AES算法原理与举例说明
AES( Advanced Encryption Standard,高级加密标准 )是当前全球主流的对称分组密码,用于替代安全性不足的 DES,广泛应用于 HTTPS、文件加密、物联网通信等场景。其核心特点是分组长度固定为 128 位,密钥长度支持 128 位、192 位、256 位(对应算法称为 AES-128、AES-192、AES-256),加密过程通过多轮 “字节代换、行移位、列混合、轮密钥加” 变换实现,安全性远高于 DES。
一、AES 核心原理:4 大基础概念与完整流程
1. 核心基础概念
在理解 AES 流程前,需先掌握 3 个关键数据结构和 1 个核心运算:
- 状态矩阵(State):AES 处理数据的核心载体,将 128 位明文 / 中间结果拆分为4×4的字节矩阵(共 16 个字节,每个字节 8 位),排列规则为 “按列填充”—— 即明文第 1-4 字节为第 1 列,第 5-8 字节为第 2 列,第 9-12 字节为第 3 列,第 13-16 字节为第 4 列。
例:128 位明文00 11 22 33 44 55 66 77 88 99 aa bb cc dd ee ff(16 字节),状态矩阵为:
列 0 列 1 列 2 列 3
00 44 88 cc
11 55 99 dd
22 66 aa ee
33 77 bb ff - 轮数(Rounds):AES 的迭代轮数由密钥长度决定,确保足够的安全性:
AES-128:10 轮
AES-192:12 轮
AES-256:14 轮 - 轮密钥(Round Keys):由原始密钥通过 “密钥扩展” 生成,每轮迭代需 1 个与状态矩阵等大的4×4轮密钥(16 字节),因此总轮密钥数 = 轮数 + 1(第 0 轮为初始轮密钥,用于首轮 “轮密钥加”)。
- 有限域运算:AES 的 “列混合” 和 “密钥扩展” 依赖GF (2⁸) 有限域(即 8 位字节的二元域)运算,确保所有变换在固定范围内可逆,是 AES 非线性安全性的数学基础。
2. AES 完整加密流程(以 AES-128 为例)
AES 加密分为 “初始轮密钥加→多轮迭代变换→最终轮” 三阶段,每轮迭代包含 4 个核心操作(最终轮无 “列混合”),流程如下:
-
阶段 1:初始轮密钥加(AddRoundKey)
将 128 位明文转换为4×4状态矩阵后,与第 0 轮轮密钥(原始密钥扩展后的初始轮密钥)逐字节进行异或运算,目的是将密钥信息初步融入明文,开启加密过程。 -
阶段 2:1~9 轮迭代(Round 1~Round 9)
每轮迭代包含 4 个顺序固定的操作,核心是通过 “非线性代换” 和 “线性变换” 实现 “混淆”(隐藏明文与密文关联)和 “扩散”(明文 / 密钥 1 位变化影响密文多位):- 字节代换(SubBytes):对状态矩阵的每个字节进行S 盒替换(AES 唯一的非线性操作)—— 将 8 位字节拆分为 “高 4 位行号” 和 “低 4 位列号”,查 AES 标准 S 盒(4×4×16 的替换表),输出对应的 8 位字节,打破字节内位的线性关联。
例:字节0x12(二进制00010010)→行号0001(1)、列号0010(2)→查 S 盒第 1 行第 2 列,输出0xc9。 - 行移位(ShiftRows):对状态矩阵的行进行循环左移,移位次数由行号决定(第 0 行不移位,第 1 行移 1 位,第 2 行移 2 位,第 3 行移 3 位),目的是打破列内字节的关联性,实现行级扩散。
例:移位前第 1 行[44,55,66,77]→左移 1 位后[55,66,77,44];第 3 行[33,77,bb,ff]→左移 3 位后[ff,33,77,bb]。 - 列混合(MixColumns):对状态矩阵的每一列(4 个字节)进行GF (2⁸) 有限域线性变换—— 将列中每个字节与固定系数矩阵([2,3,1,1; 1,2,3,1; 1,1,2,3; 3,1,1,2])对应元素相乘后异或,输出新列,实现列内字节的深度扩散,确保 1 个字节变化影响整列。
