CN103684749A - 一种基于面积与性能平衡优化的klein加密实现方法 - Google Patents

Abstract

本发明公开了一种基于面积与性能平衡优化的KLEIN加密实现方法，包括S盒优化以及两子模块共用S盒，构造一个Tab盒进行快速查表，密钥扩展轮常量i为自加方式，对轮密钥加、字节替换、行移位、列混合、密钥扩展基本子模块都封装整合到一个模块，算法赋值过程采用连续赋值assign语句实现，时钟信号控制计数器更新。再利用Verilog HDL硬件描述语言并行执行特点及各子模块整合到一个模块的方式，采用全局同步时钟脉冲触发，充分利用器件本身的触发器与布线资源。本发明方法可以有效的节省KLEIN加密算法实现时所需占用的面积资源，提高加密速度，使KLEIN加密算法在较少硬件面积实现同时保持高性能。

Description

一种基于面积与性能平衡优化的KLEIN加密实现方法

技术领域

本发明涉及信息安全技术中的密码算法领域，特别是涉及一种基于面积与性能平衡优化的KLEIN加密实现方法。

背景技术

随着无线通信和嵌入式系统的发展，我们越来越依赖于普适计算，更关注加密算法在资源受限的物联网中的高效实现应用。KLEIN是中国学者龚征在RFIDSEC2011会议上提出的轻型分组密码算法。KLEIN算法分组长度为64位,支持64/80/96位3种密钥长度，分别对应12/16/20轮加密。KLEIN算法宏观上是SP网络结构，在微观上分为五个模块：轮密钥加(AddRoundKey)，字节替换(SubBytes)，行移位变换(ShiftRows)，列混合变换(MixColumns)，密钥扩展(KeyExpansions)。轮密钥加将64位输入明文同对应密钥进行异或，字节替换采用的是4进4出的S盒，行移位将输入明文左移2个字节，列混合变换KLEIN采用AES的伽罗华域运算，将8个字节输入组成的4行2列矩阵乘以AES的列混淆矩阵得到64位输出，密钥扩展采用Feistel结构,由移位、异或、查找S盒部件组成。具体为64位初始密钥按左右32位划作两部分，左右32位(四个字节)分别执行左移1个字节操作;左移操作后右半部分输出32位，其32位(计四个字节)中第3个字节异或密钥扩展轮常量,得到轮密钥输出左边部分32位；左移操作后，左右两部分输出各32位进行相互异或的结果为32位(四个字节)，第2、3字节查找4次4*4的S盒，得到轮密钥输出的右边部分32位。

KLEIN密码算法传统的优化方式只注重面积或性能中的一个方面优化。传统的优化实现方法现分析如下：

S盒，传统的加密算法实现都是采用case代码实现语句，查表实现，当为r个查表元素，m个模板元素时。其效率最坏的情况为O(r*m)。

列混合变换，传统的加密算法实现都是采用复杂的不同数之间在伽罗华域上计算，当为r个输入运算数，则进行2r次伽罗华域上的乘法运算。

在明文与密钥的S盒替换中，传统的方式明文生成密文与密钥扩展生成子密钥是相互独立的两个部分；对于两部分的S盒替换运算，需要开辟两个S盒模块。

密钥扩展中的密钥扩展轮常量i，传统的方式是寄存器存放所有i常量数据，当i常量数据有r个则要开r个寄存器。

模块整合，传统的方式是把各子模块独自封装，不过这样能方便检查代码错误，但独自封装是很占用加密算法的实现面积，同时加密算法的并行实行效果也较差。

在算法赋值与轮实现时，传统是采用大量的always语句实现，造成大量的寄存器开辟使用，增大硬件实现面积。并且在增大面积的轮数实现过程中，把12轮加密运算全部进行在一起操作，在理论上是用计数器控制每轮重复加密实现面积的12倍。

传统对加密算法的并行实现，常采用局部同步时钟脉冲触发方式，对于整体结构而言增加触发器与布线资源，系统工作频率和实现速度比较低。

发明内容

本发明提供了一种基于面积与性能平衡优化的KLEIN加密实现方法，其目的在于克服上述技术中的不足，有效节省KLEIN加密算法硬件实现所需使用的资源面积，提高加密速度，使KLEIN加密算法小面积实现与加密效率平衡。

