（通信与信息系统专业论文）面向移动终端的aes+ip核设计.pdf

上海大学硕上学位论文 面向移动终端的a e si p 核设计 摘要 a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) 高级加密标准具有优秀的a n 解密性能， 和简易的实现形式，因而越来越被信息安全界所重视。早期对a e s 的研究主要 集中在a e s 的算法研究，软件实现方面，由于硬件实现a e s 算法具有更高的处 理速度，更可靠的保密性等优点，所以对a e s 算法的硬件设计的研究具有重要 意义。对于硬件实现a e s 算法的研究，以前的工作主要集中在提高系统的数据 吞吐量方面，本文以移动终端、手持设备等对硬件体积、功耗要求比较高的场合 为背景，以深亚微米i c ( i n t e g r a t e dc i r c u i t ) 设计技术为依托，阐述了一个高性 能a e si p 核( i n t e l l e c t u a lp r o p e r t yc o r e ) 的设计过程。 本设计的a e si p 核同时具有加密与解密功能，整个系统采用8 位的数据通 道，2 4 个时钟周期完成一次a n 解密轮操作。为了使本设计的a e si p 核具有较好 的性能，从系统架构到各子模块的设计均进行了优化。首先，本文将总线编码技 术s s c ( s e q u e n c e s w i t c hc o d i n g ) 应用于s - b o x 的输入数据，寻找数据间变化 次数最少的序列，从而减小s b o x 的电路翻转达到降低功耗的目的。由于a e s 系统中的s b o x 设计非常重要，其对整个系统的功耗影响极大，消耗的功耗远大 于其它模块，故减小s - b o x 的功耗对降低系统整体功耗有很大的帮助。其次，密 钥扩展模块采用o n t h e f l y 结构，所以密钥扩展过程与a n 解密轮操作过程并行进 行，极大降低了系统的时延。传统的o n t h e f l y 结构只支持加密密钥扩展，本设 计采用末轮加密密钥作为首轮解密密钥，并调整密文与解密密钥的顺序，提出了 同时支持加密、解密密钥扩展的o n - t h e - f l y 结构。最后，在各子模块的设计中将 加密解密功能很好的融合在一起，实现硬件上的资源共享。由于采用新的首轮 解密密文和解密密钥的输入顺序，对于解密中的行移位功能模块( i n v s h i f f r o w s ) 可直接采用加密时行移位( s h i f t r o w s ) 的功能，因此无需做任何改变，就可将 加密中的s h i f t r o w s 用于解密中，极好的实现t a n 解密硬件上的资源共享。 本设计的a e si p 核支持1 2 8 比特密钥的加密解密功能。采用中芯国际 0 1 8 u r nc m o s 工艺库，设计的芯片规模为5 5 k g a t e s ，最高工作频率7 6 m h z ，功 耗1 19 9 3 u w m h z ，符合w p a n w u n ( w i r e l e s sp e r s o n a la r e an e t w o r k s w i r e l e s sl o c a la r e an e t w o r k ) 应用的要求。 关键词：a e s ，i p 核，s - b o x ，密钥扩展，总线编码 v 上海大学硕士学位论文面向移动终端的a e si p 核设计 a b s t r a c t a e s( a d v a n c e de n c r y p t i o ns t a n d a r d ) h a se x c e l l e n t e n e r y p t i o n d e c r y p t i o n f u n c t i o na n dg o o df a c i l i t yo fi m p l e m e n t a t i o n s o ，i th a sg o tm o r ea n dm o r ea t t e n t i o n f r o mt h ef i e l do fi n f o r m a t i o ns e c u r i t y t h ee a r l yr e s e a r c ho na e sw a sm a i n l ya b o u t t h ea l g o r i t h ma n dr e a l i z a t i o nb ys o f t w a r e d u ot oh i g hp r o c e s s i n gs p e e da n db e t t e r s e c u r i t y , r e s e a r c ha b o u ta e sr e a l i z a t i o nb yh a r d w a r ei sv e r ys i g n i f i c a n t f o rh a r d w a r e i m p l e m e n t a t i o n ，t