摘要省级的采购平台都是三级以上等级保护系统的范畴的,是关系到很多供应商和采购商具体利益和体现采购公平的重要系统,根据相关要求必须要应用身份认证和加解密及电子签名的功能。本文通过对相关法规和规范要求的掌握,结合自身电子认证行业的经验,设计了本文中的身份认证模块、标书加解密模块。在细致测试的基础上,完成了平台的安全升级。
一、背景
随着信息网络的快速发展,互联网应用快速普及,在我国的采购行业中,目前绝大多数省份都已经实现了基于互联网的网上招投标平台应用,通过平台开展招投标工作。据国家互联网应急中心的数据显示,近年来我国的网络安全事件高发频发,尤其是在政府应用系统领域。网络攻击愈发频繁的出现,如何确保政府采购系统的安全愈发的重要。电子认证的应用可以使大部分招投标交易在互联网上完成。电子认证技术可以保障政府采购流程的网络安全、信息安全,进一步保障电子招投标平台承担交易的公开、公平、公正。
二、关键技术和规范要求
电子认证技术是当前国内比较流行的利用公钥基础设施(PKIX)进行的安全认证技术。该技术主要是以公钥技术、数字证书、UKEY和CA构成了主要的技术支撑体系。电子认证技术的成熟是在X.509标准制定后,因为该标准详细定义了证书的格式,在版本更新中,又引入了黑名单的组件,标准也对该组件进行了详细的定义。因此之后的应用中就可以参照该标准执行。X.509目前最新版本是V3,该版本结合互联网应用发展了PKIX系统。现在国内的电子认证系统大部分都符合PKIX的标准要求。所谓的公钥加密是非对称加密技术,非对称加密技术中用于信息加密的密钥和解密的密钥是两个不同的字符串,这两个字符串是经过相关公钥密码算法计算得到。目前国内应用最广泛的非对称加密算法是SM2算法和RSA算法。
UKEY是USB-Key的简写,意思就是USB接口的小钥匙,也叫U盘加密锁或智能钥匙。UKEY其实就是存储数字证书并且具有密码运算功能的一个载体,并在电子认证行业中普遍应用,最常见的就是银行的U盾。UKEY中是有密码处理芯片的,可以生成加密算法的密钥对。
目前国内电子认证相关的法规已经基本得到了完善,2005年的《电子签名法》是该行业的法律基础。随后又陆续出台了更加具体的《电子认证服务管理办法》,给行业的有序运行做了规范。在技术方面,2006年的国标GB/T20518首先规定了证书的格式(按照X509的标准化)和基础设施。之后又发布了CA系统的规范(GB 25056-2010-T)和电子签名的规范(GB 25064-2010-T)。从这么多的规范中可以看到我国电子认证行业愈加成熟。
三、系统建设方案
本文的电子认证应用实践是对已运行的网上招投标系统进行安全升级加固,使该业务系统符合国家发布的《计算机等保条例》和《电子招标投标办法》的相关要求。首先是应用电子身份认证,通过数字证书来标示具体的参与采购与供货商的身份信息,并在网上招投标系统内网架设数字证书安全认证网关,实现用户数字证书的读取与鉴别。其次,实现对数据传输过程的加密,保证数据传输安全。再次,应用非对称密钥加解密功能,对招投标机密信息进行加密与解密。最后,通过电子签章系统实现对标书存档数字签名和加盖公章以实现标书文件存档的效力。系统安全加固的技术实现主要是在身份验证、标书加解密和投标书等方面。
期刊文章分类查询,尽在期刊图书馆
第一,供应商等角色的身份验证
本块实现方案是指投标人主体身份的确认,防止非法用户、黑客等对应用服务器的攻击,保证内部网络的安全。在安全加固之前,系统是采用过去的密码盘的形式进行系统登录,并用cookie进行用户的访问控制。这一身份认证方案对于恶意的非法用户,只要用穷举法即可简单的掌握某个用户的身份信息,并获取标书内容,这样的方式存在着巨大的安全威胁。所以将身份认证升级为用数字证书的方式代替密码盘的登录方式,实现用户的强身份认证,使非法用户无法破解用户信息。
第二,标书关键信息的加密和解密
