电子身份认证技术在军队物资采购网中的应用

【摘 要】军队物资采购网（）是全军采购信息的唯一权威媒体，也是组织采购活动的“阳光平台”，由全军物资采购主管部门——总后勤部军需物资油料部负责管理。军队物资采购网以信息为主导、以流程为中心、以效率为目的，是实现采购信息网络化、采购管理规范化、采购过程电子化，提高军队物资采购透明度的重要手段。

【关键词】电子身份证 军队 物资采购网

军队物资采购网（）是全军采购信息的唯一权威媒体，也是组织采购活动的“阳光平台”，由全军物资采购主管部门——总后勤部军需物资油料部负责管理。军队物资采购网以信息为主导、以流程为中心、以效率为目的，是实现采购信息网络化、采购管理规范化、采购过程电子化，提高军队物资采购透明度的重要手段。随着军队物资采购信息化建设的稳步发展，网络平台在给我们工作带来极大便利的同时，也对信息的安全性提出了严峻挑战，迫切需要一种技术手段来为采购网保驾护航。

1.基于PKI/CA的电子身份认证技术

PKI/CA（Public Key Infrastructure/Certificate Authority，公钥基础设施/认证中心）产生于20世纪80年代，是在公钥理论和密码技术的基础上发展起来的一种安全平台，能够透明地为网络应用提供加密和数字签名等密码服务，以及密钥和证书的管理，从而保证网络上数据信息的安全、保密、完整和抗抵赖性。利用PKI/CA技术可以实现一个可信的电子身份认证平台，使得网络用户在这个环境里能够相互确认彼此的身份以及交互的信息，从而能够安全的进行各种活动。

PKI/CA电子身份认证技术具以下特点：（1）交互性。PKI/CA具有良好的交互操作性，使得每个应用程序和设备都能以相同的方式访问和使用PKI；（2）开放性。PKI/CA是一个开放的、国际公认的安全标准，技术方案可信和方便；（3）一致性。PKI/CA为所有的应用程序和设备提供了可靠的、一致的解决方案；（4）独立性。PKI/CA的操作是完全独立的、可信任的验证，无需联网实时进行验证。

电子身份认证技术能够实现以下功能：（1）电子身份证书。由CA签发电子身份证书标示用户的身份，以及证书的有效期限；（2）吊销电子身份证书。证书由于超过有效期而变得无效，用户密钥被泄漏，或持有者更名等原因，需要注销证书并加以公布；（3）查询电子身份证书。CA的证书和作废的证书能够方便、快速的被使用者查询和验证；（4）提供信任服务。用户的信任来源于对证书的验证，也就是对颁发证书的CA的信任；（5）管理证书链。用户的电子身份证书可由多级CA颁发，级联颁发的证书可追溯到根节点CA。（6）交叉认证。不同的CA间可以相互认证，使得用户的电子身份证书能被不同的CA系统所认可；（7）时间戳服务。在处理事务时，记录操作的时间是十分重要的，主要用于用户行为审计。

美国已经广泛地将PKI/CA电子身份认证技术应用于政府、军事和商业领域，包括国防部，能源部，联邦存款保险，国家航空航天局和美国专利与商标办公室等。近些年来，我国也在金融、税务以及政府采购等领域逐步应用和推广PKI/CA电子身份认证技术。

2.使用电子身份认证技术的必要性

传统的身份认证技术使用用户名加口令的方式，但用户名和口令都容易被破解、丢失和泄密，致使用户的合法身份被盗用，常常会带来经济或其它方面的损失。

静态的用户名和口令方案是目前使用最广泛的方案，如论坛，网购平台和电子邮箱等。大多数用户使用的密码都是普通单词、姓名者其他简单的字符。有86%的用户会在不同的网站上使用相同的密码或者有限的几个密码。最近一次全国性安全事件发生在2011年12月，CSDN（中国软件开发联盟）的安全系统遭到黑客攻击，致使600万用户名、密码及邮箱遭到泄漏。黑客使用这些密码尝试登录注册邮箱，再利用密码取回功能得到用户在其他网站的账号和密码。此外，驻留在计算机内存中的木马程序或网络中的监听设备也很容易获得用户的密码信息。因此，静态密码是一种极不安全的身份认证方式。

动态口令认证方式是用户根据服务商提供的私有动态口令令牌，动态显示的数字来输入口令，并且每个登录口令只能使用一次，同时利用单向散列函数（如Sha-1算法）的不可逆性，使窃听者无法从窃听到的登录口令推出下一次登录口令。多数网络银行都采用了动态口令认证方案。在2011年上半年，全国出现了多起网银动态口令泄露安全事件。黑客们首先设计钓鱼网站，引诱网银用户输入登录密码和动态口令。动态口令虽然为一次性口令，但其在60秒之内是可反复使用的，只要在1分钟内登录进真正的网银系统后就可以完成窃取用户资金的操作。

下表为常用安全技术的安全性对照比较：

军队物资采购网是军队组织采购活动的网络平台，其安全性需求包括5个方面：（1）可用性。确保采购网稳定、有效地运行，使授权供应商得到所需信息服务。（2）完整性。确保采购网中的数据完整性和系统完整性。（3）保密性。不向非授权供应商和个人泄露私有或者保密信息。（4）可审计性。能够记录采购活动和用户的全部操作行为，为采购监管提供依据。（5）抗抵赖性。任何供应商和用户不能否认其操作行为和提交的数据。

传统的电子商务平台采用用户名/口令的认证和访问控制方式，安全级别较低，保密性差，无法满足军队物资采购网业务平台发展要求。采用电子身份认证技术完成对采购平台访问的身份认证和交易数据的数字签名，可以有效的提高采购平台，以及数据在传输、存储过程中的保密性、完整性、抗抵赖性。因此，PKI/CA电子身份认证系统建设是军队物资采购网发展的重要方向。

3.电子身份认证技术在军队物资采购网中的应用

军队物资采购网具有特殊的网络结构，由内网和外网两个部分组成。外网依托互联网，面向供应商，采购信息，完成与供应商的商务活动，是一个电子商务平台；内网实现物资采购业务的办公自动化，是一个电子政务平台。两个网络是完全物理隔离的。

军队物资采购网电子身份认证系统包括以下4个部分：（1）采购认证中心CA：该CA根据军队授权用户、供应商或RA（Register Authority，注册中心）的申请，完成供应商的身份认证，证书产生，证书签名，证书发放。同时根据需要，吊销供应商身份证书。（2）采购注册中心RA：RA系统是CA的证书发放、管理的延伸，主要完成CA委派验证和执行公钥与实体绑定的任务，具体功能包括供应商鉴定、证书分发、吊销报告、名字分配、密钥对产生和密钥对备份等功能。发放的数字证书一般存于USB Key中。（3）证书存储中心：该中心为PKI体系的数据中心，主要存放CA和RA证书和黑名单等信息，以便采购机构或采购管理部门查询和使用。（4）采购应用网认证系统。该系统部署在军队物资采购网互联网平台上，并安装有Verisign签发的全球服务器证书，确保采购业务平台门户网站不会被他人冒用。同时，在供应商登录时，验证其证书身份，并授予其相应的权限。

供应商参加军队的采购活动，必须加入军队物资采购供应商库（公开招标除外）。采购注册中心RA根据采购业务系统的需要，给合法入围的供应商签发电子身份证书，并使用USB Key电子密钥存储。供应商使用电子身份证书登录军队物资采购网办理相关业务，以及参加采购活动。目前，军队物资采购网中，协议采购子系统已经使用了电子身份认证系统，下一步将推广到其他业务中。

（作者单位：〇五单位五五七部信息中心）