一种基于面积与性能平衡优化的KLEIN加密实现方法，包括以下几个步骤：

步骤1：将待加密数据加载至寄存器；

步骤2：将所述待加密数据输出进行n轮运算操作；

1）将待加密数据与密钥进行异或操作，同时对密钥进行扩展，获得扩展密钥；

2）对将待加密数据与密钥进行异或运算得到的运算结果采用S盒进行字节替换运算；

3）对采用S盒进行字节替换运算得到的运算结果进行左移2个字节的行移位变换运算；

4）对行移位变换运算得到的运算结果进行列混合变换运算；

5）对列混合变换运算得到的运算结果和1）得到的扩展密钥进行异或运算，得到的运算结果作为下一轮的待加密数据，如果到达第n轮运算，则进入步骤3，否则返回1）；

步骤3：将步骤2中所述5）最后得到的运算结果输出，完成加密操作；

对密钥进行扩展是基于Feistel结构扩展完成；将密钥分为左右长度相等的两部分，对左半部分密钥及右半部分密钥进行移位运算，异或运算及S盒查表运算，其中移位运算为向左移位一个字节；

所述轮运算操作2）中S盒字节替换运算操作通过采用先用寄存器保存S盒数据，然后直接到寄存器内取值；

所述轮运算操作4）中列混合变换操作是通过构建Tab盒，将有限域的矩阵乘法转化为查Tab盒操作运算；

将行移位变换运算操作后得到的数据依次按照每个字节进行列存储的方式存储到4行2列的矩阵B中，矩阵元素为b_k,j，其中，k和j均为整数，0≤k≤3，0≤j≤1，将b_k,j的高4位赋值给x，将b_k,j的低4位赋值给y；

所述Tab盒是指将数据0-255分别乘以2得到的数据依次存储至16*16的表格中，表格的行标x和列标y依次为0～F；

将固定矩阵A与矩阵B相乘的运算结果按照以下公式获得行列混合变换运算的操作结果矩阵： $\left|\begin{array}{cc}{\mathrm{dout}}_0& {\mathrm{dout}}_4\\ {\mathrm{dout}}_1& {\mathrm{dout}}_5\\ {\mathrm{dout}}_2& {\mathrm{dout}}_6\\ {\mathrm{dout}}_3& {\mathrm{dout}}_7\end{array}\right|,$ 其中，固定矩阵A为 $\left|\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right|$

dout₀=f(b_0，0)⊕f(b_1，0)⊕b_1，0⊕b_2，0⊕b_3，0，

dout₁=f(b_1，0)⊕f(b_2，0)⊕b_0，0⊕b_2，0⊕b_3，0，

dout₂=f(b_2，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_3，0，

dout₃=f(b_0，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_2，0，

dout₄=f(b_0，1)⊕f(b_1，1)⊕b_1，1⊕b_2，1⊕b_3，1，

dout₅=f(b_1，1)⊕f(b_2，1)⊕b_0，1⊕b_2，1⊕b_3，1，

dout₆=f(b_2，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_3，1，

dout₇=f(b_0，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_2，1，

其中，依据b_k,j=(xy)₁₆直接寻找Tab盒中行标为x列标为y的值赋给f(b_k,j)，b_k,j=(xy)16中的16表示为十六进制。

所述对密钥进行扩展时，对左半部分数据的第三个字节进行异或运算时，其异或操作的运算对象为变量i，i表示轮运算中的轮数。

所述对密钥扩展时，对右半部分数据进行字节替换时采用的S盒为所述轮运算过程中2）对1）的S盒。

所述对每一轮加密运算时；对所述轮数运算过程1）到5）中采用assign赋值方式衔接每个步骤之间的相互调用。

所述对每一轮加密运算时；对所述轮数运算过程1）到5）过程中使用时钟信号来控制n轮加密；采用Verilog HDL语言中连续assign语句实现运算过程并行同步执行。

密钥长度为64时，n取值为12；密钥长度为80时，n取值为16；密钥长度为96时，n取值为20。

有益效果

本发明提供了一种基于面积与性能平衡优化的KLEIN加密实现方法，包括S盒优化以及两子模块共用S盒，构造一个Tab盒进行快速查表，密钥扩展中的密钥扩展轮常量i是自加方式，对分装轮密钥加、字节替换、行移位、列混合变换、密钥扩展基本子模块都整合到一个模块，算法赋值过程采用连续赋值assign语句实现，时钟信号控制计数器更新。再利用Verilog HDL语言并行执行特点与各子模块整合到一个模块方式，从而并行实现KLEIN加密运算，模块内部数值同时并行加密运算，各子模块之间并行执行；全局同步时钟脉冲触发，充分利用器件本身的触发器与布线资源。其中Tab盒是指将数据0-255分别乘以2得到的数据按照十六进制依次存储；

