劉瀚 陳輝 樊文兵
摘要:基于互聯(lián)網(wǎng)構(gòu)建電子招投標(biāo)平臺是實(shí)現(xiàn)招投標(biāo)管理工作公平公正公開的必要手段。現(xiàn)實(shí)中的電子標(biāo)書文件動輒幾百兆字節(jié),實(shí)現(xiàn)基于C/S架構(gòu)的互聯(lián)網(wǎng)安全加速傳輸系統(tǒng)對于提高電子招投標(biāo)工作效率具有重要意義。系統(tǒng)綜合運(yùn)用身份認(rèn)證技術(shù)、安全傳輸協(xié)議、多種廣域網(wǎng)加速技術(shù),在確保信息安全的前提下可以顯著提升標(biāo)書文件傳輸速度,為電子招投標(biāo)平臺提供數(shù)據(jù)接口,同時為供應(yīng)商提供支持USBkey+CA認(rèn)證的Windows版本客戶端。全面介紹了系統(tǒng)的關(guān)鍵技術(shù)和整體架構(gòu)。實(shí)踐結(jié)果表明,使用系統(tǒng)后,標(biāo)書文件的上傳速度得到了10倍以上的提升。關(guān)鍵詞:電子招投標(biāo);廣域網(wǎng)加速;身份認(rèn)證;安全傳輸中圖分類號:TP 393文獻(xiàn)標(biāo)識碼:A文章編號:1672-7312(2017)04-0412-06
Abstract:Building an electronic bidding platform based on the Internet is the necessary means to ensure fairness,justice and publicity.In fact,the size of the electronic bidding documents is always hundreds of megabytes,so it is of great significance to implement the security and accelerated transmission system based on Internet to improve the efficiency of the electronic bidding platform.The transmission system combines the technology of identity authentication,secure transmission protocol,Wan acceleration technology,can greatly enhance bidding documents transmission speed in security,providing the data interface for the platform and the client software in Windows version which supporting for USBkey+CA certification.The key technologies and the overall architecture of the system are introduced.The results show that with the system,the upload speed of the bidding documents has been increased by more than ten times.
Key words:electronic bidding;WAN acceleration;identity certification;secure network transmission
0引言
招投標(biāo)是最規(guī)范、最嚴(yán)謹(jǐn)?shù)慕M織采購定價工具。傳統(tǒng)的招投標(biāo)業(yè)務(wù),大量環(huán)節(jié)采取手工作業(yè),具有工作繁瑣,效率低下的弊端。構(gòu)建電子招投標(biāo)平臺是服務(wù)于招標(biāo)采購管理的最佳實(shí)踐[1-2]。隨著《電子招標(biāo)投標(biāo)辦法》的頒布和施行,電子招標(biāo)平臺被
