在 ABAP 里做文档加密,最容易走偏的地方不是加密函数本身,而是把SSF_GET_PARAMETER返回的内容误认为已经包含了收件人证书的可用标识。很多开发同事第一次接触SSF_KRN_ENVELOPE时,会把注意力放在二进制内容怎么传入、输出表怎么接收、算法填AES128-CBC还是其他值,却忽略了更关键的一环,数字信封加密需要一个明确的 recipient,系统必须知道要用哪张证书的公钥去包裹会话密钥。原讨论里也提到,SSF_GET_PARAMETER主要读取某个 SSF 应用的配置,例如 PSE 位置、profile、加密算法等,而真正需要进入 recipient list 的证书信息,还要继续从对应 SSF 应用的证书列表里取出来解析。(security2341.rssing.com)这里的核心对象有几个,SSF、SSFA、PSE、certificate、recipient list、digital envelope。SAP 官方文档对SSF的定位很清楚,它是 ABAP 平台里用来保护独立数据单元和文档的机制,能够服务于完整性、真实性和机密性这类安全目标。(
在 ABAP 里用 SSF 和 PSE 做文档加密,从一个容易踩坑的函数调用讲起
发布时间:2026/5/21 16:02:06
在 ABAP 里做文档加密,最容易走偏的地方不是加密函数本身,而是把SSF_GET_PARAMETER返回的内容误认为已经包含了收件人证书的可用标识。很多开发同事第一次接触SSF_KRN_ENVELOPE时,会把注意力放在二进制内容怎么传入、输出表怎么接收、算法填AES128-CBC还是其他值,却忽略了更关键的一环,数字信封加密需要一个明确的 recipient,系统必须知道要用哪张证书的公钥去包裹会话密钥。原讨论里也提到,SSF_GET_PARAMETER主要读取某个 SSF 应用的配置,例如 PSE 位置、profile、加密算法等,而真正需要进入 recipient list 的证书信息,还要继续从对应 SSF 应用的证书列表里取出来解析。(security2341.rssing.com)这里的核心对象有几个,SSF、SSFA、PSE、certificate、recipient list、digital envelope。SAP 官方文档对SSF的定位很清楚,它是 ABAP 平台里用来保护独立数据单元和文档的机制,能够服务于完整性、真实性和机密性这类安全目标。(
)
)
)
