CN102223228A - 基于fpga的aes加密芯片设计方法及嵌入式加密系统 - Google Patents

Abstract

本发明公开了一种基于FPGA的AES加密芯片的设计方法，它是针对嵌入式系统需求而设计的，即可以以固体芯片的形式使用，也可以以软件模块的方式使用。同时支持ECB，CBC，CTR三种操作模式，可完成AES所有标准的加密和解密。对字节替换和密钥扩展采用查表的优化算法，并提出了列混合的优化结构，在保证运算速度下节约了器件资源。利用FPGA自带的双端口可配置RAM作为信息与密钥的缓存，解决其他器件或设备与FPGA通信的时序和数据存储问题。采用存储总线方式与FPGA接口并为安全可靠通信加入CRC检错。所述AES加密芯片具有安全性高、加解密速度快、器件资源要求低、成本低等优点，可广泛应用于智能卡系统，ATM取款机，无线局域网，无线传感器网等信息技术产业中。

Description

基于FPGA的AES加密芯片设计方法及嵌入式加密系统

技术领域

本发明是一种对信息及数据进行加解密的IC芯片及嵌入式加密系统的设计方法。即它充分利用FPGA的硬件可靠性及其逻辑编程的灵活性实现AES加密算法，其中还涉及保证处理速度的情况下如何减少器件资源的设计方法，这种方法支持AES的所有标准以及三种非反馈模式：电子密码本(ECB)，密码分组链接模式(CBC)和计数器模式(CTR)，以及该芯片应用于嵌入式系统的方法。

背景技术

目前国内外信息技术产业都需要加解密系统来提高信息的安全性，如智能卡系统(Smart Card)，手机银行系统(Cell Phone Bank)，万维网(WWW)，ATM取款机，无线局域网(WLAN)，无线传感器网(WSN)等。

密码技术是实现信息安全传输最常用、最有效的安全保护方法。而加密则是密码技术中最基础和最关键的实现手段之一。通过加密变换，将可读的文件变换成不可理解的乱码，从而起到保护信息和数据的作用。它直接支持机密性、完整性和非否认性。当前信息安全的主流技术和理论都是基于算法复杂性理论为特征的现代密码学。自1997年，美国国家标准研究院(NIST)开始寻找一种标准来替换DES(Data Encryption Standard)，并于2000年10月选择了两位比利时研究者Daemen和Rijmen提出的Rijndael算法作为最新的加密算法标准(AES，Advanced Encryption Standard)以取代使用多年的DES，目前尚未发现有效的攻击手段来破解AES。

密码算法的实现是其得到广泛工业应用的前提和先决条件，但是和DES分组加密算法相比，实现难度高，特别是在嵌入式系统中，微处理器的运算能力有限，软件实现往往难以保证必要的数据吞吐率，需要增加密码协处理器来辅助主控器完成AES算法的整体功能，而且与软件加密系统相比，硬件加密系统更加安全可靠。

同时随着电子技术的快速发展，由嵌入式微控制器组成的系统即嵌入式系统，最明显的优势就是可以嵌入到任何微型或小型仪器、设备中。早期，嵌入式系统以ASIC技术为支持，但其设计周期长、投入费用高、风险较大，在嵌入式系统中的应用受到了一定的限制。后来，可编程逻辑器件得到了迅速的发展，尤其是高密度现场可编程逻辑器件FPGA的设计性能已完全能够与ASIC媲美，因此，FPGA在嵌入式系统设计领域中得到了广泛的应用。

由于FPGA的这些先天的优势，再加上FPGA价格越来越被市场接受和认可，以“嵌入式微控制器+FPGA”为核心的嵌入式系统体系结构因其强大的处理能力和灵活的工作方式而被广泛采用，其在嵌入式系统中的前景也广为看好。

在经过对现有技术的文献检索中发现，中国专利“AES加密芯片的设计方法及电脑加密机”，公开号CN 10626289A，公开日2010年1月13日的专利是针对电脑加密机设计的加密芯片，是通过查表法来减少电路资源的，而未从AES的理论算法出发，进一步提出减少电路资源的新方法，并且未考虑AES的操作模式问题以及通信检错。在AES基础分组密码算法之后有不同的运行模式，这些运行模式能够增强分组密码算法的不确定性(随机性)。例如：它可将明文消息运作成任意长度，从而使得密文长度不必与明文长度相关；加强对错误传播的控制；方便于流密码的密钥生成等。而多种类的操作模式和多种类的通信检错方法会增强加密芯片的安全性和应用面。

