高級加密標準(AES,Advanced Encryption Standard)為最常見的對稱加密算法(微信小程序加密傳輸就是用這個加密算法的)。對稱加密算法也就是加密和解密用相同的密鑰，具體的加密流程如下圖：

下面簡單介紹下各個部分的作用與意義：

明文P

沒有經(jīng)過加密的數(shù)據(jù)。

密鑰K

用來加密明文的密碼，在對稱加密算法中，加密與解密的密鑰是相同的。密鑰為接收方與發(fā)送方協(xié)商產(chǎn)生，但不可以直接在網(wǎng)絡上傳輸，否則會導致密鑰泄漏，通常是通過非對稱加密算法加密密鑰，然后再通過網(wǎng)絡傳輸給對方，或者直接面對面商量密鑰。密鑰是絕對不可以泄漏的，否則會被攻擊者還原密文，竊取機密數(shù)據(jù)。

AES加密函數(shù)

設AES加密函數(shù)為E，則 C = E(K, P),其中P為明文，K為密鑰，C為密文。也就是說，把明文P和密鑰K作為加密函數(shù)的參數(shù)輸入，則加密函數(shù)E會輸出密文C。

密文C

經(jīng)加密函數(shù)處理后的數(shù)據(jù)

AES解密函數(shù)

設AES解密函數(shù)為D，則 P = D(K, C),其中C為密文，K為密鑰，P為明文。也就是說，把密文C和密鑰K作為解密函數(shù)的參數(shù)輸入，則解密函數(shù)會輸出明文P。

在這里簡單介紹下對稱加密算法與非對稱加密算法的區(qū)別。

對稱加密算法

加密和解密用到的密鑰是相同的，這種加密方式加密速度非常快，適合經(jīng)常發(fā)送數(shù)據(jù)的場合。缺點是密鑰的傳輸比較麻煩。

非對稱加密算法

加密和解密用的密鑰是不同的，這種加密方式是用數(shù)學上的難解問題構造的，通常加密解密的速度比較慢，適合偶爾發(fā)送數(shù)據(jù)的場合。優(yōu)點是密鑰傳輸方便。常見的非對稱加密算法為RSA、ECC和EIGamal。

實際中，一般是通過RSA加密AES的密鑰，傳輸?shù)浇邮辗剑邮辗浇饷艿玫紸ES密鑰，然后發(fā)送方和接收方用AES密鑰來通信。

本文下面AES原理的介紹參考自《現(xiàn)代密碼學教程》，AES的實現(xiàn)在介紹完原理后開始。

AES的基本結構

AES為分組密碼，分組密碼也就是把明文分成一組一組的，每組長度相等，每次加密一組數(shù)據(jù)，直到加密完整個明文。在AES標準規(guī)范中，分組長度只能是128位，也就是說，每個分組為16個字節(jié)（每個字節(jié)8位）。密鑰的長度可以使用128位、192位或256位。密鑰的長度不同，推薦加密輪數(shù)也不同，如下表所示：

AES密鑰長度（32位比特字)分組長度(32位比特字)加密輪數(shù)

AES-1284410

AES-1926412

AES-2568414

輪數(shù)在下面介紹，這里實現(xiàn)的是AES-128，也就是密鑰的長度為128位，加密輪數(shù)為10輪。

上面說到，AES的加密公式為C = E(K,P)，在加密函數(shù)E中，會執(zhí)行一個輪函數(shù)，并且執(zhí)行10次這個輪函數(shù)，這個輪函數(shù)的前9次執(zhí)行的操作是一樣的，只有第10次有所不同。也就是說，一個明文分組會被加密10輪。AES的核心就是實現(xiàn)一輪中的所有操作。

AES的處理單位是字節(jié)，128位的輸入明文分組P和輸入密鑰K都被分成16個字節(jié)，分別記為P = P0 P1 … P15 和 K = K0 K1 … K15。如，明文分組為P = abcdefghijklmnop,其中的字符a對應P0，p對應P15。一般地，明文分組用字節(jié)為單位的正方形矩陣描述，稱為狀態(tài)矩陣。在算法的每一輪中，狀態(tài)矩陣的內容不斷發(fā)生變化，最后的結果作為密文輸出。該矩陣中字節(jié)的排列順序為從上到下、從左至右依次排列，如下圖所示：

現(xiàn)在假設明文分組P為”abcdefghijklmnop”，則對應上面生成的狀態(tài)矩陣圖如下：

上圖中，0x61為字符a的十六進制表示?？梢钥吹剑魑慕?jīng)過AES加密后，已經(jīng)面目全非。

類似地，128位密鑰也是用字節(jié)為單位的矩陣表示，矩陣的每一列被稱為1個32位比特字。通過密鑰編排函數(shù)該密鑰矩陣被擴展成一個44個字組成的序列W[0],W[1], … ,W[43],該序列的前4個元素W[0],W[1],W[2],W[3]是原始密鑰，用于加密運算中的初始密鑰加（下面介紹）;后面40個字分為10組，每組4個字（128比特）分別用于10輪加密運算中的輪密鑰加，如下圖所示：