各級政府和企事業(yè)單位廣泛選擇和運(yùn)用。但在實(shí)際的應(yīng)用中很快有人發(fā)現(xiàn),基于互聯(lián)網(wǎng)的電子招投標(biāo)平臺會遇到2個顯著問題,嚴(yán)重制約了招投標(biāo)工作效率。一是信息安全受到威脅;二是互聯(lián)網(wǎng)通訊效率低。
目前,針對上述問題,國內(nèi)在電子招投標(biāo)平臺的研發(fā)方面基本采用了計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)理論和技術(shù),并且應(yīng)用基本成熟[3]。但在第二個問題上,卻很少有人提及相應(yīng)的解決方案。根據(jù)多年在計(jì)算機(jī)安全通訊領(lǐng)域的實(shí)踐經(jīng)驗(yàn),我們認(rèn)為,既然互聯(lián)網(wǎng)是由廣域網(wǎng)組成的,那么互聯(lián)網(wǎng)面臨的問題也可以采取廣域網(wǎng)加速解決方案[4-5]。廣域網(wǎng)加速技術(shù)及產(chǎn)品目前在國內(nèi)不同行業(yè)已經(jīng)有不少成功應(yīng)用的先例,其技術(shù)成熟可靠,加速效果顯著[6-7]。
在這樣的指導(dǎo)思想下,我們結(jié)合國內(nèi)外先進(jìn)技術(shù),針對電子招投標(biāo)平臺的特點(diǎn),嘗試設(shè)計(jì)一套軟硬件綜合解決方案,即互聯(lián)網(wǎng)安全加速傳輸系統(tǒng),同時為了最大限度地降低對現(xiàn)有平臺的影響,保持系統(tǒng)的相對獨(dú)立,我們?yōu)槠脚_提供接口以實(shí)現(xiàn)無縫對接。
系統(tǒng)包含計(jì)算機(jī)軟件和硬件設(shè)備,試圖整合計(jì)算機(jī)安全領(lǐng)域廣泛應(yīng)用的USBKey+CA認(rèn)證模式、SSL安全傳輸協(xié)議,以及在廣域網(wǎng)優(yōu)化領(lǐng)域廣受推崇的重復(fù)數(shù)據(jù)刪除、TCP連接優(yōu)化、應(yīng)用優(yōu)化、并發(fā)傳輸?shù)燃夹g(shù),無需改變用戶使用環(huán)境,在確?;ヂ?lián)網(wǎng)數(shù)據(jù)傳輸安全的同時,大幅度提升標(biāo)書文件的傳輸效率。
1面臨問題
目前隨著互聯(lián)網(wǎng)的廣泛普及,通過互聯(lián)網(wǎng)進(jìn)行網(wǎng)上數(shù)據(jù)和文件的傳輸已經(jīng)具備現(xiàn)實(shí)的可能性,但是在互聯(lián)網(wǎng)上進(jìn)行招投標(biāo)文件上傳還必須解決幾個核心技術(shù)問題。
1.1速度問題
雖然互聯(lián)網(wǎng)已經(jīng)廣泛普及,甚至互聯(lián)網(wǎng)的骨干帶寬每年都成倍地提升,但是互聯(lián)網(wǎng)最后一公里的問題仍然困擾著廣大互聯(lián)網(wǎng)用戶。不少用戶實(shí)際可用的互聯(lián)網(wǎng)接入手段仍然停留在ADSL這樣相對低速的接入手段上。由于最后一公里的互聯(lián)網(wǎng)接入是一個世界性的難題,解決該問題的工程量和資金投入遠(yuǎn)比解決互聯(lián)網(wǎng)骨干帶寬要大得多,在可以預(yù)見的將來,相當(dāng)一部分互聯(lián)網(wǎng)用戶仍然只能選擇低速的ADSL.
ADSL(Asymmetric Digital Subscriber Line,非對稱數(shù)字用戶環(huán)路)是一種數(shù)據(jù)傳輸方式。它因?yàn)樯闲泻拖滦袔挷粚ΨQ,因此稱為非對稱數(shù)字用戶線環(huán)路。它采用頻分復(fù)用技術(shù)把普通的電話線分成了電話、上行和下行3個相對獨(dú)立的信道,從而避免了相互之間的干擾。目前互聯(lián)網(wǎng)用戶廣泛采用的8 M ADSL標(biāo)準(zhǔn),它提供下行7 Mbps上行512 Kbps的帶寬。
以8 M ADSL為例,由于ADSL的非對稱性,ADSL非常不適合數(shù)據(jù)上傳。以一份典型的500MB的標(biāo)書為例,一份500 MB的標(biāo)書上傳理論上需
(500 MB*1 024*8)/512 K=9 600 s=2.7 h.
