AES 是 Advanced Encryption Standard 的缩写，是最常见的对称加密算法。AES 在密码学中又称 Rijndael 加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的 DES，已经被多方分析且广为全世界所使用。

AES基本原理

AES 的加密公式为 C=E(K,P)，其中 K 为密钥，P 为明文，C 为密文。

AES 加密明文的过程是，首先对明文进行分组，每组的长度都是 128 位，然后一组一组地加密，直到所有明文都已加密。密钥的长度可以是 128、192 或 256 位。

在加密函数 E 中，会执行一个轮函数，除最后一次执行不同外，前面几轮的执行是相同的。以 AES-128 为例，推荐加密轮数为 10 轮，即前 9 轮执行的操作相同，第 10 轮执行的操作与前面不同。不同的密钥长度推荐的加密轮数是不一样的，具体见下面的表格。

加密时，明文按照 128 位为单位进行分组，每组包含 16 个字节，按照从上到下、从左到右的顺序排列成一个 4 × 4 的矩阵，称为明文矩阵。AES 的加密过程在一个大小同样为 4 × 4 的矩阵中进行，称为状态矩阵，状态矩阵的初始值为明文矩阵的值。每一轮加密结束后，状态矩阵的值变化一次。轮函数执行结束后，状态矩阵的值即为密文的值，从状态矩阵得到密文矩阵，依次提取密文矩阵的值得到 128 位的密文。

以 128 位密钥为例，密钥长度为 16 个字节，也用 4 × 4 的矩阵表示，顺序也是从上到下、从左到右。AES 通过密钥编排函数把密钥矩阵扩展成一个包含 44 个字的密钥序列，其中的前 4 个字为原始密钥用于初始加密，后面的 40 个字用于 10 轮加密，每轮使用其中的 4 个字。密钥递归产生规则如下：

(1) 如果 i 不是 4 的倍数，那么由等式 w[i] = w[i-4] ⊕ w[i-1] 确定；

(2) 如果 i 是 4 的倍数，那么由等式 w[i] = w[i-4] ⊕ T(w[i-1]) 确定。

加密的第 1 轮到第 9 轮的轮函数一样，包括 4 个操作：字节代换、行位移、列混合和轮密钥加。最后一轮迭代不执行列混合。另外，在第一轮迭代之前，先将明文和原始密钥进行一次异或加密操作。 

AES 加密的轮函数操作

字节代换 SubBytes

矩阵中的各字节通过一个 8 位的 S-box 进行转换。这个步骤提供了加密法非线性的变换能力。S-box 与 GF（2^8）上的乘法反元素有关，已知具有良好的非线性特性。为了避免简单代数性质的攻击，S-box 结合了乘法反元素及一个可逆的仿射变换矩阵建构而成。此外在建构 S-box 时，刻意避开了固定点与反固定点，即以 S-box 替换字节的结果会相当于错排的结果。

行位移 ShiftRows

在此步骤中，每一行都向左循环位移某个偏移量。在 AES 中（区块大小 128位 ），第一行维持不变，第二行里的每个字节都向左循环移动一格。同理，第三行及第四行向左循环位移的偏移量就分别是 2 和 3。128 位和 192 位的区块在此步骤的循环位移的模式相同。经过 ShiftRows 之后，矩阵中每一竖列，都是由输入矩阵中的每个不同列中的元素组成。Rijndael 算法的版本中，偏移量和 AES 有少许不同；对于长度 256 比特的区块，第一行仍然维持不变，第二行、第三行、第四行的偏移量分别是 1 字节、2 字节、3 字节。除此之外，ShiftRows 操作步骤在 Rijndael 和 AES 中完全相同。

列混合 MixColumns

在 MixColumns 步骤，每一列的四个字节通过线性变换互相结合。每一列的四个元素分别当作 1 , x , x^2 , x^3 的系数，合并即为GF（2^8）中的一个多项式，接着将此多项式和一个固定的多项式 c(x)=3x^3+x^2+x+2 在 modulo x^4 + 1 下相乘。此步骤亦可视为 Rijndael 有限域之下的矩阵乘法。MixColumns 函数接受 4 个字节的输入，输出 4 个字节，每一个输入的字节都会对输出的四个字节造成影响。因此 ShiftRows 和 MixColumns 两步骤为这个密码系统提供了扩散性。

轮密钥加 AddRoundKey

回合密钥将会与原矩阵合并。在每次的加密循环中，都会由主密钥产生一把回合密钥（通过 Rijndael 密钥生成方案产生），这把密钥大小会跟原矩阵一样，以与原矩阵中每个对应的字节作异或（⊕）加法。

分享学习笔记和技术总结，内容涉及 Java 进阶、架构设计、前沿技术、算法与数据结构、数据库、中间件等多个领域，欢迎关注。本文首发于微信公众号“后端开发那点事儿”。