对传输中的数据进行加密

Db2® 使用传输层安全性 (TLS) 协议在服务器和客户机之间安全地传输数据。 TLS 技术使用非对称密码术(例如,公用密钥加密)和对称密码术来实现这一功能。

您可以使用 TLS 在所有使用 TCP/IP 的网络上保护传输中的数据。 换言之,TLS 连接是受保护的 TCP/IP 连接。

用于服务器认证的公用密钥加密

TLS 使用公用密钥算法来交换加密密钥信息和数字证书信息。 公用密钥加密用于确保客户机可以信任服务器所使用的证书。

公用密钥密码术在 TLS 会话期间使用两种不同的加密密钥:
  • 用于将数据加密的公用密钥。
  • 用于将其解密的关联专用密钥。
使用公用密钥密码术时,公用密钥并非机密,但是由其加密的消息只能使用其关联的专用密钥来解密。 专用密钥必须安全地存储在称为 密钥库的文件中。

仅有公用密钥算法无法确保通信安全,您还需要验证与您通信的任何用户的身份。 为执行此认证,TLS 使用数字证书

分发和使用数字证书

为了便于在 Db2 环境中对数据进行加密,需要对组织中的每个 Db2 服务器执行以下任务:
  1. 组织的成员 使用 IBM Global Security Kit (GSKit) 来创建公用和专用密钥对。
  2. 公用密钥 发送到认证中心 (CA) ,在该认证中心中创建并签署证书。
  3. 服务器的证书 (包括服务器的公用密钥) 将分发到组织内的所有 Db2 客户机 (和服务器) ,以用于 存储在其本地密钥库中

在网络中分发每个服务器的证书之后,让 TLS 正常工作所需的所有方面都已就绪。

在对数据进行加密以在网络中的 Db2 节点之间传输之前,将发生 TLS 握手 。 这使客户机能够检查服务器证书的有效性,如果该证书可信,就会使用服务器的公用密钥创建会话密钥。 该会话密钥用于在连接持续时间内,将客户机与服务器之间传输的数据加密。