h ef o r m e rw o r kp a i dm u c ha t t e n t i o no ns y s t e mt h r o u g h p u t ，w h e r e a s ， w i t hb a c k g r o u n do fa p p l i c a t i o ni nm o b i l et e r m i n a l sa n dp o r t a b l ee q u i p m e n t sw h i c h n e e ds m a l lv o l u m ea n dl o wp o w e rc o n s u m p t i o n ，a n db a s e do nd e e ps u b - m i c r o m e t e r i c ( i i l t e g r a t e dc i r c u i t ) d e s i g nt e c h n o l o g y , t h ep a p e ri l l u m i n a t e st h ed e s i g na b o u ta h i g hp e r f o r m a n c ea e si p ( i n t e l l e c t u a lp r o p e r t y ) c o r e t h ea e si pc o r ei nt h ed e s i g nh a sa ne i g h tb i t sd a t ap a t h ，a n df i n i s h e sa p r o c e s s i n g r o u n di ne n c r y p t i o n d e c r y p t i o n b y2 4c l o c k s i t s a r c h i t e c t u r ea sw e l la s t h e s u b - m o d u l e sh a v eb e e no p t i m i z e di no r d e rt og e tg o o dp e r f o r m a n c e f i r s t ，t h eb u s c o d i n gt e c h n i q u e ，s s c ( s e q u e n c e s w i t c hc o d i n g ) ，i sa p p l i e di n t os - b o xd e s i g n ， w h i c hs e a r c h e sf o rt h es e q u e n c ew i t hm i n i m u mc h a n g eb e t w e e nt h et w oa d j a c e n td a t a t od e c r e a s ea c t i v i t i e si ns - b o xc i r c u i t sa n dr e d u c et h ep o w e r t h es - b o xd e s i g ni sv e r y i m p o r t a n ti nt h ea e ss y s t e m ，b e c a u s ei tt a k e sm o r ep o w e rc o n s u m p t i o nt h a no t h e r m o d u l e sa n da f f e c t sw h o l es y s t e mp o w e rc o n s u m p t i o nv e r ym u c h s o ，r e d u c i n gt h e s - b o xp o w e rc o n s u m p t i o ni s v e r yh e l p f u lf o rb r i n g i n gd o w ns y s t e mp o w e r c o n s u m p t i o n t h e n , t h ek e ye x p a n s i o nm o d u l eh a sa l lo n - t h e - f l ya r c h i t e c t u r e ，s o ，i t c a nw o r kp a r a l l e lw i t he n c r y p t i o n d e c r y p t i o nc y c l e sa n dr e d u c et h es y s t e ml a t e n c y v e r ym u c h t h et r a d i t i o n a lo n t h e f l ya r c h i t e c t u r ec a no n l yb ea p p l i e di ne n c r y p t i o n k e ye x p a n s i o n ，b u tt h ea r c h i t e c t u r ei nt h ep a p e rc a ns u p p o r tk e ye x p a n s i o nb o