如果考慮誤碼率及網(wǎng)絡(luò)延時,500MB實(shí)際上傳時間常常在4~8 h.而在開標(biāo)前夕,標(biāo)書經(jīng)常要做一些小的改動,即使只改了個數(shù)字,用戶必須重傳所有的500 MB文件,又需要4~8 h.在互聯(lián)網(wǎng)狀況不穩(wěn)定的情況下,甚至導(dǎo)致大型標(biāo)書根本無法上傳。
1.2安全問題
由于標(biāo)書涉及敏感信息,通過互聯(lián)網(wǎng)上傳標(biāo)書必須解決安全傳輸問題。必須保證整個標(biāo)書在互聯(lián)網(wǎng)上的傳輸是強(qiáng)加密方式,任何人即使通過互聯(lián)網(wǎng)竊取了上傳標(biāo)書的密文,由于其沒有密鑰,也無法解開標(biāo)書。
安全問題不僅僅體現(xiàn)在互聯(lián)網(wǎng)傳輸上,還體現(xiàn)在標(biāo)書上傳后的保存形式上,必須保證標(biāo)書在投標(biāo)文件服務(wù)器上都是以密文形式存在,只有在用戶和開標(biāo)人同時簽到,分別用各自的私鑰才能解開上傳的標(biāo)書。
1.3身份認(rèn)證問題
由于互聯(lián)網(wǎng)的開放性,我們必須保證準(zhǔn)確識別標(biāo)書上傳者的身份,只有身份合法并購買了相應(yīng)招標(biāo)書的投標(biāo)人才能上傳相應(yīng)標(biāo)段的投標(biāo)書。
1.4上傳內(nèi)容的不可抵賴性
不可抵賴性,又稱不可否認(rèn)性,是指標(biāo)書上傳后,防止標(biāo)書上傳者對上傳行為和內(nèi)容的否認(rèn)。同時我們又為成功的標(biāo)書上傳提供回執(zhí),防止招標(biāo)人對成功收到標(biāo)書的否認(rèn)。
1.5上傳標(biāo)書的原子性一致性
必須絕對保證上傳標(biāo)書完整一致地上傳到投標(biāo)文件服務(wù)器,上傳標(biāo)書猶如數(shù)據(jù)庫的交易一樣有原子性,要么絕對上傳成功,要么失敗。上傳標(biāo)書的原子性和一致性不僅依賴于傳輸協(xié)議的保證,還需要應(yīng)用級別的保證。當(dāng)應(yīng)用級別的比對和確認(rèn)成功后,才能真正確保上傳標(biāo)書的原子性和一致性。
2解決方案
針對以上必須解決的幾個核心技術(shù)問題,系統(tǒng)采用了以下關(guān)鍵技術(shù)。
2.1數(shù)據(jù)壓縮技術(shù)
采用無損數(shù)據(jù)壓縮技術(shù),在傳輸層發(fā)送端對傳輸數(shù)據(jù)進(jìn)行壓縮,在接收端對壓縮數(shù)據(jù)進(jìn)行解壓,獨(dú)立于應(yīng)用層協(xié)議,對上層協(xié)議完全透明,傳輸一級自動對數(shù)據(jù)壓縮和解壓縮,提高帶寬利用率。壓縮與解壓縮技術(shù)其壓縮率與內(nèi)容相關(guān),文件和重復(fù)率高的內(nèi)容其壓縮率較高,而經(jīng)過壓縮編碼的內(nèi)容如圖片、視頻、壓縮文件等其壓縮率低,甚至是負(fù)壓縮率。通常業(yè)界普遍認(rèn)可的平均壓縮率為2~3倍。即通過數(shù)據(jù)壓縮技術(shù),我們可以提高傳輸效率2~3倍。
2.2數(shù)據(jù)去重技術(shù)
數(shù)據(jù)一旦通過廣域網(wǎng)應(yīng)用加速設(shè)備,設(shè)備能記住該數(shù)據(jù)并維持一套索引,一旦相同數(shù)據(jù)再次通過該設(shè)備,該數(shù)據(jù)無需再次通過廣域網(wǎng),廣域網(wǎng)應(yīng)用加速設(shè)備會自動在遠(yuǎn)端重建該數(shù)據(jù),該功能也對上層應(yīng)用透明。就數(shù)據(jù)去重算法而言,傳統(tǒng)的IT廠商傾向于采用固定數(shù)據(jù)塊大小的去重算法,該方法算法簡單,但去重效果不佳。系統(tǒng)采用了可變長度數(shù)據(jù)塊大小和最小128字節(jié)的數(shù)據(jù)塊,極大地提升數(shù)據(jù)去重率。