- 轮密钥加(AddRoundKey):将经过前 3 步变换的状态矩阵,与当前轮的轮密钥逐字节异或,再次融入密钥信息,确保每轮变换都与密钥紧密关联。
- 字节代换(SubBytes):对状态矩阵的每个字节进行S 盒替换(AES 唯一的非线性操作)—— 将 8 位字节拆分为 “高 4 位行号” 和 “低 4 位列号”,查 AES 标准 S 盒(4×4×16 的替换表),输出对应的 8 位字节,打破字节内位的线性关联。
-
阶段 3:第 10 轮(最终轮,Round 10)
最终轮省略 “列混合” 操作,仅包含 3 个步骤:字节代换→行移位→轮密钥加,目的是在最后一轮强化非线性混淆和密钥关联,输出最终的 128 位密文(将最终状态矩阵按 “列优先” 还原为 16 字节序列)。
3. 密钥扩展(Key Expansion):生成轮密钥
原始密钥(如 AES-128 的 16 字节密钥)需扩展为 “轮数 + 1” 个轮密钥(AES-128 需 11 个4×4轮密钥,共 176 字节),核心步骤为:
- 将原始密钥作为第 0 轮轮密钥(w[0]~w[15],w[i]表示 1 个字节);
- 生成后续轮密钥时,对前一轮最后 4 个字节(w[4i-4]~w[4i-1])进行 “循环左移、S 盒替换、异或轮常数” 处理,再与前一轮对应位置字节异或,依次生成所有轮密钥字节。
例:AES-128 第 1 轮轮密钥的第 1 个字节w[16] = w[12] ⊕ SubBytes(RotWord(w[15])) ⊕ Rcon[1](RotWord为循环左移,Rcon为轮常数表)。
二、AES-128 加密实例(完整 10 轮,聚焦关键步骤)
为清晰展示 AES 的实际计算过程,我们以128 位明文和128 位密钥为例,完整拆解从明文到密文的核心变换(部分中间结果因篇幅简化,关键操作严格遵循 AES 标准)。
1. 实例基础参数
128 位明文(M):32 43 f6 a8 88 5a 30 8d 31 31 98 a2 e0 37 07 34(16 字节,对应十六进制,便于计算);
128 位密钥(K):2b 7e 15 16 28 ae d2 a6 ab f7 15 88 09 cf 4f 3c(AES 官方测试密钥,确保结果可验证);
核心参考表:AES 标准 S 盒、轮常数表(Rcon)、列混合系数矩阵。
2. Step 1:明文转换为状态矩阵(初始 State)
按 “列优先” 规则,将 16 字节明文填入4×4状态矩阵:
列 0 列 1 列 2 列 3
32 88 31 e0
43 5a 31 37
f6 30 98 07
a8 8d a2 34
3. Step 2:密钥扩展(生成 11 个轮密钥,以第 0、1 轮为例)
第 0 轮轮密钥(初始轮,即原始密钥):
w[0]~w[15] = 2b,7e,15,16, 28,ae,d2,a6, ab,f7,15,88, 09,cf,4f,3c(4×4矩阵形式与 State 对应)。
第 1 轮轮密钥生成:
取第 0 轮最后 4 字节w[12]~w[15] = 09,cf,4f,3c,执行RotWord(循环左移 1 字节)→cf,4f,3c,09;
对cf,4f,3c,09执行SubBytes(S 盒替换)→8a,78,3d,7a;
异或第 1 轮轮常数Rcon[1] = 01,00,00,00→8a,78,3d,7a ⊕ 01,00,00,00 = 8b,78,3d,7a;
生成第 1 轮前 4 字节:w[16] = w[0]⊕8b = 2b⊕8b=aa,w[17]=w[1]⊕78=7e⊕78=06,w[18]=w[2]⊕3d=15⊕3d=28,w[19]=w[3]⊕7a=16⊕7a=6c;
后续字节按 “w[i] = w[i-4]⊕w[i-1]” 生成,最终第 1 轮轮密钥矩阵为:
aa 4d 1c 59
06 88 6e 55
28 0c 8d 1d
6c d8 25 3e
4. Step 3:初始轮密钥加(AddRoundKey)
将初始 State 与第 0 轮轮密钥逐字节异或,得到初始变换后的 State(以第 1 列为例):
初始 State 第 1 列:32,43,f6,a8
