国密SM4实现格式保留加密(FPE)：原理、C语言实战与调试指南

1. 项目概述：为什么我们需要FPE格式保留加密？

最近在做一个数据脱敏的项目，客户有个硬性要求：加密后的数据必须和原始数据的格式完全一致。比如，一个15位的身份证号，加密后还得是15位数字；一个11位的手机号，加密后也得是11位数字，不能变成一堆乱码。这让我立刻想到了格式保留加密。

FPE，全称Format-Preserving Encryption，简单说就是一种“变形记”式的加密。它不像AES、SM4那样，输入一段明文，输出一段固定长度的二进制密文。FPE的密文和明文在格式上是对应的，长度、字符集（比如全是数字、全是字母）都保持不变。这在金融、电信、政务这些对数据格式有严格要求的领域，简直是刚需。你总不能让一个加密后的银行卡号，因为长度变了而无法通过系统的校验规则吧？

而国密SM4，作为我们国家密码管理局认定的商用密码算法，其安全性和可靠性在国内项目中是首选。把SM4和FPE结合起来，用国密算法来实现格式保留加密，既能满足合规性要求，又能解决实际业务中的格式约束问题，这个组合拳非常实用。

网上关于FPE的理论文章不少，但真正能跑起来、带调试过程的完整C代码示例却不多。很多人卡在算法原理到代码实现的“最后一公里”。所以，我决定结合最近的项目实践，手把手带你走一遍用SM4实现FPE的全过程，从原理理解、算法设计，到代码逐行解析和调试排坑，最后给你一份能直接编译运行的C代码。无论你是正在做数据安全开发的工程师，还是对密码学应用感兴趣的学习者，这篇内容应该都能给你带来直接的帮助。

2. FPE核心原理与Feistel结构拆解

2.1 FPE要解决的核心矛盾

传统分组加密（如SM4）是“格式破坏者”。它处理固定长度（如128位）的二进制块，输出也是128位二进制。但我们的业务数据（身份证号、手机号）是特定字符集（如数字0-9）的字符串。直接加密会导致两个问题：

1. 长度膨胀：一个10位数字经编码、加密、再编码后，长度很可能变化。
2. 字符集破坏：输出是二进制或Base64，不再是纯数字。

FPE的核心思想就是：在加密过程中，始终将数据“模拟”或“映射”在目标格式的范围内。最主流、最经得起考验的实现方式，是采用Feistel网络结构。没错，就是那个被DES算法采用过的经典结构，但它在这里被巧妙地用于处理任意字符集和长度。

2.2 Feistel网络如何适配FPE

Feistel结构天生适合构建可逆（加解密）的置换。它的核心操作是“分割-处理-交换”。在FPE语境下，我们这样理解：

假设我们要加密的数据可以表示为一个在特定字符集上的数字。例如，数字串“12345”，字符集是10个数字（0-9），我们可以把它看作一个基数为10的数字系统里的一个数值。但直接处理大整数运算效率低，Feistel结构将其分解：

1. 编码：将明文字符串（如“12345”）转换成一个大整数X，其数值范围是[0, N-1]，其中N是字符集大小的明文长度次幂（对于5位数字，N=10^5=100000）。
2. 分割：将X拆分成两个较小的整数L(左半部分) 和R(右半部分)。
3. 多轮迭代：进行多轮（例如10轮）的Feistel运算。每一轮的核心是：
   • R保持不变，准备与下一轮的L交换。
   • 用一个轮函数F去处理R，同时结合一个轮密钥。这个F函数的输出范围必须被严格控制，通常需要将其映射到[0, N_R-1]的范围内，其中N_R与右半部分的数值范围有关。
   • 将F(R)的结果与L进行模加运算（在FPE中常用的是模N_L的加法，N_L是左半部分的数值范围）。
   • 交换L和R的角色，进入下一轮。
4. 解码：最后一轮结束后，将最终的L和R合并，再转换回字符串格式。

这里的精妙之处在于，轮函数F是加密安全性的关键。它需要是一个“伪随机函数”，输入一个值，输出一个看似随机的、但在指定范围内的值。我们通常会用SM4这样的强密码算法来构造它。同时，模运算确保了结果始终落在我们预设的格式范围内，从而实现了格式保留。

注意：标准的Feistel for FPE算法（如NIST SP 800-38G中的FF1和FF3方案）在细节上更为复杂，包括使用泰勒级数、处理非2的幂的模运算、以及更精细的轮函数构造。我们的实现是一个教学向的简化版本，阐述了核心思想，足以应对许多非极端安全要求的场景。对于生产环境，建议使用经过认证的密码库（如GmSSL）中提供的FPE接口。