2.3網(wǎng)絡(luò)延時優(yōu)化技術(shù)
互聯(lián)網(wǎng)應(yīng)用的性能不僅受制于廣域網(wǎng)帶寬,很多情況下更受制于廣域網(wǎng)延時。許多互聯(lián)網(wǎng)應(yīng)用,如果廣域網(wǎng)延時不能改善,僅僅提高廣域網(wǎng)的帶寬是不能解決問題的。而網(wǎng)絡(luò)延時的改善在現(xiàn)實(shí)情況下,比簡單地?cái)U(kuò)充廣域網(wǎng)帶寬更加困難。
TCP協(xié)議(Transmission Control Protocol傳輸控制協(xié)議)是互聯(lián)網(wǎng)上廣泛采用的面向連接的傳輸協(xié)議[8]。系統(tǒng)采用了以下技術(shù)針對TCP協(xié)議實(shí)現(xiàn)延時優(yōu)化。
1)連接池技術(shù):系統(tǒng)客戶端與投標(biāo)服務(wù)器的加速設(shè)備系統(tǒng)建立了空閑連接的連接池。當(dāng)系統(tǒng)客戶端需要與投標(biāo)服務(wù)器建立TCP連接時,系統(tǒng)客戶端將直接采用一個已經(jīng)建立的空閑連接,避免了在高延時的廣域網(wǎng)上建議連接所需的3次握手等待。
2)TCP窗口優(yōu)化技術(shù):連接池的連接在系統(tǒng)客戶端和投標(biāo)服務(wù)器端的加速設(shè)備會自動協(xié)商優(yōu)化TCP窗口大小,減少延時對吞吐率的影響。
3)HSTCP技術(shù):在傳輸出現(xiàn)丟包時,不是簡單地將TCP窗口減半,而是適當(dāng)?shù)販p少TCP窗口,使傳輸吞吐率不致受太大影響。HSTCP能很好地適應(yīng)高帶寬和高延時的傳輸環(huán)境,HSTCP能快速地從丟包中恢復(fù)到正常傳輸狀態(tài)(如圖1所示)。
4)MAXTCP技術(shù):在傳輸出現(xiàn)丟包時,MAXTCP維持TCP窗口不變,以保證當(dāng)瞬間數(shù)據(jù)包丟失時,不失去傳輸性能和吞吐率,而傳統(tǒng)的TCP則會在瞬間大量丟包時失去大量的性能和吞吐率,并在丟包率正常時,緩慢恢復(fù)原有的性能和吞吐率。MAXTCP有效地處理了丟包并維持了傳輸性能和吞吐率。
2.4多線程分塊劃片并行加密傳輸技術(shù)
即使采用了連接池技術(shù)和TCP窗口大小自動協(xié)商優(yōu)化技術(shù),在高延時的廣域網(wǎng)上,單個線程的數(shù)據(jù)傳輸仍然不能將WAN的帶寬充分利用。為此,我們對系統(tǒng)的標(biāo)書加速上傳采用了多線程并行傳輸技術(shù)。當(dāng)需要在系統(tǒng)客戶端與投標(biāo)文件服務(wù)器之間上傳標(biāo)書時,系統(tǒng)將在系統(tǒng)客戶端與投標(biāo)文件服務(wù)器之間建立多個SSL連接(缺省為6個),即單個投標(biāo)文件將在多個SSL連接通道上并行傳輸。多線程并行傳輸技術(shù)一方面解決了充分利用廣域網(wǎng)帶寬的問題,另一方面還解決了單個連接因不確定的網(wǎng)絡(luò)原因造成的單個連接阻塞帶來的傳輸阻塞問題,不用等待單個連接的緩慢恢復(fù),整個文件的其他分塊可以繼續(xù)在其他通道上上傳。
2.5信息摘要技術(shù)MD5
MD5即MessageDigest Algorithm 5(信息-摘要 5),用于確保信息傳輸完整一致。
采用MD5技術(shù)系統(tǒng)能保證標(biāo)書上傳過程中的數(shù)據(jù)一致性。由于系統(tǒng)不僅采用了標(biāo)準(zhǔn)的協(xié)議上的一致性檢查,系統(tǒng)還在應(yīng)用級做了多級的MD5計(jì)算和數(shù)據(jù)效驗(yàn),因此系統(tǒng)能確保標(biāo)書上傳的數(shù)據(jù)一致性。
2.6
雙因數(shù)身份認(rèn)證技術(shù)USBKey+用戶口令+CA認(rèn)證模式