发明内容

根据上述技术问题，本发明提出了一种基于FPGA和存储总线方式的AES加密芯片以及设备的设计。并开发成功，可作为SoC系统的IP核，所编程成功的芯片可作为IC芯片和嵌入式系统中的外设使用。它实现的是AES加密方式，支持AES的所有加密标准；同时支持加密与解密；支持多种模式，同时支持ECB，CBC，CTR三种非反馈模式；列混合和逆列混合的优化算法；占有器件资源少，对器件的要求低，从而芯片成本低；具有独立的资源存储区；密钥模块可在掉电后可自动初始化，避免密钥重复读写；其他设备工作时钟频率与FPGA本身工作时钟频率不同的矛盾的解决；支持可以应用到多数的单片机或者嵌入式系统中的存储总线方式及握手控制方式；通信检错方法支持三种CRC检错模式；速度适中，能够满足大部分的加密系统需求。

为解决上述技术问题，本发明采用以下技术方案予以实现：

一种AES加密芯片的设计方法，在芯片内部设计如下部分：

接口存储区模块，用于实现加密芯片对外部给入信息及内部待传出信息的存储，分为两类，一类是RAM型，另一类是寄存器型。接口存储区模块不仅完成存储功能，而且同时用来解决外部数据总线与AES加解密数据处理宽度不同的矛盾，其中密钥RAM、初始向量IV和初始计数器CTR0的RAM可进行掉电初始化，从而保证不必要的密钥重复读写，与此同时RAM作为数据缓存器，能解决ARM与FPGA间存储总线频率与FPGA本身工作时钟频率不同的矛盾，避免因速度不一致而丢失数据；

接口控制模块，用于控制明文、密文、密钥初始向量IV和初始计数器CTR0、各个模式类型及CRC代码的装载过程，加密结果、解密结果的输出过程，AES算法、CRC算法及模式选择的执行过程；

AES算法模块，完成对明文的AES标准的加密操作及对密文的AES标准的解密操作；

CRC算法模块，完成对传入和传出信息的验证，避免加密芯片与外界进行数据信息交互时产生错误的传输；

模式选择模块，对AES加密标准、加密与解密过程、操作模式及CRC校验模式的选择和确定。

下面对各部分的设计方法分别进行说明：

所述CRC算法模块，它支持三种CRC检错模式。因在使用硬件方法执行AES的过程中，都避免不了与外界进行数据信息的交互。在此过程中数据是否稳定和准确同样很重要。本发明提供了三种CRC数据检错模式，为数据的准确性提供了保障，其中CRC校验模式支持以下三种标准，分别定义为三种模式：

CRC1：G(x)＝X16+X15+X2+1                                    (1)

CRC2：G(x)＝X16+X12+X5+1                                    (2)

CRC3：G(x)＝X32+X26+X23+X16+X12+X11+X10+X8+X7+X5+X4+X2+X+1  (3)

所述AES算法模块，支持AES的所有加密标准；同时支持加密与解密；支持多种模式，同时支持ECB，CBC，CTR三种非反馈模式；实现列混合和逆列混合的优化算法。下面对AES算法模块各部分设计分别进行说明：

(1)支持AES的所有加密标准

Rijndael算法采用的是Square结构，本质上是一种对称分组密码体制，其分组长度和密钥长度都是可以改变的，只是为了满足AES的要求才限定处理的分组大小为128位，而密钥长度规定为128位、192位和256位，相应的迭代轮数为10轮、12轮或14轮，如表1所示。

表1

(2)同时支持加密与解密

在同一个芯片或者系统中可以同时进行加密和解密运算，这样可以根据功能需求灵活使用。

(3)支持多种模式

在ECB模式中，一个明文分组加密成一个密文分组，每个明文分组都可被独立地进行加解密，因而对整个明文序列的加解密可以以随机的顺序进行，这对于加解密以随机顺序存储的文件，如数据库，是非常重要的。其工作过程如下：

ECB加密：y_i←e_k(x_i)，i≥1

ECB解密：x_i←e_k(y_i)，i≥1

其中y_i，x_i，e_k分别代表密文块，明文块和密钥块作用函数；

在CBC模式中，每一个密文分组y i在用密钥K加密之前，都要先跟下一个明文分组xi+1相异或。严格地说，CBC模式从初始向量IV开始，定义y0＝IV，

然后用如下公式构造密文序列：

$y_i=e_k(y_{i-1}\⊕x_i),$ i≥1

在CTR模式中，计数器从初始值计数，然后将所得到的值馈送给基础分组密码算法。随着计数的增加。基础分组密码算法输出连续的分组来构成一个比特串，这个比特串被用作非纳姆密码的密钥流，也就是密钥流与明文分组相异或。其工作过程如下：

