Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 022

AEAD(关联数据认证加密)

审核人Cybersecurity entrepreneur & security researcher

AEAD(关联数据认证加密) 是什么?

AEAD(关联数据认证加密)一种对称加密原语,在一次操作中同时提供机密性、完整性和真实性,并能够将未加密的“关联数据”(首部、路由信息)绑定到密文的认证标签上。


关联数据认证加密(AEAD)是现代对称密码学的基本构建块。一个 AEAD 方案接收一个密钥、一个 nonce、一段明文以及任意的关联数据(AD),并产生一段密文加上一个认证标签;在解密时,只有当标签通过验证时才返回明文,否则予以拒绝。关联数据经过认证但不被加密,这使得协议能够将未加密的上下文(如数据包首部、序列号或版本元数据)绑定到密文上,而无需以加密形式发送这些信息。

与 encrypt-then-MAC 或 MAC-then-encrypt 这类组合方式相比,AEAD 消除了一整类错误,并且是每一种现代协议——TLS 1.3、QUIC、IPsec ESP-GCM、Signal、Noise、WireGuard、JWE——所采用的方案。历史说明了这为何重要:Lucky 13(2013)和 POODLE(CVE-2014-3566)攻击都利用了 TLS 中脆弱的 MAC-then-encrypt CBC 构造,而转向 AEAD 记录保护关闭了这些漏洞之门。该形式化模型由 Rogaway 于 2002 年定义,并标准化为 RFC 5116,具体方案由 IANA 注册。

占主导地位的 AEAD 方案是 AES-GCM(通过 AES-NI 和 PCLMULQDQ 实现硬件加速)和 ChaCha20-Poly1305(RFC 8439,在移动 CPU 上以软件实现时速度很快)。如果某个(密钥,nonce)对发生重复,两者都会灾难性地失效——GCM 中 nonce 重用可能泄露认证密钥。在无法保证 nonce 唯一性的场景下,抗 nonce 误用的 AES-GCM-SIV(RFC 8452)将泄露限制在仅暴露两段明文是否相等。请始终优先使用经过审验的 AEAD,而非自行拼凑的 encrypt-and-MAC 组合。

flowchart LR
  K[密钥] --> ENC
  N[Nonce] --> ENC
  P[明文] --> ENC[AEAD 加密]
  AD[关联数据<br/>首部 · ID] --> ENC
  ENC --> CT[密文]
  ENC --> TAG[认证标签]
  CT --> DEC[AEAD 解密]
  TAG --> DEC
  AD --> DEC
  K --> DEC
  N --> DEC
  DEC --> V{标签有效?}
  V -->|是| OUT[返回明文]
  V -->|否| REJ[拒绝 · 不泄露明文]

示例

  1. 01

    TLS 1.3 使用 AES-128-GCM 或 ChaCha20-Poly1305 对每条记录进行加密,并将记录首部字节用作关联数据。

  2. 02

    某协议在数据库中按文档存储加密数据块;文档 ID 作为 AD 传入,使攻击者无法在文档之间交换密文而不破坏标签。

常见问题

AEAD(关联数据认证加密) 是什么?

一种对称加密原语,在一次操作中同时提供机密性、完整性和真实性,并能够将未加密的“关联数据”(首部、路由信息)绑定到密文的认证标签上。 它属于网络安全的 密码学 分类。

AEAD(关联数据认证加密) 是什么意思?

一种对称加密原语,在一次操作中同时提供机密性、完整性和真实性,并能够将未加密的“关联数据”(首部、路由信息)绑定到密文的认证标签上。

如何防御 AEAD(关联数据认证加密)?

针对 AEAD(关联数据认证加密) 的防御通常结合技术控制与运营实践,详见上方完整定义。

AEAD(关联数据认证加密) 还有哪些其他名称?

常见的别称包括: 认证加密, AEAD 方案。

相关术语

另见