数据加密

Db2® 数据库系统提供了多种方法来加密数据,无论是在存储中还是在通过网络传输时。

对处于静态的数据进行加密

重要: DATA_ENCRYPT 和 DATA_ENCRYPT_CMP 身份验证类型已过时,可能会在未来版本中删除。 为了加密客户端和 Db2之间的传输数据,我们建议您使用传输层安全性(TLS)的 Db2系统支持。 更多信息,请参阅 “传输中的数据加密”
可以使用以下选项对处于静态的数据进行加密:
  • 您可以使用 Db2 本机加密来加密数据库和备份映像。
  • 您可以使用 IBM® InfoSphere® Guardium® Data Encryption 对底层操作系统数据和备份文件进行加密。
  • 可以使用加密文件系统 (EFS) 对操作系统数据和备份文件进行加密。 如果要在 AIX® 操作系统上运行 Db2 系统,并且您仅对文件级别加密感兴趣,请使用 EFS 。

对传输中的数据进行加密

为了加密客户端和 Db2之间的传输数据,请使用传输层安全性(TLS)Db2系统支持。

注意: TLS 是在 1999 年开发的,作为常用加密协议安全套接字层 (SSL) 的后继者。 由于 SSL 的流行,该首字母缩略词现在是加密技术和关联 TLS的同义词。 因此,与 TLS 加密相关的某些 Db2 命令和数据库对象的名称中仍包含 "ssl"。 但是, Db2 不使用 SSL 协议进行数据加密。 本网站提及的任何 SSL 均可解释为 TLS
  • 建议您使用 TLSDb2 支持来加密以下内容之间的通信:
    • Db2 客户机和服务器
    • Db2 HADR 环境中的主节点和备用节点
    • Db2 客户机和 Db2 联合服务器
      注: Db2 Federation Server 还支持对某些数据源的出站传输进行 TLS 加密。
注: 使用 DES 的 DATA_ENCRYPT 和 SERVER_ENCRYPT 使用不符合 NIST SP 800-131A的算法。 如果必须遵守 NIST SP 800-131A,那么不能使用上述认证。 如果可以不遵从 NIST SP 800-131A,那么这些认证仍有效。