t hi n e n c r y p t i o na n dd e c r y p t i o nb yu s i n gt h el a s tr o u n de n c r y p t i o nk e y sa st h ef i r s tr o u n d d e n c r y p t i o nk e y sa n da d j u s t i n gt h eo r d e ro ft h er o u n dk e y sa n dd a t ai nd e c r y p t i o n p r o c e s s f i n a l l y , e v e r ys u b m o d u l eh a sf u n c t i o nf o rb o t he n c r y p t i o na n dd e c r y p t i o n w h i c hi si m p l e m e n t e dc o m p a t i b l yi nh a r d w a r ed e s i g n a sa p p l y i n gt h en e wo r d e ro f t h ef i r s tr o u n dk e y sa n dd a t a , t h er o ws h i f t i n gi nd e c r y p t i o n , i n v s h i f i r o w s ，c a n v i 上海大学硕士学位论文 面向移动终端的a e si p 核设计 d i r e c t l yu s et h es h i f t i n gf u n c t i o ni ne n c r y p t i o n t h e r e f o r e ，t h e r ei sn on e e dt od oa n y m o d i f i c a t i o nf o ra p p l y i n gas h i f l r o w sm o d u l ei nd e c r y p t i o n , a n dh a r d w a r er e s o u r c e s h a r i n g i sa c h i e v e dv e r yw e l l t h ea e si pc a ns u p p o r t12 8 0 b i tk e y se n c r y p t i o na n dd e c r y p t i o n 。t h ec h i p i m p l e m e n t e d i nt h es m i co 1s u mc m o st e c h n o l o gl i b r a r y , s a t i s 舭e st h e r e q u i r e m e n t so fw p a n ( w i r e l e s sp e r s o n a la r e an e t w o r k s ) a n dw l a n ( w i r e l e s s l o c a la r e an e t w o r k ) ，w i t ha r e ao f5 5k i l og a t e s ，7 6 m h zm a x i m u mw o r kf r e q u e n c y a n d119 9 3 u w m h zp o w e r k e yw o r d s ：a e s ，i pc o r e ，s - b o x ，k e ye x p a n s i o n ，b u sc o d i n g v i i 上海大学硕士学位论文面向移动终端的a e si p 核设计 原创性声明 本人声明：所呈交的论文是本人在导师指导下进行的研究工作。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已发表 或撰写过的研究成果。参与同一工作的其他同志对本研究所做的任何 贡献均已在论文中作了明确的说明并表示了谢意。 签名：j 蜂日期：幽了 本论文使用授权说明 本人完全了解上海大学有关保留、使用学位论文的规定，即：学 校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学校可 以公布论文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 上海丈学硕士学位论文面向移动终端的a e si p 核设计 1 1 课题的研究背景 第一章绪论 随着计算机和通信技术的不断快速发展，用户对信息的安全存储、安全处理 和安全传输的需求越来越迫切，如何保护数据的安全，已经成为人们首要面对的 问题。密码学是保障信息安全的核心技术，应用涉及军事，国防，商贸及人们日 常生活的各个方面。由于分组密码以其高效率，低开消，实现简单和易于标准化 等特点成为信息与网络安全中实现数据加密、数字签名、认证及密钥管理的核心 体制。 从1 9 7 6 年美国数据加密标准算法( d e s ) 公布以来，到2 0 世纪末，d e s 算法 或其变形基本上主宰了对称算法的研究与开发进程。