《网上招投标数字证书应用解决方案2012[1].3》由会员分享,可在线阅读,更多相关《网上招投标数字证书应用解决方案2012[1].3(14页珍藏版)》请在金锄头文库上搜索。
1、网上招投标数字证书应用解决方案二一二年三月山东省数字证书认证管理有限公司目 录一、背景介绍3(一)网上招投标管理平台的产生与发展3(二)网上招投标管理平台对电子认证的需求3二、必要性与可行性分析4(一)应用电子认证的必要性4(二)应用电子认证的可行性5三、解决方案6(一)安全登录6(二)安全站点认证7四、网上招投标应用证书8五、办公OA数字证书应用10六、数字证书发放及服务10七、报价11八、名词解释12一、背景介绍(一)网上招投标管理平台的产生与发展 随着科技的发展,尤其是以计算机技术为基础的互联网技术的发展,信息技术逐渐融入人们生产生活的各个方面,提高了生产效率,为人们的生活节约了时间和金
2、钱。基于网络计算和交互特性进行网上网上招投标管理和招投标,也逐渐成为发展的趋势,很多的交易单位都在开始着手将整套的资源交易的流程搬到网上,开始体验网上网上招投标管理和招投标独有的优势: 由于不需要租用场地进行信息发布和答疑工作,节省了交易单位的会务费用和交通费用。不需要为了交易的出差和异地办公,大大降低企业的交易成本,最终也会以更低廉的采购成本回馈交易单位。通过网络进行沟通,大大提高了办事效率,缩短了交易的时间。 通过网络进行的交易活动,交易过程中双方人员可以不见面,减少可能发生的暗箱操作。更加透明,体现了公开、公平、公正的资源交易理念。 (二)网上招投标管理平台对电子认证的需求网上招投标管理
3、平台作为一种网络信息应用系统,具有其他的信息系统类似的安全隐患和安全问题:(1)用户身份无法确认 由于传统的“用户名+口令”登录方式,用户名及口令以明文的形式存储到数据库,很容易被破解,并且通过用户名无法有效地判断登录系统用户的真实身份。网络技术发展以来,PKI(公钥基础设施)体系以其特有的安全性成为目前为止最安全的加密认证体系,为上述在应用系统中的认证、授权、抗抵赖提供了可靠的保障。基于PKI的电子认证技术应用于网上招投标管理平台,可有效解决诸多安全问题,主要表现在以下几个方面:1.身份认证通过电子认证技术的应用,可以实现对人员、企业的身份认证,确保身份的真实、可信。通过为人员、企业发放数字
4、证书,就等于为其签发了一张“电子身份证”,“电子身份证”采用高强度的密码技术,可有效解决其身份真实性问题。2.防木马病毒侵害信息系统传统的“账号+密码”登录方式存在被木马病毒盗取帐户、密码等用户信息的风险,使用安全USBKEY数字证书登录,只有拥有USBKEY物理介质才可登录应用系统,防止盗号事件的发生。二、必要性与可行性分析(一)应用电子认证的必要性2005年电子签名法的颁布实施,规范了电子签名行为,确立了电子签名的法律效力,为全面推广电子认证奠定了法律基础。关于印发的通知(国信20062号)、中共中央办公厅/国务院办公厅转发的通知(中办发200618号),关于印发的通知(国密局联20072
5、号),均提出“推广使用电子认证,对促进电子政务业务应用,保障电子政务活动有序开展具有重要意义。”为电子认证的应用推广提供了广泛的政策支持。基于PKI/CA技术的电子认证,可实现网络环境中的身份认证、授权管理和责任认定,有效解决网络活动中的安全问题,为营造安全、可信的网络信任环境提供坚实的技术保障。采用电子认证后,不但显著加强了网络信息的安全,还使网上审批得以真正实现,确保网上行为的法律问题可追溯,实现无纸化管理,大大提高办公效率。(二)应用电子认证的可行性电子认证经过大范围的实际应用验证,技术上已十分成熟,使用、操作非常简便,不再是复杂问题。山东省数字证书认证管理有限公司(简称山东CA)是我国
6、第一家获得电子认证服务许可证的、山东省唯一的电子认证服务机构,是信任认证和信息安全服务的专业提供商,是网络信任体系建设与运营的主体,主要从事电子政务、电子商务有关的电子认证服务业务。自2001年成立以来已在省府办公厅、青岛市政府、潍坊市政府、省质监局、省工商、济南国税、中行山东省分行、商业集团、威海三角轮胎、江西金利达医药采购平台等政府部门、企事业单位得到成功应用,已发放数字证书100余万张。三、解决方案利用基于数字证书的用户身份认证技术对网上询价及报价、招标、答标、评标等敏感信息进行加密、数字签名,以确保这些信息的完整性,确认系统用户的真实身份和信息的真实来源,防止出现抵赖行为或他人冒充伪造
7、篡改数据。利用基于数字证书的SSL安全通信协议,对在网络上传输的招标信息进行加密,防止敏感信息泄漏。(一)安全登录为了保障信息管理系统的安全,防止网络侦听、身份假冒事件的发生,为服务器和用户分别颁发数字证书。用户在应用终端登录系统时,插入USB Key介质数字证书,发出与系统的建立链接的请求,输入私钥密码(也就是USB Key的PIN码)后即可与建立SSL安全连接,并根据数字证书中的主体信息判断用户身份登录进入信息系统。加密签名客户端KEY(数字证书)数字证书获取主体信息服务器信息系统建立SSL登录系统是断开链接否输入密码身份认证CA认证中心验证安全登录示意图改变传统信息系统的登录方式,由过去
