AES 加密算法：揭秘其工作原理的完整指南 (aes加密算法)

[简述AES高级加密标准]简述加密和解密技术的工作机制

1 引言　随着因特网的发展，信息传输及存储的安全问题成为影响因特网应用发展的重要因素。 信息安全技术也就成为了人们研究因特网应用的新热点。 信息安全的研究包括密码理论与技术、安全协议与技术、安全体系结构理论、信息对抗理论与技术、网络安全与安全产品等领域，其中密码算法的理论与实现研究是信息安全研究的基础。 2 AES加密标准 1977年1月公布的数据加密标准DES(Data Encrption Standard)经过20年的实践应用后，现在已被认为是不可靠的。 1997年1月美国国家标准和技术研究所(NIST)发布了高级加密标准(AES- FIPS)的研发计划，并于同年9月正式发布了征集候选算法公告[1]，NIST希望确定一种保护敏感信息的公开、免费并且全球通用的算法作为AES，以代替DES。 NIST对算法的基本要求是：算法必须是私钥体制的分组密码，支持128位分组长度和129、192、256bits密钥长度。 3 AES的研究现状 从1997年NIST发布了高级加密标准AES的研发计划到现在，对AES的研究大致可以分成三个阶段。 第一阶段是从1997到2000年，研究的主要方向是提出候选算法并对各候选算法的性能进行分析。 在此期间共提出了十五个候选算法，最终Rijndael算法胜出并用于AES中。 Rijndael算法是一种可变分组长度和密钥长度的迭代型分组密码，它的分组长度和密钥长度均可独立地指定为128bits、192bits、256bits，它以其多方面的优良性能，成为AES的最佳选择。 Rijndael算法能抵抗现在的所有己知密码攻击，它的密钥建立时间极短且灵活性强，它极低的内存要求使其非常适合在存储器受限的环境中使用，并且表现出很好的性能。 第二阶段是从2000年Rijndael算法胜出后到2001年NIST发布FIPS PUBS 197文件前。 在此阶段对AES的研究转到了对Rijndael算法的研究和分析、设计AES的工作模式上。 第三阶段是从FIPS PUBS 197发布到现在。 在此阶段，研究的方向可以分成两个主要方向：一个是继续研究Rijndael算法本身的性能，特别是其安全性分析；另一个就是AES的实现和应用的研究。 算法设计主要研究算法设计遵循的原则和整体结构，为性能分析提供了一条途径。 从算法的结构上分析算法性能是简单有效的，研究算法整体结构上的缺陷为提出新的密码分析方法提供新的手段。 另一方面，研究AES的算法设计对研发新的分组密码提供了设计原则和参考。 目前分组数据加密算法的整体结构有两大类：Feistel网络、非平衡Feistel网络和SP网络。 性能分析主要研究算法的各项特性，性能分析主要可以分为实现分析和密码分析两类。 实现分析主要研究AES算法可实现的能力。 当前实现性分析主要集中在AES的硬、软件实现的难易度和实现算法的效率等领域中。 密码分析则是在理论上对现有加密算法进行研究的主要方向。 密码分析主要研究AES算法抵抗现有己知密码攻击的能力，即算法的安全性分析。 当前主要攻击手段有：强力攻击、差分密码分析[2][3]、 线性密码分析[4]、Square攻击和插值攻击等。 但是随着密码分析技术的不断发展，积分分析、功耗分析和代数攻击等新的密码分析手段陆续出现。 它们己成为密码分析新的研究方向[5]。 4 AES的实现 对于AES实现的研究主要集中在软件实现和硬件实现两个领域中。 AES标准所选择的Rijndael算法遵循了分组密码设计的实现性原则，十分方便在软、硬件上实现。 从AES实现的角度上看，当前研究的主要方向在各个算法步骤的优化实现。 算法步骤针对不同的实现环境进行优化后，在应用中能获取更好的实际数据加密效果。 其主要的研究成果集中在S-盒的生成算法优化、轮变换过程优化和密钥扩展优化三个方面。 下面就软件实现和硬件实现在这三个方面的研究现状做一个简单介绍： (1) 在微机上通过软件实现。 这是利用AES算法保障计算机信息安全，特别是网络中信息传输与存储安全的主要途径。 在软件实现中，轮变换过程优化则是软件实现算法优化的主要研究方向。 密钥扩展优化也是研究的重点之一。 AES所提供的密钥扩展方案保证了密钥扩展过程中的雪崩效应，也保证了密钥扩展方案的易实现性。 此外，将其他的理论研究应用到分组数据加密算法中，也是实现研究的一个重要方向。 (2) 通过硬件芯片实现。 AES算法对于存储空间的要求较小，算法过程相对比较简单，特别是经过有针对性的实现算法优化和精简后很易于利用硬件电路实现，因此现在许多相关的商业产品都是基于密码芯片的。 5 AES研究意义 目前，DES加密标准正在逐渐淡出加密标准的舞台，新加密标准AES正在获得越来越多的重视及应用。 面对未来的发展，对AES产品的需求是非常巨大的。 因此，对AES实现的探讨和研究具有很大的理论意义和实践意义。 ―――――――――― 参考文献 [1]褚振勇，翁木云设计及应用.西安电子科技大学出版社,2002，7. [2]李玉山，来新泉.电子系统集成设计技术.电子工业出版社,2002,10. [3]牛风举，刘元成，朱明程.基于IP复用的数字IC设计技术,2003,9. [4]Joan Daemon, Vincent Rijmen.高级加密标准（AES）算法:Rijndael的设计.谷大武，徐胜波,译.清华大学出版社,2003,3. [5]Bruce Schneie.应用密码学:协议、算法与C源程序.昊世忠，祝世雄，张文政,等,译.机械工业出版社,2000,1. 作者简介：李佳（1976-），女，河北唐山人，讲师，北京科技大学工程硕士，主要研究网络数据安全。