随着密码分析水平、芯片处 理能力和计算机技术的不断进步，以前广泛使用的d e s 算法及其变形的安全强 度已经难以适应新的安全需要，其实现速度、代码大小和跨平台性均难以继续满 足新的应用需求。在这种形势下，迫切需要设计一种更强有力的算法作为新一代 分组加密标准，因此a e s 应运而生。 1 9 9 7 年4 月1 5 日美国国家标准和技术研究所n i s t ( n a t i o n a li n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ) 发起了征集a e s 算法的活动，并成立了专门的a e s 工 作组，目的是为了确定一个非保密的公开披露的全球免费使用的分组密码算法， 用于保护下一世纪政府的敏感信息，并希望成为秘密和公开部门的数据加密标 准。1 9 9 7 年9 月1 2 日在联邦登记处公布了征集a e s 候选算法的通告。a e s 的 基本要求是：比三重d e s 快，而且至少和三重d e s 一样安全，分组长度1 2 8 比 特，密钥长度为1 2 8 1 9 2 2 5 6 比特。1 9 9 8 年8 月2 0 日n i s t 召开了第一次候选大 会并公布了1 5 个候选算法。1 9 9 9 年3 月2 2 日举行了第二次a e s 候选会议，从 中选出5 个a e s 将成为新的公开的联邦信息处理标准( f i p s f e d e r a li n f o r m a t i o n p r o c e s s i n gs t a n d a r d ) ，用于美国政府组织保护敏感信息的一种特殊的加密算法。 美国国家标准技术研究所( n i s t ) 预测，a e s 会被广泛地应用于组织，学院及个人。 入选a e s 的五种算法是m a r s 、r c 6 、s e r p e n t 、t w o f i s h 和g i j n a a e l 。2 0 0 0 年 1 0 月2 日，美国商务部部长n o r m a nym i n e t a 宣布，经过三年来世界著名密码 上海大学硕士学位论文面向移动终端的a e si p 核设计 专家之间的竞争，r i j n d a e l 数据加密算法最终获胜。这一新加密标准的问世将取 代d e s 数据加密标准成为2 1 世纪保护国家敏感信息的高级算法【1 1 。 1 2 课题研究的重点和意义 随着互联网技术的迅速发展，个人移动通信、电子邮件通信得到普及，网上 证券交易、银行电子自动转帐支付系统、电子商务、电子政务等得以实现，这为 人们的生活、学习和工作带来了极大的方便。但是，由于互联网、无线通信等的 开放性，数据的安全传输已是一个重要问题。尤其对于无线局域网w l a n t 2 1 ，以 及w p a n 网络数据的窃听更加方便，所以无线网络中移动终端的数据加密对于网 络安全极其重要。 当今网络的发展，使w l a n ，w p a n 与人们的生活越来越紧密，尤其是采 用i e e e8 0 2 1 5 4 标准的w p a n ，因其设备具有价格便宜、体积小、易操作和功 耗低等优点，将在人们的生活中扮演越来越重要的角色。鉴干a e s 算法的重要 性，设计一个面向移动终端的a e si p 核，对于上述无线网络的安全具有重要意 义。对于硬件加密有很多要素需要考虑：既要使之实现快速安全又要资源开销最 低，特别是应用在像移动终端，手持设备，智能卡这样的体积，功耗，存储空间 很有限的系统中，更应该考虑到速度、功耗和造价( 主要指芯片面积) 之间的权 衡。因为本设计主要以移动终端为背景，针对8 0 2 1 5 4 这样的低速、低功耗网络， 所以，设计一个功耗，面积优化的高性能a e si p 核( i n t e l l e c t u a lp r o p e r t yc o r e ) 将是本文的考虑重点。本文将在满足w p a n ( i e e e 8 0 2 1 5 4 ) 以及w l a n ( 主要 针对i e e e 8 0 2 1 1 b 标准网络) 数据传输速率的基础上，对a e si p 核的硬件开销， 电路功耗进行优化设计，从系统架构到子模块设计都围绕面积，功耗而进行。 1 3 国内外研究的现状 对于设计原理，主要研究它在设计时所采用的数学基础，它所遵循的设计原 则以及采用的整体结构。a e s 算法所遵循的安全性原则和实现性原则，在整体 结构上采用的是替代置换( s p ) 网络的迭代结构方式【3 1 。 算法的实现可以用软件或硬件的方式，由于人们对软件实现的方式研究已经 比较深入，实现起来比较容易，本文主要讨论a e s 的硬件设计，具体是a e s 的 2 上海大学硕上学位论文 面向移动终端的a e si p 核设计 i p 设计，针对a s i c 而言。a e s 已于2 0 0 2 年生效，当前正处于a e s 算法应用的 蓬勃发展阶段，尽管其在软件中得到了较多的应用，但是相应的硬件产品却不是 很多。