高級(jí)加密標(biāo)準(zhǔn)(AES,Advanced Encryption Standard)為最常見(jiàn)的對(duì)稱加密算法(微信小程序加密傳輸就是用這個(gè)加密算法的)。對(duì)稱加密算法也就是加密和解密用相同的密鑰，具體的加密流程如下圖：

下面簡(jiǎn)單介紹下各個(gè)部分的作用與意義：

明文P

沒(méi)有經(jīng)過(guò)加密的數(shù)據(jù)。

密鑰K

用來(lái)加密明文的密碼，在對(duì)稱加密算法中，加密與解密的密鑰是相同的。密鑰為接收方與發(fā)送方協(xié)商產(chǎn)生，但不可以直接在網(wǎng)絡(luò)上傳輸，否則會(huì)導(dǎo)致密鑰泄漏，通常是通過(guò)非對(duì)稱加密算法加密密鑰，然后再通過(guò)網(wǎng)絡(luò)傳輸給對(duì)方，或者直接面對(duì)面商量密鑰。密鑰是絕對(duì)不可以泄漏的，否則會(huì)被攻擊者還原密文，竊取機(jī)密數(shù)據(jù)。

AES加密函數(shù)

設(shè)AES加密函數(shù)為E，則 C = E(K, P),其中P為明文，K為密鑰，C為密文。也就是說(shuō)，把明文P和密鑰K作為加密函數(shù)的參數(shù)輸入，則加密函數(shù)E會(huì)輸出密文C。

密文C

經(jīng)加密函數(shù)處理后的數(shù)據(jù)

AES解密函數(shù)

設(shè)AES解密函數(shù)為D，則 P = D(K, C),其中C為密文，K為密鑰，P為明文。也就是說(shuō)，把密文C和密鑰K作為解密函數(shù)的參數(shù)輸入，則解密函數(shù)會(huì)輸出明文P。

在這里簡(jiǎn)單介紹下對(duì)稱加密算法與非對(duì)稱加密算法的區(qū)別。

對(duì)稱加密算法

加密和解密用到的密鑰是相同的，這種加密方式加密速度非常快，適合經(jīng)常發(fā)送數(shù)據(jù)的場(chǎng)合。缺點(diǎn)是密鑰的傳輸比較麻煩。

非對(duì)稱加密算法

加密和解密用的密鑰是不同的，這種加密方式是用數(shù)學(xué)上的難解問(wèn)題構(gòu)造的，通常加密解密的速度比較慢，適合偶爾發(fā)送數(shù)據(jù)的場(chǎng)合。優(yōu)點(diǎn)是密鑰傳輸方便。常見(jiàn)的非對(duì)稱加密算法為RSA、ECC和EIGamal。

實(shí)際中，一般是通過(guò)RSA加密AES的密鑰，傳輸?shù)浇邮辗剑邮辗浇饷艿玫紸ES密鑰，然后發(fā)送方和接收方用AES密鑰來(lái)通信。

本文下面AES原理的介紹參考自《現(xiàn)代密碼學(xué)教程》，AES的實(shí)現(xiàn)在介紹完原理后開(kāi)始。

AES的基本結(jié)構(gòu)

AES為分組密碼，分組密碼也就是把明文分成一組一組的，每組長(zhǎng)度相等，每次加密一組數(shù)據(jù)，直到加密完整個(gè)明文。在AES標(biāo)準(zhǔn)規(guī)范中，分組長(zhǎng)度只能是128位，也就是說(shuō)，每個(gè)分組為16個(gè)字節(jié)（每個(gè)字節(jié)8位）。密鑰的長(zhǎng)度可以使用128位、192位或256位。密鑰的長(zhǎng)度不同，推薦加密輪數(shù)也不同，如下表所示：

AES密鑰長(zhǎng)度（32位比特字)分組長(zhǎng)度(32位比特字)加密輪數(shù)

AES-1284410

AES-1926412

AES-2568414

輪數(shù)在下面介紹，這里實(shí)現(xiàn)的是AES-128，也就是密鑰的長(zhǎng)度為128位，加密輪數(shù)為10輪。

上面說(shuō)到，AES的加密公式為C = E(K,P)，在加密函數(shù)E中，會(huì)執(zhí)行一個(gè)輪函數(shù)，并且執(zhí)行10次這個(gè)輪函數(shù)，這個(gè)輪函數(shù)的前9次執(zhí)行的操作是一樣的，只有第10次有所不同。也就是說(shuō)，一個(gè)明文分組會(huì)被加密10輪。AES的核心就是實(shí)現(xiàn)一輪中的所有操作。

