張國俊 張建峰

(1.常州信息職業(yè)技術學院 江蘇常州 213164 2.常州市建設工程招標投標辦公室 江蘇常州 213015)

電子簽名技術在網(wǎng)上招投標系統(tǒng)中的應用

張國俊1張建峰2

(1.常州信息職業(yè)技術學院 江蘇常州 213164 2.常州市建設工程招標投標辦公室 江蘇常州 213015)

介紹了基于PKI的數(shù)字簽名技術的具體流程和電子簽名章或印章的制作與使用，以及電子簽名章或印章在網(wǎng)上招投標系統(tǒng)中的應用。有效地解決在網(wǎng)上招投標系統(tǒng)中電子文稿的簽字蓋章問題，并使得這些電子文稿具有法律效力，也使得網(wǎng)上招投標系統(tǒng)更具有實際應用價值。

數(shù)字簽名;招投標;電子簽名

0 引言

為了加強信息化管理服務，全面實現(xiàn)各級政府采購中心、招標投標辦公室以及企業(yè)集團等在互聯(lián)網(wǎng)絡上進行招標、投標和評標的全過程，已經(jīng)成功地研究開發(fā)出了“網(wǎng)上招標、投標和評標管理平臺”。該管理平臺主要依據(jù)《中華人民共和國招投標法》等相關法律法規(guī)和政策研制而成，并提供了人性化的操作方式，因而將很多人為的勞動用計算機來代替，減輕了人們的勞動強度，同時也減少了人為的失誤，使得業(yè)務操作更加便捷和有效。該管理平臺通過招標、投標和評標工作的無紙化和網(wǎng)絡化，大大降低了交易的相關成本。然而，通過互聯(lián)網(wǎng)絡進行交互時，由于參與招標、投標和評標工作的幾方人員并不在現(xiàn)場交互，因而無法確認幾方人員的合法身份。與此同時，交互的相關信息也是幾方人員的商業(yè)秘密，在互聯(lián)網(wǎng)絡上傳輸時也必須保證其安全性，防止交互的相關信息被竊取和篡改。在采用數(shù)字證書(即CA證書)認證體系之前，“網(wǎng)上招標、投標和評標管理平臺”中相關信息的網(wǎng)上安全問題其實一直都未能真正得到解決。

1 應用基礎

2005年4月1日起正式施行的《中華人民共和國電子簽名法》，在法律上保證了電子簽名的合法性和有效性。將電子簽名技術應用到網(wǎng)上招投標系統(tǒng)中，使得“網(wǎng)上招標、投標和評標管理平臺”中相關信息得到安全保護，并具有法律效力。

2 電子簽名技術

目前，可通過多種技術手段實現(xiàn)電子簽名，在確認簽署者的確切身份后，可以用多種不同的方法簽署一份電子文稿。但比較成熟的、使用方便具有可操作性的、在世界先進國家和我國普遍使用的電子簽名技術，還是基于PKI的數(shù)字簽名技術。

2.1 數(shù)字簽名［1］

數(shù)字簽名是利用公鑰密碼技術和HASH算法生成一系列符號及代碼組成電子密碼進行簽名，來代替手寫簽名和印章。數(shù)字簽名技術主要作用是保證數(shù)據(jù)的完整性和簽名者身份的抗否認性。數(shù)字簽名的具體流程為:

①用戶產(chǎn)生一段電子文稿，然后對這段電子文稿進行HASH變換，形成消息摘要(即相應的HASH值)用戶再用自己的私有密鑰SK(Secret Key)對生成的消息摘要進行加密，并將原始的電子文稿和加密后的消息傳送給指定的接收者。

②接收者利用發(fā)送者的公開密鑰PK(public key)進行解密得到發(fā)送者的原始電子文稿和該消息的摘要，然后將收到的原始文字信息進行同樣的單項不可逆的HASH變換。如果解密后的消息摘要和接收方自己產(chǎn)生的消息摘要一致，則接收方可以相信對方的文字信息，其內容的完整性、正確性和簽字的真實性都得到了保障。

