張國俊 張建峰

(1.常州信息職業(yè)技術(shù)學(xué)院 江蘇常州 213164 2.常州市建設(shè)工程招標(biāo)投標(biāo)辦公室 江蘇常州 213015)

電子簽名技術(shù)在網(wǎng)上招投標(biāo)系統(tǒng)中的應(yīng)用

張國俊1張建峰2

(1.常州信息職業(yè)技術(shù)學(xué)院 江蘇常州 213164 2.常州市建設(shè)工程招標(biāo)投標(biāo)辦公室 江蘇常州 213015)

介紹了基于PKI的數(shù)字簽名技術(shù)的具體流程和電子簽名章或印章的制作與使用，以及電子簽名章或印章在網(wǎng)上招投標(biāo)系統(tǒng)中的應(yīng)用。有效地解決在網(wǎng)上招投標(biāo)系統(tǒng)中電子文稿的簽字蓋章問題，并使得這些電子文稿具有法律效力，也使得網(wǎng)上招投標(biāo)系統(tǒng)更具有實(shí)際應(yīng)用價(jià)值。

數(shù)字簽名;招投標(biāo);電子簽名

0 引言

為了加強(qiáng)信息化管理服務(wù)，全面實(shí)現(xiàn)各級(jí)政府采購中心、招標(biāo)投標(biāo)辦公室以及企業(yè)集團(tuán)等在互聯(lián)網(wǎng)絡(luò)上進(jìn)行招標(biāo)、投標(biāo)和評(píng)標(biāo)的全過程，已經(jīng)成功地研究開發(fā)出了“網(wǎng)上招標(biāo)、投標(biāo)和評(píng)標(biāo)管理平臺(tái)”。該管理平臺(tái)主要依據(jù)《中華人民共和國招投標(biāo)法》等相關(guān)法律法規(guī)和政策研制而成，并提供了人性化的操作方式，因而將很多人為的勞動(dòng)用計(jì)算機(jī)來代替，減輕了人們的勞動(dòng)強(qiáng)度，同時(shí)也減少了人為的失誤，使得業(yè)務(wù)操作更加便捷和有效。該管理平臺(tái)通過招標(biāo)、投標(biāo)和評(píng)標(biāo)工作的無紙化和網(wǎng)絡(luò)化，大大降低了交易的相關(guān)成本。然而，通過互聯(lián)網(wǎng)絡(luò)進(jìn)行交互時(shí)，由于參與招標(biāo)、投標(biāo)和評(píng)標(biāo)工作的幾方人員并不在現(xiàn)場交互，因而無法確認(rèn)幾方人員的合法身份。與此同時(shí)，交互的相關(guān)信息也是幾方人員的商業(yè)秘密，在互聯(lián)網(wǎng)絡(luò)上傳輸時(shí)也必須保證其安全性，防止交互的相關(guān)信息被竊取和篡改。在采用數(shù)字證書(即CA證書)認(rèn)證體系之前，“網(wǎng)上招標(biāo)、投標(biāo)和評(píng)標(biāo)管理平臺(tái)”中相關(guān)信息的網(wǎng)上安全問題其實(shí)一直都未能真正得到解決。

1 應(yīng)用基礎(chǔ)

2005年4月1日起正式施行的《中華人民共和國電子簽名法》，在法律上保證了電子簽名的合法性和有效性。將電子簽名技術(shù)應(yīng)用到網(wǎng)上招投標(biāo)系統(tǒng)中，使得“網(wǎng)上招標(biāo)、投標(biāo)和評(píng)標(biāo)管理平臺(tái)”中相關(guān)信息得到安全保護(hù)，并具有法律效力。

2 電子簽名技術(shù)

目前，可通過多種技術(shù)手段實(shí)現(xiàn)電子簽名，在確認(rèn)簽署者的確切身份后，可以用多種不同的方法簽署一份電子文稿。但比較成熟的、使用方便具有可操作性的、在世界先進(jìn)國家和我國普遍使用的電子簽名技術(shù)，還是基于PKI的數(shù)字簽名技術(shù)。