目前，国外一些公司相继推出了自己的商用a e si p 核，如：h e l i o n 技术 有限公司，d c r y p t p t e 技术有限公司，o c e a n l o g i c p t y 技术有限公司等。前期人 们对a e s 硬件实现的研究主要集中在系统的速度数据吞吐量方面【4 弓】，现在， a e s 硬件实现的低功耗，小面积设计受到了人们的重视。 当今，无线网络已经走进了人们的生活，由于早期i e e e 8 0 2 1 1 标准网络采 用的r c 4 流密码加密算法有内在设计缺陷，使得该网络的安全技术不能为无线 用户提供足够的安全保护。为了使w l a n 具有更强的安全性，a e s 加密标准被 运用到了w l a n 中i e e e 8 0 2 1 1 i 工作组致力于此网络新一代安全标准的制 定。另一方面，同样是无线网络的w p a n 采用i e e e 8 0 2 1 5 4 标准，其安全机制 基于a e s 标准，上述网络的共同点是无线接入，对终端的体积，功耗会有一定 的要求，尤其是基于8 0 2 1 5 4 的w p a n 是面向低速低功耗的网络，所以当今对 于此类网络安全的a e s 算法硬件设计的低功耗，小体积的研究是一个重要内容。 1 4 本文主要创新点 当今i c ( i n t e g r a t e dc i r c u i t ) 设计中的口核主要包括软核( r e g i s t e r - - t r a n s f e r l e v e l 即r t l 级代码形式) 、固核( 网表形式) 和硬核( 版图形式) 。本设计主要 指固核设计( 包含软核设计) ，其有如下创新点： ( 1 ) 、将总线编码技术引入到a e s 加解密核的设计，对输入s b o x 的数据序列 进行排序编码，寻找数据间相对变化较小的序列，用这样的数据作为s - b o x 的输 入以达到降低s - b o x 的电路翻转，从而降低电路的功耗。 ( 2 ) 、对a e s 标准中k e y e x p a n s i o n 部分采用加密解密共享的o n - t h e f l y 结构， 在进行加密解密轮操作的同时产生每次轮操作所需的加密解密密钥，因此，减 小了解密时由于预先计算所有轮密钥而产生的延时。解密所需要的延时长度与加 密情况下的相同，提高了系统的性能，同时也为优化加、解密操作中的行移位模 块设计提供了方便。 ( 3 ) 、整个a e si p 核可实现加密解密功能，其中的数据通路设计，如 i n v m i x c o l u m n s ，i n v s h i f t r o w s 等多处采用资源共享，以降低口核的硬件资源 3 上海大学硕上学位论文 面向移动终端的a e si p 核设计 开销( 面积) 。 1 5 论文主要内容安排 本文主要介绍面向移动终端的a e si p 核的设计，论文分为6 章，简述如下： 第一章绪论，介绍本课题的研究背景、研究意义、发展现状以及本设计的 创新之处等。 第二章a e sd n 解标准介绍，本章主要对a e s 标准所涉及的数学知识及加， 解密算法进行介绍，为a e si p 核的设计提供理论基础。 第三章面向移动终端的a e s ；o n 解密口核的设计，本章详细阐述了面向移 动终端的a e sd r y 解密i p 核的设计过程，包括架构制定，模块划分，模块设计， 整个设计体现了对硬件开销，功耗的优化。 第四章r t l ( r e g i s t e r - t r a n s f e rl e v e l ) 设计与逻辑综合，本章主要阐述 r t l 设计，逻辑综合等内容，并对设计中的问题做出了说明。 第五章a e sh l a 解密i p 核的验证，本章主要阐述面向移动终端的a e s 加 解密m 核的验证，包括功能验证，时序验证等及验证平台的建立。 第六章总结与展望，总结论文中的工作，对课题的进一步研究做了介绍。 4 上海大学硕士学位论文 面向移动终端的a e si p 核设计 第二章a e s 加解密算法研究 a e s 算法是基于有限域进行的，通过对a e s 算法的分析，得出等价加密， 解密流程，可以为简化a e s 的硬件设计提供理论基础。下文主要对a e s 算法中 的有限域及算法进行分析研究。 2 1a e s 算法中有限域运算的研究 a e s 加解密过程中的数据基本运算都是建立在有限域g f ( 2 8 ) 基础之上的， g f ( 2 8 ) 中有2 8 个元素，其中模多项式为： g f ( 2 8 ) 中的多项式： m ( x ) = x 8 + x 4 + ，+ x + 1 ( 式2 1 ) n 一1 厂( 工) = a n i + a n 一2 + + t h x + a o = 口f ( 式2 2 ) i = o 可以由它的1 1 个二进制系数( l ，2 ，a i 卜3 a o ) 唯一的表示。因此，g f ( 2 s ) d pi y j 每个多项式 都可以表示成一个n 位的二进制整数【6 】。 2 1 1 加法运算 有限域中两个元素的加法是通过将这两个元素的多项式表示中的对应幂的 系数进行“加 来实现的。加法用异或操作来执行( 用。