参考：https://blog.csdn.net/qq_28205153/article/details/55798628

AES为分组密码，即将待加密明文分为长度相等的组（AES中分组只能为128位，即16字节），每次加密一组数据直至全部加密完成。加密密钥长度可以为128位、192位、256位，密钥长度不同加密轮数不同。

本文讨论的是AES-128，密钥长度128位，加密轮数10。

AES加密的单位是字节，128位明文输入和128位密钥K均被分为16个字节，记为P=P0P1…P14P15，K=K0K1…K14K15。

明文分组排列位4×4的状态矩阵，作为第一轮加密的输入，时候每一轮加密的输出作为下一轮加密的输入，最后一轮输出的状态矩阵作为密文。

密钥同样排列为4×4矩阵

每一列都可以看作一个32位字，记为W[0],W[1],W[2],W[3]。 密钥最终需要被扩展为44个字组成的序列，W[0],W[1],…,W[43]。后面的密钥由原始密钥扩展得到，后面在详细描述密钥扩展算法。

AES加密流程为：

AES解密流程为：

下面对加解密过程中涉及到的字节代换、行移位、列混合、轮密钥加操作进行讲解。

AES字节代换是一个简单的查表操作。AES定义了一个S盒与逆S盒（百度可查，不作展示），均为15×15的表格，表格中元素为1字节。字节代换通过S盒映射，逆字节代换通过逆S盒映射。 将状态矩阵中的元素（元素大小为1字节=8位）高4位作为行值，低4位作为列值，查找对应位置元素进行替换。

行移位：将状态矩阵中的第 i 行循环左移 i 字节。 逆行移位：将状态矩阵中的第 i 行循环右移 i 字节。

列混合通过矩阵相乘实现：新的状态矩阵=列混合矩阵×原本的状态矩阵。 逆列混合通过矩阵相乘实现：新的状态矩阵=逆列混合矩阵×原本的状态矩阵。 （其中逆列混合矩阵与列混合矩阵相乘恰好为单位矩阵。）

注：这里提到的乘法与加法都是定义在基于GF(2^8)上的二元运算，这里不作赘述。

将128位轮密钥Ki=W[4i],W[4i+1],W[4i+2],W[4i+3]与状态矩阵中的每一列数据进行逐位异或，如下图：

原始密钥为W[0],W[1],W[2],W[4]，扩展至W[43]共11组密钥。W[i]扩展方法如下：

其中，T是一个有点复杂的函数，由3部分组成：字循环、字节代换和轮常量异或。 W[i]大小为一个32位字，即4字节，可记为[b0,b1,b2,b3] a.字循环：将1个字中的4个字节循环左移 1 个字节。变换成[b1,b2,b3,b0]。 b.字节代换：对字循环的结果使用S盒进行字节代换。 c.轮常量异或：将前两步的结果同轮常量Rcon[j]进行按位异或，轮常量Rcon[j]是一个字，其中j表示轮数，j取值为1~10，因为要进行10轮扩展。

由于之前没有使用过Verilog语言，这里推荐一个Verilog语法0基础入门教程，讲解的蛮清楚的： https://vlab.ustc.edu.cn/guide/doc_verilog.html

下面就来分析AES的Verilog实现与testbench的编写： AES.v来源 http://www.aoki.ecei.tohoku.ac.jp/crypto/items/AES.v AES_TB.v来源 http://www.aoki.ecei.tohoku.ac.jp/crypto/items/AES_TB.v

此处仅展示加密部分（有一些时序理解上的错误，待修订…）