2.1 數(shù)字簽名［1］

數(shù)字簽名是利用公鑰密碼技術(shù)和HASH算法生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，來代替手寫簽名和印章。數(shù)字簽名技術(shù)主要作用是保證數(shù)據(jù)的完整性和簽名者身份的抗否認(rèn)性。數(shù)字簽名的具體流程為:

①用戶產(chǎn)生一段電子文稿，然后對(duì)這段電子文稿進(jìn)行HASH變換，形成消息摘要(即相應(yīng)的HASH值)用戶再用自己的私有密鑰SK(Secret Key)對(duì)生成的消息摘要進(jìn)行加密，并將原始的電子文稿和加密后的消息傳送給指定的接收者。

②接收者利用發(fā)送者的公開密鑰PK(public key)進(jìn)行解密得到發(fā)送者的原始電子文稿和該消息的摘要，然后將收到的原始文字信息進(jìn)行同樣的單項(xiàng)不可逆的HASH變換。如果解密后的消息摘要和接收方自己產(chǎn)生的消息摘要一致，則接收方可以相信對(duì)方的文字信息，其內(nèi)容的完整性、正確性和簽字的真實(shí)性都得到了保障。

2.2 電子簽名章的制作與使用［2］

為了方便用戶對(duì)電子文稿進(jìn)行簽名，并能將手寫簽名或印章在電子文稿上顯現(xiàn)出來，將圖形化的手寫簽名或印章與數(shù)字證書綁定，通過印章制作軟件將其寫入到帶USB接口的電子鑰匙中(如圖1所示)。使用時(shí)，首先要安裝好電子簽名章軟件，然后將電子鑰匙插入計(jì)算機(jī)的USB接口中，并調(diào)入電子文稿(Word、PDF或Excel等格式)，點(diǎn)擊菜單欄上【電子印章】項(xiàng)中【簽章】即可。由于采用綁定技術(shù)，在對(duì)用戶的電子文稿進(jìn)行數(shù)字簽名的同時(shí)，能將手寫簽名或印章在電子文稿上顯現(xiàn)出來(如表1所示)。根據(jù)《中華人民共和國電子簽名法》，這樣一份電子文稿便具有了法律效力。

圖1 電子鑰匙預(yù)置內(nèi)容

表1 電腦配件項(xiàng)目開標(biāo)評(píng)分表

3 網(wǎng)上招投標(biāo)的安全保障［3］

信息化給人們帶來了方便和快捷，但是，網(wǎng)絡(luò)從誕生之初就不可避免地伴生著各種各樣的安全問題。設(shè)備故障，病毒、網(wǎng)絡(luò)黑客的攻擊，甚至是內(nèi)部人員的破壞，都可能給網(wǎng)上招投標(biāo)業(yè)務(wù)帶來很大的危害，影響招投標(biāo)工作的順利進(jìn)行。

網(wǎng)上招投標(biāo)系統(tǒng)也是一種網(wǎng)絡(luò)信息系統(tǒng)，因此具有其他的信息系統(tǒng)類似的安全隱患和安全問題，但是作為一種實(shí)現(xiàn)特殊業(yè)務(wù)的特有系統(tǒng)，網(wǎng)上招投標(biāo)也具有一些其自身特點(diǎn)的安全需求，以及滿足這些特殊需求的解決方案。

3.1 網(wǎng)上招投標(biāo)的安全需求

在網(wǎng)上招投標(biāo)系統(tǒng)的設(shè)計(jì)與開發(fā)過程中，要考慮通用的物理層安全、主機(jī)安全和網(wǎng)絡(luò)安全，在應(yīng)用層面上，還要考慮符合自身特點(diǎn)的安全性需求:

①身份合法性:必須能夠確認(rèn)招投標(biāo)人身份，保證只有適當(dāng)?shù)娜瞬拍茉L問適當(dāng)?shù)臉I(yè)務(wù)。

②權(quán)限的控制:招標(biāo)方操作人員、主管領(lǐng)導(dǎo)，投標(biāo)方操作人員，評(píng)標(biāo)專家各司其職，每個(gè)角色只能完成自己分內(nèi)的工作，查看自己分內(nèi)的信息。