表示) 也就是说，取 2 的模故： 1 00 = 1 1 1 0 1 = 0 ( 式2 3 ) o 。o ：o j 因此，多项式减法和多项式加法相同。 或者，有限域元素的加法可以描述为，字节的对应比特相加再取2 的模。对 于两个字节 a 7 a 6 a s a 4 a 3 a 2 a l a o 与 b 7 b 6 b 5 b 4 b 3 b 2 b l b o ，和为 c 7 c 6 c 5 c 4 c 3 0 2 c l c o ，这里 t - a ；o6 f ( 式2 4 ) 上海大学硕士学位论文面向移动终端的a e si p 核设计 也就是说， c7一=at。b7c6 a 6 1 2 出i c o ：a o 。b o j i l 2 1 2 乘法运算 ( 式2 5 ) ( 式2 6 ) ( 式2 7 ) ( 式2 8 ) 在多项式表达中，g f ( 2 8 ) 上的乘法( 用表示) 对应于，将两个多项式相乘 的结果再对一个模为8 的不可约多项式取模。一个多项式如果除数只有l 和它自 己时，该多项式是不可约简的。在a e s 算法中，该不可约多项式为式2 1 ，用十 六进制表示为： 0 1 ) 1 b ) 。 例如， 5 7 ) 8 3 ) = c l ( 式2 9 ) 计算过程是这样的： 然后 ( x 6 + ，+ x 2 + x + 1 ) ( 石7 + x + 1 ) = ( 3 + x 1 1 + ，+ 矿+ x 7 ) + ( x 7 + x 5 + ，+ ，+ 石) + ( x 6 + 工4 + x 2 + x + 1 ) = x 1 3 + 一1 + ，；z 8 + x 6 + x 5 + ，+ ，+ 1 ( 一3 + x + ，+ ，+ 工6 + ，+ x 4 + x 3 + 1 ) m o d ( x 8 + ，+ ，+ x + 1 ) = x 7 + x 6 + 1 对于m ( x ) 取模保证了得到的结果是一个度小于8 的二进制多项式，因此可以用 一个字节来表示。不像加法，在字节层没有简单的操作与乘法相对应。上面定义 的乘法是可结合的，元素 0 1 ) 是乘法标准。对于任何度小于8 的非零二进制多项 6 上海大学硕士学位论文面向移动终端的a e si p 核设计 式b ( x ) ，b ( x ) 的乘逆用b - l ( x ) 表示，可以这样得到：扩展欧几里德算法被用于计算 多项式舡) 和“x ) ，使得 6 ( x ) 口( x ) + ，押( x ) c ( 力= 1 ( 式2 1 0 ) 因此， 口( 工) b ( x ) m o d m ( x ) = 1 ( 式2 i i ) 这样意味着 6 1 ( 力= 口( 功m o d m ( x ) 此外，对于域中任何“x ) ，b ( x ) 和“x ) ，有 口( x ) ( 6 ( x ) + c ( 工) ) = 口( x ) 6 ( 功+ 口( x ) c ( x ) 对于2 5 6 种可能的字节值，及上面定义的加法和乘法的集合，仍然属于有限域 g f ( 2 8 ) 的结构。 乘x 运算 在式2 2 中定义的二进制多项式乘以多项式石得到( 令刀= 8 ) ： 口矿+ a 6 x 7 + a s x 6 + a 4 x 5 + a 3 x 4 + a 2 x 3 + a i x 2 + a o x 要得到x a ( x ) 的结果还要将上式对m ( x ) 取模，如式2 1 中定义的那样。如果 a 72 0 那么该结果就等于简化后的结果了。如果 a 72 l ( 式2 1 4 ) 那么上式还要减去( 也就是说，异或) 多项式r e ( x ) 。或者，乘x ( 也就是， 0 0 0 0 0 0 1 0 或 0 2 ) ) 运算也可以通过字节的左移紧跟一个有条件的与 l b ) 进行比特异或来实 现。这一字节操作用x t i m e 0 来表示，与x 的更高次幂相乘通过重复性的x t i m e 0 运算来实现。通过将中间结果相加，与任何常数相乘也可以被实现。例如， 5 7 1 3 ) = f e ) 因为 5 7 ) 0 2 ) = x t i m e ( 5 7 ) = a e ) 7 ( 式2 1 6 ) ( 式2 1 7 ) 上海大学硕士学位论文 面向移动终端的a e si p 核设计 所以， 5 7 ) 0 4 ) = x t i m e ( a e ) = 4 7 5 7 0 8 ) = x t i m e ( 4 7 ) = 8 e ) 5 7 lo ) = x t i m e ( 8 e ) = 0 7 5 7 ) 1 3 ) = 5 7 ) ( 0 1 ) o 0 2 ) 0 l o ) ) = 5 7 ) o a e o 0 7 = f e ) 2 1 3g f ( 2 8 ) 中的带系数多项式 ( 式2 1 9 ) ( 式2 2 0 ) 四项多项式可以按如下其系统也是有限域的元素， 口( 功= a 3 x 3 + a 2 x 2 + a l x + a o ( 式2 2 1 ) 如果以 a o ，a l ，a 2 ，a 3 这种形式表示，那可视为一个双字。