2.3 轮函数F的设计：SM4登场

轮函数F需要是密码学安全的伪随机函数。我们用SM4来打造它。基本思路是：

1. 将输入R和当前轮次等信息，填充或格式化为一个128位的分组。
2. 用SM4算法（使用一个派生出的子密钥）对这个分组进行加密。
3. 从加密结果中截取或计算出一个数值，并通过取模等运算将其约束到目标范围[0, N_L-1]内。

这样，SM4的强伪随机性就传递给了轮函数F，进而保证了整个Feistel网络的安全性。密钥管理方面，我们需要一个主密钥，然后通过一个密钥派生函数（KDF）为每一轮Feistel迭代生成不同的轮密钥。为了简化，我们的示例可能会使用固定的密钥或简单的派生方式，但在实际应用中必须使用安全的KDF（如基于SM3的KDF）。

3. 实战：用C语言实现SM4-FPE

3.1 项目结构与核心模块设计

我们的演示项目将包含以下核心文件：

• sm4.h/sm4.c：国密SM4算法的实现。这里我们采用一个清晰、易于理解的参考实现。它包含SM4的密钥扩展（sm4_setkey）和块加密/解密（sm4_crypt_ecb）函数。
• fpe.h/fpe.c：格式保留加密算法的核心实现。包含编码/解码函数、Feistel网络循环、以及轮函数F的实现。
• main.c：测试用例和调试入口。
• Makefile或CMakeLists.txt：构建脚本。

我们先从最底层的SM4算法包装开始。确保你有一个可工作的SM4实现。下面的代码假设你的sm4.c提供了如下接口：

// sm4.h #ifndef SM4_H #define SM4_H #include <stdint.h> #define SM4_BLOCK_SIZE 16 // 128位 = 16字节 typedef struct { uint32_t rk[32]; // 轮密钥 } sm4_ctx; void sm4_setkey_enc(sm4_ctx *ctx, const unsigned char key[16]); void sm4_setkey_dec(sm4_ctx *ctx, const unsigned char key[16]); void sm4_crypt_ecb(const sm4_ctx *ctx, int mode, // 1为加密，0为解密 size_t length, const unsigned char *input, unsigned char *output); #endif

3.2 FPE核心算法实现详解

接下来是重头戏fpe.c。我们以实现一个加密数字字符串的FPE为例，字符集是“0123456789”。

// fpe.h #ifndef FPE_H #define FPE_H #include <stddef.h> // FPE上下文，包含算法参数 typedef struct { const char *alphabet; // 字符集，如“0123456789” int radix; // 基数，等于strlen(alphabet) int *tweak; // 微调值（可选，用于增强安全性，关联额外数据） size_t tweak_len; // 微调值长度 unsigned char sm4_key[16]; // SM4主密钥 } fpe_ctx; // 初始化FPE上下文 int fpe_init(fpe_ctx *ctx, const char *alphabet, const unsigned char *key, size_t key_len, const int *tweak, size_t tweak_len); // FPE加密 int fpe_encrypt(const fpe_ctx *ctx, const char *plaintext, char *ciphertext, size_t len); // FPE解密 int fpe_decrypt(const fpe_ctx *ctx, const char *ciphertext, char *plaintext, size_t len); // 清理上下文 void fpe_free(fpe_ctx *ctx); #endif