③不可抵賴性:投標(biāo)企業(yè)在發(fā)送投標(biāo)書后不能抵賴，不能否認(rèn)自己的投標(biāo)行為和投標(biāo)書內(nèi)容。評(píng)標(biāo)專家也不可否認(rèn)自己的評(píng)審評(píng)分或評(píng)審意見。

④安全傳輸:投標(biāo)信息在網(wǎng)絡(luò)上傳輸時(shí)，要不能被其他投標(biāo)人了解和篡改，要能夠證明投標(biāo)信息的真實(shí)性和完整性。

⑤時(shí)效性:招標(biāo)信息要在同一時(shí)間通知投標(biāo)方，投標(biāo)資料在同一時(shí)間被打開，防止有人從中舞弊。

⑥安全存儲(chǔ):使用數(shù)字信封對(duì)投標(biāo)文件進(jìn)行封裝。即使網(wǎng)絡(luò)主機(jī)被黑客攻破，存儲(chǔ)的投標(biāo)文件被獲取，競爭對(duì)手也無法獲得投標(biāo)文件內(nèi)容。

3.2 電子簽名在網(wǎng)上招投中的應(yīng)用

網(wǎng)上招投標(biāo)的業(yè)務(wù)流程為這幾階段:招標(biāo)信息制定預(yù)發(fā)布階段;投標(biāo)企業(yè)查閱招標(biāo)信息階段;投標(biāo)企業(yè)制作投標(biāo)書參加投標(biāo)階段;評(píng)標(biāo)階段;招標(biāo)結(jié)果發(fā)布階段。在招投標(biāo)的各個(gè)階段中基本上都需要使用電子鑰匙(如圖1所示)進(jìn)行身份確認(rèn)或進(jìn)行電子簽名。由于電子簽名可以保證數(shù)據(jù)的完整性和簽名者身份的抗否認(rèn)性，因而在網(wǎng)上招投標(biāo)系統(tǒng)中使用電子簽名技術(shù)，可以滿足網(wǎng)上招投標(biāo)的業(yè)務(wù)流程中的身份確認(rèn)、不可抵賴、信息的真實(shí)和完整等安全性需求，從而保障網(wǎng)上招投標(biāo)工作的順利進(jìn)行。

1)招標(biāo)信息制定預(yù)發(fā)布階段。首先制定招標(biāo)信息摘要，招標(biāo)申請(qǐng)報(bào)主管部門審批。審批后，業(yè)務(wù)人員和主管領(lǐng)導(dǎo)用各自持有的電子鑰匙，輸入口令，通過雙向身份認(rèn)證后，登錄招投標(biāo)平臺(tái)，擬定審批招標(biāo)公告信息，經(jīng)電子簽名后，在“網(wǎng)上招標(biāo)、投標(biāo)和評(píng)標(biāo)管理平臺(tái)”上發(fā)布招標(biāo)公告。

2)企業(yè)瀏覽相關(guān)信息。具有電子鑰匙的投標(biāo)企業(yè)可以輸入口令，通過雙向身份認(rèn)證后，訪問招標(biāo)摘要信息，決定是否投標(biāo);若企業(yè)參加投標(biāo)，則需交納投標(biāo)保證金，填寫投標(biāo)申請(qǐng)表，并對(duì)申請(qǐng)表進(jìn)行電子簽名，然后通過口令加密傳輸?shù)秸袠?biāo)網(wǎng)站。

招標(biāo)單位制作正式的招標(biāo)文件并使用數(shù)字信封進(jìn)行加密，還設(shè)置訪問權(quán)限。對(duì)通過報(bào)名資格審查并交納投標(biāo)保證金的企業(yè)進(jìn)行授權(quán)。

3)投標(biāo)企業(yè)查閱信息階段。投標(biāo)企業(yè)經(jīng)過授權(quán)，輸入口令，通過雙向身份認(rèn)證后，建立加密通道下載正式的招標(biāo)文件。投標(biāo)企業(yè)利用自己的私鑰解密招標(biāo)文件，若對(duì)招標(biāo)文件中有關(guān)內(nèi)容有疑問，可進(jìn)行網(wǎng)上答疑。只有相關(guān)的招標(biāo)人員和被授權(quán)的投標(biāo)企業(yè)的人員用各自持有的電子鑰匙，輸入口令，通過雙向身份認(rèn)證后才能登錄到網(wǎng)上的答疑平臺(tái)進(jìn)行答疑。