加密技术02-对称加密-AES原理

AES 全称 Advanced Encryption Standard（高级加密标准）。它的出现主要是为了取代 DES 加密算法的，因为 DES 算法的密钥长度是 56 位，因此算法的理论安全强度是 2^56。但二十世纪中后期正是计算机飞速发展的阶段，元器件制造工艺的进步使得计算机的处理能力越来越强，所以还是不能满足人们对安全性的要求。于是 1997 年 1 月 2 号，美国国家标准技术研究所宣布希望征集高级加密标准，用以取代 DES。AES 也得到了全世界很多密码工作者的响应，先后有很多人提交了自己设计的算法。最终有5个候选算法进入最后一轮：Rijndael，Serpent，Twofish，RC6 和 MARS。最终经过安全性分析、软硬件性能评估等严格的步骤，Rijndael 算法获胜。

AES 密码与分组密码 Rijndael 基本上完全一致，Rijndael 分组大小和密钥大小都可以为 128 位、192 位和 256 位。然而 AES 只要求分组大小为 128 位，因此只有分组长度为 128位的 Rijndael 才称为 AES 算法。本文只对分组大小 128 位，密钥长度也为 128 位的 Rijndael 算法进行分析。密钥长度为 192 位和 256 位的处理方式和 128 位的处理方式类似，只不过密钥长度每增加 64 位，算法的循环次数就增加 2 轮，128 位循环 10 轮、192 位循环 12 轮、256 位循环 14 轮。

给定一个 128 位的明文和一个 128 位的密钥，输出一个 128 位的密文。这个密文可以用相同的密钥解密。虽然 AES 一次只能加密 16 个字节，但我们只需要把明文划分成每 16 个字节一组的块，就可以实现任意长度明文的加密。如果明文长度不是 16 个字节的倍数，则需要填充，目前填充方式主要是 PKCS7 / PKCS5。

下来主要分析 16 个字节的加解密过程，下图是 AES 算法框架。

密钥生成流程

G 函数

关于轮常量的生成下文会介绍。

主要作用：一是增加密钥编排中的非线性；二是消除AES中的对称性。这两种属性都是抵抗某些分组密码攻击必要的。

接下来详细解释一下几个关键步骤。

明文矩阵和当前回次的子密钥矩阵进行异或运算。

字节代换层的主要功能是通过 S 盒完成一个字节到另外一个字节的映射。

依次遍历 4 * 4 的明文矩阵 P 中元素，元素高四位值为行号，低四位值为列号，然后在 S 盒中取出对应的值。

行位移操作最为简单，它是用来将输入数据作为一个 4 * 4 的字节矩阵进行处理的，然后将这个矩阵的字节进行位置上的置换。ShiftRows 子层属于 AES 手动的扩散层，目的是将单个位上的变换扩散到影响整个状态当，从而达到雪崩效应。它之所以称作行位移，是因为它只在 4 * 4 矩阵的行间进行操作，每行 4 字节的数据。在加密时，保持矩阵的第一行不变，第二行向左移动 1 个字节、第三行向左移动 2 个字节、第四行向左移动 3 个字节。

列混淆层是 AES 算法中最为复杂的部分，属于扩散层，列混淆操作是 AES 算法中主要的扩散元素，它混淆了输入矩阵的每一列，使输入的每个字节都会影响到 4 个输出字节。行位移层和列混淆层的组合使得经过三轮处理以后，矩阵的每个字节都依赖于 16 个明文字节成可能。其实质是在有限域 GF(2^8) 上的多项式乘法运算，也称伽罗瓦域上的乘法。

伽罗瓦域

伽罗瓦域上的乘法在包括加/解密编码和存储编码中经常使用，AES 算法就使用了伽罗瓦域 GF(2^8) 中的运算。以 2^n 形式的伽罗瓦域来说，加减法都是异或运算，乘法相对较复杂一些，下面介绍 GF(2^n) 上有限域的乘法运算。