第 0 轮轮密钥第 1 列:2b,7e,15,16
异或结果:32⊕2b=19,43⊕7e=3d,f6⊕15=eb,a8⊕16=be
完整初始轮后 State:
19 0f d0 33
3d 36 5a 5e
eb 62 90 20
be 7a 66 77
5. Step 4:第 1 轮迭代(SubBytes→ShiftRows→MixColumns→AddRoundKey)
(1)字节代换(SubBytes)
对初始轮后的 State 每个字节执行 S 盒替换(以19为例):
19(高 4 位1,低 4 位9)→查 S 盒第 1 行第 9 列→d4;
同理替换所有字节,得到 SubBytes 后的 State:
d4 7b 6e a7
1b 5c 8d 39
2c 3f 19 8e
45 28 e5 62
(2)行移位(ShiftRows)
按规则循环左移:
第 0 行(不移位):d4,7b,6e,a7→不变;
第 1 行(左移 1 位):1b,5c,8d,39→5c,8d,39,1b;
第 2 行(左移 2 位):2c,3f,19,8e→19,8e,2c,3f;
第 3 行(左移 3 位):45,28,e5,62→62,45,28,e5;
移位后 State:
d4 7b 6e a7
5c 8d 39 1b
19 8e 2c 3f
62 45 28 e5
(3)列混合(MixColumns)
对每列执行 GF (2⁸) 线性变换(以第 0 列d4,5c,19,62为例):
新列第 1 字节 = (d4×2) ⊕ (5c×3) ⊕ (19×1) ⊕ (62×1)
(GF (2⁸) 乘法:d4×2=68,5c×3=76,19×1=19,62×1=62;异或结果:68⊕76⊕19⊕62=04);
同理计算其他列,得到 MixColumns 后的 State:
04 66 81 e5
68 66 f2 59
e8 30 d3 36
10 66 43 c0
(4)轮密钥加(AddRoundKey)
与第 1 轮轮密钥逐字节异或,得到第 1 轮迭代最终 State(以第 0 列为例:04⊕aa=a8,68⊕06=6e,e8⊕28=cc,10⊕6c=7c),后续第 2~9 轮迭代逻辑与第 1 轮完全一致,此处省略中间轮计算。
6. Step 5:第 10 轮(最终轮,SubBytes→ShiftRows→AddRoundKey)
第 10 轮无 “列混合”,仅 3 步操作:
字节代换:对第 9 轮最终 State 执行 S 盒替换;
行移位:按规则循环左移;
轮密钥加:与第 10 轮轮密钥(密钥扩展生成的最后 1 个轮密钥)异或,得到最终 State。
7. Step 6:最终密文(State 还原为 128 位)
将最终 State 按 “列优先” 还原为 16 字节序列,即为 AES-128 加密后的128 位密文:
39 25 84 1d 02 dc 09 fb dc 11 85 97 19 6a 0b 32(此为 AES 官方测试明文与密钥对应的标准密文,可验证计算正确性)。
三、AES 的优势与应用场景
1. 核心优势
高安全性:128 位密钥在当前算力下无法被暴力破解(破解需2¹²⁸次运算,远超全球算力总和),256 位密钥可抵御未来量子计算机威胁;
高效性:算法流程简洁,适合硬件(如 CPU 指令集 AES-NI)和软件实现,加密速度远快于 DES;
通用性:全球统一标准,支持所有平台(Windows、Linux、移动端、物联网设备),兼容性极强。
2. 典型应用
网络通信:HTTPS/TLS 协议中用于加密传输数据(如浏览器与服务器的通信);
文件加密:压缩软件(如 WinRAR)、加密工具(如 VeraCrypt)用于加密文件 / 磁盘;
物联网:智能家居、工业设备的本地数据加密(如传感器采集的敏感信息);
金融领域:银行卡交易、移动支付的身份验证与数据加密。
通过原理与实例可见,AES 的核心是通过 “非线性 S 盒代换” 和 “线性行移位 / 列混合” 的多轮迭代,实现明文与密钥的深度融合,同时兼顾安全性与效率,成为当前对称加密领域的 “黄金标准”。