8、的用户名方式改为使用数字证书登录,分为三个步骤。第一步,首先使用数字证书与信息系统服务器建立SSL安全连接,由于建立SSL安全连接需要使用用户的私钥,因而建立连接的时候需要用户输入密码。第二步,由于数字证书中包含有主体名称等身份信息,在登录系统的时候可以从数字证书中读出和判别主体的身份。第三步,信息系统链接山东CA认证服务器,判断证书的有效性,认证通过即可登录进入信息系统。系统的登录采用的是先在客户端和服务器之间建立SSL安全通道,使用用户私钥对从数字证书中获取的主体的身份信息进行签名后,发送到信息系统服务器进行身份的验证,因而可以解决普通信息系统出现密码泄露、身份冒用等一系列安全问题。(二)
9、安全站点认证为了保障信息管理系统WEB服务器的真实身份,防止网络钓鱼、网站仿冒事件的发生,现在比较安全的做法是为WEB服务器颁发数字证书,实现WEB站点的安全认证。实现安全认证的WEB站点,将采用HTTPS协议建立连接,表现形式是在地址栏中显示“https:/”,如下图所示:同时,在IE浏览器的右下角,有一把黄色的小锁形状图标,如下图所示:双击黄色小锁形状图标,就可以看到电子认证机构(CA)为此安全站点颁发的数字证书。如下图所示:四、网上招投标应用证书下图为一个证书应用系统的整体框架,系统功能覆盖了招投标系统的各主要业务环节,整个业务流程,实现了招投标业务的全过程电子化。基于数字证书的网上招投
10、标流程,主要包括以下内容:1、招标信息制定预发布阶段 制定招标信息摘要,招标申请报主管部门审批;业务人员和主管领导持有的数字证书双向身份认证进行登录进入招投标平台,拟定审批招标公告信息。2、投标企业查阅信息阶段投标企业经过授权,通过双向身份认证,建立加密通道下载正式的招标文件;下载企业利用自己的私钥解密标书;3、制作投标书参加投标阶段投标企业上传投标文件,首先进行数字信封的封装,然后用户端密钥进行加密,然后使用投标企业的私钥信息进行签名,实现保密、抗抵赖,并防止篡改。然后上传到招投标平台。4、评标阶段对投标文件进行锁定,直到开标时间,才允许开标人员访问投标文件;评标专家使用个人证书登录招投标系
11、统,实现双向身份认证,并利用加密通道下载投标文件进行技术评审。五、办公OA数字证书应用下图为一个内部办公OA系统应用证书的整体框架,实现了OA系统内部用户身份的安全认证。办公用户持有的数字证书双向身份认证进行登录进入内部办公系统,从而进行相应权限的办公操作。六、数字证书发放及服务(一)证书发放为满足网上招投标管理平台证书应用需要,可在安徽滁州网上招投标管理中心建设山东CA业务受理点,该受理点通过互联网和山东CA连接,通过该受理终端完成数字证书的受理、审核和制作发放,并可进行证书的年更新工作。(二)证书服务山东CA将充分利用现代信息技术,通过呼叫中心、电话交流、网上交流与客户直接联系等多种方式,
12、提供全方位的社会化服务,为网上招投标管理平台系统应用提供强有力的服务保证。七、报价受理点报价见受理点系统软、硬件明细表,数字证书报价如下表:受理点系统软、硬件明细: 单位:人民币(元)受理点软硬件业务受理录入软件 100501 10050证书制作软件Ekey含录入员证书504200计算机(PC)5000210000合计20450注:以上为一个受理点参考价格。(硬件由用户自备,软件可免) 单位:人民币(元)证书类型开户费年更新费单位证书(供应商)16080个人证书(专家)10050服务器证书1200(可免)600(可免)签章类型数量费用单位PDF签章1-1000100个人PDF签章1-10007
13、0八、名词解释USB KEY(简称KEY) USB Key是一种USB接口的安全存储设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。X509标准 X509是由国际电信联盟(ITU-T)制定的是一种行业标准或者行业解决方案,在X509方案中,默认的加密体制是公钥密码体制。为进行身份认证,X509标准及公共密钥加密系统提供了数字签名的方案。消息摘要 也称HASH函数,输入为一个可变长x,返回一固定长度串,该串h称为输入x的HA
14、SH值(消息摘要),所有的HASH算法都是单向的,也就是说不能从HASH值来获取原始消息,即使是原始消息的很少一部分信息都不可能获得。数字签名 是电子签名的一种。把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。完整性保证传输的数据没有被修改,而真实性则保证是由确定的合法者产生的HASH,而不是由其他人假冒。把这两种机制结合起来就可以产生数字签名。数字签名就是在要发送的消息上附加上一段只有消息发送者才能产生而别人无法伪造的数据,而且这段数据是原消息数据加密转换生成的,用来证明消息是由发送者发来的。公钥 公开的密钥叫公钥,公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。私钥 不公开的密钥叫私钥。数字证书 数字证书实际上是存于计算机上的一个记录,是由CA签发的证明证书主体(“证书申请者”拥有了证书后即成为“证书主体”)身份与证书中所包含的公钥的唯一对应关系。数字证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。其作用是使网上交易的双方互相验证身份,保证网上业务的安全进行。电子
