中，79cc4519和7a879d8a为16进制数。

8.根据权利要求6所述的方法，其特征在于，所述确定32比特长度的各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值具体为：

将各变量字A_-1、B_-1、C_-1、D_-1、E_-1、F_-1、G_-1、H_-1的初始值依次设置为V⁽ⁱ⁾从最高比特位开始的第1-8个字的值，其中，每个字的字长为32比特。

9.根据权利要求6所述的方法，其特征在于，所述根据消息分组B⁽ⁱ⁾确定16个32比特长度的消息扩展字W₀-W₁₅为：

将消息扩展字W₀-W₁₅分别设置为从512比特长度的消息分组B⁽ⁱ⁾的最高比特位开始的第1-16个字的值，其中，每个字的字长为32比特。

10.根据权利要求6所述的方法，其特征在于，所述消息扩展字W₀-W₁₅和中间变量字TT1、TT2采用32比特长度的字寄存器进行存储；

所述步骤4-步骤7中的任一加法、减法、循环左移、异或、与、或、模、非运算分别由加法器、减法器、移位寄存器、异或门电路、与门电路、或门电路、模运算电路、非门电路实现。