数字证书和安全加密传输护航网上招投标 |
| 招投标是一个复杂的过程,传统的招投标方式要耗费大量的人力和物力,而且由于地域上的限制,使得招投标的信息传播范围狭窄,限制了招标方的选择空间,也制约了投标方业务发展。互联网的开放性和覆盖面的广泛性可以弥补传统的招投标方式的不足。以 ASP 的模式为招标方和投标方提供招投标的信息平台可以使招投标过程在互联网上实现,凭借互联网的运行成本低、覆盖面广的优势,将传统的招投标过程转变为一个简单、方便、快捷的过程,并通过无处不在的网络将招投标信息传送到各行各业,力争为招标方和投标方节约成本,带来最大的利益。
网上招投标是指通过专用招投标电子商务平台,将招投标过程中的各个角色,如供应商、招标机构、评标专家、政府监督机构等连接起来,企业、机关和个人在网上传递投标数据,评标、开标均采用电子手段,中标结果再从网上返回到企业以及公众的一种招投标方式。与传统的招投标方式相比, ●在网上进行招投标使企业降低了成本,减轻了负担。 然而,网络在带来便利的同时也带来了不安全因素。网络的开放性,使人们可以自由自在地与网络的另一端进行交流,可是另一端是否是自己真正想交流的对象成为一种新的担忧。网络上信息的传输过程是否安全将直接影响到企业、国家乃至整个社会的利益。 因此,网上招标投标系统必须将安全提高到与业务相同的高度来对待。在网上电子商务中,如果不解决身份认证和信息加密等安全问题,就不可能使电子商务真正的发展。 |
| 目前网上招投标平台存在的安全问题 |
| 当前通用的解决方案往往存在如下问题:
●身份认证和权限控制 — 如何确定网上招投标过程中各角色以及参加各方的身份。 身份认证主要采用两种方式: 用户名 / 密码和数字证书 。目前决大多数招投标平台仍采用用户名 / 密码方式进行身份认证,这在招投标这类严肃的且对安全级别要求极高的业务中已经暴露越来越多的问题: 密码容易泄露。 由于使用者的安全意识淡薄,对密码的保护不在意,经常在无意之间将密码泄露出去。例如为了不忘记密码,将密码写在纸上。或委托他人办理业务时,将密码告诉他人,而过后又不更改密码。 密码容易被窃听。 随着网络技术的发展,各种网络窃听工具层出不穷,使得网络窃听已经不再是技术高明者的专利。 密码容易被猜测。 有的用户为了好记而采用自己熟悉的数字或字母作为密码,如自己的生日或姓名的,这样的密码很容易被猜测出来。此外,由于字母或数字的个数有限,用户密码的可选择空间也有限,目前计算机的处理能力不断增强,采用穷举法猜测密码也不是一件很困难的事。 ●加密传输 — 目前有很多招投标平台的敏感数据(如标单信息,招投标文件等)在网上的传输仍然是明文传送,很容易被截获或者窃听到,在网上招投标带来便利的同时也存在着安全隐患。 |
| 我们的安全解决方案 |
| 如何满足客户的需求一直是我们努力追求的目标。北京安软科技作为一家从事网络网络安全产品开发和集成的高新技术企业一直致力于网络安全产品的开发。基于开发和设计中国采购与招标网这一电子商务平台的经验,我们拥有了一套针对网上招投标平台的安全解决方案。该方案包含了数字证书方案、安全 WEB 系统方案以及文件系统三个部分
数字证书方案 在网上招投标系统中,彻底摒弃了用户名 / 密码的身份验证方式,引入数字证书概念利用 PKI 技术实现身份认证和传输加密,进而实现了数据完整性的要求。 数字证书作为网络上的身份证,为电子商务、网上炒股等应用提供了很多便利。数字证书 +SSL 协议可以很好地实现信息传输的加密。如果利用数字证书进行数字签名,那么数字证书的持有者在网络上的操作具有不可抵赖性,而且保证了这种操作的完整性和不可假冒性,这种便利不仅保证了操作的可靠性,而且为事后追踪、明确责任和解决纠纷提供了依据。世界上已经有很多国家制定了数字签名法,为数字签名的有效性提供了法律依据。 为配合网上招投标系统的部署和实施,利用北京安软科技有限公司的 EverLink CA 产品建立了自己的 CA 中心,为每一个用户签发一张个人数字证书,用于对用户进行身份认证。 EverLink CA 系统可以与业务系统共用一个用户数据库,数字证书中包含了用户姓名、所属公司以及用户职位等信息,这些信息将作为用户登录系统后身份验证和权限控制的依据,拥有有效数字证书的用户只能看到与自己证书权限项对应的内容并执行相应的操作。 安全 Web 系统方案 安全 Web 系统是一种使用 HTTPS 协议的 Web 系统。 HTTPS 协议是 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议。网上招投标系统中的 Web 服务器采用安全 Web 系统,可以在不增加系统开发工作量的情况下利用数字证书实现用户的身份认证和信息传输的加密。 使用了安全 Web 系统之后, Web 应用被 HTTPS 协议有效地保护起来,将开放的网络上的那些没有数字证书的未授权的访问请求屏蔽掉,并对用户与 Web 系统之间的数据传输进行加密,解决了用户与业务平台之间的身份认证和加密传输问题。 在网上招投标系统中,我们采用 Apache+SSL 作为前端 Web 接入服务器。 Apache 是一种应用广泛的免费的 Web 系统,它支持 HTTPS 协议。用户利用浏览器通过 HTTPS 协议访问 Web 服务器,在 SSL 握手过程中, Web 服务器会要求浏览器提交用户证书,用户选择要使用的数字证书发送给 Web 服务器, Web 服务器收到用户证书后对证书进行验证,判断该证书是否可信任,从而决定用户是否是授权用户,如果是授权用户,才允许访问 Web 服务器。这样不仅将没有数字证书的非交易用户的访问过滤掉,而且保证了用户的浏览器到 Web 服务器之间的数据传输是加密的。 BEA 公司的 Weblogic 是优秀的企业级应用中间件,对 JSP 有良好的支持,而且在与数据库通信方面有很大的优势。正是看中了 Weblogic 在上述领域的优秀表现,我们在方案中采用 Weblogic 作为应用中间件和 JSP 运行平台。 考虑到采用 HTTPS 协议会降低系统的性能,因此为 Apache 安装了安软彩虹 SSL 加速卡,专门承担 SSL 握手过程中的最耗 CPU 资源的非对称算法,使系统性能有了很大的提高。 整套系统的结构如下图:
文件系统 考虑到文件的保密性和管理的方便性,用户上载的文件存储在 Oracle 数据库中。用户只能通过自己的数字证书在限定的时间内通过特定的网页下载文件,而无法通过其他方式打开其他人上传的文件。即使是数据库的管理员也无法通过特权查看文件。 |
| 小结 |
| 综上所述,该解决方案利用 PKI 技术的应用(主要包括数字证书, EverLink CA 证书服务器企业版和加密传输技术 -SSL )从各个角度全方位地保证了网上招投标过程的安全性,最大限度的堵住了各方面可能存在的安全漏洞,同时通过使用安软彩虹的 SSL 硬件加速卡也兼顾了系统相应速度。为网上招投标过程提供了一个安全的、值得信赖的电子商务平台。 |
