PKI技術(shù)在電子招投標(biāo)中的應(yīng)用

1電子招投標(biāo)的功能及對(duì)PKI技術(shù)的應(yīng)用

1.1PKI技術(shù)

“公開(kāi)密鑰基礎(chǔ)設(shè)施”PKI（Public Key Infrastructure）是國(guó)際上目前較為成熟的解決開(kāi)放式互聯(lián)網(wǎng)絡(luò)信息安全需求的一套體系，PKI是通過(guò)使用公開(kāi)密鑰技術(shù)和數(shù)字證書來(lái)確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。PKI讓個(gè)人或企業(yè)安全地從事其商業(yè)行為。PKI采用各參與方都信任一個(gè)同一CA（認(rèn)證中心），由該CA來(lái)核對(duì)和驗(yàn)證各參與方身份的身份這種信任機(jī)制。通過(guò)公鑰基礎(chǔ)設(shè)施（PKI），交易雙方共同信任簽發(fā)其數(shù)字證書的認(rèn)證中心（CA）。

PKI安全技術(shù)可以實(shí)現(xiàn)如下應(yīng)用：

身份認(rèn)證

信息傳輸、存儲(chǔ)的完整性

信息傳輸、存儲(chǔ)的機(jī)密性

操作的不可否認(rèn)性

1.2PKI門限密碼技術(shù)

PKI安全技術(shù)和門限密碼算法結(jié)合的RSA門限密碼算法是實(shí)現(xiàn)投標(biāo)時(shí)將標(biāo)書加密和開(kāi)標(biāo)時(shí)多人將標(biāo)書解密的關(guān)鍵技術(shù)。

門限密碼算法是一種秘密共享方案，用于解決這樣一種安全需要，將秘密在某群體集合P中共享，只有P的某些子集才能解開(kāi)秘密或使用秘密。我們需找一種方法，用用一定的密碼算法，對(duì)數(shù)據(jù)加密，并將加密的相關(guān)密鑰分發(fā)到n手中，從而n個(gè)人共同用用秘密；當(dāng)至少有t個(gè)人共同參與時(shí)，各自使用自己的密鑰分塊，協(xié)作對(duì)文件進(jìn)行解密。而任何不滿足條件的實(shí)體集合（不夠t個(gè)實(shí)體），即使具有無(wú)窮的計(jì)算能力，也無(wú)法獲取秘密的任何信息。除了加密，門限密碼還用于簽名，即n個(gè)人中至少必須有t個(gè)人共同參與才能代表全體使用私鑰對(duì)信息進(jìn)行有效簽名。

RA門限密碼在信息安全領(lǐng)域有很多應(yīng)用，應(yīng)用于電子招投標(biāo)的主要是文件加密/解密，主要應(yīng)用環(huán)境是在將機(jī)密文件進(jìn)行加密，在需要解密的時(shí)候，需要必須有N個(gè)人中至少T個(gè)人在場(chǎng)才能解開(kāi)。

1.3電子招投標(biāo)的功能及對(duì)PKI技術(shù)的應(yīng)用

應(yīng)用PKI技術(shù)實(shí)現(xiàn)的電子招投標(biāo)主要由三大組成模塊：投標(biāo)模塊、開(kāi)標(biāo)模塊以及加密管理模塊。

（1）投標(biāo)模塊

主要供投標(biāo)者（供應(yīng)商）使用，主要實(shí)現(xiàn)標(biāo)書的簽名和加密功能。投標(biāo)模塊應(yīng)用PKI技術(shù)的身份認(rèn)證功能和信息傳輸、存儲(chǔ)的機(jī)密性功能，對(duì)投標(biāo)者（供應(yīng)商）實(shí)現(xiàn)使用數(shù)字證書安全登錄和實(shí)現(xiàn)應(yīng)標(biāo)書在互聯(lián)網(wǎng)的保密性。

（2）開(kāi)標(biāo)模塊

主要供專家開(kāi)標(biāo)使用，主要實(shí)現(xiàn)標(biāo)書的在符合開(kāi)標(biāo)規(guī)則（條件）下的解密功能。具體功能如下：

上傳標(biāo)書功能

在打開(kāi)標(biāo)書之前，由指定人員將要開(kāi)標(biāo)的標(biāo)書通過(guò)的“上傳標(biāo)書功能”上傳到開(kāi)標(biāo)服務(wù)器端。這個(gè)功能應(yīng)用到了PKI技術(shù)的“身份認(rèn)證”功能和“信息傳輸、存儲(chǔ)的完整性”，實(shí)現(xiàn)指定人員使用數(shù)字證書安全登錄功能和確保標(biāo)書在互聯(lián)網(wǎng)上的完整性功能。

解開(kāi)標(biāo)書功能

開(kāi)標(biāo)模塊接到解開(kāi)標(biāo)書命令后，首先從時(shí)間戳服務(wù)器上獲得標(biāo)準(zhǔn)時(shí)間，驗(yàn)證標(biāo)書的時(shí)效性；最后開(kāi)標(biāo)模塊依據(jù)加密規(guī)則管理模塊制定的加密規(guī)則，要求符合一定人數(shù)的開(kāi)標(biāo)人員（5選3或7選5等）同時(shí)插入數(shù)字證書的存儲(chǔ)介質(zhì)方可進(jìn)行解開(kāi)標(biāo)書的操作。根據(jù)招投標(biāo)“公平、公開(kāi)、公正”的原則，開(kāi)標(biāo)書功能使用到了PKI門限密碼技術(shù)，實(shí)現(xiàn)了N個(gè)開(kāi)標(biāo)人中T個(gè)人開(kāi)標(biāo)人同時(shí)在場(chǎng)方可開(kāi)標(biāo)的要求，其中N大于等于T，T不得少于一定的人數(shù)。