与传统硬件实现方法相比，KLEIN算法加密面积与加密速度等性能有很大的提高。S盒优化：采用寄存器预先存储技术，实现查表效率优化到O(1)，特别是当S盒数组很大时，查表的速度有大幅度提高。列混合变换优化：模块内部用assign语句连续赋值，提高程序并行性，针对MixColumns本身乘不可约多项式的特征，Tab盒技术，使列混合变换整个运算转化为包含一个乘以{02}模块进行查Tab盒和若干个异或操作，从而避免了有限域GF(2⁸)的复杂多项式乘法运算，当为r个输入运算数，则进行2r次有限域GF(2⁸)上的乘法运算直接化为0次，只需在Tab盒里查表找到相应的值，该方法使用于多轮加密与大量MixColumns乘法运算的效果非常好，加密速度大大加快，加密效率提高明显。

明文加密与密钥扩展两个相互独立部分，融合到一个模块里构成一个部分；共用一个S盒数组，运算明文与密钥扩展替换，节省一个S盒数组面积资源。对于密钥扩展中的密钥扩展轮常量i，利用控制轮数中控制变量来控制i的自加，代替采取寄存器中存放所有i常量数据，减少寄存器的个数，当S盒数组与扩展轮常量i数组在很大的情况下，加密算法面积资源有效减少更为明显。

算法赋值过程采用连续赋值assign语句实现，时钟信号控制计数器更新，完成加密重复n个时钟周期与并行实现KLEIN加密运算，采用全局同步时钟脉冲触发方式，重复进行每一轮算法的加密方法，理论上硬件实现面积降低到串行的n分之一，同时加密性能较高。

所述发明方法在KLEIN加密算法优化实现过程中，能有效节省KLEIN加密算法所需使用的面积资源，提高加密速度。

附图说明

图1为现有技术中KLEIN算法加密流程图；

图2为本发明提出的KLEIN算法加密流程图；

图3为共用S盒模块流程图；

图4为列混合变换模块流程图；

图5为密钥扩展模块流程图；

图6为并行结构进行封装模块流程图。

具体实施方式

以下将结合附图和实施例对本发明做进一步的说明。

不失一般性，以64位密钥长的KLEIN为例，对本发明进行说明。

结合图1和图2的算法流程图对比，可以看出使用优化技术后算法硬件实现设计的合理性。算法中采用Verilog HDL语言中的连续赋值assign语句实现并行执行，采用全局同步时钟脉冲触发方式和所有基本子模块都整合到一个模块。

一种基于面积与性能平衡优化的KLEIN加密实现方法，包括以下几个步骤：

步骤1：将待加密数据加载至寄存器；

步骤2：将所述待加密数据输出进行n轮运算操作，n取值为12；

1）将待加密数据与密钥进行异或操作，同时对密钥进行扩展，获得扩展密钥；

2）对将待加密数据与密钥进行异或运算得到的运算结果采用S盒进行字节替换运算；

3）对采用S盒进行字节替换运算得到的运算结果进行左移2个字节的行移位变换运算；

4）对行移位变换运算得到的运算结果进行列混合变换运算；

5）对列混合变换运算得到的运算结果和1）得到的扩展密钥进行异或运算，得到的运算结果作为下一轮的待加密数据，如果到达第n轮运算，则进入步骤3，否则返回1）；

步骤3：将步骤2中所述5）最后得到的运算结果输出，完成加密操作；

对密钥进行扩展是基于Feistel结构扩展完成；将密钥分为左右长度相等的两部分，对左半部分密钥及右半部分密钥进行移位运算，异或运算及S盒查表运算，其中移位运算为向左移位一个字节；

所述轮运算操作2）中S盒字节替换运算操作通过采用先用寄存器保存S盒数据，然后直接到寄存器内取值；

所述轮运算操作4）中列混合变换操作是通过构建Tab盒，将有限域的矩阵乘法转化为查Tab盒操作运算；

将行移位变换运算操作后得到的数据依次按照每个字节进行列存储的方式存储到4行2列的矩阵B中，矩阵元素为b_k,j，其中，k和j均为整数，0≤k≤3，0≤j≤1，将b_k,j的高4位赋值给x，将b_k,j的低4位赋值给y；