上圖中，設K = “abcdefghijklmnop”，則K0 = a, K15 = p, W[0] = K0 K1 K2 K3 = “abcd”。

AES的整體結構如下圖所示，其中的W[0,3]是指W[0]、W[1]、W[2]和W[3]串聯(lián)組成的128位密鑰。加密的第1輪到第9輪的輪函數(shù)一樣，包括4個操作：字節(jié)代換、行位移、列混合和輪密鑰加。最后一輪迭代不執(zhí)行列混合。另外，在第一輪迭代之前，先將明文和原始密鑰進行一次異或加密操作。

上圖也展示了AES解密過程，解密過程仍為10輪，每一輪的操作是加密操作的逆操作。由于AES的4個輪操作都是可逆的，因此，解密操作的一輪就是順序執(zhí)行逆行移位、逆字節(jié)代換、輪密鑰加和逆列混合。同加密操作類似，最后一輪不執(zhí)行逆列混合，在第1輪解密之前，要執(zhí)行1次密鑰加操作。

下面分別介紹AES中一輪的4個操作階段，這4分操作階段使輸入位得到充分的混淆。

一、字節(jié)代換

1.字節(jié)代換操作

AES的字節(jié)代換其實就是一個簡單的查表操作。AES定義了一個S盒和一個逆S盒。

AES的S盒：

行/列0123456789ABCDEF

00x630x7c0x770x7b0xf20x6b0x6f0xc50x300x010x670x2b0xfe0xd70xab0x76

10xca0x820xc90x7d0xfa0x590x470xf00xad0xd40xa20xaf0x9c0xa40x720xc0

20xb70xfd0x930x260x360x3f0xf70xcc0x340xa50xe50xf10x710xd80x310x15

30x040xc70x230xc30x180x960x050x9a0x070x120x800xe20xeb0x270xb20x75

40x090x830x2c0x1a0x1b0x6e0x5a0xa00x520x3b0xd60xb30x290xe30x2f0x84

50x530xd10x000xed0x200xfc0xb10x5b0x6a0xcb0xbe0x390x4a0x4c0x580xcf

60xd00xef0xaa0xfb0x430x4d0x330x850x450xf90x020x7f0x500x3c0x9f0xa8

70x510xa30x400x8f0x920x9d0x380xf50xbc0xb60xda0x210x100xff0xf30xd2

80xcd0x0c0x130xec0x5f0x970x440x170xc40xa70x7e0x3d0x640x5d0x190x73

90x600x810x4f0xdc0x220x2a0x900x880x460xee0xb80x140xde0x5e0x0b0xdb

A0xe00x320x3a0x0a0x490x060x240x5c0xc20xd30xac0x620x910x950xe40x79

B0xe70xc80x370x6d0x8d0xd50x4e0xa90x6c0x560xf40xea0x650x7a0xae0x08

C0xba0x780x250x2e0x1c0xa60xb40xc60xe80xdd0x740x1f0x4b0xbd0x8b0x8a

D0x700x3e0xb50x660x480x030xf60x0e0x610x350x570xb90x860xc10x1d0x9e

E0xe10xf80x980x110x690xd90x8e0x940x9b0x1e0x870xe90xce0x550x280xdf

F0x8c0xa10x890x0d0xbf0xe60x420x680x410x990x2d0x0f0xb00x540xbb0x16

狀態(tài)矩陣中的元素按照下面的方式映射為一個新的字節(jié)：把該字節(jié)的高4位作為行值，低4位作為列值，取出S盒或者逆S盒中對應的行的元素作為輸出。例如，加密時，輸出的字節(jié)S1為0x12,則查S盒的第0x01行和0x02列，得到值0xc9,然后替換S1原有的0x12為0xc9。狀態(tài)矩陣經(jīng)字節(jié)代換后的圖如下：

(第二個字符0xAB查表后應該是轉換成0x62的，感謝細心的朋友指出，有空再重新畫圖更正了)

