摘 要：本文提出了一个aes加密算法的高速低功耗asic设计方案，使用synopsys设计流程和verisilicon 0.18μm cmos工艺，实现了最高工作频率410mhz，数据吞吐率5.23gbps，功耗为58 mw。采用改进算法（t盒算法），将轮变换操作中的不同步骤合并为一组表的查询，有效降低了关键时序路径的传输延迟，并通过动态功耗管理和门控时钟等低功耗设计方法有效地降低了功耗。

　　关键词：aes；asic；t盒；功耗管理；时钟门控

1 引言
　　从1976年美国数据加密标准算法（des）公布以来，到20世纪末，des算法或其某些变形基本上主宰了对称算法的研究与开发进程。随着密码分析水平、芯片处理能力和计算技术的不断进步，des的安全强度已经难以适应新的安全需要，其实现速度、代码大小和跨平台性均难以继续满足性的应用需求。因此，aes（高级加密标准）应运而生。作为des的继承者，aes自从被接纳为标准之日起就已经被工业界、银行业和行政部门作为事实上的密码标准。在网络通信和某些工业控制应用场合，对加密速度的需求成为对aes算法的最关键要求，同时功耗成为日渐突出的问题，必须进行低功耗设计。

2 aes加密算法简介
　　aes是一个密钥迭代分组密码，对加密来说，输入是一个明文分组和一个密钥，输出是一个密文分组。它将分组长度固定为128比特，而且仅支持128、196或256比特的密钥长度，本文仅对密钥长度为128比特的情况进行讨论。

　　加密过程包括一个初始密钥加法，记作addroundkey，接着进行9次轮变换（round），最后再使用一个轮变换（finalround）。轮变换由subbytes、shiftrows、mixcolumns 和addroundkey 共4个步骤构成。轮变换及其每一步均作用在中间结果上，将该中间结果称为状态，可以形象地表示为一个4*4字节的矩阵。

3 aes的改进算法（t盒算法）
　　假设加密过程中轮变化的输入为a，输出为d，则：

上式中srd（s盒）由有限域gf(28)中的乘法逆变换和gf(2)中的仿射变换复合而成，符号 代表有限域gf(28)中的加法运算，符号 代表有限域gf(28)中的乘法运算。
这样我们可以定义4个表：t0，t1，t2以及t3：

则d简化为：

　　该实现方案中t0~t3，每个表都包含了256个双字，一共占用4kbyte的空间。在每次循环迭代中，只要通过4次表查询和4次异或运算，就能快速地得到一次轮操作中一列的运算结果。改进算法有效降低了关键时序路径的传输延迟，能够明显的提高asic工作频率。

4 cmos功耗
　　对于一个cmos逻辑门，其功耗主要由静态功耗和动态功耗两部分组成。静态功耗是指门处于非活动状态时的功耗，大部分是由扩散层到衬底，源极到漏极存在的反偏二极管造成的泄露电流产生的。一般来说，泄漏电流功耗在总功耗中所占的比重不到1%。动态功耗是门处于活动状态下产生的，它又包含两部分：开关功耗和内部功耗。内部功耗包括对门内部的寄生电容充放电的翻转电流功耗，以及pmos管和nmos管瞬间同时导通所形成的短路电流功耗。对于信号上升（下降）快的电路，短路电流功耗很小，但对信号上升（下降）较慢的电路，短路电流功耗可能要占总功耗的30%以上。开关功耗是对输出端负载电容充放电的翻转电流引起的。

5 低功耗设计
　　该实现方案中主要采用了以下两种低功耗设计方法。
1)动态功耗管理

　　动态功耗管理是一种系统级低功耗设计方法，降低功耗的主要思路是根据芯片工作状态改变功耗管理模式，从而在保证性能的基础上降低功耗。在不同模式下，时钟的频率可以进行调整，一些空闲模块甚至整个芯片的时钟也可能会被停止。还可以通过调整芯片的电压，进一步降低功耗。由于工作库的限制，本文没有对动态电压管理作进一步的研究。
本文采用动态功耗管理，分为normal和idle两种功耗模式。有开始(start)信号时，芯片由idle模式进入normal模式，开始对明文分组加密。经过初始密钥加法和10次轮变换，输出密文分组，并产生结束(stop)信号，使芯片返回idle模式。因此设计了一个鉴相器产生idle模式的控制信号（en）。电路由与非门和基本rs触发器组成（图1），对输入信号（开始和结束）的上升沿感应，由d触发器输出en。具有结构简单的特点，并对噪声的影响有很好的抑制作用，并能有效地去除毛刺。

2)时钟门控
　　en有关闭和打开asic内部模块的作用，但这样不是最佳的，因为en只是关闭了内部模块的功能操作，而并没有把模块内的