AES的處理單位是字節(jié)，128位的輸入明文分組P和輸入密鑰K都被分成16個(gè)字節(jié)，分別記為P = P0 P1 … P15 和 K = K0 K1 … K15。如，明文分組為P = abcdefghijklmnop,其中的字符a對(duì)應(yīng)P0，p對(duì)應(yīng)P15。一般地，明文分組用字節(jié)為單位的正方形矩陣描述，稱為狀態(tài)矩陣。在算法的每一輪中，狀態(tài)矩陣的內(nèi)容不斷發(fā)生變化，最后的結(jié)果作為密文輸出。該矩陣中字節(jié)的排列順序?yàn)閺纳系较隆淖笾劣乙来闻帕校缦聢D所示：

現(xiàn)在假設(shè)明文分組P為”abcdefghijklmnop”，則對(duì)應(yīng)上面生成的狀態(tài)矩陣圖如下：

上圖中，0x61為字符a的十六進(jìn)制表示。可以看到，明文經(jīng)過(guò)AES加密后，已經(jīng)面目全非。

類似地，128位密鑰也是用字節(jié)為單位的矩陣表示，矩陣的每一列被稱為1個(gè)32位比特字。通過(guò)密鑰編排函數(shù)該密鑰矩陣被擴(kuò)展成一個(gè)44個(gè)字組成的序列W[0],W[1], … ,W[43],該序列的前4個(gè)元素W[0],W[1],W[2],W[3]是原始密鑰，用于加密運(yùn)算中的初始密鑰加（下面介紹）;后面40個(gè)字分為10組，每組4個(gè)字（128比特）分別用于10輪加密運(yùn)算中的輪密鑰加，如下圖所示：

上圖中，設(shè)K = “abcdefghijklmnop”，則K0 = a, K15 = p, W[0] = K0 K1 K2 K3 = “abcd”。

AES的整體結(jié)構(gòu)如下圖所示，其中的W[0,3]是指W[0]、W[1]、W[2]和W[3]串聯(lián)組成的128位密鑰。加密的第1輪到第9輪的輪函數(shù)一樣，包括4個(gè)操作：字節(jié)代換、行位移、列混合和輪密鑰加。最后一輪迭代不執(zhí)行列混合。另外，在第一輪迭代之前，先將明文和原始密鑰進(jìn)行一次異或加密操作。

上圖也展示了AES解密過(guò)程，解密過(guò)程仍為10輪，每一輪的操作是加密操作的逆操作。由于AES的4個(gè)輪操作都是可逆的，因此，解密操作的一輪就是順序執(zhí)行逆行移位、逆字節(jié)代換、輪密鑰加和逆列混合。同加密操作類似，最后一輪不執(zhí)行逆列混合，在第1輪解密之前，要執(zhí)行1次密鑰加操作。