CTR加密：输入：ctr_i，x_i；输出：ctr_i，y_i；

$y_i\←x_i\⊕e_k\left({\mathrm{ctr}}_i\right),$ i≥1

CTR解密：输入：ctr_i，y_i；输出：ctr_i，x_i；

$x_i\←y_i\⊕e_k\left({\mathrm{ctr}}_i\right),$ i≥1

(4)列混合和逆列混合的优化算法

列混合是以状态阵的列为单位进行的线性变换操作，Rijndael算法的列混合线性变换阵是固定的可逆矩阵，加密和解密时线性变换可逆阵分别为：

$A=\left[\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right]---\left(4\right)$

$B=\left[\begin{array}{cccc}0E& 0B& 0D& 09\\ 09& 0E& 0B& 0D\\ 0D& 09& 0E& 0B\\ 0B& 0D& 09& 0E\end{array}\right]---\left(5\right)$

同时我们注意到矩阵A和B存在下面的关系：

$B=\left[\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right]\left[\begin{array}{cccc}05& 00& 04& 00\\ 00& 05& 00& 04\\ 04& 00& 05& 00\\ 00& 04& 00& 05\end{array}\right]---\left(6\right)$

所以从(4)，(6)式看出加解密列混合线性变换阵所用到的因子是六个固定的元素：02，03，01与04，05。并且逆列混合的线性变换阵B与列混合线性变换阵存在着固定的关系。同时在GF(2⁸)中，加减运算是等同的。因而根据上述固定因子和固定的关系，我们提出一种列混合的优化算法如下：

以第一列输入[a0，a1，a2，a3]T为例，加密和解密输出分别为b0和c0。

则

b0＝[02，03，01，01][a0，a1，a2，a3]T，(7)

c0＝[0E，0B，0D，09][a0，a1，a2，a3]T  (8)

即：

b0＝(a0+a1+a2+a3)+{02}(a0+a1)+a0(9)

c0＝(a0+a1+a2+a3)+{02}(a0+a1)+a0+

{02}({04}(a0+a2)+{04}(a1+a3))+

{04}(a0+a2)               (10)

然我们可以得到完整的列混合和逆列混合的操作步骤，如图4所示。在逆列混合中除了共享列混合的硬件资源外，还存在两部分的共享。第一部分是所有的逆列混合输出c0，c1，c2，c3共享了{02}({04}(a0+a2)+{04}(a1+a3))这部分硬件资源；第二部分是{04}(a0+a2)硬件资源被c0，c2共享，{04}(a1+a3)硬件资源被c1，c3共享。这种优化结构通过列混合与逆列混合及逆列混合中相同的操作来共享部分硬件而实现了硬件资源的节省。

所述接口存储区模块，为加解密过程中的明文、密文、加密结果、解密结果、密钥和初始向量IV与初始计数器值CTR0分别分配了不同的双端口RAM块，保证了资源信息的独立性；加密芯片在实际使用过程中，密钥，初始向量IV和初始计数器值通常是双方约定好的，不需要过度频繁的变换，并且如果系统每次掉电或者出现故障就要重新写入密钥，这样即繁琐又降低了系统的安全性。则对密钥RAM进行了单独和特殊的数据初始化设置，从而保证不必要的密钥重复读写，即密钥存储块，初始向量IV与初始计数器值CTR0存储块可在掉电后可自动初始化；FPGA加密芯片本身工作时钟频率与它所介入的嵌入式系统的微处理器或者其他设备及芯片的工作频率不一定相同，为解决这个问题，这里加入双端口RAM作为缓存，RAM两端读写都可采用不同的工作时钟。

所述模式选择模块，多样的选择方式为加密芯片的实际应用提供了方便的解决方案。

与现有技术相比，本发明的优点和积极效果是：本发明的AES加密芯片是针对嵌入式系统而设计的，而嵌入式系统广泛应用于如智能卡系统(Smart Card)，手机银行系统(Cell Phone Bank)，万维网(WWW)，ATM取款机，无线局域网(WLAN)，无线传感器网(WSN)等国内外信息技术产业中，它实现了当前最先进的对称加密算法-AES高级加密标准算法，并采用了一般嵌入式系统都可使用的存储总线接口及握手的控制方式，并为减少芯片面积、降低成本，根据AES算法的特点提出了列混合与逆列混合的优化算法来减少所占有的硬件资源，同时查表法即减少了逻辑电路单元又加快芯片的执行速度。采用上述AES加密芯片构件的加密嵌入式系统具有安全性高、加解密速度快、体积小、价格低廉等优点。

结合附图阅读本发明的具体实施方式的详细描述后，本发明的特点和优点将更加清晰。

附图说明

图1是本发明所提出的AES加密芯片的主要外部信号图；

图2是AES加密芯片的一种实施例的总体架构示意图；

图3是AES加密和解密算法的执行流程图；

图4是AES算法中的列混合与逆列混合的硬件共享电路执行图；

图5是CBC操作模式下的AES算法执行过程图；

具体实施方式

本发明的具体实施方式结合附图作进一步详细说明。

首先，对AES加密芯片的主要外部信号进行描述，参见图1及下表2.