所述Tab盒是指将数据0-255分别乘以2得到的数据依次存储至16*16的表格中，表格的行标x和列标y依次为0～F；

将固定矩阵A与矩阵B相乘的运算结果按照以下公式获得行列混合变换运算的操作结果矩阵： $\left|\begin{array}{cc}{\mathrm{dout}}_0& {\mathrm{dout}}_4\\ {\mathrm{dout}}_1& {\mathrm{dout}}_5\\ {\mathrm{dout}}_2& {\mathrm{dout}}_6\\ {\mathrm{dout}}_3& {\mathrm{dout}}_7\end{array}\right|,$ 其中，固定矩阵A为 $\left|\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right|$

dout₀=f(b_0，0)⊕f(b_1，0)⊕b_1，0⊕b_2，0⊕b_3，0，

dout₁=f(b_1，0)⊕f(b_2，0)⊕b_0，0⊕b_2，0⊕b_3，0，

dout₂=f(b_2，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_3，0，

dout₃=f(b_0，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_2，0，

dout₄=f(b_0，1)⊕f(b_1，1)⊕b_1，1⊕b_2，1⊕b_3，1，

dout₅=f(b_1，1)⊕f(b_2，1)⊕b_0，1⊕b_2，1⊕b_3，1，

dout₆=f(b_2，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_3，1，

dout₇=f(b_0，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_2，1，

其中，依据b_k,j=(xy)₁₆直接寻找Tab盒中行标为x列标为y的值赋给f(b_k,j)，b_k,j=(xy)16中的16表示为十六进制。

字节替换(SubBytes)：字节替换是密码算法中非线性变换。该置换包含一个作用在状态字节上的S盒（用S-box表示）。设定S盒的输入为4位g，输出为4位q，即q=S(g)。在实现时可以用一个1*16位的置换表来表示S盒，通过查表即可实现变换，采用优化的S盒。state为64位输入端口，a为64位输出端口，是把64位的数拆开16个4位的数，从而在一个1*16位的S盒进行置换，实现S盒优化代码如下：

共用S盒：在加密算法中，明文生成密文与密钥扩展生成子密钥是相互独立的两个部分；只是在轮密钥加中明文与密钥进行异或运算，对于两部分的S盒替换运算，是需要开辟两个S盒模块。在采用共用S盒技术，是把明文生成密文与密钥扩展生成子密钥是相互独立的两个部分进行融合成一个部分；在这一部分模块里只开辟一个S盒数组进行明文S盒与密钥扩展S盒替换运算。man[state[1:64]]为明文的S盒替换，man[w[2][1:4]^w[6][1:4]].......man[w[3][5:8]^w[7][5:8]]为密钥的S盒替换，两者替换都是采用man[]S盒数组，可知两部分在一个模块里。state[1:64]为明文输入，a为man[]S盒替明文输出；w[2][1:4]^w[6][1:4].......w[3][5:8]^w[7][5:8]为密钥输入，h为man[]S盒替密钥输出；结合图3与以下实现代码：

列混合变换（MixColumns）优化：Tab盒的构建，在KLEIN算法把一个字节看成是在有限域GF(2⁸)上的一个元素，将有限域GF(2⁸)上一个字节二进制数{00000000}到{11111111}共256个元素乘以{02}预先存储在一个Tab盒中，运算公式如下：

f(b₀)=b₀*{02},f(b₁)=b₁*{02}.......f(b_V)=b_V*{02}

b₀，b₁......b_V(其中0<=V<=255)为有限域GF(2⁸)上的一个字节二进制数{00000000}到{11111111}256个元素中的数，十六进制数{02}为二进制数{00000010}，*为乘法运算，f(...)为有限域GF(2⁸)乘{02}运算函数。Tab盒把f(...)函数值制成一个如下表1所示，把Tab盒所有元素用寄存器存储起来，在有限域GF(2⁸)上所有元素运算中利用查表方式直接到寄存器内取值。