// fpe.c - 核心实现节选 #include “fpe.h” #include “sm4.h” #include <string.h> #include <stdlib.h> #include <math.h> // 辅助函数：将字符映射到字符集索引 static int char_to_index(const fpe_ctx *ctx, char c) { const char *pos = strchr(ctx->alphabet, c); return pos ? (pos - ctx->alphabet) : -1; } // 辅助函数：将索引映射回字符 static char index_to_char(const fpe_ctx *ctx, int idx) { if (idx < 0 || idx >= ctx->radix) return '\0'; return ctx->alphabet[idx]; } // 核心：将字符串编码为大整数（数值表示） static int encode_string(const fpe_ctx *ctx, const char *str, size_t len, uint64_t *num) { uint64_t value = 0; for (size_t i = 0; i < len; i++) { int idx = char_to_index(ctx, str[i]); if (idx < 0) return -1; // 非法字符 value = value * ctx->radix + idx; } *num = value; return 0; } // 核心：将大整数解码为字符串 static int decode_string(const fpe_ctx *ctx, uint64_t num, size_t len, char *str) { for (int i = len - 1; i >= 0; i--) { int idx = num % ctx->radix; str[i] = index_to_char(ctx, idx); num /= ctx->radix; } str[len] = '\0'; return (num == 0) ? 0 : -1; // 检查整数是否在有效范围内 } // 轮函数 F：使用SM4构造 static uint64_t round_function(const fpe_ctx *ctx, uint64_t input, int round) { unsigned char block[SM4_BLOCK_SIZE] = {0}; unsigned char output[SM4_BLOCK_SIZE]; // 1. 将输入、轮次等信息填充到128位块中。 // 这是一个简化版本。标准做法会包含tweak、更复杂的编码。 uint64_t padded_input = input; memcpy(block, &padded_input, sizeof(padded_input)); block[8] = round; // 简单加入轮次信息 // 2. 使用SM4加密这个块 sm4_ctx sm4_ctx; sm4_setkey_enc(&sm4_ctx, ctx->sm4_key); sm4_crypt_ecb(&sm4_ctx, 1, SM4_BLOCK_SIZE, block, output); // 3. 从加密结果中导出一个数值，并约束范围。 // 这里我们取输出块的前64位，并模一个“左半部分的最大值”（在Feistel循环中确定）。 // 注意：这是一个教学示例，实际范围约束需要根据Feistel的当前分割情况动态计算。 uint64_t result; memcpy(&result, output, sizeof(result)); // 假设我们需要的模数是 MOD，这里为了演示先固定一个值。 // 真实实现中，MOD 应为 pow(ctx->radix, left_half_len) uint64_t MOD = 1000; // 示例值 return result % MOD; } // 主加密函数 int fpe_encrypt(const fpe_ctx *ctx, const char *plaintext, char *ciphertext, size_t len) { uint64_t A, B; // Feistel结构的左半部分和右半部分 uint64_t N = (uint64_t)pow(ctx->radix, len); // 明文空间大小 // 1. 编码字符串为整数 X uint64_t X; if (encode_string(ctx, plaintext, len, &X) != 0) return -1; // 2. 分割 X 为 A 和 B (简化分割，取中间) size_t split_len = len / 2; uint64_t radix_pow_split = (uint64_t)pow(ctx->radix, split_len); A = X / radix_pow_split; B = X % radix_pow_split; // 3. Feistel 循环 (例如 10 轮) int rounds = 10; for (int i = 0; i < rounds; i++) { uint64_t temp = B; // F(B) 的结果需要模 (ctx->radix ^ (len - split_len))，这里简化处理 uint64_t F_out = round_function(ctx, B, i); // 模加：A' = (A + F(B)) % (左半部分空间大小) // 左半部分空间大小为 pow(ctx->radix, len - split_len) uint64_t left_space = (uint64_t)pow(ctx->radix, len - split_len); B = (A + F_out) % left_space; A = temp; } // 4. 合并最终结果并解码 uint64_t Y = A * radix_pow_split + B; // 注意合并顺序，取决于最后一轮是否交换 return decode_string(ctx, Y, len, ciphertext); } // 解密函数是加密的逆过程，轮次逆序，并将模加改为模减 int fpe_decrypt(const fpe_ctx *ctx, const char *ciphertext, char *plaintext, size_t len) { // 实现逻辑与加密对称，轮函数F相同，但Feistel循环反向进行，模加变为模减。 // 篇幅所限，此处省略具体代码，其结构与fpe_encrypt高度镜像。 // ... return 0; }

3.3 调试过程与关键问题记录

在实现上述代码时，我遇到了几个典型问题，这里分享调试过程：

1. 整数溢出：pow(ctx->radix, len)在len较大时（如20位数字），uint64_t会溢出。例如，10^20 已经超过了 2^64。解决方案：对于长数据，不能一次性编码为一个大整数。需要使用“分块”或“循环”Feistel，或者直接使用支持大数的数学库（如GMP）。在我们的示例中，我们假设处理的数据长度在uint64_t可表示的范围内。

2. 轮函数的范围约束：这是最容易出错的地方。轮函数F的输出必须精确地模N_L（左半部分的数值范围）。这个N_L在每一轮可能不同（如果分割不均匀）。我最初忘记取模，导致A + F(B)的结果远超字符集范围，解码失败。调试技巧：在round_function内部和Feistel循环的模加运算后，立即打印出数值，确保其始终在[0, N_L-1]内。

3. 字符集索引错误：char_to_index函数如果使用strchr，对于非ASCII字符集（如包含中文）可能有问题。解决方案：对于任意字符集，最好预先构建一个查找表（哈希表或数组），实现O(1)的查找。

4. 加解密不对称：解密结果不对。排查步骤：

   • 首先检查编码/解码函数（encode_string/decode_string）是否互为逆运算。单独写测试用例，随机生成字符串，编码后再解码，看是否一致。
   • 然后检查Feistel分割与合并逻辑。确保加密和解密在分割点、合并顺序上完全对称。最后一轮结束后是否交换了L和R？标准Feistel在最后一轮通常不交换，但有些实现会交换。必须统一。
   • 最后检查轮函数。在加密和解密中，轮函数F必须是完全相同的确定性函数。确保输入的参数（R,round）在加解密对应轮次是一致的。解密时使用模减 (A - F(B) mod N) 来抵消加密时的模加。