表2

其次，对AES加密芯片的总体结构进行描述，参见图2所示。

硬件架构设计是以ARM或其它微控制器及设备为主控器，FPGA加密芯片为协处理器，如图2所示。主控器完成整个加密系统的管理工作，涉及加密或者解密模式设置，操作模式的设置，初始密钥、初始向量IV(CBC模式)和初始计数值CTR0(CTR模式)的设置和CRC(Cyclic Redundancy Check)模式的设置。在设定完这些模式后FPGA按照相应的需求工作。

所述AES加密芯片主要由接口存储区模块、接口控制模块、模式选择模块、AES算法模块、和CRC算法模块构成。AES算法模块中包含密钥扩展模块、列混合与逆列混合优化模块、S_box模块、逆S_box模块、加密模块和解密模块。对于加密芯片内部逻辑功能设计，采用Verilog HDL硬件设计语言及自顶向下的系统设计方法完成这些模块逻辑功能。综合工具采用的是altera公司的综合工具QuartusII9.1.

各部分功能描述如下：

1、接口存储区模块，用于实现加密芯片对外部给入信息及内部待传出信息的存储，分为两类，一类是RAM型，另一类是寄存器型。接口存储区模块不仅完成存储功能，而且同时用来解决外部数据总线与AES加解密数据处理宽度不同的矛盾，其中密钥RAM、初始向量IV和初始计数器CTR0的RAM可进行掉电初始化，从而保证不必要的密钥重复读写，与此同时RAM作为数据缓存器，能解决ARM与FPGA间存储总线频率与FPGA本身工作时钟频率不同的矛盾，避免因速度不一致而丢失数据。具体来讲，本设计选用Altera公司出产的Cyclone III系列的芯片，它内部的双端口RAM的两端可支持不同的工作时钟，不同宽度的数据格式，并可设置初始化数据内容等，然为加解密过程中的明文、密文、加密结果、解密结果、密钥和初始向量IV与初始计数器值CTR0分别分配了不同的双端口RAM块。为AES操作模式、CRC模式、AES标准、加密与解密模式、外部给定的校验码1和加密芯片生成的校验码2分别分配了寄存器类型的存储区，详细的分区如下表3所示。

表3

2、模式选择模块，对AES加密标准、加密与解密过程、操作模式及CRC校验模式的选择和确定。首先从AES操作模式、CRC模式、AES标准、加密与解密模式寄存器存储区中读取其中的数据/命令内容，根据相应的规定作出相应的模式选择。参见表3所示规定来执行。

3、CRC算法模块，完成从存储总线上传入和待传出信息的CRC计算，并且当信息是从总线上传入加密芯片的时候，把计算的结果与给入的CRC代码进行比较，如果比较结果是相同的则进行加密或者解密算法的操作，如果不一致则放弃此次传输的数据，重新传输，不再进行任何加解密的操作，当信息是从加密芯片向总线上传出的时候，把计算的CRC结果放入接口存储区模块中的CRC代码寄存器中，等待读出。

4、接口控制模块，用于控制明文、密文、密钥初始向量IV和初始计数器CTR0、各个模式类型及CRC代码的装载过程，加密结果、解密结果的输出过程，AES算法、CRC算法及模式选择的执行过程，即产生完成上述各个过程所需要的控制信号。

5、AES算法模块，完成对明文的AES标准的加密操作及对密文的AES标准的解密操作。加解密的具体执行过程参见图3。根据AES标准的规定，128比特的消息(明文，密文)分组被分成16个字节，其一个字节是8比特，则它被表示成4×4的矩阵，并称为状态矩阵。因而加解密的核心算法是对4×4状态矩阵进行的某种变换法则，其算法完成的内容如下，并以加密过程为例进行说明。

(1)字节替换(SubBytes)