下面分別介紹AES中一輪的4個(gè)操作階段，這4分操作階段使輸入位得到充分的混淆。

一、字節(jié)代換

1.字節(jié)代換操作

AES的字節(jié)代換其實(shí)就是一個(gè)簡(jiǎn)單的查表操作。AES定義了一個(gè)S盒和一個(gè)逆S盒。

AES的S盒：

行/列0123456789ABCDEF

00x630x7c0x770x7b0xf20x6b0x6f0xc50x300x010x670x2b0xfe0xd70xab0x76

10xca0x820xc90x7d0xfa0x590x470xf00xad0xd40xa20xaf0x9c0xa40x720xc0

20xb70xfd0x930x260x360x3f0xf70xcc0x340xa50xe50xf10x710xd80x310x15

30x040xc70x230xc30x180x960x050x9a0x070x120x800xe20xeb0x270xb20x75

40x090x830x2c0x1a0x1b0x6e0x5a0xa00x520x3b0xd60xb30x290xe30x2f0x84

50x530xd10x000xed0x200xfc0xb10x5b0x6a0xcb0xbe0x390x4a0x4c0x580xcf

60xd00xef0xaa0xfb0x430x4d0x330x850x450xf90x020x7f0x500x3c0x9f0xa8

70x510xa30x400x8f0x920x9d0x380xf50xbc0xb60xda0x210x100xff0xf30xd2

80xcd0x0c0x130xec0x5f0x970x440x170xc40xa70x7e0x3d0x640x5d0x190x73

90x600x810x4f0xdc0x220x2a0x900x880x460xee0xb80x140xde0x5e0x0b0xdb

A0xe00x320x3a0x0a0x490x060x240x5c0xc20xd30xac0x620x910x950xe40x79

B0xe70xc80x370x6d0x8d0xd50x4e0xa90x6c0x560xf40xea0x650x7a0xae0x08

C0xba0x780x250x2e0x1c0xa60xb40xc60xe80xdd0x740x1f0x4b0xbd0x8b0x8a

D0x700x3e0xb50x660x480x030xf60x0e0x610x350x570xb90x860xc10x1d0x9e

E0xe10xf80x980x110x690xd90x8e0x940x9b0x1e0x870xe90xce0x550x280xdf

F0x8c0xa10x890x0d0xbf0xe60x420x680x410x990x2d0x0f0xb00x540xbb0x16

狀態(tài)矩陣中的元素按照下面的方式映射為一個(gè)新的字節(jié)：把該字節(jié)的高4位作為行值，低4位作為列值，取出S盒或者逆S盒中對(duì)應(yīng)的行的元素作為輸出。例如，加密時(shí)，輸出的字節(jié)S1為0x12,則查S盒的第0x01行和0x02列，得到值0xc9,然后替換S1原有的0x12為0xc9。狀態(tài)矩陣經(jīng)字節(jié)代換后的圖如下：

(第二個(gè)字符0xAB查表后應(yīng)該是轉(zhuǎn)換成0x62的，感謝細(xì)心的朋友指出，有空再重新畫(huà)圖更正了)

2.字節(jié)代換逆操作

逆字節(jié)代換也就是查逆S盒來(lái)變換，逆S盒如下：

行/列0123456789ABCDEF

00x520x090x6a0xd50x300x360xa50x380xbf0x400xa30x9e0x810xf30xd70xfb

10x7c0xe30x390x820x9b0x2f0xff0x870x340x8e0x430x440xc40xde0xe90xcb

20x540x7b0x940x320xa60xc20x230x3d0xee0x4c0x950x0b0x420xfa0xc30x4e

30x080x2e0xa10x660x280xd90x240xb20x760x5b0xa20x490x6d0x8b0xd10x25

40x720xf80xf60x640x860x680x980x160xd40xa40x5c0xcc0x5d0x650xb60x92

50x6c0x700x480x500xfd0xed0xb90xda0x5e0x150x460x570xa70x8d0x9d0x84

60x900xd80xab0x000x8c0xbc0xd30x0a0xf70xe40x580x050xb80xb30x450x06

70xd00x2c0x1e0x8f0xca0x3f0x0f0x020xc10xaf0xbd0x030x010x130x8a0x6b

80x3a0x910x110x410x4f0x670xdc0xea0x970xf20xcf0xce0xf00xb40xe60x73

90x960xac0x740x220xe70xad0x350x850xe20xf90x370xe80x1c0x750xdf0x6e

A0x470xf10x1a0x710x1d0x290xc50x890x6f0xb70x620x0e0xaa0x180xbe0x1b

B0xfc0x560x3e0x4b0xc60xd20x790x200x9a0xdb0xc00xfe0x780xcd0x5a0xf4

C0x1f0xdd0xa80x330x880x070xc70x310xb10x120x100x590x270x800xec0x5f

D0x600x510x7f0xa90x190xb50x4a0x0d0x2d0xe50x7a0x9f0x930xc90x9c0xef

E0xa00xe00x3b0x4d0xae0x2a0xf50xb00xc80xeb0xbb0x3c0x830x530x990x61

F0x170x2b0x040x7e0xba0x770xd60x260xe10x690x140x630x550x210x0c0x7d

二、行移位

1.行移位操作

行移位是一個(gè)簡(jiǎn)單的左循環(huán)移位操作。當(dāng)密鑰長(zhǎng)度為128比特時(shí)，狀態(tài)矩陣的第0行左移0字節(jié)，第1行左移1字節(jié)，第2行左移2字節(jié)，第3行左移3字節(jié)，如下圖所示：

2.行移位的逆變換

行移位的逆變換是將狀態(tài)矩陣中的每一行執(zhí)行相反的移位操作，例如AES-128中，狀態(tài)矩陣的第0行右移0字節(jié)，第1行右移1字節(jié)，第2行右移2字節(jié)，第3行右移3字節(jié)。

