FPGA实现AES加密算法：状态机控制与密钥扩展实操指南

在数据安全需求日益增长的今天，AES（高级加密标准）作为对称加密算法的代表，凭借其高安全性与高效性，在FPGA硬件加速领域占据核心地位。本文聚焦AES-256在FPGA上的实现，从状态机控制与密钥扩展两大核心模块出发，结合Verilog代码与工程实践，提供一套可落地的实操方案。

一、状态机控制：轮操作的精准调度

AES加密过程由多轮重复操作构成，每轮包含字节代换（SubBytes）、行移位（ShiftRows）、列混淆（MixColumns）和轮密钥加（AddRoundKey）四个步骤。FPGA实现时，需通过状态机精确控制各步骤的执行顺序与时序。

1. 状态机设计

采用四状态机模型，定义如下：

verilog

typedef enum logic [1:0] {

IDLE,       // 空闲状态

SUB_SHIFT,  // 执行SubBytes与ShiftRows

MIX_ADD,    // 执行MixColumns与AddRoundKey

FINAL_ADD   // 最后一轮（省略MixColumns）

} aes_state;

状态机通过时钟信号驱动，在每个时钟上升沿根据当前状态与轮计数器（round_cnt）跳转至下一状态。例如，当round_cnt < 13时，状态机在SUB_SHIFT与MIX_ADD间循环；当round_cnt == 13时，跳转至FINAL_ADD完成最终轮操作。

2. 轮计数器与状态跳转

轮计数器round_cnt从0递增至14，用于标识当前轮次。状态跳转逻辑如下：

verilog

always @(posedge clk or negedge rst_n) begin

if (!rst_n) begin

current_state <= IDLE;

round_cnt <= 0;

end else begin

case (current_state)

IDLE: begin

if (start_encrypt) begin

current_state <= SUB_SHIFT;

round_cnt <= 0;

end

end

SUB_SHIFT: begin

current_state <= MIX_ADD;

end

MIX_ADD: begin

if (round_cnt < 13) begin

round_cnt <= round_cnt + 1;

current_state <= SUB_SHIFT;

end else begin

current_state <= FINAL_ADD;

end

end

FINAL_ADD: begin

current_state <= IDLE; // 加密完成

end

endcase

end

end

此设计确保每轮操作严格按顺序执行，避免组合逻辑过长导致的时序违例。

二、密钥扩展：子密钥的动态生成

AES-256需从256位主密钥生成15轮子密钥（每轮128位），密钥扩展算法通过非线性变换与循环移位实现密钥扩散。

1. 密钥扩展核心逻辑

密钥扩展分为初始密钥存储与轮密钥生成两部分。初始密钥直接存入寄存器数组key_reg[0:15]（每元素32位），后续轮密钥通过以下步骤生成：

字循环（WordRotation）：对每4字节（1字）左循环移位1位。

S盒替换（SubWord）：对循环后的字进行字节代换。

轮常量异或（Rcon）：与预定义的轮常量表异或，引入非线性。

2. Verilog实现示例

verilog

module key_expansion (

input wire clk,

input wire rst_n,

input wire [255:0] master_key,

output reg [127:0] round_key [0:14]

);

reg [31:0] key_reg [0:15]; // 存储256位主密钥

wire [31:0] w_next;       // 下一轮密钥字

// 初始密钥存储

always @(posedge clk or negedge rst_n) begin

if (!rst_n) begin

for (int i = 0; i < 16; i++) begin

key_reg[i] <= 0;

end

end else begin

for (int i = 0; i < 16; i++) begin

key_reg[i] <= master_key[i*32 +: 32];

end

end

end

// 轮密钥生成（简化示例，实际需完整实现15轮）

assign w_next = {

key_reg[14][23:0], key_reg[14][31:24], // 字循环

sbox(key_reg[14]),                       // S盒替换

8'h01              // 轮常量（示例，实际需动态计算）

} ^ key_reg[0];

// 输出轮密钥（每轮4字合并为128位）

always @(*) begin

for (int i = 0; i < 15; i++) begin

round_key[i] = {key_reg[i*4], key_reg[i*4+1], key_reg[i*4+2], key_reg[i*4+3]};

end

end

endmodule

实际工程中，需完整实现15轮密钥生成，并优化时序以避免关键路径过长。

三、性能优化与资源评估

1. 流水线设计

通过插入寄存器级数，将单周期操作拆分为多周期流水线。例如，在SubBytes与ShiftRows间插入寄存器，使两步骤并行执行，提升时钟频率至200MHz以上。

2. 资源占用

以Xilinx Artix-7 FPGA为例，AES-256加密核资源占用如下：

LUTs：约3,200个（用于组合逻辑与状态机）

Registers：1,800个（存储中间状态与密钥）

Block RAM：2个（存储S盒与轮密钥）

3. 吞吐率

在200MHz时钟下，单轮操作需14个时钟周期，吞吐率达：

满足千兆网络加密需求。

四、总结

本文通过状态机控制与密钥扩展两大模块，详细阐述了AES-256在FPGA上的实现方法。通过优化状态机跳转逻辑与密钥扩展算法，实现了高吞吐率与低资源占用的平衡。实际工程中，可进一步结合流水线设计与DPA防护技术，提升加密性能与安全性，为5G通信、工业控制等场景提供硬件级安全保障。