字节替换是一种非线性置换，每一个位元组都是使用S-Box独立执行运算，目的为提高扰乱的效果。这部分功能的实现结合了FPGA的特点采用查找表的方式达到字节替换的非线性置换，保证每一个位元组都是使用S-Box独立执行运算。这种方法替换了逻辑电路结构复杂的乘法逆和仿射作用，使得字节替换功能部分的逻辑电路简单，处理速度加快，并达到了提高扰乱效果的目的。

(2)行移变换(ShiftRows)

行移变换是一种线性混合，在状态矩阵的每个行间进行的，是状态阵中的行按照不同的偏移量进行循环左移的运算。它的目的也是使得信息达到充分的混合。由于行移变换算法是在状态矩阵的每个行间以字节为单位进行的移位操作，并且每行移位的字节数是固定的，所以利用FPGA组合逻辑的硬件特性采用直接线连的方式实现行移变换算法。这种方法不仅完成AES的线性混合，使信息达到充分的混合，而且它只占用FPGA的连线资源，并使得处理时间仅为连线上的传输延迟，即节约资源又加快处理速度。

(3)列混合(MixColumns)

列混合也是一种线性混合，把状态阵的每一列转换为一个新的列，从而实现信息的进一步混乱。根据提出的列混合与逆列混合的优化算法，采用图4所示的电路结构实现列混合与逆列混合的操作功能。

(4)密钥加法(AddRoundKey)

AddRoundKey是把一个轮密钥字于每一个状态列矩阵相加，实现密码和密钥的混合。直接利用FPGA中异或逻辑来实现。

(5)密钥扩展(KeyExpansion)

KeyExpansion是为了提供一些阻止密码分析的功能，例如，它使得两个不同的密码密钥，不管彼此多么相似，都可以产生两个最少在个别轮上有区别的扩展，使得AES中没有重要的弱密钥。密钥扩展实现过程中包含字节替换、字旋转和轮常数的引入。为节省逻辑单元，同时也能够提升运算速度，密钥扩展过程中的字代换和轮常数都采用查表法。并从重构的角度出发，密钥扩展也设计成了独立的模块，它同时支持AES所有密钥长度的扩展，可作为专用的IP核。轮密钥中各个字节与状态字中的各个字节逐位加法运算由硬件描述语言Verilog HDL的异或完成，轮密钥由ARM给定的初始密钥通过FPGA的密钥扩展而来，从而实现密码和密钥的混合。

在上述加解密的执行过程中，由密钥扩展模块、列混合与逆列混合优化模块、S_box模块、逆S_box模块、加密模块、解密模块的协作来完成，参见图2所示。其中的S_box模块、逆S_box模块分别采用的是如下表4、表5，轮常数的查表法采用表6中的数据。

表4

表5

表6

进一步的在不同的操作模式下，明文分组将采用不同的方式。在ECB模式中，一个明文分组加密成一个密文分组，每个明文分组都可被独立地进行加解密，因而对整个明文序列的加解密可以以随机的顺序进行。其工作过程如下：

ECB加密：y_i←e_k(x_i)，i≥1

ECB解密：x_i←e_k(y_i)，i≥1

其中y_i，x_i，e_k分别代表密文块，明文块和密钥块作用函数

但是在ECB模式下，如果128位明文分组出现多次，它们产生的密文总是一样的，因而对于长报文，ECB模式可能不太安全。

在CBC模式中，每一个密文分组y i在用密钥K加密之前，都要先跟下一个

明文分组xi+1相异或。严格地说，CBC模式从初始向量IV开始，定义y0＝IV，

然后用如下公式构造密文序列：如图5所示。

$y_i=e_k(y_{i-1}\⊕x_i),$ i≥1

这种模式能够使得当同一个明文分组重复出现时将产生不同的密文分组。

在CTR模式中，计数器从初始值计数，然后将所得到的值馈送给基础分组密码算法。随着计数的增加。基础分组密码算法输出连续的分组来构成一个比特串，这个比特串被用作非纳姆密码的密钥流，也就是密钥流与明文分组相异或。其工作过程如下：

CTR加密：输入：ctr_i，x_i；输出：ctr_i，y_i；

$y_i\←x_i\⊕e_k\left({\mathrm{ctr}}_i\right),$ i≥1

CTR解密：输入：ctr_i，y_i；输出：ctr_i，x_i；

$x_i\←y_i\⊕e_k\left({\mathrm{ctr}}_i\right),$ i≥1

这种模式也能够使得单同一个明文分组重复出现时将产生不同的密文分组。

解密与加密的数据路径并不完全相同，在加密中，密钥加法操作在列混合之后执行，而在解密中，密钥加法却在列混合操作之后，但是FPGA内每个步骤的实现方式是相同的，即查表、移位、线连、异或等。在具体的运算步骤中，InSubBytes、InShiftRows和InvMixColumns分别是字节替换(SubBytes)、行位移变换(ShiftRows)、列混合(MixColumns)逆变换，轮密钥加法(AddRoundKey)和密钥扩展(KeyExpansion)的操作不变。