三、列混合

1.列混合操作

列混合變換是通過(guò)矩陣相乘來(lái)實(shí)現(xiàn)的，經(jīng)行移位后的狀態(tài)矩陣與固定的矩陣相乘，得到混淆后的狀態(tài)矩陣，如下圖的公式所示：

狀態(tài)矩陣中的第j列(0 ≤j≤3)的列混合可以表示為下圖所示：

其中，矩陣元素的乘法和加法都是定義在基于GF(2^8)上的二元運(yùn)算,并不是通常意義上的乘法和加法。這里涉及到一些信息安全上的數(shù)學(xué)知識(shí)，不過(guò)不懂這些知識(shí)也行。其實(shí)這種二元運(yùn)算的加法等價(jià)于兩個(gè)字節(jié)的異或，乘法則復(fù)雜一點(diǎn)。對(duì)于一個(gè)8位的二進(jìn)制數(shù)來(lái)說(shuō)，使用域上的乘法乘以(00000010)等價(jià)于左移1位(低位補(bǔ)0)后，再根據(jù)情況同(00011011)進(jìn)行異或運(yùn)算，設(shè)S1 = (a7 a6 a5 a4 a3 a2 a1 a0)，剛0x02 * S1如下圖所示：

也就是說(shuō)，如果a7為1，則進(jìn)行異或運(yùn)算，否則不進(jìn)行。

類似地，乘以(00000100)可以拆分成兩次乘以(00000010)的運(yùn)算：

乘以(0000 0011)可以拆分成先分別乘以(0000 0001)和(0000 0010)，再將兩個(gè)乘積異或：

因此，我們只需要實(shí)現(xiàn)乘以2的函數(shù)，其他數(shù)值的乘法都可以通過(guò)組合來(lái)實(shí)現(xiàn)。

下面舉個(gè)具體的例子,輸入的狀態(tài)矩陣如下：

C9E5FD2B

7AF2786E

639C2667

B0A782E5

下面，進(jìn)行列混合運(yùn)算：

以第一列的運(yùn)算為例：

其它列的計(jì)算就不列舉了，列混合后生成的新?tīng)顟B(tài)矩陣如下：

D4E7CD66

2802E5BB

BEC6D6BF

220FDFA5

2.列混合逆運(yùn)算

逆向列混合變換可由下圖的矩陣乘法定義：

可以驗(yàn)證，逆變換矩陣同正變換矩陣的乘積恰好為單位矩陣。

四、輪密鑰加

輪密鑰加是將128位輪密鑰Ki同狀態(tài)矩陣中的數(shù)據(jù)進(jìn)行逐位異或操作，如下圖所示。其中，密鑰Ki中每個(gè)字W[4i],W[4i+1],W[4i+2],W[4i+3]為32位比特字，包含4個(gè)字節(jié)，他們的生成算法下面在下面介紹。輪密鑰加過(guò)程可以看成是字逐位異或的結(jié)果，也可以看成字節(jié)級(jí)別或者位級(jí)別的操作。也就是說(shuō)，可以看成S0 S1 S2 S3 組成的32位字與W[4i]的異或運(yùn)算。

輪密鑰加的逆運(yùn)算同正向的輪密鑰加運(yùn)算完全一致，這是因?yàn)楫惢虻哪娌僮魇瞧渥陨怼］喢荑€加非常簡(jiǎn)單，但卻能夠影響S數(shù)組中的每一位。

密鑰擴(kuò)展

AES首先將初始密鑰輸入到一個(gè)4*4的狀態(tài)矩陣中，如下圖所示。

這個(gè)4*4矩陣的每一列的4個(gè)字節(jié)組成一個(gè)字，矩陣4列的4個(gè)字依次命名為W[0]、W[1]、W[2]和W[3]，它們構(gòu)成一個(gè)以字為單位的數(shù)組W。例如，設(shè)密鑰K為”abcdefghijklmnop”,則K0 = ‘a(chǎn)’,K1 = ‘b’, K2 = ‘c’,K3 = ‘d’,W[0] = “abcd”。

接著，對(duì)W數(shù)組擴(kuò)充40個(gè)新列，構(gòu)成總共44列的擴(kuò)展密鑰數(shù)組。新列以如下的遞歸方式產(chǎn)生：

1.如果i不是4的倍數(shù)，那么第i列由如下等式確定：

W[i]=W[i-4]?W[i-1]

2.如果i是4的倍數(shù)，那么第i列由如下等式確定：

W[i]=W[i-4]?T(W[i-1])

