|
|
设
备
管
理
网
s
b
g
l
.
j
d
z
j
.
c
o
m
|
 |
电子签名法与网上招投标安全保障2 |
|
|
| 电子签名法与网上招投标安全保障2 |
|
作者:佚名 文章来源:不详 点击数: 更新时间:2009-3-5 9:13:26  |
|
1.4 安全认证技术
由于互联网的兴起是建立在TCP/IP这个开放的网络之上的,开放给互联网带来了勃勃生机的同时,也由于开放的协议架构,明文传输等特点成为黑客攻击的目标。仅仅靠互联网的通用协议无法帮助人们实现以上的安全特征。
多年以来为了保证网络安全,科学家、工程师们想了各种办法来实现安全的认证与传输,技术人员首先想到的是:使用用户名口令方式确认用户的合法身份,虽然口令以“*”显示在屏幕上让人无法偷看,但是对于可以截获网络上传输的数据的黑客来说,在网络上窃取以明文传输的用户名口令易如反掌,一旦用户名口令被黑客窃取,网络黑客就可以利用合法的用户名密码为所欲为。另外不太复杂的用户名口令都可能通过穷举攻击的方法进行解密。
由于复杂的用户名密码难以记忆,人们开始研究复杂的登录机制,首先人们想到通过人体特有的信息进行登录,例如指纹信息、视网膜信息等。这些信息在单机系统的时代是非常有效的认证手段,但是一旦这些信息被数字代码化,放到网络上明文传输,就如同明文传输的用户名密码一样成为黑客唾手可得的点心。
人们转而开始研究利用加密技术保证安全,设想如果网络上传输的信息都是被加密过的信息,计算机上存储的信息也都是被加密的信息,那么即使这些信息被黑客所窃取,黑客也无法确知其内容。但是传统的对称加密方法,如同我们的传统的锁具一样,一把钥匙开一把锁。一方面,我们将信息加密传输给对方,如同送给对方一把上锁的箱子,为了让对方打开箱子,还要将箱子的钥匙(密钥)送达对方,才能让对方读懂信息的内容。这就产生了两方面的问题,一方面,我们的钥匙在传输过程中是否会被黑客所窃取,这样黑客就可能看到我们的信息,或是对我们原有的信息进行修改,从而破坏我们信息的本来面目。另一方面对方在拿到我们的箱子和钥匙之后,怎么识别这个箱子是我送给他的,而不是别有用心的人的恶作剧。这是困扰科学界多年的一个难题。直到非对称加密算法的提出,为加密的历史掀开了新的篇章。
1976年,Diffie和Hellman为解决密钥的分发与管理问题,在他们奠基性的工作“密码学的新方向”一文中,提出一种密钥交换协议,允许在不安全的媒体上通过通讯双方交换信息,安全地传送秘密密钥。在此新思想的基础上,很快出现了非对称密钥密码体制,即公钥密码体制。在公钥体制中,同时产生一对密钥,加密密钥和解密密钥,将加密密钥发送给发送方,谁都可以使用;而解密密钥只有解密人自己知道。由于解密密钥不会在网络上传输,而通过加密密钥又无法推导出解密密钥,因此黑客无法获得解密密钥,也就无法了解经过加密后的信息,从而保证了信息在传输过程中的安全。
迄今为止的所有公钥密码体系中,RSA系统是最著名、使用最广泛的一种。RSA公开密钥密码系统是由R. Rivest、A. Shamir和L. Adleman三位教授于1977年提出的。RSA的取名就是来自于这三位发明者的姓的第一个字母。
非对称密钥的出现解决了网络时代的加密问题,同时也解决了网络时代的数字签名问题,因为用一对密钥中私钥签名的信息只有本对密钥中的公钥才能解开。因此可以通过确认公钥的有效性来确认私钥持有者的身份。为了保证签名的可信性需要建立一套完整的认证体系,(例如为了确认公钥的身份需要通过第三方的权威机构对公钥进行签名。)在使用过程中,工程技术人员对公钥技术不断的完善和扩充,最终形成完善的PKI(公钥基础设施)体系,解决了数字签名的相关问题。
网络技术发展以来,PKI(公钥基础设施)体系以其特有的安全性成为目前为止最安全的加密认证体系,为上述在招投标系统中的认证、授权、抗抵赖提供了可靠的保障。国富安公司从1998年以来就开始潜心研究PKI技术,并承担了国家863计划和国家火炬计划等多项重大课题的研究,取得了多项成果,成功运用到包括安全网上招投标平台等许多项目中。
1.5 电子签名法的实施
PKI体系的完善从技术上保证了电子签名的实现,但是从技术到现实的应用还需要跨越法律制度的障碍。
十几年前,人们的商务交易和政务审批还完全依靠纸制界面的传递和签名图章的应用。因此我们的合同法等相关法律是依照手写签名和纸制资料的传递流程制定的。随着互联网的影响越来越大,网上交易技术的越来越成熟,从事网上交易的人也越来越多。而网上交易一旦出现纠纷,由于没有相应的法律规范,无法将纠纷诉诸于法律,形成法律的空白。
2004年8月28日,中华人民共和国第十届全国人民代表大会常务委员会第十一次会议通过了《中华人民共和国电子签名法》,并于2005年4月1日起施行。电子签名法的制定和实施解决了电子商务、电子政务当中最为重要的数据电文原件、电子签名的法律效力等问题。国富安作为业界领先的安全认证企业,在电子签名法的制定过程中也贡献了自己的一份力量。
重要的商务活动要求提供和保存相关原件,在发生纠纷提起仲裁或诉讼时,要求以原件作为证据。而电子商务以数据电文在计算机网络间传递信息,电子数据都记录在计算机内,输入到打印机打印出来的都只能算是“副本”。那么,如何确定数据电文的“原件”,什么样的数据电文可以视为符合法律要求的书面形式,需要明确。
