摘　要： 在分析AES算法的基礎上，介紹了該算法各模塊的設計實現方法，并將加解密運算結構設計為1個統一的結構。通過對密鑰生成算法的分析，將3種密鑰長度的密鑰生成算法進行了可配置設計，使該設計能夠實現加解密功能。該設計通過了FPGA仿真驗證，與傳統設計方案相比大大減小了硬件資源的消耗。
關鍵詞： 高級加密標準； 統一加解密結構； 可配置密鑰生成結構； 現場可編程門陣列

    在信息安全領域，數據加密是一種常用且行之有效的方法。高級加密標準AES[1]算法設計簡單，便于硬件實現，是新一代的主流對稱加密算法。相對于軟件實現，硬件實現加密算法安全性好、計算速度快。本文基于FPGA提出了一種AES算法的可配置設計方法，對數據分組長度為128 bit，密鑰長度為128 bit、192 bit和256 bit的加解密運算進行了可配置結構的設計與實現。
1 AES算法介紹
　AES為迭代分組密碼算法，對待加密的明文先分組后再加密。明文長度和密鑰長度均可以為128 bit、192 bit和256 bit。根據明文長度及密鑰長度的不同組合，加密的輪數可以不同[1]。AES算法由加密、解密算法和密鑰擴展算法3個部分組成。
1.1 加/解密算法
　加密算法的每一輪由4個變換組成，依次為字節代替、行移位、列混合以及輪密鑰加。最后一輪變換與其他輪略有不同，主要是少了列混合變換。解密算法與加密算法相反，每一輪的4個變換為相應加密變換的逆變換，依次為逆字節替代變換、逆行移位變換、逆列混合變換、逆輪密鑰加。加解密算法所用子密鑰相同，只是使用的順序剛好相反。
1.2 密鑰擴展算法
    圈子密鑰是通過密鑰擴展算法從初始密鑰中獲得的，其長度等于分組長度。AES的密鑰擴展算法由密鑰擴展和密鑰選取兩部分構成。
    初始密鑰經密鑰擴展過程產生32Nb(Nr+1) bit的擴展密鑰，共包含Nb(Nr+1)=t個4字節的密鑰字(其中Nr代表迭代輪數，Nb代表數據分組數，Nk代表密鑰分組數，數據和密鑰每個分組為32  bit)。擴展后得到的全部密鑰字為：w0 w1…wt-1，前Nk個密鑰字直接由外部密鑰獲得，后續密鑰字根據初始密鑰的長度分為2種情況得到。當密鑰長度為128  bit或192  bit時，后續密鑰字wi等于其前1個字wi-1與Nk個位置之前的字wi-Nk的“異或”。對于Nk的整數倍位置的字，在“異或”之前，要對wi-1進行1次G變換。G變換的步驟為先進行1次字節循環移位，然后再做1次字節替代變換，最后再“異或”1個輪常數。當密鑰長度為256位時，如果Nk=8且i-4是Nk的整數倍，則“異或”之前對wi-1要做1次字節替代變換。
2 AES算法各模塊的設計
2.1 S盒的設計
    字節替代變換是關于字節的非線性變換，它將狀態中每1個字節非線性地變換為另1個字節，替代(S盒)是可逆的。S盒的傳統設計方法是使用VHDL語言中的CASE語句進行描述，但這樣實現的S盒將占用大量的邏輯資源，且速度較低，FPGA內部的存儲器資源得不到充分利用。為了充分利用FPGA芯片內部的存儲器資源，提高運行速度，可將替代的內容存儲到FPGA內部的存儲器中，根據輸入字節的數值進行快速的查表操作。即把輸入的8 bit待處理數據作為地址，對應的地址空間中存放字節替代后輸出的8 bit數據。對于逆S盒，可以用同樣的方法來實現。
2.2 行移位的設計
    行移位是以字節為單位進行的循環移位。由于移位位數是固定的，故可采用直接連線的方式來實現。這樣只會占用連線資源，時間僅為線上傳輸延遲，速度非常快。對于逆行移位，可以采用同樣的方法來實現。
2.3 列混合的設計
    由AES列混合變換的原理可知，列混合變換就是輸入狀態矩陣與1個系數矩陣相乘，此系數矩陣中的元素有3種，分別為16進制數01、02、03。由參考文獻[2]可知，可以利用xf(x)算法對其進行快速實現。逆列混合變換的原理類似，其系數矩陣中的元素有4種，分別為16進制數09、0e、0b、0d。同樣可利用xf(x)算法對其進行實現，只是乘數較大，需多次使用xf(x)算法，因此逆列混合較之列混合在資源消耗和運算時間上都有所增加。
2.4 密鑰加的設計
    由于本設計采用128 bit的數據分組長度，所以密鑰加的設計是將2個128 bit數作“異或”運算。因為“異或”的逆運算也為“異或”，所以解密變換的密鑰加也為2個128 bit數的“異或”。
3 加/解密運算的統一結構設計
    AES算法加/解密運算過程的相似性是進行統一結構設計的基礎。通過分析可知，加/解密運算的變換環節也存在相同或相似性，如S盒變換、行移位變換、密鑰加以及密鑰生成，這些都可作為統一結構設計的組件。
    S盒變換是該算法硬件實現時最重要的環節，其所占資源在整個算法中的比重很大，對于S盒和逆S盒，它們的輸入輸出端口都為8進8出，占用的存儲資源相同，不同的只是存儲空間中的內容。因此在設計中，可讓加/解密共用同一個S盒模塊，只是在實現加/解密運算時，對S盒中的存儲內容進行重新配置即可。S盒的重用可使消耗的硬件資源大為減少。
    對于行移位和逆行移位，其實現僅需占用連線資源，所以兩者的單獨設計不會造成邏輯資源消耗的增加。且行移位只是以字節為單位進行移位，與字節的值無關。而S盒變換只是改變字節的值,與字節的位置無關。所以兩者的執行順序可以交換。在本設計中，為了使加/解密流程更趨于相同，把解密的逆S盒與逆行移位的位置進行了交換。
    對于“異或”運算，因其逆運算就是它本身，所以在加/解密過程中，2種密鑰加運算可以用同一硬件資源來實現。
    在增加了相應的控制信號和選擇器之后，加/解密算法可歸結為同一個計算流程，如圖1所示。