保存投標(biāo)模塊上傳的標(biāo)書，這功能應(yīng)用了PKI的信息傳輸、存儲(chǔ)的完整性和機(jī)密性。

（3）加密管理模塊

主要由電子招投標(biāo)管理員或招標(biāo)負(fù)責(zé)人使用，主要實(shí)現(xiàn)開(kāi)標(biāo)規(guī)則制訂、下載等管理功能。具體的功能如下：

加密規(guī)則文件的制定

制訂開(kāi)標(biāo)規(guī)則后會(huì)形成一個(gè)加密規(guī)則文件，加密規(guī)則文件是投標(biāo)器加密標(biāo)書的規(guī)則依據(jù)，加密規(guī)則文件是經(jīng)過(guò)加密的文件，使用其他軟件是無(wú)法查看到規(guī)則文件的內(nèi)容的。加密規(guī)則文件包含開(kāi)標(biāo)的條件，比如：總開(kāi)標(biāo)人數(shù)、同時(shí)在場(chǎng)才可以解開(kāi)標(biāo)書的人數(shù)、參與開(kāi)標(biāo)人的公鑰、開(kāi)標(biāo)時(shí)間……

規(guī)則文件下載

加密規(guī)則文件在服務(wù)器端生成后，管理人員或招標(biāo)負(fù)責(zé)人還須將該規(guī)則文件下載，以便將該規(guī)則文件對(duì)外發(fā)布。

刪除規(guī)則文件

管理人員或招標(biāo)負(fù)責(zé)人通過(guò)刪除功能刪除不需要的規(guī)則文件。

開(kāi)標(biāo)公鑰管理：

開(kāi)標(biāo)公鑰是指參與開(kāi)標(biāo)人員的公鑰，通過(guò)開(kāi)標(biāo)公鑰管理功能增加或刪除開(kāi)標(biāo)人員的公鑰，開(kāi)標(biāo)公鑰的管理也等同于開(kāi)標(biāo)人員庫(kù)的管理，每次生成規(guī)則文件中都從該人員庫(kù)中挑選若干人員作為開(kāi)標(biāo)人員。

系統(tǒng)用戶管理：

用戶管理模塊管理的是有權(quán)限訪問(wèn)開(kāi)標(biāo)規(guī)則管理器的用戶。

2PKI技術(shù)在電子招投標(biāo)中的應(yīng)用流程

1.招標(biāo)商在擬定標(biāo)書的同時(shí)，由指定人員使用PKI數(shù)字證書登錄加密規(guī)則管理模塊，在加密規(guī)則管理服務(wù)器生成經(jīng)過(guò)PKI技術(shù)加密的加密規(guī)則文件。

2.通過(guò)手工上傳或其他方式將加密規(guī)則文件上傳到招投標(biāo)系統(tǒng)中，供應(yīng)商下載。規(guī)則文件不一定要上傳到專門的招投標(biāo)系統(tǒng)中，只要能夠讓供應(yīng)商可以下載的地方即可，也可把標(biāo)書和加密規(guī)則文件放在政府的門戶網(wǎng)站上供供應(yīng)商下載，甚至可以通過(guò)Email的方式發(fā)送給供應(yīng)商。

3.供應(yīng)商下載規(guī)則文件。

4.供應(yīng)商根據(jù)招標(biāo)書完成應(yīng)標(biāo)文件之后，使用數(shù)字證書登錄投標(biāo)模塊對(duì)應(yīng)標(biāo)文件進(jìn)行PKI技術(shù)的簽名和加密操作。

5.供應(yīng)商將加簽名和加密后的標(biāo)書上傳給招標(biāo)方。

6.招標(biāo)方將收到的加密標(biāo)書放在標(biāo)書存儲(chǔ)服務(wù)器上。

7.即將開(kāi)標(biāo)時(shí)，指定人員將標(biāo)書從存儲(chǔ)服務(wù)器下載到開(kāi)標(biāo)環(huán)境中。

8.由指定人員將標(biāo)書通過(guò)開(kāi)標(biāo)模塊上傳到開(kāi)標(biāo)服務(wù)器中，在滿足開(kāi)標(biāo)條件（即是加密規(guī)則文件中所定義的條件）下方可解開(kāi)標(biāo)書，此環(huán)節(jié)應(yīng)用到了PKI的門限加密技術(shù)。

3結(jié)語(yǔ)

PKI技術(shù)在電子招投標(biāo)的應(yīng)用，實(shí)現(xiàn)了招投標(biāo)業(yè)務(wù)流程功能的同時(shí)，也通過(guò)安全、先進(jìn)的技術(shù)很好的實(shí)現(xiàn)了電子招投標(biāo)的“公平、公正、公開(kāi)”原則。PKI技術(shù)在我國(guó)經(jīng)過(guò)數(shù)年的應(yīng)用和發(fā)展，充分參考和借鑒國(guó)內(nèi)外先進(jìn)的成功經(jīng)驗(yàn)，經(jīng)過(guò)大量測(cè)試和項(xiàng)目實(shí)施的積累，現(xiàn)如今PKI技術(shù)的應(yīng)用技術(shù)已經(jīng)相當(dāng)?shù)某墒臁?/p>