由上述在AES加解密的实现过程中可以看出，比较繁琐的计算主要是字节替换与反字节替换、列混合与逆列混合和密钥扩展部分。并且目前的FPGA芯片多数都带有RAM块，可以存储大量的数据表，这为查找表提供了方便。因字节替换的原理是复杂的乘法逆和仿射作用算法，这部分功能的实现结合了FPGA的特点采用查找表的方式达到字节替换的非线性置换，保证每一个位元组都是使用S-Box独立执行运算。这种方法替换了逻辑电路结构复杂的乘法逆和仿射作用，使得字节替换功能部分的逻辑电路简单，处理速度加快，并达到了提高扰乱效果的目的。对于列混合和逆列混合我们从算法本身出发，独创性的提出了一种优化算法，如(4)中所述。密钥扩展过程中的字代换和轮常数都采用查表法。并从重构的角度出发，密钥扩展也设计成了独立的模块，它同时支持AES所有密钥长度的扩展，可作为专用的IP核。这些方法使得它占有器件资源少，对器件的要求低。

Claims (8)

1.一种AES加密芯片的设计方法，在芯片内部设计如下部分：

接口存储区模块，用于实现加密芯片对外部给入信息及内部待传出信息的存储，分为两类，一类是RAM型，另一类是寄存器型，接口存储区模块不仅完成存储功能，而且同时用来解决外部数据总线与AES加解密数据处理宽度不同的矛盾，其中密钥RAM、初始向量IV和初始计数器CTR0的RAM可进行掉电初始化，从而保证不必要的密钥重复读写，与此同时RAM作为数据缓存器，能解决ARM与FPGA间存储总线频率与FPGA本身工作时钟频率不同的矛盾，避免因速度不一致而丢失数据；

接口控制模块，用于控制明文、密文、密钥初始向量IV和初始计数器CTR0、各个模式类型及CRC代码的装载过程，加密结果、解密结果的输出过程，AES算法、CRC算法及模式选择的执行过程；

AES算法模块，完成对明文的AES标准的加密操作及对密文的AES标准的解密操作；

CRC算法模块，完成对传入和传出信息的验证，避免加密芯片与外界进行数据信息交互时产生错误的传输；

模式选择模块，对AES加密标准、加密与解密过程、操作模式及CRC校验模式的选择和确定。

2.根据权利要求1所述的AES加密芯片的设计方法，其特征在于：

所述CRC算法模块，它支持三种CRC检错模式，CRC算法模块，完成从存储总线上传入和待传出信息的CRC计算，并且当信息是从总线上传入加密芯片的时候，把计算的结果与给入的CRC代码进行比较，如果比较结果是相同的则进行加密或者解密算法的操作，如果不一致则放弃此次传输的数据，重新传输，不再进行任何加解密的操作，当信息是从加密芯片向总线上传出的时候，把计算的CRC结果放入接口存储区模块中的CRC代码寄存器中，等待读出，本发明提供了三种CRC数据检错模式，为数据的准确性提供了保障，其中CRC校验模式支持以下三种标准，分别定义为三种模式：

CRC1：G(x)＝X16+X15+X2+1                                    (1)

CRC2：G(x)＝X16+X12+X5+1                                    (2)

CRC3：G(x)＝X32+X26+X23+X16+X12+X11+X10+X8+X7+X5+X4+X2+X+1  (3)

3.根据权利要求1所述的AES加密芯片的设计方法，其特征在于：

所述AES算法模块，支持AES的所有加密标准，同时支持加密与解密，支持多种模式，同时支持ECB，CBC，CTR三种非反馈模式，实现列混合和逆列混合的优化算法，下面对AES算法模块各部分设计分别进行说明：

(1)支持AES的所有加密标准

Rijndael算法采用的是Square结构，本质上是一种对称分组密码体制，其分组长度和密钥长度都是可以改变的，只是为了满足AES的要求才限定处理的分组大小为128位，而密钥长度规定为128位、192位和256位，相应的迭代轮数为10轮、12轮或14轮；

(2)同时支持加密与解密

在同一个芯片或者系统中可以同时进行加密和解密运算，这样可以根据功能需求灵活使用；

(3)支持多种模式

在ECB模式中，一个明文分组加密成一个密文分组，每个明文分组都可被独立地进行加解密，因而对整个明文序列的加解密可以以随机的顺序进行，这对于加解密以随机顺序存储的文件，如数据库，是非常重要的，其工作过程如下：

