傳輸中資料的加密

Db2® 使用 TLS (傳輸層安全) 通訊協定,在伺服器與用戶端之間安全地傳輸資料。 TLS 技術同時使用非對稱加密法 (例如,公開金鑰加密) 和對稱加密法來使其運作。

您可以使用 TLS 來保護使用 TCP/IP 之所有網路上傳輸中的資料。 換句話說, TLS 連線是安全的 TCP/IP 連線。

伺服器鑑別的公開金鑰加密

TLS 使用公開金鑰演算法來交換加密金鑰資訊和數位憑證資訊。 公開金鑰加密是用來確保用戶端可以信任伺服器所使用的憑證。

在 TLS 階段作業期間,公開金鑰加密法會使用兩個不同的加密金鑰:
  • 用來加密資料的公開金鑰。
  • 用來解密它的相關聯私密金鑰。
使用公開金鑰加密法時,公開金鑰不是秘密金鑰,但它加密的訊息只能使用其相關聯的私密金鑰來解密。 私密金鑰必須安全地儲存在稱為 金鑰儲存庫的檔案中。

單獨使用公開金鑰演算法無法確保安全通訊,您還需要驗證與您通訊之任何人的身分。 若要執行此鑑別, TLS 會使用 數位憑證

配送及使用數位憑證

為了協助在 Db2 環境中加密資料,組織內每一個 Db2 伺服器都需要執行下列作業:
  1. 您組織的成員 使用 GSKit 來建立公開和私密金鑰組。
  2. 公開金鑰會傳送至憑證管理中心 (CA) ,其中 會建立並簽署憑證。
  3. 伺服器的憑證 (包括伺服器的公開金鑰) 會配送至組織內的所有 Db2 用戶端 (及伺服器) ,以 儲存在其本端金鑰儲存庫內

在網路中配送每一部伺服器的憑證之後,即可備妥讓 TLS 運作所需的所有組件。

在網路中 Db2 節點之間進行資料加密以進行傳輸之前,會發生 TLS 信號交換 。 這可讓用戶端檢查伺服器憑證的有效性,如果憑證受信任,則使用伺服器的公開金鑰來建立階段作業金鑰。 階段作業金鑰用於在連線期間加密在用戶端與伺服器之間傳送的資料。