電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)CA(CA,Certificate Authority),也稱為電子商務(wù)認(rèn)證中心,是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu),并作為電子商務(wù)交易中受信任的第三方,承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。
系統(tǒng)內(nèi)部整合了CA認(rèn)證系統(tǒng)。通過和國家有資質(zhì)的第三方數(shù)字認(rèn)證中心(CA)合作,可以獲取由CA提供的數(shù)字證書來保證需要進(jìn)行網(wǎng)絡(luò)通訊的用戶身份合法性。數(shù)字證書將放置在由CA統(tǒng)一制作發(fā)放的USBKey之中,接入系統(tǒng)后,就能由CA來確保用戶的合法性。為了防止USBKey被不法用戶利用,系統(tǒng)還通過用戶自行設(shè)置的口令來保證USBKey的使用人是USBKey的所有者。
2.7SSL安全傳輸協(xié)議技術(shù)
安全套接層(Secure Sockets Layer,SSL)SSL是國際上使用非常廣泛的網(wǎng)絡(luò)安全通訊協(xié)議,具有公認(rèn)的安全可靠性,同樣在安全需求較高的行業(yè)如金融行業(yè)中大量使用。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的。
系統(tǒng)在SSL協(xié)商加密算法時采用的是128位的AES 128加解密算法。與加速設(shè)備在SSL的握手方式上做了透明優(yōu)化,從而達(dá)到既加密又去重和壓縮的效果。
2.8XML技術(shù)
可擴(kuò)展標(biāo)記語言(eXtensible Markup Language,簡稱XML),是一種標(biāo)記語言。標(biāo)記指計(jì)算機(jī)所能理解的信息符號,通過此種標(biāo)記,計(jì)算機(jī)之間可以處理包含各種信息的文章等。
系統(tǒng)采用XML技術(shù)與標(biāo)書制作子系統(tǒng)及招投標(biāo)業(yè)務(wù)子系統(tǒng)之間傳遞數(shù)據(jù)信息,以說明數(shù)據(jù)的用途和意義。通過XML技術(shù),系統(tǒng)能夠很容易同任何CA系統(tǒng)和招投標(biāo)平臺集成。
3與平臺無縫整合
為了與招投標(biāo)平臺及CA認(rèn)證進(jìn)行無縫整合,減少用戶操作復(fù)雜度,同時保障相關(guān)技術(shù)的順利實(shí)現(xiàn),系統(tǒng)與其他系統(tǒng)采用XML技術(shù)進(jìn)行跨平臺的數(shù)據(jù)交換,并通過WebService接口同其他系統(tǒng)進(jìn)行信息交互。系統(tǒng)軟件部分在平臺內(nèi)的流程如圖2所示。
系統(tǒng)除了同平臺上的相關(guān)子系統(tǒng)可以進(jìn)行無縫對接外,還具有如下特點(diǎn)
1)系統(tǒng)是招投標(biāo)平臺之外的相對獨(dú)立的傳輸系統(tǒng)。
2)系統(tǒng)通過招投標(biāo)平臺生成的XML文檔獲取服務(wù)器、供應(yīng)商、主持人、標(biāo)書等信息。
3)系統(tǒng)的CA認(rèn)證、供應(yīng)商和主持人密鑰獲取、數(shù)據(jù)加密等操作完全自成體系。
4)系統(tǒng)由3個部分組成:①系統(tǒng)客戶端程序;②系統(tǒng)服務(wù)器端程序;③廣域網(wǎng)加速系統(tǒng)(包含加速設(shè)備、移動版控制器、移動版加速軟件)
4案例分析
4.1項(xiàng)目概況
某省財(cái)政廳采購中心擬建立財(cái)政體系在全國的第一套電子招投標(biāo)平臺,這項(xiàng)舉措具有劃時代意義。一方面是順應(yīng)電子政務(wù)發(fā)展的必然趨勢,另一方面使充滿弊端和低效的傳統(tǒng)招投標(biāo)管理方式得以被取代。安全、高效、不被人為干預(yù)的招投標(biāo)管理方式是很多正直守法、通過合法商業(yè)競爭獲得優(yōu)勢的企事業(yè)單位所期待的。
