数据库凭据加密的加密目标是"访问数据库的凭证信息",这些数据体量小、结构固定,通常在凭据管理系统或配置存储中完成加密。应用层加密(Application-Level Encryption,ALE)的加密目标是"业务数据本身"(如用户表中的手机号、身份证号字段),加密操作在应用程序内部完成,数据以密文形态写入数据库,数据库引擎本身只看到密文。
凭据加密对数据库本身的加密能力无特殊要求,更多依赖外部的凭据管理服务或密钥管理服务。应用层加密则要求应用开发者在代码中集成加密逻辑,或使用支持应用层加密的 SDK/代理网关,对开发工作量和查询性能(如索引失效、无法做范围查询)都有一定影响。
凭据加密失效后,攻击者获取的是数据库访问账号,进而可能读取数据库中的全部明文数据(若数据库未启用其他加密措施)。应用层加密失效(如应用服务器被入侵)后,攻击者在同一进程内存中可获取解密后的数据,但若结合每用户/每租户独立密钥机制,影响范围可被有效约束。两者在完整的安全架构中通常叠加部署。