表1Tab盒

根据KLEIN算法矩阵的多项式乘法运算，列混淆矩阵是4行4列的矩阵，而KLEIN算法是4行2列矩阵。

在KLEIN密码算法中，4行2列的矩阵为：

b={(b_0，0,b_0，1)(b_1，0,b_1，1)(b_2，0,b_2，1)(b_3，0,b_3，1)}

(b_0，0,b_0，1)(b_1，0,b_1，1)(b_2，0,b_2，1)(b_3，0,b_3，1)属于GF(2⁸)上的元素b₀，b₁......b_i(其中0<=i<=255)，

dout₀={02}*b_0，0⊕{03}*b_1，0⊕{01}*b_2，0⊕{01}*b_3，0=f(b_0，0)⊕f(b_1，0)⊕b_1，0⊕b_2，0⊕b_3，0，

dout₁={01}*b_0，0⊕{02}*b_1，0⊕{03}*b_2，0⊕{01}*b_3，0=f(b_1，0)⊕f(b_2，0)⊕b_0，0⊕b_2，0⊕b_3，0，

dout₂={01}*b_0，0⊕{01}*b_1，0⊕{02}*b_2，0⊕{03}*b_3，0=f(b_2，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_3，0，

dout₃={03}*b_0，0⊕{01}*b_1，0⊕{01}*b_2，0⊕{02}*b_3，0=f(b_0，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_2，0，

dout₄={02}*b_0，1⊕{03}*b_1，1⊕{01}*b_2，1⊕{01}*b_3，1=f(b_0，1)⊕f(b_1，1)⊕b₁，₁⊕b_2，1⊕b_3，1，

dout₅={01}*b_0，1⊕{02}*b_1，1⊕{03}*b_2，1⊕{01}*b_3，1=f(b_1，1)⊕f(b_2，1)⊕b_0，1⊕b_2，1⊕b_3，1，

dout₆={01}*b_0，1⊕{01}*b_1，1⊕{02}*b_2，1⊕{03}*b_3，1=f(b_2，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_3，1，

dout₇={03}*b_0，1⊕{01}*b_1，1⊕{01}*b_2，1⊕{02}*b_3，1=f(b_0，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_2，1，

dout₀，dout₁，dout₂，dout₃，dout₄，dout₅，dout₆，dout₇为列混合变换输出值，同样组成为4行2列的矩阵，⊕为异或运算，*为乘法运算，b_0，0，b_0，1......b_k,j(其中k和j均为整数，0≤k≤3，0≤j≤1)为有限域GF(2⁸)上元素，也就是行移位输入的明文值。

整个运算中包含一个乘以{02}模块进行查Tab盒和若干个异或操作。b为64位输入端口，dout为64位输出端口，结合图4与以下实现代码：

密钥扩展（KeyExpansions）模块实现密钥变换，它是由原始密钥通过密钥扩展算法导出更新密钥，其长度等于64位。在具体实现过程中主要采用上升沿有效时钟控制密钥生成，使得在生成密钥同一时钟周期的下降沿即可传递密钥，利用count计数器控制轮数，是每轮重复进行子密钥更新，并且密钥扩展中的密钥扩展轮常量i是利用控制轮数的控制变量以控制i的自加。原始密钥key为64位输入端口，更新轮密钥nkey为64位输出端口，clk为时钟信号、siga为轮判断信号、reset为复位信号，结合图5与以下实现代码：

并行结构进行封装把S盒、字节替换、行移位、Tab盒（用于列混合变换的伽罗华域乘法运算时查表，大幅度提高运算速率。）、列混合变换、密钥扩展六个基本子模块都整合到一个模块里,各子模块并行执行。赋值采用连续赋值（assign）语句，全局同步时钟脉冲触发方式，脉冲clk时钟信号控制计数器count更新，脉冲reset为复位控制信号，完成加密只需12个时钟周期。明文state，原始密钥key为64位输入端口，密文result为64位输出端口，clk为时钟信号、siga作为轮判断信号、sigb为轮输出信号，结合图6与以下实现代码：

对以上KLEIN密钥长为64位的具体实施例，在Xilinx Virtex5FPGA上进行了实现，实验表明时钟频率为102.281MHz时，吞吐率达到了6.55Gb/s，而占用面积资源则只有10277Slices。

该方法同样适应于长度为80或96的密钥，密钥长度为80时，n取值为16；密钥长度为96时，n取值为20。

以上结合具体实施例对本发明进行了详细的说明，这些并非构成对本发明的限制。在不脱离本发明原理的情况下，本领域的技术人员还可以作出许多变形和改进，这些也应属于本发明的保护范围。

Claims (6)