其中，T是一個(gè)有點(diǎn)復(fù)雜的函數(shù)。

函數(shù)T由3部分組成：字循環(huán)、字節(jié)代換和輪常量異或，這3部分的作用分別如下。

a.字循環(huán)：將1個(gè)字中的4個(gè)字節(jié)循環(huán)左移1個(gè)字節(jié)。即將輸入字[b0, b1, b2, b3]變換成[b1,b2,b3,b0]。

b.字節(jié)代換：對(duì)字循環(huán)的結(jié)果使用S盒進(jìn)行字節(jié)代換。

c.輪常量異或：將前兩步的結(jié)果同輪常量Rcon[j]進(jìn)行異或，其中j表示輪數(shù)。

輪常量Rcon[j]是一個(gè)字，其值見(jiàn)下表。

j12345

Rcon[j]01 00 00 0002 00 00 0004 00 00 0008 00 00 0010 00 00 00

j678910

Rcon[j]20 00 00 0040 00 00 0080 00 00 001B 00 00 0036 00 00 00

下面舉個(gè)例子：

設(shè)初始的128位密鑰為：

3C A1 0B 21 57 F0 19 16 90 2E 13 80 AC C1 07 BD

那么4個(gè)初始值為：

W[0] = 3C A1 0B 21

W[1] = 57 F0 19 16

W[2] = 90 2E 13 80

W[3] = AC C1 07 BD

下面求擴(kuò)展的第1輪的子密鑰(W[4],W[5],W[6],W[7])。

由于4是4的倍數(shù)，所以：

W[4] = W[0] ? T(W[3])

T(W[3])的計(jì)算步驟如下：

1. 循環(huán)地將W[3]的元素移位：AC C1 07 BD變成C1 07 BD AC;

2. 將 C1 07 BD AC 作為S盒的輸入，輸出為78 C5 7A 91;

3. 將78 C5 7A 91與第一輪輪常量Rcon[1]進(jìn)行異或運(yùn)算，將得到79 C5 7A 91，因此，T(W[3])=79 C5 7A 91，故

W[4] = 3C A1 0B 21 ? 79 C5 7A 91 = 45 64 71 B0

其余的3個(gè)子密鑰段的計(jì)算如下：

W[5] = W[1] ? W[4] = 57 F0 19 16 ? 45 64 71 B0 = 12 94 68 A6

W[6] = W[2] ? W[5] =90 2E 13 80 ? 12 94 68 A6 = 82 BA 7B 26

W[7] = W[3] ? W[6] = AC C1 07 BD ? 82 BA 7B 26 = 2E 7B 7C 9B

所以，第一輪的密鑰為 45 64 71 B0 12 94 68 A6 82 BA 7B 26 2E 7B 7C 9B。

AES解密

在文章開(kāi)始的圖中，有AES解密的流程圖，可以對(duì)應(yīng)那個(gè)流程圖來(lái)進(jìn)行解密。下面介紹的是另一種等價(jià)的解密模式，流程圖如下圖所示。這種等價(jià)的解密模式使得解密過(guò)程各個(gè)變換的使用順序同加密過(guò)程的順序一致，只是用逆變換取代原來(lái)的變換。

AES原理到這里就結(jié)束了。實(shí)際開(kāi)發(fā)中都是直接使用第三方已經(jīng)封裝好的庫(kù)，這時(shí)候就需要根據(jù)使用的編程語(yǔ)言直接加載第三方庫(kù)，來(lái)實(shí)現(xiàn)。所以省去了原文的C的代碼實(shí)現(xiàn)部分，愿意深度了解代碼實(shí)現(xiàn)的請(qǐng)移步到文章開(kāi)頭標(biāo)明的原文出處。

個(gè)人博客里面也有如何用 Java、JavaScript（含兩者的跨語(yǔ)言加密解密） 去實(shí)現(xiàn)的文章，感興趣的可以在我的個(gè)人博客里面找一下。

其他加密算法相關(guān)參考：

RSA 加密算法原理簡(jiǎn)述：https://blog.csdn.net/gulang03/article/details/81176133

Java 實(shí)現(xiàn) AES 和 RSA 算法：https://blog.csdn.net/gulang03/article/details/81771341

JS 與 JAVA 跨語(yǔ)言實(shí)現(xiàn) RSA 和 AES 加密算法：https://blog.csdn.net/gulang03/article/details/82230408