本原多项式：域中不可约多项式，是不能够进行因子分解的多项式，本原多项式是一种特殊的不可约多项式。当一个域上的本原多项式确定了，这个域上的运算也就确定了，本原多项式一般通过查表可得，同一个域往往有多个本原多项式。通过将域中的元素化为多项式的形式，可以将域上的乘法运算转化为普通的多项式乘法模以本原多项式的计算。比如 g(x) = x^3+x+1 是 GF(2^3) 上的本原多项式，那么 GF(2^3) 域上的元素 3*7 可以转化为多项式乘法：

乘二运算：无论是普通计算还是伽罗瓦域上运算，乘二计算是一种非常特殊的运算。普通计算在计算机上通过向高位的移位计算即可实现，伽罗瓦域上乘二也不复杂，一次移位和一次异或即可。从多项式的角度来看，伽罗瓦域上乘二对应的是一个多项式乘以 x，如果这个多项式最高指数没有超过本原多项式最高指数，那么相当于一次普通计算的乘二计算，如果结果最高指数等于本原多项式最高指数，那么需要将除去本原多项式最高项的其他项和结果进行异或。

比如：GF(2^8)（g(x) = x^8 + x^4 + x^3 + x^2 + 1）上 15*15 = 85 计算过程。

15 写成生成元指数和异或的形式 2^3 + 2^2 + 2^1 + 1，那么：

乘二运算计算过程：

列混淆 ：就是把两个矩阵的相乘，里面的运算，加法对应异或运算，乘法对应伽罗瓦域 GF(2^8)上的乘法（本原多项式为：x^8 + x^4 + x^3 + x^1 + 1）。

Galois函数为伽罗瓦域上的乘法。

解码过程和 DES 解码类似，也是一个逆过程。基本的数学原理也是：一个数进行两次异或运算就能恢复，S ^ e ^ e = S。

密钥加法层

通过异或的特性，再次异或就能恢复原数。

逆Shift Rows层

恢复 Shift Rows层 的移动。

逆Mix Column层

通过乘上正矩阵的逆矩阵进行矩阵恢复。

一个矩阵先乘上一个正矩阵，然后再乘上他的逆矩阵，相当于没有操作。

逆字节代换层

通过再次代换恢复字节代换层的代换操作。

比如：0x00 字节的置换过程

轮常量生成规则如下：

算法原理和 AES128 一样，只是每次加解密的数据和密钥大小为 192 位和 256 位。加解密过程几乎是一样的，只是循环轮数增加，所以子密钥个数也要增加，最后轮常量 RC 长度增加。

AES加密算法原理

AES是分组密钥，算法输入128位数据，密钥长度也是128位。 用Nr表示对一个数据分组加密的轮数（加密轮数与密钥长度的关系如表1所列）。 每一轮都需要一个与输入分组具有相同长度的扩展密钥Expandedkey(i)的参与。 由于外部输入的加密密钥K长度有限,所以在算法中要用一个密钥扩展程序(Keyexpansion)把外部密钥K扩展成更长的比特串,以生成各轮的加密和解密密钥。 \x0d\x0a1.1圈变化\x0d\x0aAES每一个圈变换由以下三个层组成:\x0d\x0a非线性层——进行Subbyte变换；\x0d\x0a线行混合层——进行ShiftRow和MixColumn运算；\x0d\x0a密钥加层——进行AddRoundKey运算。 \x0d\x0a① Subbyte变换是作用在状态中每个字节上的一种非线性字节转换,可以通过计算出来的S盒进行映射。 \x0d\x0a\x0d\x0a② ShiftRow是一个字节换位。 它将状态中的行按照不同的偏移量进行循环移位，而这个偏移量也是根据Nb的不同而选择的[3]。 \x0d\x0a\x0d\x0a③ 在MixColumn变换中,把状态中的每一列看作GF(28)上的多项式a(x)与固定多项式c(x)相乘的结果。 b(x)=c(x)*a(x)的系数这样计算:\x0d\x0a*运算不是普通的乘法运算,而是特殊的运算，即 b(x)=c(x)·a(x)(mod x4+1) 对于这个运算 b0=02。 a0+03。 a1+a2+a3 令xtime(a0)=02。 a0\x0d\x0a其中，符号“。 ”表示模一个八次不可约多项式的同余乘法[3]。 \x0d\x0a\x0d\x0a对于逆变化,其矩阵C要改变成相应的D,即b(x)=d(x)＊a(x)。 \x0d\x0a④ 密钥加层运算(addround)是将圈密钥状态中的对应字节按位“异或”。 \x0d\x0a\x0d\x0a⑤ 根据线性变化的性质[1],解密运算是加密变化的逆变化。

若对本页面资源感兴趣，请点击下方或右方图片，注册登录后

搜索本页相关的【资源名】【软件名】【功能词】或有关的关键词，即可找到您想要的资源

如有其他疑问，请咨询右下角【在线客服】，谢谢支持！