浅析电子招投标系统安全性.docVIP

浅析电子招投标系统安全性 　　摘要随着网络技术的不断发展，传统招投标被电子招投标逐步取代。电子招投标不但能突破物理空间的限制，而且能有效遏制围标串标现象，投标人可以通过网络进行招标信息的获取，通过软件制作电子标书，降低投标成本，提高工作效率。然而互联网的开放性特征，使得电子招投标系统安全性受到了极大的考验，如何确保电子招投标信息安全，成为电子招投标系统能够成功运行的关键。基于此，本文主要以电子招投标系统的安全性为出发点进行浅析。 　　【关键词】电子 招投标系统 安全性 　　近年来，我国信息化领域内最受瞩目的就是电子政务，电子招投标系统作为电子政务中的重要组成部分，能够使得我国政府迅速达到信息化的目的，以此来降低政府采购成本、打造廉洁高效的阳光交易平台。然而，电子招投标系统除了容易受到互联网非法攻击、电子支付等问题外，还存在无法确保电子招投标过程的安全性问题，仅起到信息发布平台的作用。因此，本文利用新型身份认证、秘密共享的标底保密来解决电子招投标系统中可能存在的问题。 　　1 电子招投标安全隐患的特殊性 　　1.1 伪冒投标人身份 　　由于网上交易和操作存在一定的特殊性，无法像现实环境中的面对面操作形式，因此，若投标企业的秘钥被非法者盗用，就能够轻而易举的伪冒投标人的身份，用这种方式进行非法操作，对投标企业会造成很大的经济损失。 　　1.2 泄密投标文件内容 　　其一，上传标书的过程让非法者有机可乘。其二，因为招标人的违规操作，导致开标之前，投标人掌握的重要投标信息被以不正当的途径公开，在这样的情况下，投标人的利益受到了极大的损害，投标公平性也受到了严重的破坏。 　　为了能够消除以上安全隐患，目前主要采用了新型身份认证、秘密共享的标底保密安全技术。 　　2 新型身份认证 　　密钥泄密是身份认证安全中最大的威胁，在分析密码时导致的危害，无法和泄露密码的危害相提并论。因此一次性口令原理成为更新密钥的新趋势。 　　2.1 新型身份认证的具体流程 　　要想将身份认证达到具有密钥更新机制的目的，需要经过几个过程，分别为注册、密钥生成、身份验证、签名和密钥更新，图1为新型身份认证流程示意图。 　　由图1可以清晰的看出身份认证所经过的几大过程，本文拟定A为投标人，B为公共资源交易中心（注册中心）。 　　注册的流程就是A向B递交注册信息，即lg：AB。 　　密钥生成流程为当A将注册信息传递给B后，要对合法性进行验证，如果合法，就需要选择适合方案运行的参数，同时要让A成为证书的持有者。 　　签名主要的构成因素是标志ζ和登陆次数j。 　　密钥更新方面，服务器需要读取数据库中的计数值和种子Seed。以单向函数为主进行当前密钥的更新。 　　2.2 安全性分析 　　新型身份认证主要参考一次性口令的原理，逐步更新了密钥，能够避免密钥泄露或者丢失后，被非法者进行违规操作，可以在第一时间发现密钥是否泄露。就算密钥存在泄露的可能，只要发现得及时，投标人完全可以进行密钥的修改，通过变更注册密钥信息去避免不法侵害，运用这种方式，非法者就无权限使用之前的密钥。此外，若投标人在通过身份认证之后，确认是合法的用户时，电子招投标系统能够自动的更新用户私钥，使得在招标项目开标前，合法用户可以应用最新的密钥进行标书加密，从而保证在开标过程中，标书没有被修改过，投标人会对自己的投标行为负责 。 　　3 秘密共享的标底保密安全性分析 　　通过对秘密共享技术的利用，可以对秘密命令、信息进行实时的把控，是数据保密和信息安全的重要方式。对于公钥、单钥的加密体制来说，秘密共享技术在适用性上和保密强度等方面，都适用于对标底的保密。当前已具备的门限能够对秘密共享方案进行验证，可是应用在电子招投标系统中时，可能会存在几方面问题：其一，电子招投标系统核心服务器均部署在公共资源交易中心，服务器存在被黑客攻击的可能。其二，虽然应用了秘密共享，可是由于对服务器部署的安全策略太过信任，造成无法防止公共资源交易中心数台服务器被串联破解攻破的危险。 　　因此，要将门限可验证秘密共享方案作为基础进行适当的改进，要在秘密分享中体现出秘密分发者的重要性，并在开展秘密重构的阶段，将分发者作为重要的组成部分，否则，秘密无法正常重构。攻击者在秘密共享的标底保密方面有三种攻击方式，分别为： 　　（1）在获取t-1个以下秘密份额的状态下将s推导出来。攻击者不管是否和t-1个分享者进行串通，攻击者所拥有的t-1个秘密份额都将不能得到其他分享者的秘密份额，只因在对离散时数进行计算时所展现出不可行的情况下，公开信息无法提供相关分享者所拥有的秘密份额信息。 　　（2）利用非法渠道由表面的信息引申出潜在的信息，这种情况的产生具有两种可能的方式，其一是从y=gs这一公式中，将s直接推导出来，然而在计算离散对数时出现不可行的情况下是很难