SQL Server支持數(shù)據(jù)庫級的加密（TDE）和列級的數(shù)據(jù)加密。數(shù)據(jù)庫級的加密是透明的，程序無需額外操作；而列級加密則需要程序進行一些額外操作。SQL Server的加密層次結(jié)構(gòu)分為不同層級，本文將

SQL Server支持數(shù)據(jù)庫級的加密（TDE）和列級的數(shù)據(jù)加密。數(shù)據(jù)庫級的加密是透明的，程序無需額外操作；而列級加密則需要程序進行一些額外操作。SQL Server的加密層次結(jié)構(gòu)分為不同層級，本文將介紹使用四個層次來加密/解密數(shù)據(jù)的過程。

測試環(huán)境準備

在測試環(huán)境中，我們將使用SQL Server 2012 R2，并創(chuàng)建一個名為TBLUser的數(shù)據(jù)表，包含Name和Password兩個字段。下面是創(chuàng)建該表的T-SQL代碼：

```sql

CREATE TABLE TBLUser (

Name nvarchar(30),

Password varbinary(1000)

);

```

創(chuàng)建數(shù)據(jù)庫主密鑰

數(shù)據(jù)庫主密鑰（Database Master Key）位于服務主密鑰之下，用于為創(chuàng)建數(shù)據(jù)庫級證書或非對稱密鑰提供加密。每個數(shù)據(jù)庫只能有一個數(shù)據(jù)庫主密鑰，通過以下T-SQL語句創(chuàng)建：

```sql

CREATE MASTER KEY ENCRYPTION BY PASSWORD '';

```

創(chuàng)建證書

我們接著創(chuàng)建一個用于加密對稱密鑰的證書，具體代碼如下：

```sql

CREATE CERTIFICATE TestCert WITH SUBJECT 'Test Certificate';

```

創(chuàng)建對稱密鑰

根據(jù)SQL Server的加密層次結(jié)構(gòu)，對稱密鑰可以通過密碼、其它對稱密鑰、非對稱密鑰或證書創(chuàng)建。這里我們以證書創(chuàng)建一個名為TestSymmetric的對稱密鑰，代碼如下：

```sql

CREATE SYMMETRIC KEY TestSymmetric WITH ALGORITHM AES_256 ENCRYPTION BY CERTIFICATE TestCert;

```

加密數(shù)據(jù)

首先打開對稱密鑰，然后使用ENCRYPTBYKEY函數(shù)加密數(shù)據(jù)，并在完成后關(guān)閉對稱密鑰。具體代碼如下：

```sql

OPEN SYMMETRIC KEY TestSymmetric DECRYPTION BY CERTIFICATE TestCert;

INSERT INTO TBLUser VALUES ('張三', ENCRYPTBYKEY(Key_GUID(N'TestSymmetric'), '123456'));

CLOSE SYMMETRIC KEY TestSymmetric;

```

查看加密后數(shù)據(jù)

通過執(zhí)行以下SQL查詢，我們可以看到密碼字段內(nèi)容已被加密成16進制字符，無法直接閱讀：

```sql

SELECT * FROM TBLUser;

```

解密數(shù)據(jù)

要解密數(shù)據(jù)，同樣需要先打開對稱密鑰，然后使用DecryptByKey函數(shù)解密數(shù)據(jù)，并最后關(guān)閉對稱密鑰。具體代碼如下：

```sql

OPEN SYMMETRIC KEY TestSymmetric DECRYPTION BY CERTIFICATE TestCert;

SELECT Name, CAST(DecryptByKey(password) as varchar(100)) Password FROM TBLUser;

CLOSE SYMMETRIC KEY TestSymmetric;

```

以上是使用SQL Server的加密層次結(jié)構(gòu)對數(shù)據(jù)進行加密和解密的過程。通過合理管理密鑰和證書，可以有效保護敏感數(shù)據(jù)的安全性。