4)制作投標(biāo)書參加投標(biāo)階段。投標(biāo)企業(yè)根據(jù)招標(biāo)文件制作投標(biāo)書，并對(duì)標(biāo)書進(jìn)行簽名蓋章，實(shí)現(xiàn)抗抵賴、防止篡改。然后使用用戶端安全API產(chǎn)生隨機(jī)密鑰對(duì)投標(biāo)書進(jìn)行加密，并進(jìn)行數(shù)字信封的封裝，實(shí)現(xiàn)保密。最后上傳到招投標(biāo)平臺(tái)。

5)評(píng)標(biāo)階段。系統(tǒng)對(duì)投標(biāo)文件進(jìn)行鎖定，直到開標(biāo)時(shí)間，才允許開標(biāo)人員訪問投標(biāo)文件。

評(píng)標(biāo)專家使用個(gè)人的電子鑰匙，輸入口令，通過雙向身份認(rèn)證后，登錄招投標(biāo)平臺(tái)。利用加密通道下載投標(biāo)文件，進(jìn)行技術(shù)評(píng)審。專家按照要求填寫評(píng)審評(píng)分表或評(píng)審意見，并進(jìn)行電子簽名(如表1所示)。最后上傳專家評(píng)審評(píng)分表或評(píng)審意見。

6)招標(biāo)結(jié)果發(fā)布。匯總專家評(píng)審評(píng)分表或評(píng)審意見，確定中標(biāo)企業(yè)。然后驗(yàn)證中標(biāo)企業(yè)已經(jīng)交納相關(guān)費(fèi)用，并授權(quán)管理人員，輸入口令，通過雙向身份認(rèn)證后，在“網(wǎng)上招標(biāo)、投標(biāo)和評(píng)標(biāo)管理平臺(tái)”上發(fā)布中標(biāo)公告。

由于基于PKI的公鑰密碼技術(shù)的電子簽名技術(shù)，能夠保證數(shù)據(jù)的完整性，并具有簽名者身份的不可否認(rèn)性。因此，在網(wǎng)上招投標(biāo)系統(tǒng)中應(yīng)用電子簽名技術(shù)，能夠確保招投標(biāo)標(biāo)書及專家評(píng)標(biāo)意見的真實(shí)性和完整性，使得評(píng)標(biāo)過程更加透明，體現(xiàn)了公開、公平、公正的招投標(biāo)理念，同時(shí)也使得網(wǎng)上招投標(biāo)系統(tǒng)更具有實(shí)際應(yīng)用價(jià)值。

［1］段保護(hù)，王鍵.數(shù)字簽名技術(shù)的新探討［J］.計(jì)算機(jī)工程與科學(xué)，2009(4):84-86.

［2］張國俊，白聚核.基于PKI的嵌入式電子印章系統(tǒng)［J］.常州信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008(2):7-9.

［3］趙志華，張永新.基于網(wǎng)上招投標(biāo)系統(tǒng)的安全性研究［J］.大慶師范學(xué)院學(xué)報(bào)，2010(3):31-34.

The Application of Electronic Signature Technology in Online Bidding System

ZHANG Guo-jun1ZHANG Jian-feng2
(1.Changzhou College of Information Technology,Changzhou 213164 2.Changzhou Construction Project Bids and Entering Bids Office,Changzhou 213015,China)

This article describes the specific processes based on the PKI digital signature technology,the facture and application of electronic signature stamp or seal,and the application of electronic signature stamp or seal in online bidding system.The effective solution to the issues of signature and seal in online bidding system makes the electronic documents have legal effect and makes the online bidding system have more practical value.

digital signature;bidding;electronic signature

TP 393.08

A

1672-2434(2011)04-0022-03

2011-03-16

2010年常州市第三十二批科技計(jì)劃(社會(huì)發(fā)展科技計(jì)劃)項(xiàng)目(CS20100016)

張國俊(1956-)，男，副教授，從事研究方向:計(jì)算機(jī)應(yīng)用