TDSQL·专家篇·SSL 连接加密

SSL 连接加密简介

SSL 连接加密背景

当使用非加密方式连接数据库时，在网络中传输的所有信息都是明文，因此存在被非法用户窃听、篡改、冒充的三大风险；而 SSL/TLS 协议是为解决这三大风险而设计的，理论上可达到：

1. 所有信息都是加密传播，第三方无法窃听。
2. 具有校验机制，一旦被篡改，通信双方会立刻发现。
3. 配备身份证书，防止身份被冒充。

SSL 连接加密概述

SSL 协议要求建立在可靠的传输层协议（TCP）之上。SSL 协议的优势在于它是与应用层协议独立无关的，高层的应用层协议（例如：HTTP、FTP、TELNET 等）能透明地建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

然而，加密和解密过程需要耗费系统大量的开销，严重降低机器的性能，相关测试数据表明使用 SSL/TLS 协议传输数据的工作效率只有使用不使用协议传输的十分之一。假如为了安全保密，将一个数据库所有的数据通讯应用都启用 SSL 技术来加密，并使用 TLS 协议进行传输，那么该业务系统的性能和效率将会大大降低，而且没有这个必要，因为一般来说并不是所有数据都要求那么高的安全保密级别。

SSL 加密并不保护数据本身，而是确保了来往于数据库和服务器之间的流量安全。从某个角度来看，由于企业内网天然的安全和隔离性，管理员通常可以放心内网传输安全，并在必须使用时再进行应用 SSL 连接加密。当然，通常建议管理员利用更合理的方法来应对企业内网的安全和隔离，而非仅仅依赖于 SSL 连接加密。

······

更多内容请见：https://cloud.tencent.com/document/product/237/33944