(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109274482A(43)申请公布日2019.01.25(21)申请号201810974662.7(22)申请日2018.08.24(71)申请人广东工业大学地址510006广东省广州市越秀区东风东路729号申请人佛山芯珠微电子有限公司(72)发明人杨家昌熊晓明陈晓斌(74)专利代理机构广州粤高专利商标代理有限公司44102代理人林丽明(51)Int.Cl.H04L9/06(2006.01)权利要求书2页说明书6页附图2页(54)发明名称一种基于S盒优化的AES算法硬件电路实现方法(57)摘要本发明涉及了一种基于S盒优化的AES算法硬件电路实现方法，包括：调整AES解密算法中轮函数的运算顺序、采用复合域降阶结合费马小定理的方式对AES算法字节替换层S盒设计优化、AES字节替换层S盒与逆S盒的合并及优化、通过矩阵分解对列混淆变换层优化。本发明调整优化后，组成了一条新的加密/解密数据通路，共享部分资源，降低了硬件资源开销，同时采用有限域降阶方法设计优化合并S盒运算单元，大大降低了硬件面积。CN109274482ACN109274482A权利要求书1/2页1.一种基于S盒优化的AES算法硬件实现方法，其特征在于，所述方法包括以下步骤：S1：调整AES解密算法中轮函数的运算顺序；S2：采用复合域降阶结合费马小定理的方式对AES算法字节替换层S盒设计优化；S3：AES字节替换层S盒与逆S盒的合并及优化；S4：通过矩阵分解对列混淆变换层优化。2.根据权利要求1所述基于S盒优化的AES算法硬件实现方法，其特征在于，步骤S1中解密算法轮函数的运算顺序调整为将逆行位移与逆S盒调换顺序，将密钥加与列混淆调换顺序。3.根据权利要求1所述基于S盒优化的AES算法硬件实现方法，其特征在于，步骤S2包括以下步骤:S2.1将有限域GF(28)上的求逆转化为复合域GF((24)2)上的求逆，具体为：S2.1.1：选取一个模多项式P(x)＝x2+x+λ，多项式中P(x)的系数、常数λ均是域GF(24)上的元素；S2.1.2：使用域GF(24)中的多项式a(x)来表示有限域GF(28)中的元素a，表达式记为：a4(x)＝ahx+al，其中ah,al∈GF(2)，ah、al分别表示字节a的高4位和低4位；84S2.1.3：将域GF(2)上的元素a的逆记为a’，则在域GF(2)上ah、al相应的逆元素记为ah’和al’，可以得到下式：(ahx+al)·(ah’x+al’)＝0x+12(ahx+al)·(ah’x+al’)＝(ahx+al)X(ah’x+al’)mod(x+x+λ)解上述方程得到：其中S2.2：将步骤S2.1所述的求逆作为共享单元，将逆仿射变换Affine-1和正向同构映射函数δx两个矩阵合并为一个矩阵，将仿射变换Affine和逆向同构映射函数合并为一个矩阵，进一步优化求逆，将平方运算x2和常数乘运算优化合并为下式x2+xλ运算：c1＝a04.根据权利要求1所述基于S盒优化的AES算法硬件实现方法，其特征在于，所述步骤S4列混淆变换层的优化，包括：MixColumn设计：对矩阵进行分解，可以得到一个新的等式：进一步化为：2CN109274482A权利要求书2/2页在有限域GF(28)上，通过多项式P(x)＝x8+x4+x3+x+1，设a(x)＝b(x)×02，求得×02(xtime函数)，InvMixColumn设计：同样对矩阵做分解，可得：由上述公式可得，分解后的第一个4×4矩阵跟MixColumn相同，设第二个4×4矩阵的结果为h，则：化简可得：其中×04运算需要调用两次xtime函数。3CN109274482A说明书1/6页一种基于S盒优化的AES算法硬件电路实现方法技术领域[0001]本发明涉及AES加解密技术领域，更具体地，涉及一种基于S盒优化的AES算法硬件电路实现方法。背景技术[0002]高级加密标准(AES)是目前使用最为广泛的一种对称密码。尽管AES名称中的术语“标准”仅仅是对美国政府应用而言，但有些商业系统也强制使用AES分组密码。[0003]S盒是AES算法中唯一的非线性元素，是轮函数运算的核心，也是密钥扩展算法的重要组成部分。在目前的ASIC和FPGA的AES硬件实现中，便是使用LUT的方式来实现S盒，例如使用一个256×1Byte的ROM。尽管利用现在的综合工具很容易实现一个基于LUT的S盒，但它却需要以大面积为代价，所以不是一种经济的方法。S盒的硬件实现面积较大，缺乏经济效益。发明内容[0004]本发明为解决基于LUT的S盒设计面积大的缺点，提供一种基于S盒优化的AES算法硬件电路实现方法。[0005]一种基于S盒优化的AES算法硬件实现方法，具