这篇文章是SAP HANA解决方案管理团队在2020年庆祝SAP HANA 10周年的"转型星期二：SAP HANA业务价值系列"的一部分。

SAP HANA 2.0 SPS 05中发布的新安全功能之一是支持外部密钥服务器。但是什么是外部密钥服务器？事实上，什么是密钥以及它与SAP HANA的关系如何？

密钥和密钥服务器与加密有关，这是SAP HANA多年来一直支持的。但加密到底是什么？

加密101

根据韦氏词典，加密是"将某些东西（如数据）转换成代码或密码"。如果我们加密这个信息：

结果可能是这样的：

当我们查看结果时，云服务器推荐，企业应用系统，不太容易判断原始信息是什么。当然，这是一个想法。同样，如果我们把结果消息解密，也就是说我们把它从密码形式转换回纯文本，我们应该看到原始消息

为了加密（或解密）消息，我们需要一个密钥。在密码学中，德国云服务器，加密（或解密）密钥通常是与加密算法结合使用的随机位序列，使第三方在没有访问我们的密钥的情况下几乎不可能以有意义的方式使用这些数据。

SAP HANA使用的加密算法称为AES-256-CBC。

现在您了解了加密和密钥的基础知识，这与SAP HANA有何关系？"我以为SAP HANA是内存数据库，为什么我们要谈论加密？"

SAP HANA不是内存数据库吗？

好问题。是的，SAP HANA是一个真正的内存数据库。但是，SAP HANA会定期将更改的数据保存到永久性存储（称为数据卷）。此外，每次提交事务时，它都会写入所谓的重做日志，也会永久性存储。如果SAP HANA服务器发生电源故障，请打开启动时，数据中心解决方案，系统将从数据卷和重做日志中重新创建内存中的数据。

SAP HANA还创建数据卷和日志卷的备份。

问题是攻击者可能会访问数据卷、重做日志、，或备份被存储并可能检索敏感信息。通过自动加密所有这些数据，数据大屏，它为客户添加了更高的安全和保护层。

SAP HANA系统数据库和租户数据库支持此加密。相关的加密密钥作为SAP HANA的一部分存储。

本地安全存储

SAP HANA数据卷、重做日志和备份都有自己的加密密钥。这些密钥需要安全地存储在某个地方。这就是本地安全存储（LSS）发挥作用的地方。

LSS是一项单独的服务，是SAP HANA安装的一部分。其目的是存储和管理SAP HANA加密密钥安全地同时在系统管理和加密密钥管理之间建立一个强大的分离。

除了保护数据卷、重做日志和备份加密密钥之外，LSS还保护密钥备份和加密配置数据的密码。

LSS中的密钥存储在所谓的负载数据库中。

外部密钥服务器

"那么这个外部密钥服务器呢？"我听到你问了。LSS现在可以和外部密钥管理服务（KMS）一起使用，KMS可以用来存储主密钥（从技术上讲，它使用两个密钥，一个私钥和一个公钥）对LSS的有效负载数据库进行加密。密钥服务器管理并向用户和程序提供加密密钥。

SAP数据保管人密钥管理服务是LSS可以连接的第一个受支持的密钥服务器。一些亮点：

云产品，通过订阅作为SaaS提供客户可以控制他们的密钥并限制访问提供密钥生成、包装、旋转和删除

外卖

支持SAP HANA 2.0 SPS 05中的外部密钥服务器，尤其是SAP Data Conservator这样功能丰富的服务器，为SAP客户的关键SAP HANA加密密钥添加了强大的控制和监视功能。通过多重云支持和增强的安全性，可能是时候进行另一次冒险并开始使用外部密钥服务器了。

有关SAP HANA服务器端加密的更多信息，请参阅此SAP帮助文档：

https://help.sap.com/viewer/b3ee5778bc2e4a089d3299b82ec762a7/2.0.05/en-US/b30fda1483b3462802a8d62bd5d39df.html