2.字節(jié)代換逆操作

逆字節(jié)代換也就是查逆S盒來變換，逆S盒如下：

行/列0123456789ABCDEF

00x520x090x6a0xd50x300x360xa50x380xbf0x400xa30x9e0x810xf30xd70xfb

10x7c0xe30x390x820x9b0x2f0xff0x870x340x8e0x430x440xc40xde0xe90xcb

20x540x7b0x940x320xa60xc20x230x3d0xee0x4c0x950x0b0x420xfa0xc30x4e

30x080x2e0xa10x660x280xd90x240xb20x760x5b0xa20x490x6d0x8b0xd10x25

40x720xf80xf60x640x860x680x980x160xd40xa40x5c0xcc0x5d0x650xb60x92

50x6c0x700x480x500xfd0xed0xb90xda0x5e0x150x460x570xa70x8d0x9d0x84

60x900xd80xab0x000x8c0xbc0xd30x0a0xf70xe40x580x050xb80xb30x450x06

70xd00x2c0x1e0x8f0xca0x3f0x0f0x020xc10xaf0xbd0x030x010x130x8a0x6b

80x3a0x910x110x410x4f0x670xdc0xea0x970xf20xcf0xce0xf00xb40xe60x73

90x960xac0x740x220xe70xad0x350x850xe20xf90x370xe80x1c0x750xdf0x6e

A0x470xf10x1a0x710x1d0x290xc50x890x6f0xb70x620x0e0xaa0x180xbe0x1b

B0xfc0x560x3e0x4b0xc60xd20x790x200x9a0xdb0xc00xfe0x780xcd0x5a0xf4

C0x1f0xdd0xa80x330x880x070xc70x310xb10x120x100x590x270x800xec0x5f

D0x600x510x7f0xa90x190xb50x4a0x0d0x2d0xe50x7a0x9f0x930xc90x9c0xef

E0xa00xe00x3b0x4d0xae0x2a0xf50xb00xc80xeb0xbb0x3c0x830x530x990x61

F0x170x2b0x040x7e0xba0x770xd60x260xe10x690x140x630x550x210x0c0x7d

二、行移位

1.行移位操作

行移位是一個簡單的左循環(huán)移位操作。當密鑰長度為128比特時，狀態(tài)矩陣的第0行左移0字節(jié)，第1行左移1字節(jié)，第2行左移2字節(jié)，第3行左移3字節(jié)，如下圖所示：

2.行移位的逆變換

行移位的逆變換是將狀態(tài)矩陣中的每一行執(zhí)行相反的移位操作，例如AES-128中，狀態(tài)矩陣的第0行右移0字節(jié)，第1行右移1字節(jié)，第2行右移2字節(jié)，第3行右移3字節(jié)。

三、列混合

1.列混合操作

列混合變換是通過矩陣相乘來實現(xiàn)的，經(jīng)行移位后的狀態(tài)矩陣與固定的矩陣相乘，得到混淆后的狀態(tài)矩陣，如下圖的公式所示：

狀態(tài)矩陣中的第j列(0 ≤j≤3)的列混合可以表示為下圖所示：

其中，矩陣元素的乘法和加法都是定義在基于GF(2^8)上的二元運算,并不是通常意義上的乘法和加法。這里涉及到一些信息安全上的數(shù)學知識，不過不懂這些知識也行。其實這種二元運算的加法等價于兩個字節(jié)的異或，乘法則復雜一點。對于一個8位的二進制數(shù)來說，使用域上的乘法乘以(00000010)等價于左移1位(低位補0)后，再根據(jù)情況同(00011011)進行異或運算，設S1 = (a7 a6 a5 a4 a3 a2 a1 a0)，剛0x02 * S1如下圖所示：

也就是說，如果a7為1，則進行異或運算，否則不進行。

類似地，乘以(00000100)可以拆分成兩次乘以(00000010)的運算：

乘以(0000 0011)可以拆分成先分別乘以(0000 0001)和(0000 0010)，再將兩個乘積異或：

因此，我們只需要實現(xiàn)乘以2的函數(shù)，其他數(shù)值的乘法都可以通過組合來實現(xiàn)。

下面舉個具體的例子,輸入的狀態(tài)矩陣如下：

C9E5FD2B

7AF2786E

639C2667

B0A782E5

下面，進行列混合運算：

以第一列的運算為例：

其它列的計算就不列舉了，列混合后生成的新狀態(tài)矩陣如下：

D4E7CD66

2802E5BB

BEC6D6BF

220FDFA5

2.列混合逆運算

逆向列混合變換可由下圖的矩陣乘法定義：

可以驗證，逆變換矩陣同正變換矩陣的乘積恰好為單位矩陣。

四、輪密鑰加

輪密鑰加是將128位輪密鑰Ki同狀態(tài)矩陣中的數(shù)據(jù)進行逐位異或操作，如下圖所示。其中，密鑰Ki中每個字W[4i],W[4i+1],W[4i+2],W[4i+3]為32位比特字，包含4個字節(jié)，他們的生成算法下面在下面介紹。輪密鑰加過程可以看成是字逐位異或的結果，也可以看成字節(jié)級別或者位級別的操作。也就是說，可以看成S0 S1 S2 S3 組成的32位字與W[4i]的異或運算。

