数据加密

Db2® 数据库系统提供了多种方法来加密数据,无论是在存储中还是在通过网络传输时。

对处于静态的数据进行加密

重要信息: 不推荐使用 DATA_ENCRYPT 认证类型,在将来的发行版中可能会将其除去。 要对客户机与 Db2 数据库之间的传输数据进行加密,建议您使用 传输层安全性 (TLS)Db2 数据库系统支持。 有关更多信息,请参阅 加密传输中的数据
可以使用以下选项对处于静态的数据进行加密:
  • 您可以使用 Db2 本机加密来加密数据库和备份映像。
  • 您可以使用 IBM® InfoSphere® Guardium® Data Encryption 对底层操作系统数据和备份文件进行加密。
  • 可以使用加密文件系统 (EFS) 对操作系统数据和备份文件进行加密。 如果要在 AIX® 操作系统上运行 Db2 系统,并且您仅对文件级别加密感兴趣,请使用 EFS 。

对传输中的数据进行加密

要对客户机与 Db2 数据库之间的传输中数据进行加密,请使用 传输层安全性 (TLS)Db2 数据库系统支持。

注意: TLS 是在 1999 年开发的,作为常用加密协议安全套接字层 (SSL) 的后继者。 由于 SSL 的流行,该首字母缩略词现在是加密技术和关联 TLS的同义词。 因此,与 TLS 加密相关的某些 Db2 命令和数据库对象的名称中仍包含 "ssl"。 但是, Db2 不使用 SSL 协议进行数据加密。 本指南中对 SSL 的任何引用都可以解释为 TLS
  • 建议您使用 TLSDb2 支持来加密以下内容之间的通信:
    • Db2 客户机和服务器
    • Db2 HADR 环境中的主节点和备用节点
    • Db2 客户机和 Db2 联合服务器
      注: Db2 Federation Server 还支持对某些数据源的出站传输进行 TLS 加密。
注: 使用 DES 的 DATA_ENCRYPT 和 SERVER_ENCRYPT 使用不符合 NIST SP 800-131A的算法。 如果必须遵守 NIST SP 800-131A,那么不能使用上述认证。 如果可以不遵从 NIST SP 800-131A,那么这些认证仍有效。