浅析电子招投标系统的安全性

时间:2022-10-30 03:11:26

浅析电子招投标系统的安全性

摘要随着网络技术的不断发展,传统招投标被电子招投标逐步取代。电子招投标不但能突破物理空间的限制,而且能有效遏制围标串标现象,投标人可以通过网络进行招标信息的获取,通过软件制作电子标书,降低投标成本,提高工作效率。然而互联网的开放性特征,使得电子招投标系统安全性受到了极大的考验,如何确保电子招投标信息安全,成为电子招投标系统能够成功运行的关键。基于此,本文主要以电子招投标系统的安全性为出发点进行浅析。

【关键词】电子 招投标系统 安全性

近年来,我国信息化领域内最受瞩目的就是电子政务,电子招投标系统作为电子政务中的重要组成部分,能够使得我国政府迅速达到信息化的目的,以此来降低政府采购成本、打造廉洁高效的阳光交易平台。然而,电子招投标系统除了容易受到互联网非法攻击、电子支付等问题外,还存在无法确保电子招投标过程的安全性问题,仅起到信息平台的作用。因此,本文利用新型身份认证、秘密共享的标底保密来解决电子招投标系统中可能存在的问题。

1 电子招投标安全隐患的特殊性

1.1 伪冒投标人身份

由于网上交易和操作存在一定的特殊性,无法像现实环境中的面对面操作形式,因此,若投标企业的秘钥被非法者盗用,就能够轻而易举的伪冒投标人的身份,用这种方式进行非法操作,对投标企业会造成很大的经济损失。

1.2 泄密投标文件内容

其一,上传标书的过程让非法者有机可乘。其二,因为招标人的违规操作,导致开标之前,投标人掌握的重要投标信息被以不正当的途径公开,在这样的情况下,投标人的利益受到了极大的损害,投标公平性也受到了严重的破坏。

为了能够消除以上安全隐患,目前主要采用了新型身份认证、秘密共享的标底保密安全技术。

2 新型身份认证

密钥泄密是身份认证安全中最大的威胁,在分析密码时导致的危害,无法和泄露密码的危害相提并论。因此一次性口令原理成为更新密钥的新趋势。

2.1 新型身份认证的具体流程

要想将身份认证达到具有密钥更新机制的目的,需要经过几个过程,分别为注册、密钥生成、身份验证、签名和密钥更新,图1为新型身份认证流程示意图。

由图1可以清晰的看出身份认证所经过的几大过程,本文拟定A为投标人,B为公共资源交易中心(注册中心)。

注册的流程就是A向B递交注册信息,即lg:AB。

密钥生成流程为当A将注册信息传递给B后,要对合法性进行验证,如果合法,就需要选择适合方案运行的参数,同时要让A成为证书的持有者。

签名主要的构成因素是标志ζ和登陆次数j。

密钥更新方面,服务器需要读取数据库中的计数值和种子Seed。以单向函数为主进行当前密钥的更新。

2.2 安全性分析

新型身份认证主要参考一次性口令的原理,逐步更新了密钥,能够避免密钥泄露或者丢失后,被非法者进行违规操作,可以在第一时间发现密钥是否泄露。就算密钥存在泄露的可能,只要发现得及时,投标人完全可以进行密钥的修改,通过变更注册密钥信息去避免不法侵害,运用这种方式,非法者就无权限使用之前的密钥。此外,若投标人在通过身份认证之后,确认是合法的用户时,电子招投标系统能够自动的更新用户私钥,使得在招标项目开标前,合法用户可以应用最新的密钥进行标书加密,从而保证在开标过程中,标书没有被修改过,投标人会对自己的投标行为负责 。

3 秘密共享的标底保密安全性分析

通过对秘密共享技术的利用,可以对秘密命令、信息进行实时的把控,是数据保密和信息安全的重要方式。对于公钥、单钥的加密体制来说,秘密共享技术在适用性上和保密强度等方面,都适用于对标底的保密。当前已具备的门限能够对秘密共享方案进行验证,可是应用在电子招投标系统中时,可能会存在几方面问题:其一,电子招投标系统核心服务器均部署在公共资源交易中心,服务器存在被黑客攻击的可能。其二,虽然应用了秘密共享,可是由于对服务器部署的安全策略太过信任,造成无法防止公共资源交易中心数台服务器被串联破解攻破的危险。

因此,要将门限可验证秘密共享方案作为基础进行适当的改进,要在秘密分享中体现出秘密分发者的重要性,并在开展秘密重构的阶段,将分发者作为重要的组成部分,否则,秘密无法正常重构。攻击者在秘密共享的标底保密方面有三种攻击方式,分别为:

(1)在获取t-1个以下秘密份额的状态下将s推导出来。攻击者不管是否和t-1个分享者进行串通,攻击者所拥有的t-1个秘密份额都将不能得到其他分享者的秘密份额,只因在对离散时数进行计算时所展现出不可行的情况下,公开信息无法提供相关分享者所拥有的秘密份额信息。

(2)利用非法渠道由表面的信息引申出潜在的信息,这种情况的产生具有两种可能的方式,其一是从y=gs这一公式中,将s直接推导出来,然而在计算离散对数时出现不可行的情况下是很难达到的。其二是由u1、u2、u3......,un,v1、v2、v3.....,vt来进行对S的推导,因对离散对数的计算存在一定程度的困难性,攻击者基本上无法确保可以得到b1、b2、b3......,bt,加之也无法确保得到sk,进而不能得到S。

(3)通过对b1、b2、b3......,bt的应用,根据秘密份额的产生趋势进行各个分享者秘密份额的计算。因对离散对数的计算缺乏可行性,导致攻击者无法在表面的信息中获取秘密份额。因此,攻击者在这种情况下攻击成功的概率就会非常小。

根据以上的论述,为了解决电子招投标系统中存在的安全性问题,该系统利用了标底保密、秘密共享、一次性口令秘钥更新等安全技术,这一系列的安全技术有效的提升了电子招投标工作的安全性。

参考文献

[1]李福,孙星明,孙光.电子招投标系统的安全体系设计与应用[J].科学技术与工程,2013.

[2]段志国.绵阳市土地整理项目全程电子化招投标平台建设研究[D].电子科技大学,2013.

[3]刘跃广.电子招投标技术规范制定的几点建议[J].建筑市场与招标投标,2013.

[4]苗宏伟.群签名理论和CA系统在网上招投标中的应用研究[D].天津大学,2013.

作者单位

广西壮族自治区公共资源交易中心广西壮族自治区南宁市530028

上一篇:论Photoshop通道的使用与印刷工艺的关系 下一篇:基于奥林电子比例调节燃烧器在美国CB锅炉的应...