1.一种基于面积与性能平衡优化的KLEIN加密实现方法，其特征在于，包括以下几个步骤：

步骤1：将待加密数据加载至寄存器；

步骤2：将所述待加密数据输出进行n轮运算操作；

1）将待加密数据与密钥进行异或操作，同时对密钥进行扩展，获得扩展密钥；

2）对将待加密数据与密钥进行异或运算得到的运算结果采用S盒进行字节替换运算；

3）对采用S盒进行字节替换运算得到的运算结果进行左移2个字节的行移位变换运算；

4）对行移位变换运算得到的运算结果进行列混合变换运算；

5）对列混合变换运算得到的运算结果和1）得到的扩展密钥进行异或运算，得到的运算结果作为下一轮的待加密数据，如果到达第n轮运算，则进入步骤3，否则返回1）；

步骤3：将步骤2中所述5）最后得到的运算结果输出，完成加密操作；

对密钥进行扩展是基于Feistel结构扩展完成；将密钥分为左右长度相等的两部分，对左半部分密钥及右半部分密钥进行移位、异或及S盒查表运算，其中移位运算为向左移位一个字节；

所述轮运算操作2）中S盒字节替换运算通过采用先用寄存器保存S盒数据，然后直接到寄存器内取值；

所述轮运算操作4）中列混合变换操作是通过构建Tab盒，将有限域的矩阵乘法转化为查Tab盒操作运算；

将行移位变换运算操作后得到的数据依次按照每个字节进行列存储的方式存储到4行2列的矩阵B中，矩阵元素为b_k,j，其中，k和j均为整数，0≤k≤3，0≤j≤1，将b_k,j的高4位赋值给x，将b_k,j的低4位赋值给y；

所述Tab盒是指将数据0-255分别乘以2得到的数据依次存储至16*16的表格中，表格的行标x和列标y依次为0～F；

将固定矩阵A与矩阵B相乘的运算结果按照以下公式获得行列混合变换运算的操作结果矩阵： $\left|\begin{array}{cc}{\mathrm{dout}}_0& {\mathrm{dout}}_4\\ {\mathrm{dout}}_1& {\mathrm{dout}}_5\\ {\mathrm{dout}}_2& {\mathrm{dout}}_6\\ {\mathrm{dout}}_3& {\mathrm{dout}}_7\end{array}\right|,$ 其中，固定矩阵A为 $\left|\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right|$

dout₀=f(b_0，0)⊕f(b_1，0)⊕b_1，0⊕b_2，0⊕b_3，0，

dout₁=f(b_1，0)⊕f(b_2，0)⊕b_0，0⊕b_2，0⊕b_3，0，

dout₂=f(b_2，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_3，0，

dout₃=f(b_0，0)⊕f(b_3，0)⊕b_0，0⊕b_1，0⊕b_2，0，

dout₄=f(b_0，1)⊕f(b_1，1)⊕b_1，1⊕b_2，1⊕b_3，1，

dout₅=f(b_1，1)⊕f(b_2，1)⊕b_0，1⊕b_2，1⊕b_3，1，

dout₆=f(b_2，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_3，1，

dout₇=f(b_0，1)⊕f(b_3，1)⊕b_0，1⊕b_1，1⊕b_2，1，

其中，依据b_k,j=(xy)₁₆直接寻找Tab盒中行标为x、列标为y的值赋给f(b_k,j)。

2.根据权利要求1所述的基于面积与性能平衡优化的KLEIN加密实现方法，其特征在于，所述对密钥进行扩展，对左半部分数据的第三个字节进行异或运算时，其异或操作的运算对象为变量i，i表示轮运算中的轮数。

3.根据权利要求2所述的基于面积与性能平衡优化的KLEIN加密实现方法，其特征在于，所述对密钥扩展时，对右半部分数据进行字节替换时采用的S盒为所述轮运算过程中2）对1）的S盒。

4.根据权利要求1所述的基于面积与性能平衡优化的KLEIN加密实现方法，其特征在于，所述对每一轮加密运算时；对所述轮数运算过程1）到5）中采用assign赋值方式衔接每个步骤之间的相互调用。

5.根据权利要求4所述的基于面积与性能平衡优化的KLEIN加密实现方法，其特征在于，所述对每一轮加密运算时；对所述轮数运算过程1）到5）中使用时钟信号来控制n轮加密；采用Verilog HDL语言中连续assign语句实现运算过程并行同步执行。

6.根据权利要求1-5所述的基于面积与性能平衡优化的KLEIN加密实现方法，其特征在于，密钥长度为64时，n取值为12；密钥长度为80时，n取值为16；密钥长度为96时，n取值为20。

Images