輪密鑰加的逆運算同正向的輪密鑰加運算完全一致，這是因為異或的逆操作是其自身。輪密鑰加非常簡單，但卻能夠影響S數(shù)組中的每一位。

密鑰擴展

AES首先將初始密鑰輸入到一個4*4的狀態(tài)矩陣中，如下圖所示。

這個4*4矩陣的每一列的4個字節(jié)組成一個字，矩陣4列的4個字依次命名為W[0]、W[1]、W[2]和W[3]，它們構成一個以字為單位的數(shù)組W。例如，設密鑰K為”abcdefghijklmnop”,則K0 = ‘a(chǎn)’,K1 = ‘b’, K2 = ‘c’,K3 = ‘d’,W[0] = “abcd”。

接著，對W數(shù)組擴充40個新列，構成總共44列的擴展密鑰數(shù)組。新列以如下的遞歸方式產(chǎn)生：

1.如果i不是4的倍數(shù)，那么第i列由如下等式確定：

W[i]=W[i-4]?W[i-1]

2.如果i是4的倍數(shù)，那么第i列由如下等式確定：

W[i]=W[i-4]?T(W[i-1])

其中，T是一個有點復雜的函數(shù)。

函數(shù)T由3部分組成：字循環(huán)、字節(jié)代換和輪常量異或，這3部分的作用分別如下。

a.字循環(huán)：將1個字中的4個字節(jié)循環(huán)左移1個字節(jié)。即將輸入字[b0, b1, b2, b3]變換成[b1,b2,b3,b0]。

b.字節(jié)代換：對字循環(huán)的結果使用S盒進行字節(jié)代換。

c.輪常量異或：將前兩步的結果同輪常量Rcon[j]進行異或，其中j表示輪數(shù)。

輪常量Rcon[j]是一個字，其值見下表。

j12345

Rcon[j]01 00 00 0002 00 00 0004 00 00 0008 00 00 0010 00 00 00

j678910

Rcon[j]20 00 00 0040 00 00 0080 00 00 001B 00 00 0036 00 00 00

下面舉個例子：

設初始的128位密鑰為：

3C A1 0B 21 57 F0 19 16 90 2E 13 80 AC C1 07 BD

那么4個初始值為：

W[0] = 3C A1 0B 21

W[1] = 57 F0 19 16

W[2] = 90 2E 13 80

W[3] = AC C1 07 BD

下面求擴展的第1輪的子密鑰(W[4],W[5],W[6],W[7])。

由于4是4的倍數(shù)，所以：

W[4] = W[0] ? T(W[3])

T(W[3])的計算步驟如下：

1. 循環(huán)地將W[3]的元素移位：AC C1 07 BD變成C1 07 BD AC;

2. 將 C1 07 BD AC 作為S盒的輸入，輸出為78 C5 7A 91;

3. 將78 C5 7A 91與第一輪輪常量Rcon[1]進行異或運算，將得到79 C5 7A 91，因此，T(W[3])=79 C5 7A 91，故

W[4] = 3C A1 0B 21 ? 79 C5 7A 91 = 45 64 71 B0

其余的3個子密鑰段的計算如下：

W[5] = W[1] ? W[4] = 57 F0 19 16 ? 45 64 71 B0 = 12 94 68 A6

W[6] = W[2] ? W[5] =90 2E 13 80 ? 12 94 68 A6 = 82 BA 7B 26

W[7] = W[3] ? W[6] = AC C1 07 BD ? 82 BA 7B 26 = 2E 7B 7C 9B

所以，第一輪的密鑰為 45 64 71 B0 12 94 68 A6 82 BA 7B 26 2E 7B 7C 9B。

AES解密

在文章開始的圖中，有AES解密的流程圖，可以對應那個流程圖來進行解密。下面介紹的是另一種等價的解密模式，流程圖如下圖所示。這種等價的解密模式使得解密過程各個變換的使用順序同加密過程的順序一致，只是用逆變換取代原來的變換。

AES原理到這里就結束了。實際開發(fā)中都是直接使用第三方已經(jīng)封裝好的庫，這時候就需要根據(jù)使用的編程語言直接加載第三方庫，來實現(xiàn)。所以省去了原文的C的代碼實現(xiàn)部分，愿意深度了解代碼實現(xiàn)的請移步到文章開頭標明的原文出處。

個人博客里面也有如何用 Java、JavaScript（含兩者的跨語言加密解密） 去實現(xiàn)的文章，感興趣的可以在我的個人博客里面找一下。

其他加密算法相關參考：

RSA 加密算法原理簡述：https://blog.csdn.net/gulang03/article/details/81176133

Java 實現(xiàn) AES 和 RSA 算法：https://blog.csdn.net/gulang03/article/details/81771341

JS 與 JAVA 跨語言實現(xiàn) RSA 和 AES 加密算法：https://blog.csdn.net/gulang03/article/details/82230408