1.背景

    随着信息化产业的快速发展，许多机构部门都建立了自己的信息系统：
    “网上招投标”系统借助计算机网络，招投标各方可以非常迅速、便捷获得有关信息，可以在网上发布招标公告、网上下载标书（包括网上支付）、网上投标（标书上传、投标保证金网上支付）、网上开标、覆约保证金支付、投标保证金支付、投标保证金返还、发布中标结果等。
    “政府网上采购”是政府已公开、公平、公正的方式，在网上购买货物、工程和服务的，这样可以非常迅速、便捷的获得信息。
    基于网络开展业务的需求变得更加广泛，而这对信息安全提出了更高的要求，目前安全方面的隐患也随之暴露出来，主要表现为以下几个方面：
    用户身份无法确认
    由于传统的“用户名+口令”的认证方式，用户名及口令一名文的形式存储到数据库，很容易被破解，并且通过登录的用户名无法有效判断登录系统用户的真实身份。
    传输的信息缺乏保密性和完整性 
    由于数据是明文传输，因此在传输的过程中一些敏感信息可能会被黑客窃听和恶意篡改导致部分信息丢失，这就需要对传输的信息进行完整性校验。
    传输的信息缺乏抗抵赖性 
    由于采取网上操作的方式，数据采用电子方式传输，一旦用户对自己的行为抵赖，双方都无法出具另一方进行相关行为的仲裁的依据，这就需要对行为进行不可抵赖性的确认。

   2.证书应用简介

    为了解决网上的这些安全问题，我们采用PKI（Public Key Infranstructure-公钥基础设施）技术。利用基于数字证书的用户身份认证技术对网上寻价及报价，招标、答标、评标等敏感信息进行加密、数字签名，以确保这些信息的完整性，确认系统用户的真实身份和信息的真实来源，防止出现抵赖行为或他人冒充伪造篡改数据。利用基于数字证书的SSL安全通信协议技术，对在网络上传输的招标信息进行加密，防止敏感信息泄漏。由于招、投标的公开竞价具有时限性，以谁的时间为标准就显得很重要，否则会出现一方认为超时，而另一方认为时间未到的混乱局面。可以考虑的做法是利用数字时间戳技术（Digital Time Stamp Service），为数字签名再增加一段关于时间的信息。这一过程可由政务CA提供的专业的数字时间戳服务来完成，确保时间的准确性。
    数字证书是用户的唯一标识，它能代表一个用户的身份。政务CA为用户颁发的不同的数字证书，如：采购方证书、供应商证书、专家证书、管理员证书，并为每个证书划分了不同的权限，用户只能在其权限范围内进行操作。以下是不同用户证书在实际业务处理中的应用：
    网上采购
    采购商采用政务CA为其颁发的采购商证书，登录到网上采购系统，系统进行身份验证。当他提交采购计划申请时，客户端将数据签名、加密发送。具有审批权限的用户审批采购计划时同样也要用自己的证书将审批结果签名、加密发送。最后将招标文件上传。这样不仅防止了敏感信息泄漏还进行了有效的身份验证。
    网上招投标 
    供应商用政务CA为其颁发的供应商证书，登录到网上招标系统，系统进行身份验证。当他下在招标文件时，进行客户端解密，招标文件一名文的形式显示在客户端。供应商编写投标书，客户端进行数据签名及加密。标书以密文的形式上传到服务器，服务器端进行数据解密。这样不仅防止了敏感信息在传输过程中的泄漏，还进行了有效的身份验证。
    抽取专家 
    对于评标专家的随机抽取由管理员完成。对于管理员抽取专家的这一动作进行数据签名，具有不可否认性记录，对于专家库也要严格保密，以密文的形式保存。
    用户管理
    对于用户的登录，我们可以仅使用数字证书方式。在登录过程中，我们采用安全认证网关对用户的服务器身份进行验证、确认，该过程将保证传送过来的数字证书的真实性，同时，服务器端将数字证书信息与用户身份信息进行比较，并确定其操作权限，从而保证了用户身份的确定性、不可否认性和访问的安全性。

   3.特色

    基于PKI技术：PKI技术是整个证书应用的基础，在证书应用的设计中充分利用吉林安信在PKI技术上的优势，将其融入到系统的安全保障体系中。 
    根据数字证书和数字签名来验证身份，可以安全、方便地进行客户验证和信息传送。 
    通过数字证书，对访问权限实行分级管理，系统管理上灵活方便 
    可以实现用户、服务器的双向数字签名和验证，比普通的单向数字签名更加安全 
    支持USB Key证书存储介质：这种介质为证书及私钥本身提供了高强度的保护，同时携带方便，一旦遗失只需简单的挂失重新申请即可，真正实现了“个人信用凭证随身携带”的作用。私钥不可导出，不必备份，用户使用安全，方便。 
    具有友好的界面，操作简单。