2.2 電子簽名章的制作與使用［2］

為了方便用戶對電子文稿進行簽名，并能將手寫簽名或印章在電子文稿上顯現(xiàn)出來，將圖形化的手寫簽名或印章與數(shù)字證書綁定，通過印章制作軟件將其寫入到帶USB接口的電子鑰匙中(如圖1所示)。使用時，首先要安裝好電子簽名章軟件，然后將電子鑰匙插入計算機的USB接口中，并調入電子文稿(Word、PDF或Excel等格式)，點擊菜單欄上【電子印章】項中【簽章】即可。由于采用綁定技術，在對用戶的電子文稿進行數(shù)字簽名的同時，能將手寫簽名或印章在電子文稿上顯現(xiàn)出來(如表1所示)。根據(jù)《中華人民共和國電子簽名法》，這樣一份電子文稿便具有了法律效力。

圖1 電子鑰匙預置內容

表1 電腦配件項目開標評分表

3 網(wǎng)上招投標的安全保障［3］

信息化給人們帶來了方便和快捷，但是，網(wǎng)絡從誕生之初就不可避免地伴生著各種各樣的安全問題。設備故障，病毒、網(wǎng)絡黑客的攻擊，甚至是內部人員的破壞，都可能給網(wǎng)上招投標業(yè)務帶來很大的危害，影響招投標工作的順利進行。

網(wǎng)上招投標系統(tǒng)也是一種網(wǎng)絡信息系統(tǒng)，因此具有其他的信息系統(tǒng)類似的安全隱患和安全問題，但是作為一種實現(xiàn)特殊業(yè)務的特有系統(tǒng)，網(wǎng)上招投標也具有一些其自身特點的安全需求，以及滿足這些特殊需求的解決方案。

3.1 網(wǎng)上招投標的安全需求

在網(wǎng)上招投標系統(tǒng)的設計與開發(fā)過程中，要考慮通用的物理層安全、主機安全和網(wǎng)絡安全，在應用層面上，還要考慮符合自身特點的安全性需求:

①身份合法性:必須能夠確認招投標人身份，保證只有適當?shù)娜瞬拍茉L問適當?shù)臉I(yè)務。

②權限的控制:招標方操作人員、主管領導，投標方操作人員，評標專家各司其職，每個角色只能完成自己分內的工作，查看自己分內的信息。

③不可抵賴性:投標企業(yè)在發(fā)送投標書后不能抵賴，不能否認自己的投標行為和投標書內容。評標專家也不可否認自己的評審評分或評審意見。

④安全傳輸:投標信息在網(wǎng)絡上傳輸時，要不能被其他投標人了解和篡改，要能夠證明投標信息的真實性和完整性。

⑤時效性:招標信息要在同一時間通知投標方，投標資料在同一時間被打開，防止有人從中舞弊。

⑥安全存儲:使用數(shù)字信封對投標文件進行封裝。即使網(wǎng)絡主機被黑客攻破，存儲的投標文件被獲取，競爭對手也無法獲得投標文件內容。

3.2 電子簽名在網(wǎng)上招投中的應用

網(wǎng)上招投標的業(yè)務流程為這幾階段:招標信息制定預發(fā)布階段;投標企業(yè)查閱招標信息階段;投標企業(yè)制作投標書參加投標階段;評標階段;招標結果發(fā)布階段。在招投標的各個階段中基本上都需要使用電子鑰匙(如圖1所示)進行身份確認或進行電子簽名。由于電子簽名可以保證數(shù)據(jù)的完整性和簽名者身份的抗否認性，因而在網(wǎng)上招投標系統(tǒng)中使用電子簽名技術，可以滿足網(wǎng)上招投標的業(yè)務流程中的身份確認、不可抵賴、信息的真實和完整等安全性需求，從而保障網(wǎng)上招投標工作的順利進行。

1)招標信息制定預發(fā)布階段。首先制定招標信息摘要，招標申請報主管部門審批。審批后，業(yè)務人員和主管領導用各自持有的電子鑰匙，輸入口令，通過雙向身份認證后，登錄招投標平臺，擬定審批招標公告信息，經(jīng)電子簽名后，在“網(wǎng)上招標、投標和評標管理平臺”上發(fā)布招標公告。

