招投标网安全认证解决方案

    网上招投标是以互联网为信息载体提供网上信息发布、网上招投标服务，网上招投标操作流程规范，实现信息共享，促进各方信息对称，贯彻了“公平、公开、公正”的原则，但互联网固有的开放结构使得信息在通信过程中存在许多安全隐患，如无法保障用户线上身份的真实性，无法保障用户线上招投标信息数据的真实性和不可抵赖性等，这在一定程度上阻碍了网上招投标业务的顺利开展。

一. 需求分析

1、身份认证
    网上招投标系统为网上招投标系统的用户（招标方、投标方、代理方、平台方）颁发数字证书，证书采用USBKey或浏览器插件，当用户需要办理业务时，可以用证书登录网上招投标系统，系统通过对用户证书的验证来识别用户身份。

2、业务防篡改和法律效力
    用户在招投标网上平台办理招投标业务时，需要使用用户自己的数字证书在业务办理确认阶段对业务信息进行数字签名，确认该业务的有效性和归属人，来保障业务办理信息的防篡改和法律效力。

3、数据机密性
    为网上招投标平台配置SSL安全通道，对用户的数据进行加密传输，保证招投标信息和数据在传输过程中的安全。

二. 方案介绍

    根据网上招投标活动的安全需求，结合上述的安全需求分析，东进公司基于东进统一认证平台（DJUIAP）提出满足网上招投标系统安全需求的解决方案，通过在网上招投标系统上部署DJUIAP，解决招投标过程中的身份认证、信息完整性和机密性保护等安全问题，方案的系统结构如下图所示：

 
    在网上招投标系统的内网中部署东进统一认证平台（DJUIAP），该平台由RA系统、CA系统（也可以引入具有第三方认证资质的CA机构）、签名验签服务器和服务器密码机组成。DJUIAP通过与网上招投标系统进行应用集成， 完成网上招投标系统中的证书的管理、用户的认证、关键业务操作和数据的数字签名和验证等全面的安全功能。

1、CA系统
    在网上招投标系统的内网可以部署自己的CA系统，也可以引入具有第三方认证资质的CA机构，连接到RA系统，为网上招投标系统生成数字证书，并向用户各方颁发数字证书，作为用户登录网上招标系统、进行业务操作确认和提交文档的数字凭证，同时对数字证书进行生命周期管理

2、RA系统
    在网上招投标系统内网部署面向招投标各方用户的证书注册审核中心（RA系统），RA系统连接到CA系统。网上招投标系统调用RA系统，为用户提供证书申请、身份审核、批准和证书下载，同时，RA系统通过CA系统对发放的数字证书进行生命周期管理，如证书申请、证书更新、证书变更以及证书注销等。

3、签名验签服务器
    在网上招投标系统内网部署签名验签服务器，提供数字签名服务和对签名数据进行验证服务，并且提供对用户登录信息的验证以及客户端签名数据的存储功能，以验证用户身份、检验操作行为和信息数据。同时，签名验签服务器连接CA系统，下载证书撤销列表（CRL），判断正在使用证书的有效性。

4、服务器密码机

在网上招投标系统内网部署服务器密码机，提供密钥的产生、密钥的存储、数据加解密运算等功能，为证书管理、签名验签等应用提供底层密码算法支撑和安全保障。

5、SSL安全通道

DJUIAP能为网上招投标系统发放服务器数字证书，确保服务器身份信息可靠，网上招投标系统的服务器通过数字证书和服务器密码机能够与互联网中的客户端建立安全SSL加密通道，实现数据信息的加密安全传输。

6、客户端

位于互联网中的用户在网上招投标系统完成注册后获得数字证书，数字证书可以是软证书或USBKey，并通过SDK或安全中间件在登录平台、业务操作、提交文档时使用证书进行身份认证和数字签名。

三. 安全服务

1、为招标方、招标代理方、投标方和平台方的各个用户提供强访问身份认证，可通过对所有管理人员颁发登录系统数字证书，实现口令+数字证书的双因素认证，充分确保系统的访问可控、安全。

2、通过管理人员为招标方、招标代理方、投标方和平台颁发的数字证书，可以为用户在网上招投标系统中的关键确认操作和关键确认数据进行签名和验签，充分确保招标信息的完整性和不可抵赖性。

3、为网上招投标系统的各个用户提供关键数据的加密传输，保证关键招标信息的机密性，充分确保系统的访问可控、安全。