得注意到，次节中的多项 式操作与用于定义有限域元素中的多项式有些不同，虽然这两种多项式都用同一 个不确定符号x 表示。这一节中的系数就是有限域元素自己，也就是说，字节， 而不是比特；此外，四项多项式的乘法选用了一个不同的约减多项式，将在下面 定义。从前后文看，区别将会很明显。为了说明加法和乘法操作，令 6 ( 力= b 3 x 3 + 6 2 x 2 + b , x + b o ( 式2 2 2 ) 定义出第二个四项多项式。加法操作就是把具有相同的x 的幂的有限域系数相 加。加法对应于每个双字中对应字节的异或操作换句话说，把整个双字的值 进行异或。因此，利用方程2 2 l 和2 2 2 有 口( x ) + 6 ( 砷= ( a 3o6 3 ) 工3 + ( 口20 如) z 2 + ( q0 岛) x + ( 口oo ) ( 式2 2 3 ) 乘法要通过两步来实现。在第一步中，多项式的积 c ( x ) = 口( z ) 6 ( x ) 被代数扩展，同次幂的系数被相加，就得到 c ( 曲= c 6 x 6 + c s x 5 + c 4 x 4 + c 3 ，+ 巳，+ q x + c o 这里 8 ( 式2 2 4 ) 上海大学硕士学位论文面向移动终端的a e si p 核设计 c o2 a o b o q = 口l b o o a o o b i c 22 a 2 b oo a m 岛0 a o 6 2 c 3 = a 3 b of 9 a 2 岛a i 6 2a o 6 3 c = a 3 岛o a 2 b 2o q 6 3 c 5 = a 3 b ea 2 岛 氏2a 3 6 3 ( 式2 2 6 ) 结果，c ( x ) ，不是一个四项多项式。因此，乘操作的第二步是把c ( x ) 对一个度 为4 的多项式取模；所得到的结果就可以约减成一个度小于4 的多项式。对于 a e s 算法来说，这个多项式为x 4 + 1 ，因此 一m o d ( x 4 + 1 ) = 删4 ( 式2 2 7 ) 取模后的a ( x ) 和b ( x ) 的积，用a ( x ) p b ( x ) 表示，可得四项多项式d ( x ) ，定义如 下： d ( 石) = a 3 x 3 + a 2 x 2 + a , x + a o ， ( 式2 2 8 ) 这里 d o = ( a o b o ) ( a 3 b t ) 0 ( a 2 6 2 ) o ( q 6 3 ) ( 式2 2 9 ) 盔= ( 口1 b o ) f 9 ( a o b 1 ) ( a 3 b z ) o ( a 2 b 3 ) ( 式2 3 0 ) d 2 = ( a 2 b o ) 0 ( a i 岛) 0 ( a o b 2 ) o ( a 3 0 6 3 ) 以= ( 口3 b o ) o ( b 1 ) o ( a i - 6 2 ) o ( 口o 6 3 ) ( 式2 3 2 ) 当a ( x ) 是一个固定多项式时，方程2 2 8 定义的操作可以写成矩阵的形式： 磊 磊 d 2 吃 嘞如 q口0 呸q 色口2 口2 口l 吩嘭 口。口3 q 6 0 岛 6 2 岛 因为x 4 + l 并不是g f ( 2 8 ) 中一个不可约分的多项式，所以与一个固定的四项多项 式的乘法也不必可逆转。然而，a e s 算法选定了一个固定的四项多项式，却具有 可逆转的性质： a ( x ) = 0 3 x 3 + 0 1 ) ，+ 0 1 ) 叠+ 0 2 ) ( 式2 3 4 ) 9 上海大学硕士学位论文面向移动终端的a e si p 核设计 口。1 ( 功= o b x 3 + o d x 2 + 0 9 x + o e ) ( 式2 3 5 ) 另一个在a e s 算法中会用到的多项式( 见2 2 2 节中的r o t w o r d 0 函数) 有： a o = a l = a 2 = 0 0 ) ( 式2 3 6 ) 以及 a 3 = 0 1 ) ( 式2 3 7 ) 也就是多项式x 3 。再观察上面的方程2 3 3 可发现，它的效果就是在输入双字中 对字节进行循环移位来构成输出双字。这就意味着， b o , b l b 2 ，b 3 被转换成 b i ，b 2 b 3 , b 0 。 2 2a e s 算法研究 a e s 采用的是分组长度1 2 8 比特，密钥长度1 2 8 ，1 9 2 或2 5 6 比特的r i j n d a e l 算法，其操作是在一个二维的字节数组上进行的，这个数组我们叫它状态矩阵。 状态矩阵有四行，每行包含了n b 个字节，这里n b 等于数据块的长度除以3 2 。 在用s 表示的状态矩阵中，每个字节有两个下标，一个是行号i n o ，0 r 4 ；一 个是列号c ，0 c n b 。这样状态矩阵中的一个字节可以被表示为或者s 【r ，c 】。 在这一标准中，n b = 4 ，也就是说，0 e 4 。 在加密或解密的开始，输入字节数组i i l o ，i n l ，i n l 5 一一被拷贝到状 态矩阵中，如图2 1 所示。然后，加密或解密操作在状态矩阵中被执行，执行完 毕后，最终的结果被拷贝到输出字节数组o u t o ，o u t l ，o u t l 5 。 