ECB加密：y_i←e_k(x_i)，i≥1

ECB解密：x_i←e_k(y_i)，i≥1

其中y_i，x_i，e_k分别代表密文块，明文块和密钥块作用函数；

在CBC模式中，每一个密文分组yi在用密钥K加密之前，都要先跟下一个明文分组xi+1相异或，严格地说，CBC模式从初始向量IV开始，定义y0＝IV，

然后用如下公式构造密文序列：

$y_i=e_k(y_{i-1}\⊕x_i),$ i≥1

在CTR模式中，计数器从初始值计数，然后将所得到的值馈送给基础分组密码算法，随着计数的增加，基础分组密码算法输出连续的分组来构成一个比特串，这个比特串被用作非纳姆密码的密钥流，也就是密钥流与明文分组相异或，其工作过程如下：

CTR加密：输入：ctr_i，x_i；输出：ctr_i，y_i；

$y_i\←x_i\⊕e_k\left({\mathrm{ctr}}_i\right),$ i≥1

CTR解密：输入：ctr_i，y_i；输出：ctr_i，x_i；

$x_i\←y_i\⊕e_k\left({\mathrm{ctr}}_i\right),$ i≥1

(4)列混合和逆列混合的优化算法

列混合是以状态阵的列为单位进行的线性变换操作，Rijndael算法的列混合线性变换阵是固定的可逆矩阵，加密和解密时线性变换可逆阵分别为：

$A=\left[\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right]---\left(4\right)$

$B=\left[\begin{array}{cccc}0E& 0B& 0D& 09\\ 09& 0E& 0B& 0D\\ 0D& 09& 0E& 0B\\ 0B& 0D& 09& 0E\end{array}\right]---\left(5\right)$

同时我们注意到矩阵A和B存在下面的关系：

$B=\left[\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right]\left[\begin{array}{cccc}05& 00& 04& 00\\ 00& 05& 00& 04\\ 04& 05& 00& 04\\ 00& 04& 00& 05\end{array}\right]---\left(6\right)$

所以从(4)，(6)式看出加解密列混合线性变换阵所用到的因子是六个固定的元素：02，03，01与04，05，并且逆列混合的线性变换阵B与列混合线性变换阵存在着固定的关系，同时在GF(2⁸)中，加减运算是等同的，因而根据上述固定因子和固定的关系，我们提出一种列混合的优化算法如下：

以第一列输入[a0，a1，a2，a3]T为例，加密和解密输出分别为b0和c0，

则

b0＝[02，03，01，01][a0，a1，a2，a3]T，(7)

c0＝[0E，0B，0D，09][a0，a1，a2，a3]T(8)

即：

b0＝(a0+a1+a2+a3)+{02}(a0+a1)+a0(9)

c0＝(a0+a1+a2+a3)+{02}(a0+a1)+a0+

{02}({04}(a0+a2)+{04}(a1+a3))+

{04}(a0+a2)                       (10)

然我们可以得到完整的列混合和逆列混合的操作步骤，在逆列混合中除了共享列混合的硬件资源外，还存在两部分的共享，第一部分是所有的逆列混合输出c0，c1，c2，c3共享了{02}({04}(a0+a2)+{04}(a1+a3))这部分硬件资源；第二部分是{04}(a0+a2)硬件资源被c0，c2共享，{04}(a1+a3)硬件资源被c1，c3共享，这种优化结构通过列混合与逆列混合及逆列混合中相同的操作来共享部分硬件而实现了硬件资源的节省。

4.根据权利要求1及3所述的AES加密芯片的设计方法，其特征在于：

AES算法模块，完成对明文的AES标准的加密操作及对密文的AES标准的解密操作，根据AES标准的规定，128比特的消息(明文，密文)分组被分成16个字节，其一个字节是8比特，则它被表示成4×4的矩阵，并称为状态矩阵，而加解密的核心算法是对4×4状态矩阵进行的某种变换法则，其算法完成的内容如下，并以加密过程为例进行说明：

(1)字节替换(SubBytes)

字节替换是一种非线性置换，每一个位元组都是使用S-Box独立执行运算，目的为提高扰乱的效果，这部分功能的实现结合了FPGA的特点采用查找表的方式达到字节替换的非线性置换，保证每一个位元组都是使用S-Box独立执行运算，这种方法替换了逻辑电路结构复杂的乘法逆和仿射作用，使得字节替换功能部分的逻辑电路简单，处理速度加快，并达到了提高扰乱效果的目的；