    由于加/解密被歸結為同一個計算流程，因此在實現時，兩者可共用相同的控制資源。相對于單純的加密結構，本設計僅增加了逆列混合單元和部分控制資源即實現了加/解密運算的雙重功能。
4 密鑰擴展算法的可配置設計
    由算法原理可知，128 bit，192 bit及256 bit 3種密鑰長度的密鑰生成算法各不相同。128 bit密鑰長度的密鑰生成算法的每1圈流程[3]如圖2所示。192 bit密鑰長度的密鑰生成算法與之類似，只須把每輪的輸入輸出改為6路即可。

    256 bit密鑰長度的密鑰生成算法與128 bit和192 bit略有不同，即把第4路輸出經過了1個S盒變換，S盒變換的結果再與第5路“異或”，其每1圈的流程如圖3所示。

     通過對3種密鑰生成算法的分析可知，3種算法的圈函數結構存在很大的相似性，128 bit、192 bit的密鑰生成圈函數都可視為256 bit密鑰生成圈函數的一部分。因此可以通過對后者進行適當的變形，從而實現128 bit、192 bit密鑰長度的密鑰生成算法。本文通過在256 bit密鑰生成算法圈函數的基礎上添加2個必要的數據選擇器來實現128 bit與192 bit的密鑰生成算法，具體實現結構如圖4所示。

    圖中，第3路輸出和第5路輸出作為選擇器A的輸入，其輸出與第6路輸入“異或”。同理，第3路輸出與第7路輸出作為選擇器B的輸入，其輸出與最后1路輸入“異或”。選擇器A、B為32  bit的二選一多路選擇器。只須對選擇器A、B進行控制，便可靈活實現3種密鑰生成算法。若要實現256  bit密鑰生成算法，使選擇器的輸出均為上一路的輸入即可。若要實現192  bit密鑰生成算法，須使A選擇器的輸出為下一路，B選擇器的輸出為上一路。同時，圈函數的輸入與輸出應分別選取除第4路與第5路之外的其他路；若要實現128 bit密鑰生成算法，只需使B選擇器的輸出為下一路。同時圈函數的輸入與輸出分別選取第1、2、3路和最后一路。
　由以上分析可知，僅通過添加2個數據選擇器、3種密鑰生成算法便可成為1個算法，易于實現且3種算法還可共用中間結構寄存器資源、控制資源。所以相對于3種密鑰生成算法的單獨硬件結構設計，本設計所消耗的硬件資源將大大減少。
5 系統的實現與仿真
　本文采用VHDL語言對系統進行描述，采用Altera公司的Stratix系列的EP1S10F484C5器件作為算法載體，通過QuartusII 5.0對系統進行綜合、仿真并下載。根據S盒/逆S盒的內容生成內存初始化文件mif，用In-System Memory Content Editor工具對S盒的內容進行動態更新。仿真測試結果表明，相對于傳統的設計，本設計消耗的資源大為減少。表1為本設計與傳統設計在資源消耗和運行速度的比較。因為本設計在關鍵路徑上添加了必要的選擇控制單元，所以處理速度相對于傳統設計有所降低。
　本文對AES算法進行了可配置設計，在數據分組長度固定的前提下，可以根據安全等級的需要選擇不同分組長度的密鑰進行加密運算。本文設計出1個統一的加解密硬件結構，使資源消耗大為減少。由于采用了3種長度規格的密鑰，使得算法的安全級別靈活可變，用戶可根據不同的安全需求靈活選擇。在子密鑰的生成上，本文采用可配置的方式來實現3種密鑰生成算法，相對于使用不同的硬件結構實現每一種密鑰生成算法，消耗的硬件資源進一步減少。算法中S盒的實現方式決定了其具備動態更新的特性，因此算法的安全性也得到進一步增強。綜上所述，本設計非常適用于硬件資源受限且有多種安全級別需要的密碼系統。

參考文獻
[1]     National Institute of standard and technology, advanced  encryption standard[S]. FIPS197, 2001,11.
[2]     韋寶典，劉東蘇，王新梅. 優化實現研究[J].計算機工程與應用,2002(20):4-6.
[3]     高娜娜，李占才，王沁.一種可重構體系結構用于高速實現DES、3DES和AES[J].電子學報,2006,34(8):1386-1390.
[4]     張清華.算法的高效實現及其性能分析[J].計算機應用，2004,24(2):12-14.
[5]     SHIM J H, KIM D W, KANG Y K,et al. A rijndael cryptoprocessor using shared on-the-fly key scheduler[C].  ASIC,2002. Proceedings.2002.IEEE  Asia  Pacific Conference,2002,89(92):6-8.
[6]     沈涵飛，甘 萌. 加密算法在低成本FPGA上的實現[J]. 計算機工程與應用，2004(22):116-119.