t r i ol mi n 8 l n l 2 m l1 1 1 51 1 1 9l n l 3 i n 2 1 1 1 6 m l oi n l 4 i n 3m 7m l im 1 5 s o , os o ，ls o ，2s o ，3 s 1 0 s i ，ls l ，2s i ，3 s 2 0s 2 1 s 2 ，2 s 2 3 s 3 ，0s 3 ，1 s 3 2s 3 3 o u t o o u t 4o u t 8o u t l 2 o u t l 0 u t 5 o u t ,0 u t l 3 o u t 2o u t 6o u t l 0o u t l 4 o u t 3o u t 7o u t l i o u t l 5 图2 - 1 输入、输出数据格式及状态矩阵 因此，在加密或解密之初，输入数组，i i l ，被拷贝到状态矩阵中，依照下面公式： s i r ，c = i n r + 4 c 】 o ， 4 ，0 c n b ( 式2 3 8 ) 并且，在加密或解密结束后，状态矩阵被拷贝到输出数组，o u t ，依照下面公式： o u t r + 4 c = s i r ，c 】 o ， 4 ，0 c n b ( 式2 3 9 ) 1 0 上海大学硕上学位论文面向移动终端的a e si p 核设计 密钥长度用n k = 4 ，6 ，8 来表示，代表在密钥中3 2 比特双字的数目。算法 执行中轮循环的次数由密钥长度决定。轮循环的次数用n r 表示，此标准所要遵 从的密钥一数据块一轮循环组合如表2 1 所示【7 1 。 表2 1密钥一数据块一轮循环组合 密钥长度( n k )数据块长度( n b )轮循环次数m r ) a e s 1 2 8441 0 a e s 1 9 2641 2 a e s 2 5 6841 4 2 2 1 加密过程 在加密开始，输入按图2 1 中的约定被拷贝到状态矩阵。在经过一个初始的 子密钥加后，状态矩阵经过1 0 ，1 2 或1 4 次( 依赖于密钥的长度) 轮函数的变换， 只有最后一轮与前r 一1 轮略有不同。最后的状态矩阵按图2 1 描述的那样被拷 贝到输出。轮函数通过密钥进度被参数化，密钥进度通过在2 2 2 节中叙述的密 钥扩展流程由四字节双字的一维数组构成。 加密流程如图2 - 2 所示，每个独立的变换s u b b y t e s o 、s h i f i r o w s 0 、 m i x c o l u m n s 0 和a d d r o u n d k c y o r - 一对状态矩阵进行处理，将在下文章节中详细 叙述。 t = l t o l 0 t = 1 0 图2 - 2a e s 加密过程( n k - - - 4 ) 注：此流程为a e s 加密的等价表示，其中s h i f t r o w s 与s u b b y t c s 的顺序进行了 上海大学硕士学位论文 面向移动终端的a e si f 核设计 颠倒。详见2 2 4 节所述。 ( 1 ) 字节替代s u b b y t e s s u b b y t e s 0 变换一个非线性字节替换，利用替换表( s b o x ) 。其操作独立于状 态矩阵中的每个字节。s - b o x 是可逆转的，它通过两步变换得到： 1 在有限域g f ( 2 8 ) 中求得乘逆，如2 1 2 节所述；元素 0 0 ) 被映射到它 本身。 2 运用下面的仿射变换( g f ( 2 ) 中) ： 巧- b , o 反m ) l i l o d 8o 反) l n o d 8o 段m ) m 耐8o6 ( m ) m o d 8o q ( 式2 4 0 ) 当o i 8 ，b i 是b 字节中的第i 比特，e i 是字节c 中的第i 比特，c 的值为 6 3 ) 或 0 1 1 0 0 0 1 1 ) 。这里或者别处，变量上的一撇( 如：b ) 表示这个变量随着它右边 的值的改变而变。用矩阵形式，s - b o x 中的仿射变换可表示为： b o 矗 6 三 反 6 二 绣 b o 砖 lo0o111 1l00 o11 111o 00l l11lo00 l1l1lo o 0111110 o o1l111 o o01111 + 图2 3 说明了s u b b y t e s 0 变换在状态矩阵上的映射操作。 ( 式2 4 1 ) s o ，0s 0 ，1s 0 ，2一一 s b o x。 s 0 , 0s 0 , 1s 0 2s 0 3 、- s 1 ，0 s r , cs 1 ，2s 1 ，3 s l s r - c l s 1 2s l ，3 s 2 ，0s 2 ，1s 2 ，2s 2 ，3 s 2 o s 2 。ls 2 2s 2 , 3 s 3 ，0 s 3 ，1s 3 ，2 s 3 ，3 s 3 , 0s 3 。ls 3 2s 3 3 图2 - 3s u b b y t e s 0 c ps - b o x 对状态矩阵的操作 在s u b b y t e s 0 变换中用到的s - b o x 以十六进制的方式如图2 - 4 所示。 1 2 1 1 o 0 0 1 1 0