電子招投標(biāo)平臺的安全加速傳輸系統(tǒng)部署在省財(cái)政廳采購中心及省內(nèi)13個地市采購中心。各地供應(yīng)商正常接入互聯(lián)網(wǎng)以后,可通過財(cái)政廳采購中心的網(wǎng)站系統(tǒng)下載投標(biāo)客戶端程序。安裝完畢后,按照標(biāo)書制作向?qū)瓿蓸?biāo)書制作,插入線下申請獲得的用戶USBKey就能將制作好的標(biāo)書和投標(biāo)商相關(guān)信息上傳至服務(wù)器。開標(biāo)時,各供應(yīng)商和本次招投標(biāo)的主持人通過自己的USBKey逐個解密標(biāo)書并進(jìn)行評標(biāo)。
4.2系統(tǒng)部署
安全加速傳輸系統(tǒng),負(fù)責(zé)將用戶需上傳的投標(biāo)文件通過各種網(wǎng)絡(luò)安全技術(shù)和多種廣域網(wǎng)加速技術(shù)安全而高效地上傳至服務(wù)器,然后使用可靠的安全存儲技術(shù)將用戶的投標(biāo)文件存檔至服務(wù)器存儲中(如圖3所示)。
5結(jié)語
電子招投標(biāo)平臺主要解決現(xiàn)實(shí)中招投標(biāo)工作中存在的管理問題,但在實(shí)際應(yīng)用中因?yàn)榛ヂ?lián)網(wǎng)的某些局限帶來一系列技術(shù)問題,主要集中在安全保障和傳輸效率方面。安全加速傳輸系統(tǒng)就是針對這些問題而研發(fā)的一體化解決方案。系統(tǒng)軟硬結(jié)合,將成熟的安全理論和算法、跨平臺協(xié)議、獨(dú)特的廣域網(wǎng)優(yōu)化技術(shù)有機(jī)地整合到一起,與平臺無縫對接,顯著提升傳輸效率,同時與平臺保持相對獨(dú)立,提供友好接口。系統(tǒng)在研發(fā)后期還通過了一系列嚴(yán)酷的壓力測試。
系統(tǒng)已在某省財(cái)政廳投入使用,為政府采購電子招投標(biāo)平臺提供標(biāo)書傳輸服務(wù)。實(shí)際應(yīng)用表明,系統(tǒng)具有安全性、健壯性、超高效率的特點(diǎn),得到了政府相關(guān)部門和供應(yīng)商的普遍好評。為電子招投標(biāo)平臺量身定制的安全加速傳輸系統(tǒng)具有適應(yīng)我國互聯(lián)網(wǎng)現(xiàn)狀的鮮明特點(diǎn),具有一定的推廣價值。
參考文獻(xiàn):
[1]中華人民共和國國家發(fā)展和改革委員會.電子招標(biāo)投標(biāo)辦法[S].北京:中華人民共和國國家發(fā)展和改革委員會,2013.[2]中華人民共和國國家發(fā)展和改革委員會.電子招標(biāo)投標(biāo)系統(tǒng)技術(shù)規(guī)范[S].北京:中華人民共和國國家發(fā)展和改革委員會,2013.[3]顏世佳,劉曉潔.基于身份密碼體制的電子招投標(biāo)方案[J].計(jì)算機(jī)工程,2011,37(19):114-116.
[4]王建新,王捷,徐濤,等.廣域網(wǎng)加速網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)[J].中南大學(xué)學(xué)報(bào):自然科學(xué)版,2012,43(10):3 879-3 885.
[5]王寶林,邵曉冬.廣域網(wǎng)加速技術(shù)綜述[J].廣西通信技術(shù),2013(1):35-37.
[6]劉成新,馮超.廣域網(wǎng)加速在FY-3氣象衛(wèi)星數(shù)據(jù)傳輸中的應(yīng)用分析[J].黑龍江科技信息,2014,22:161.
[7]王涵.廣域網(wǎng)加速技術(shù)的應(yīng)用探析[J].中國有線電視,2016(3):270-272.
[8]Kevin R Fall.TCP/IP Illustrated,volume 1:the protocols[M].Second Edition.北京:機(jī)械工業(yè)出版社,2016.
(責(zé)任編輯:王強(qiáng))