1. 概述

为全面贯彻落实网络安全法、关键基础设施保护条例，加强网络安全和自主可控，进一步提升国外商业软件SAP的安全防护水平，保障各领域ERP系统的安全自主可控，针对现有SAP系统设计了支持国密算法的SAP密码中间件功能，旨在推广国产密码算法与安全产品，解决现有SAP系统产品的安全隐患和使用问题，提升ERP大集中系统的安全防护水平和稳定运行能力。

2. 需求分析

SAP被誉为“世界500强背后的管理大师”，随着SAP在中国的应用范围的不断扩大，然而SAP服务器在缺省配置下是不安全的，这主要表现在以下两个方面：

 SAP客户端（SAP GUI）和SAP服务器之间的数据通信，包括用户名和口令等重要数据仅仅是压缩传输，未进行加密，由于压缩算法是公开的，所以其安全强度相当于明文传输，安全性较低；

 SAP服务器本身没有提供原生的数据加密、电子签名等功能，这使得企业的诸如财务这样的核心系统的业务数据在传输过程中存在失窃的可能。而且，尤其是电子签名法出台后，电子签名在企业OA尤其是财务系统中的应用需求也日益突出；

3. 方案架构

3.1 技术架构

SAP密码中间件系统以Secure Network Communications（下文中简称“SNC”）和Secure Store &Forward（下文中简称“SSF”）中间件为依托，以AS管理为核心，将安全认证、数据加密、数据认证融入到SAP业务中，将PKI体系与SAP业务过程融合，为SAP业务中间过程服务。

系统逻辑结构如下所示：

图 3 1 技术架构图

3.2 产品部署图

SAP密码中间件分为客户端和服务端两个部分，客户端部署在用户办公PC端，与用户USBKey协同工作；服务端部署在SAP业务服务器，与密码机协同工作，如下图所示：

图 3 2 产品部署图

3.3 主要功能

 SNC安全登录及数据加解密

SAP密码中间件采用基于x509数字证书和数字签名的双向认证方式，在成熟的体系架构上实现用户登录，替代传统的用户名+密码的方式。同时，SAP密码中间件在SNC登录过程中协商会话过程数据加密密钥，在后续的交互过程中对业务数据进行加解密。

 数据安全存储及转发

SAP密码中间件采用PKCS#7作为安全包的封装格式，实现SAP业务流程中数据在业务实体存储及传递的安全功能。SAP业务系统（如HR、FI等）某一个业务流程需要进行数字签名，则调用SAP密码中间件软件的SSF ABAP应用语言接口实现签名功能进行签名。

3.4 主要技术指标

SNC登录不大于0.5秒；

SNC数据传输延时不超过0.04秒；

SSF性能不低于10Mbps；

4. 方案特色

合规密码算法

SAP密码中间件系统采用SM1、SM2、SM3、SM4密码算法，为SAP密码中间件系统提供更高的算法强度，更高的计算性能及安全性。 

高效信息安全通道

SNC通道的建立协议由认证协议和通信协议两部分组成。其中认证协议用于完成终端与服务器的身份认证。通信协议用于完成应用数据的加密传输，保证数据传输的高效和安全。

无缝对接

SAP密码中间件系统依据GSSAPI和SAP的SSF中间件规范进行设计，可与SAP系统实现配置化无缝对接。同时，SAP密码中间件可定制支持AD、LDAP、RADIUS和OTP等多种第三方认证源。

5. 适用领域

作为世界第一大ERP软件厂商SAP，世界500强中有85%的公司使用了SAP的ERP。同样，在中国很多的大型央企、国企也都使用了SAP，在信息安全上升到国家战略高度的大背景下，SAP本地化的安全解决方案必定有广阔的应用空间。

6. 企业分工

7. 应用案例

国内某能源企业为了进一步提升SAP的安全防护水平，保障其ERP系统的安全自主可控，该企业在“重要信息系统安全提升项目”中，特别提出使用SAP安全中间件产品。在本次应用中，SAP密码中间件覆盖ERP大集中系统五大核心板块共计8000用户，客户端统一使用USBKey+中间件实现SAP安全登录，后台采用密码机+中间件实现对客户端登录验证和数据传输的加解密功能。

                                        北京三未信安科技发展有限公司

                                         联系人：张玉涛

                                         电  话：15315551558

                                                 010-59785977