通过 Db2 内置功能加密您的数据

Db2 提供内置数据加密和解密功能,可用于加密敏感数据,例如信用卡号和病历号。

您可以在列或值级别加密数据。 您必须安装集成加密服务设施(ICSF)才能使用内置的数据加密功能。

当您使用大多数数据加密时, Db2 需要正确的密码才能以解密格式检索数据。 如果提供的密码不正确, Db2 将无法解密数据。 如果使用 ENCRYPT_DATAKEY 内置函数加密数据,则在解密数据时必须能访问与加密数据一起存储的密钥标签。

更改开始Db2 for z/OS 提供两组不同的内置功能,用于加密和解密数据:
  • 使用TDES算法进行数据加密:内置函数ENCRYPT_TDES使用密码对数据进行加密,而内置函数DECRYPT_BIT、DECRYPT_CHAR和DECRYPT_DB使用密码对数据进行解密。 DECRYPT_BIT、DECRYPT_CHAR和DECRYPT_DB内置函数用于解密使用ENCRYPT_TDES内置函数加密的数据。 用户在调用解密函数时提供密码。
  • 使用256位AES CBC算法对数据进行加密:ENCRYPT_DATAKEY内置函数使用256位AES CBC算法对数据进行加密,该算法使用随机初始化向量(IV)或固定初始化向量(IV)和密钥标签。 内置函数 DECRYPT_DATAKEY_INTEGER、DECRYPT_DATAKEY_BIGINT、DECRYPT_DATAKEY_DECIMAL、DECRYPT_DATAKEY_VARCHAR、DECRYPT_DATAKEY_CLOB、DECRYPT_DATAKEY_VARGRAPHIC、DECRYPT_DATAKEY_DBCLOB 和 DECRYPT_DATAKEY_BIT 可对使用内置函数 ENCRYPT_DATA KEY 加密的数据进行解密。 解密过程使用与加密数据一起存储的密钥标签来解密数据。
更改结束

内置加密功能适用于存储在 Db2 子系统内并从同一 Db2 子系统内检索的数据。 加密功能不适用于进出 Db2 子系统的数据。 应用程序透明传输层安全(AT-TLS)用于加密 Db2 与其他应用程序或其他数据服务器之间的数据。

请注意: 当使用 TDES 加密算法加密时,如果没有加密密码, Db2 无法解密数据。 如果您忘记了加密密码,就无法解密数据,数据可能无法使用。