另外,传统商务活动中,交易双方在纸质文件上手书签名或盖章,一是为了证明身份,二是表示对所签名盖章的书面文件的认可,受其约束,不得反悔。鉴于签名盖章对保证交易安全极为重要,有关法律规定,书面合同等重要的商务文件,须经当事人签名盖章始生效力。而在电子商务中,通过计算机网络以数据电文传递交易信息,不可能采用传统的手书签名、盖章方式,为此人们创造了在数据电文中用电子数据“签名”的技术,以其作为保证网上交易安全的重要手段。这种签名的可靠性如何?是否具有与手写签名同等的法律效力?也需要法律予以明确。
电子签名法第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”
电子签名法第五条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用…
电子签名法没有规定采用哪一种技术的电子签名是可靠的电子签名。但是目前为止能够达到电子签名法要求的技术实现手段只有基于PKI技术的电子签名手段。
2. 网上招投标的流程分析
2.1 网上招投标业务流程
网上招投标的业务流程可以分为以下几个阶段,
·招标信息制定预发布阶段;
·投标企业查阅招标信息阶段;
·投标企业制作投标书参加投标阶段;
·评标阶段;
·招标结果发布阶段
每个阶段有包含若干个步骤,图 2‑1简单描述了网上招投标的流程。从图中可以看出整个业务流程中几乎每一个环节都需要安全保障。
图 2‑1网上招标流程简图
2.2 流程中特有的安全需求
在建设网上招投标平台的过程当中,国富安公司看到,除去通用的物理层安全、主机安全和网络安全外,在应用层面上,网上招投标系统有着符合自身特点的特殊安全性需求:
·身份合法性:必须能够确认招投标人身份,保证只有适当的人才能访问适当的业务;
·权限的控制:招标方操作人员、主管领导,投标方操作人员,评标专家各司其职,每个角色只能完成自己份内的工作,查看自己份内的信息;
·不可抵赖性:投标企业在发送投标书后不能抵赖,不能否认自己的投标行为和投标书内容;
·安全传输:投标信息在网络上传输时,要不能被其他投标人了解和窜改,要能够证明投标信息的真实性和完整性。
·时效性:招标信息要在同一时间通知投标方,投标资料需要在同一时间被打开,防止有人从中舞弊;
·安全存储:即使网络主机被黑客攻破,存储的投标文件被竞争对手获取,由于招标文件是采用数字信封封装的加密信息,竞争对手也无法获得招标文件的内容。
为了满足以上这些安全需求,应用开发商也曾尝试自己开发相应的安全传输和认证加密程序,而由于应用开发商缺乏在安全加密领域的经验,往往花费了大量的人力物力,还是做不出完善的安全程序。
2.3 安全的网上招投标流程
针对以上安全问题,国富安公司与招投标企业共同合作,制定出安全的网上招投标流程,主要包括以下内容:
·招标信息制定预发布阶段;
制定招标信息摘要,招标申请报主管部门审批;
业务人员和主管领导持有的数字证书和电子钥匙通过iPass双向身份认证进行登录进入招投标平台,拟定审批招标公告信息,实现认证、权限控制、加密传输、抗抵赖。
企业浏览相关信息;
具有电子钥匙的投标企业可以通过iPass双向认证后访问招标摘要信息,决定是否投标;
企业报名参加投标并交纳投标保证金;
投标企业填写投标申请表,并对申请表进行数字签名,然后通过iPass加密传输到招标网站;
招标单位制作正式的招标文件并使用数字信封进行加密,还设置访问权限;
对通过报名资格审查并交纳投标保证金的企业进行授权。
·投标企业查阅信息阶段
投标企业经过授权,通过iPass进行双向身份认证,建立加密通道下载正式的招标文件;下载企业利用自己的私钥解密标书;
网上答疑;
通过iPass构筑安全加密通道,并验证参加网上答疑的用户的身份,只有相关的招标人员和被授权的投标企业的人员才能登录到网上答疑的应用当中。
·制作投标书参加投标阶段;
投标企业上传投标文件;
投标企业在提交投标书时首先进行数字信封的封装,然后用户端安全API产生随机密钥进行加密,然后使用投标企业的私钥信息进行签名,实现保密、抗抵赖,并防止篡改。然后上传到招投标平台。
·评标阶段;
系统锁定投标文件直到开标时间;
对投标文件进行锁定,直到开标时间,才允许开标人员访问投标文件
专家委员会技术评审;
评标专家使用个人证书登录招投标系统,经过通过iPass子系统实现双向身份认证,并利用加密通道下载投标文件进行技术评审;
·招标结果发布
验证中标企业已经交纳相关费用;
发布中标公告;
授权的管理人员,经过iPass双向验证,通过VPN发布中标公告;
3. 结束语
国富安公司凭借自己在信息安全领域的专业经验,已经帮助几家招投标平台实现了安全的招投标业务。对于目前多数没有使用PKI技术体系进行认证和加密的网上招投标平台来说,信息安全问题仍然面临着巨大潜在的威胁。
由于认识信息化建设带来的巨大效益,近年来国家大力推进各个部门信息化进程,对于招投标管理单位来说实现安全的网上招投标平台,无疑是企业发展的关键而重要一步,愿此文能够提供一些借鉴。
|
|
| 资讯录入:admin 责任编辑:admin |
|
|
上一篇资讯: VPN技术在电力系统中的应用
下一篇资讯: 电子签名法与网上招投标安全保障 1 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