在实现了用户身份验证的基础上,如何防止或排除内部管理人员窃取用户投标书中的关键信息(投标底价等)也是一个非常重要的问题,基于PKI的非对称加解密技术给这个问题提供了良好的解决方案。用户只需要提交标书的时候给关键信息进行公钥加密,在公开标书的时候提供CA中心颁发给其的UKEY进行私钥解密,在公开标书前标书存储在服务器中是以密文的形式存储的,只有在公开标书后才解密为明文的标书,这样就可以保证标书关键信息的保密性。
其中,应用数字证书的身份认证过程如下:
首先,验证用户证书的公钥和签名是否匹配。这个验证是最基本的验证,验证用户的公私密钥对是匹配的,而不是伪造的。这个过程是网关获取用户的公钥证书,获取公钥证书后即可利用公钥和签名,验证是否匹配。
其次,用户证书的有效日期是有效的。每张数字证书都是有其时效性的,不同的用途一般有一年的,也有多年的。如果用户的证书超出有效期,应用系统采用CAPICOM接口来调用数字证书库,则用户的客户端无法选择该证书进行通信,因为操作系统会自动屏蔽无效的数字证书。网关得到用户证书后,会用系统时间与证书有效期匹配,如果过期,则拒绝用户的请求。
再次,验证用户证书的证书链是完整有效的。该项验证的目的在于网关获取的用户证书是否是所信任的认证中心颁发的。
最后,验证所收到的证书不在黑名单中。该项验证最重要,是对数字证书管理的重要手段。目前比较流行的黑名单技术手段有CRL和OCSP等服务。CRL是非及时的查询服务,而OCSP是即时的查询服务。如证书在黑名单中,则返给用户错误信息。
加解密服务的作用对象可以分为数据和文件,前者就是对某段数据电文进行加密,防止被他人窃听,后者是把文件整体进行加密,使他人无法识别和打开经加密的文件。本系统是针对web页面上的一些重要信息字段进行加密处理,采用UKEY数字证书的公钥加密方式。web页面上的信息组装成待加密数据结构,调用加密控件进行加密,然后把密文传到后台存入数据库。
UKEY主要涉及的三个组件:CSP(Cryptographic Service Provider加密服务提供程序)、CryptoAPI、Capicom组件。CSP就是加密服务提供者,它是生成密钥对和使用密钥对的最直接的管理程序。Microsoft Enhanced Cryptographic Provider 是微软系统证书服务的默认CSP,飞天等UKEY厂商均有自己的CSP。CryptoAPI接口用来操作密钥,完成相应的服务,常用的服务被微软集成到了Capicom组件之中,开发人员只需要在开发环境中引入这个DLL即可调用相关的函数,大大简化了开发工作的复杂度。在.NET框架中,只需引入命名空间System.Security.Cryptography即可调用这个组件的相关函数模块。Capicom设计用来完成密钥管理和数字证书管理。目前最新的版本是2.1的。Capicom的优点是把原本CryptoAPI里面的操作细节进行了封装,接口进行了简化。
四、系统建设经验总结
在电子认证技术集成到各种现成已开发完成或未完成的应用中的时候,在各种不同的应用环境下,需求却基本是一样的。应用方采用电子认证就是要实现统一的身份认证和网络安全保障。在以往的项目中,大多采用集成中间件然后进行研发,这样的模式一方面推进进度比较缓慢,另一方面研发难度也是高度依赖中间件提供者的开发协助。所以如何实现既简单高效、又服务统一的电子认证技术就是行业应用的突破点。采用身份认证网关、UKEY、CAPICOM控件等技术很好的解决了该问题,使在电子招投标系统中,原系统只进行了简单的升级,研发时间很短,对于项目的顺利开展十分重要,可以在类似项目中积极应用。
论文作者:马少卫
论文发表刊物:《科技新时代》2019年8期
论文发表时间:2019/10/12
标签:标书论文; 用户论文; 电子论文; 系统论文; 证书论文; 密钥论文; 数字证书论文; 《科技新时代》2019年8期论文;