在C#中实现数据库字段的加密和解密,核心是在数据写入数据库前进行加密,在读取时进行解密。通常不依赖数据库自身功能,而是在应用程序层处理,确保敏感数据(如身份证、手机号、密码等)以密文形式存储。
1. 选择合适的加密算法
推荐使用对称加密算法,因为加解密使用同一密钥,适合字段级加密:
AES(Advanced Encryption Standard):最常用,安全且性能好,推荐使用AES-256 DES/3DES:已过时,不推荐用于新项目非对称加密(如RSA)一般用于密钥交换或数字签名,不适合频繁的字段加解密。
2. 实现AES加解密方法
以下是一个简单的AES加密帮助类示例:
public class AesEncryptionHelper { private static readonly byte[] Key = Encoding.UTF8.GetBytes("123456789012345678901234"); // 24字节用于AES-192 private static readonly byte[] IV = Encoding.UTF8.GetBytes("123456789012"); // 12字节GCM或16字节CBC public static string Encrypt(string plainText) { if (string.IsNullOrEmpty(plainText)) return null; using (Aes aes = Aes.Create()) { aes.Key = Key; aes.IV = IV; aes.Mode = CipherMode.CBC; aes.Padding = PaddingMode.PKCS7; using (var encryptor = aes.CreateEncryptor()) { byte[] encrypted = encryptor.TransformFinalBlock(Encoding.UTF8.GetBytes(plainText), 0, plainText.Length); return Convert.ToBase64String(encrypted); } } } public static string Decrypt(string cipherText) { if (string.IsNullOrEmpty(cipherText)) return null; using (Aes aes = Aes.Create()) { aes.Key = Key; aes.IV = IV; aes.Mode = CipherMode.CBC; aes.Padding = PaddingMode.PKCS7; using (var decryptor = aes.CreateDecryptor()) { byte[] cipherBytes = Convert.FromBase64String(cipherText); byte[] decrypted = decryptor.TransformFinalBlock(cipherBytes, 0, cipherBytes.Length); return Encoding.UTF8.GetString(decrypted); } } } }3. 在实体模型中集成加解密逻辑
可以在Entity Framework等ORM中通过属性包装实现自动加解密:
数据库字段映射为私有属性(存储密文) 公开属性用于获取/设置明文,内部调用加密方法示例:
public class User { public int Id { get; set; } private string _encryptedPhone; public string Phone { get => string.IsNullOrEmpty(_encryptedPhone) ? null : AesEncryptionHelper.Decrypt(_encryptedPhone); set => _encryptedPhone = AesEncryptionHelper.Encrypt(value); } }4. 安全注意事项
实际应用中需注意:
密钥管理:不要硬编码密钥,应使用配置文件、环境变量或密钥管理服务(如Azure Key Vault) IV向量:建议每次加密生成随机IV,并与密文一起存储(可拼接后Base64) 哈希处理:密码不应加密,而应使用bcrypt、PBKDF2等单向哈希算法存储 性能影响:加解密会增加开销,避免对大量字段或高频字段过度使用 索引限制:加密后字段无法直接做模糊查询或排序,需设计替代方案(如哈希索引) 基本上就这些。关键是选对算法、保护好密钥、合理集成到数据访问流程中。
