一种安全电子招标系统中专家抽取方法.docVIP

一种安全电子招标系统中专家抽取的方法 　　摘要：介绍了基于PKI架构的公开电子招标系统中专家管理信息系统的专家抽取方法。该方法通过使用加密技术解决专家抽取过程中的安全问题。采用盲签名协议保证抽取信息的机密性、真实性和不可否认性；通过随机算法保证抽取结果的随机化。在基于Web的客户端，监督方在监控抽取过程中对抽取信息未知的情况下签名，确认抽取结果，抽取结果在公布时，获得带有监督方签名的抽取结果。 　　关键词：盲数字签名； 抗抵赖性； PKI； Ebidding 　　中图法分类号：TP393．08文献标识码：A 　　文章编号：1001－3695(2007)01-0180－03 　　 　　1引言?? 　　 　　随着计算机信息技术的发展，电子政务在政府的实际工作中发挥着重要的作用,而PKI[1]作为比较成熟的体系被广泛应用到电子政务中。因实际业务的复杂多样，为满足业务逻辑的要求，需要灵活地应用现有的安全架构和安全技术实现电子化的业务处理。?? 　　Ebidding 网上招投标采购系统是电子商务在招标采购中的成功应用，保证实现招投标过程的网络化和评标过程的自动化。电子招标不但使招标过程更加方便，招标过程更加透明，而且通过电子安全技术使招标过程更加公正。政府电子采购的招标对公正性的要求与普通企业的招标对公正性的要求更高。现有很多的政府电子采购系统没有完全实现网络化招标和评标过程的自动化，还需要人工参与，很难满足实际业务在安全和公正方面的需求,使电子招标失去了应用的价值。?? 　　在政府采购项目透明度要求很高的评标过程中,传统的参加评标专家抽取过程是人为随机抽取,抽取信息对参与抽取工作的人员都是不保密的,很容易被泄露和窜改。在电子采购中,根据政府的要求,对公开招标要做到公开透明、公平竞争。抽取方法必须满足参加评标专家抽取过程的安全需求。?? 　　 　　2分析设计?? 　　 　　2．1安全需求分析?? 　　政府采购专家抽取由政府采购处主持，用户单位、招标代理机构参加。重大项目在纪检、监察及财政监督部门监证下随机抽取，并通过电脑自动通知落实参加评标的专家，让招投标前的黑箱操作降至最少，以确保抽取过程的随机性、有效性、公正性和权威性。根据政府对保密的要求，参加专家评委抽取的人员要对专家抽取结果保密，在该项目评标结束前，不能透露有关专家资料，也不能对专家评标施加任何影响，因此对采购专家的选取要采取恰当的电子安全技术实现，将人为干扰降至最低。?? 　　根据以上对专家抽取过程的要求，得到系统的安全需求：?? 　　(1)机密性。所有抽取结果在抽取过程开始到抽取结果公布之前都是保密的。?? 　　(2)完整性。公布的抽取结果是可信任的,保证未被他人窜改过。?? 　　(3)公正性。抽取结果不受外界影响。?? 　　(4)可证实性。无法伪造抽取结果。?? 　　(5)认证。对参加抽取的监督人员,在进行监督工作之前，通过质问其私钥的数字签名确认其身份。?? 　　(6)授权。系统对监督方授予监督的权限后，监督方才可参与项目的监督工作。?? 　　系统抽取流程的具体设计应满足以下几点：?? 　　(1)应保证在专家库中抽取过程的随机性，保证抽取结果的公正。?? 　　(2)随机抽取出来的专家由系统自动通知，保证专家信息的绝对保密。?? 　　(3)抽取结果在返回给客户端时做到数据隐藏。?? 　　(4)抽取结果在客户端要得到监督方的确认,保证信息的真实性。?? 　　(5)客户端得到监督方确认的抽取结果返回服务器，在数据库中保存，做到数据隐藏。?? 　　(6)抽取结果公布时，服务器将保存在采购项目数据库中的抽取结果变为可知，检查其真实性，通过检查后方才公布专家组成员名单。?? 　　 　　2．2专家抽取系统?? 　　电子招标专家管理信息系统基于PKI架构，评标专家抽取系统是其重要组成部分。电子招标系统提供基于SSL和LDAP的传输加密和认证，确保数据的保密性、准确性、真实性和完整性，并实现服务器端的个体识别和客户端的个体识别；提供认证机构(Certificate Authority, CA)[5]企业认证和数字签名系统的良好接口，以确保用户身份的真实性和不可抵赖性；通过访问权限控制保护数据的安全性。该系统依托原有的安全体系架构[4~6]，真正实现业务逻辑的电子化。?? 　　在服务器端建立专家数据库和采购项目数据库,抽取时按照专家抽取条件筛选出候选专家,对其进行随机抽取,抽取生成几组专家,通过自动语音拨叫系统与专家取得联系,确认专家是否能够参加评标。抽取结果要保证数据的完整性、保密性和不可抵赖性。根据系统的安全需求,监督方必须对抽取结果进行电子签名, 限定条件的是签名必须是盲签名[2]。?? 　　专家抽取流程分为以下四