(2)行移变换(ShiftRows)

行移变换是一种线性混合，在状态矩阵的每个行间进行的，是状态阵中的行按照不同的偏移量进行循环左移的运算，它的目的也是使得信息达到充分的混合，由于行移变换算法是在状态矩阵的每个行间以字节为单位进行的移位操作，并且每行移位的字节数是固定的，所以利用FPGA组合逻辑的硬件特性采用直接线连的方式实现行移变换算法，这种方法不仅完成AES的线性混合，使信息达到充分的混合，而且它只占用FPGA的连线资源，并使得处理时间仅为连线上的传输延迟，即节约资源又加快处理速度；

(3)列混合(MixColumns)

列混合也是一种线性混合，把状态阵的每一列转换为一个新的列，从而实现信息的进一步混乱，据权利3中提出的列混合与逆列混合的优化算法，以共享的电路结构实现列混合与逆列混合功能；

(4)密钥加法(AddRoundKey)

AddRoundKey是把一个轮密钥字于每一个状态列矩阵相加，实现密码和密钥的混合，直接利用FPGA中异或逻辑来实现；

(5)密钥扩展(KeyExpansion)

KeyExpansion是为了提供一些阻止密码分析的功能，它使得两个不同的密码密钥，不管彼此多么相似，都可以产生两个最少在个别轮上有区别的扩展，使得AES中没有重要的弱密钥，密钥扩展实现过程中包含字节替换、字旋转和轮常数的引入，为节省逻辑单元，同时也能够提升运算速度，密钥扩展过程中的字代换和轮常数都采用查表法，并从重构的角度出发，密钥扩展也设计成了独立的模块，它同时支持AES所有密钥长度的扩展，可作为专用的IP核，轮密钥中各个字节与状态字中的各个字节逐位加法运算由硬件描述语言Verilog HDL的异或完成，轮密钥由ARM给定的初始密钥通过FPGA的密钥扩展而来，从而实现密码和密钥的混合。

5.根据权利要求1、3及4所述的AES加密芯片的设计方法，其特征在于：

解密与加密的数据路径并不完全相同，在加密中，密钥加法操作在列混合之后执行，而在解密中，密钥加法却在列混合操作之后，但是FPGA内每个步骤的实现方式是相同的，即查表、移位、线连、异或等，在具体的运算步骤中，InSubBytes、InShiftRows和InvMixColumns分别是字节替换(SubBytes)、行位移变换(ShiftRows)、列混合(MixColumns)逆变换，轮密钥加法(AddRoundKey)和密钥扩展(KeyExpansion)的操作不变。

6.根据权利要求1、2、3及4所述的AES加密芯片的设计方法，其特征在于：

接口存储区模块，用于实现加密芯片对外部给入信息及内部待传出信息的存储，分为两类，一类是RAM型，另一类是寄存器型，接口存储区模块不仅完成存储功能，而且同时用来解决外部数据总线与AES加解密数据处理宽度不同的矛盾，其中密钥RAM、初始向量IV和初始计数器CTR0的RAM可进行掉电初始化，从而保证不必要的密钥重复读写，与此同时RAM作为数据缓存器，能解决ARM与FPGA间存储总线频率与FPGA本身工作时钟频率不同的矛盾，避免因速度不一致而丢失数据，具体来讲，本设计选用Altera公司出产的Cyclone III系列的芯片，它内部的双端口RAM的两端可支持不同的工作时钟，不同宽度的数据格式，并可设置初始化数据内容等，然为加解密过程中的明文、密文、加密结果、解密结果、密钥和初始向量IV与初始计数器值CTR0分别分配了不同的双端口RAM块，为AES操作模式、CRC模式、AES标准、加密与解密模式、外部给定的校验码1和加密芯片生成的校验码2分别分配了寄存器类型的存储区。

7.根据权利要求1、2、3、5及6所述的AES加密芯片的设计方法，其特征在于：

模式选择模块，对AES加密标准、加密与解密过程、操作模式及CRC校验模式的选择和确定；首先从AES操作模式、CRC模式、AES标准、加密与解密模式寄存器存储区中读取其中的数据/命令内容，根据相应的规定作出相应的模式选择。

8.根据权利要求1所述的AES加密芯片的设计方法，其特征在于：

接口控制模块，用于控制明文、密文、密钥初始向量IV和初始计数器CTR0、各个模式类型及CRC代码的装载过程，加密结果、解密结果的输出过程，AES算法、CRC算法及模式选择的执行过程，即产生完成上述各个过程所需要的控制信号。

Images