2)企業(yè)瀏覽相關信息。具有電子鑰匙的投標企業(yè)可以輸入口令，通過雙向身份認證后，訪問招標摘要信息，決定是否投標;若企業(yè)參加投標，則需交納投標保證金，填寫投標申請表，并對申請表進行電子簽名，然后通過口令加密傳輸?shù)秸袠司W(wǎng)站。

招標單位制作正式的招標文件并使用數(shù)字信封進行加密，還設置訪問權限。對通過報名資格審查并交納投標保證金的企業(yè)進行授權。

3)投標企業(yè)查閱信息階段。投標企業(yè)經(jīng)過授權，輸入口令，通過雙向身份認證后，建立加密通道下載正式的招標文件。投標企業(yè)利用自己的私鑰解密招標文件，若對招標文件中有關內容有疑問，可進行網(wǎng)上答疑。只有相關的招標人員和被授權的投標企業(yè)的人員用各自持有的電子鑰匙，輸入口令，通過雙向身份認證后才能登錄到網(wǎng)上的答疑平臺進行答疑。

4)制作投標書參加投標階段。投標企業(yè)根據(jù)招標文件制作投標書，并對標書進行簽名蓋章，實現(xiàn)抗抵賴、防止篡改。然后使用用戶端安全API產(chǎn)生隨機密鑰對投標書進行加密，并進行數(shù)字信封的封裝，實現(xiàn)保密。最后上傳到招投標平臺。

5)評標階段。系統(tǒng)對投標文件進行鎖定，直到開標時間，才允許開標人員訪問投標文件。

評標專家使用個人的電子鑰匙，輸入口令，通過雙向身份認證后，登錄招投標平臺。利用加密通道下載投標文件，進行技術評審。專家按照要求填寫評審評分表或評審意見，并進行電子簽名(如表1所示)。最后上傳專家評審評分表或評審意見。

6)招標結果發(fā)布。匯總專家評審評分表或評審意見，確定中標企業(yè)。然后驗證中標企業(yè)已經(jīng)交納相關費用，并授權管理人員，輸入口令，通過雙向身份認證后，在“網(wǎng)上招標、投標和評標管理平臺”上發(fā)布中標公告。

由于基于PKI的公鑰密碼技術的電子簽名技術，能夠保證數(shù)據(jù)的完整性，并具有簽名者身份的不可否認性。因此，在網(wǎng)上招投標系統(tǒng)中應用電子簽名技術，能夠確保招投標標書及專家評標意見的真實性和完整性，使得評標過程更加透明，體現(xiàn)了公開、公平、公正的招投標理念，同時也使得網(wǎng)上招投標系統(tǒng)更具有實際應用價值。

［1］段保護，王鍵.數(shù)字簽名技術的新探討［J］.計算機工程與科學，2009(4):84-86.

［2］張國俊，白聚核.基于PKI的嵌入式電子印章系統(tǒng)［J］.常州信息職業(yè)技術學院學報，2008(2):7-9.

［3］趙志華，張永新.基于網(wǎng)上招投標系統(tǒng)的安全性研究［J］.大慶師范學院學報，2010(3):31-34.

The Application of Electronic Signature Technology in Online Bidding System

ZHANG Guo-jun1ZHANG Jian-feng2
(1.Changzhou College of Information Technology,Changzhou 213164 2.Changzhou Construction Project Bids and Entering Bids Office,Changzhou 213015,China)

This article describes the specific processes based on the PKI digital signature technology,the facture and application of electronic signature stamp or seal,and the application of electronic signature stamp or seal in online bidding system.The effective solution to the issues of signature and seal in online bidding system makes the electronic documents have legal effect and makes the online bidding system have more practical value.

digital signature;bidding;electronic signature

TP 393.08

A

1672-2434(2011)04-0022-03

2011-03-16

2010年常州市第三十二批科技計劃(社會發(fā)展科技計劃)項目(CS20100016)

張國俊(1956-)，男，副教授，從事研究方向:計算機應用