5. 使用微调（Tweak）：为了增强安全性，使同一个明文在不同语境下（通过不同的Tweak）加密出不同的密文，需要将Tweak引入轮函数F。实现方法：将Tweak和轮次信息一起填充到SM4加密的输入块中。这能有效防止“字典攻击”。

4. 完整测试用例与性能考量

4.1 编写健壮的测试代码

在main.c中，我们需要全面测试FPE实现：

#include <stdio.h> #include <string.h> #include “fpe.h” int main() { // 1. 定义参数 const char *alphabet = “0123456789”; // 数字字符集 unsigned char sm4_key[16] = { 0x01, 0x23, 0x45, 0x67, 0x89, 0xab, 0xcd, 0xef, 0xfe, 0xdc, 0xba, 0x98, 0x76, 0x54, 0x32, 0x10 }; // 示例密钥，实际应用必须使用安全随机生成的密钥 int tweak[] = {1, 2, 3, 4}; // 示例微调值 size_t tweak_len = 4; // 2. 初始化FPE上下文 fpe_ctx ctx; if (fpe_init(&ctx, alphabet, sm4_key, 16, tweak, tweak_len) != 0) { fprintf(stderr, “FPE context init failed.\n”); return 1; } // 3. 测试用例 const char *test_vectors[] = {“12345”, “9876543210”, “0”, “999999”}; size_t num_tests = sizeof(test_vectors) / sizeof(test_vectors[0]); for (size_t i = 0; i < num_tests; i++) { const char *plain = test_vectors[i]; size_t len = strlen(plain); char cipher[100] = {0}; char decrypted[100] = {0}; printf(“Test %zu:\n”, i + 1); printf(“ Plaintext: %s\n”, plain); // 加密 if (fpe_encrypt(&ctx, plain, cipher, len) != 0) { printf(“ Encryption failed!\n”); continue; } printf(“ Ciphertext: %s\n”, cipher); // 解密 if (fpe_decrypt(&ctx, cipher, decrypted, len) != 0) { printf(“ Decryption failed!\n”); continue; } printf(“ Decrypted: %s\n”, decrypted); // 验证 if (strcmp(plain, decrypted) == 0) { printf(“ Result: PASS\n”); } else { printf(“ Result: FAIL\n”); } printf(“\n”); } // 4. 格式保留验证 printf(“Format Preservation Test:\n”); const char *long_num = “123456789012345”; size_t long_len = strlen(long_num); char long_cipher[100] = {0}; fpe_encrypt(&ctx, long_num, long_cipher, long_len); printf(“ Original (%zu digits): %s\n”, long_len, long_num); printf(“ Encrypted (%zu digits): %s\n”, strlen(long_cipher), long_cipher); if (long_len == strlen(long_cipher)) { printf(“ Format preserved: YES\n”); } else { printf(“ Format preserved: NO\n”); } fpe_free(&ctx); return 0; }

4.2 性能优化与生产环境建议

我们实现的简化版FPE，其性能瓶颈主要在：

• 大数运算：pow函数和大量的取模运算在循环中开销大。
• SM4调用：每轮Feistel都需要调用一次SM4加密。

优化建议：

1. 预计算：对于固定的字符集和长度，radix^len、radix^split_len等值可以预先计算好，存入上下文。
2. 使用查表法进行进制转换：对于编码/解码，可以预先计算字符集每位权重的表格，避免在循环中重复计算pow。
3. 减少轮数：在安全性允许的前提下，评估最少的Feistel轮数。NIST标准FF1建议至少10轮。
4. 使用硬件加速：如果平台支持SM4指令集扩展，可以极大提升轮函数F的速度。
5. 生产级选择：强烈建议在生产环境中使用成熟的密码库。例如，GmSSL开源密码库就提供了对国密算法（包括SM4）的完整支持，并且其最新版本可能已经包含了FPE模式或相关的构建模块。直接使用库函数，比自己实现更安全、更高效。

4.3 安全性重要提醒

1. 密钥管理：示例中的静态密钥仅用于演示。实际系统必须使用密码学安全的随机数生成器（CSPRNG）生成密钥，并安全地存储和管理（如使用硬件安全模块HSM）。
2. 微调（Tweak）的使用：微调值就像一个“盐”（salt），它能让相同的明文在不同的微调下产生不同的密文。这对于防止基于静态表的攻击至关重要。微调值可以是数据库表的ID、时间戳等，但需要保证在加解密时可用。
3. 算法选择：我们实现的是简化的Feistel FPE。对于高安全要求的场景，应遵循NIST SP 800-38G等标准中定义的FF1或FF3模式。这些模式经过了更严格的安全分析。
4. 域大小：当明文空间（即radix^len）非常小时，FPE可能无法提供足够的安全性。攻击者可能暴力枚举所有可能的明文。通常建议明文空间不小于 2^30（约10亿）。