公共资源交易跨域交易关键技术研究

ads

公共资源交易跨域交易关键技术研究

万松林

阿勒泰地区行政服务中心(阿勒泰地区公共资源交易中心) 新疆 阿勒泰 836599

摘要:随着信息技术的进一步发展,UKEY媒体、数字证书和电子印章已成为公共资源交易电子招标的标准组成部分。通过UKEY数字证书和电子印章,传统离线签名和盖章可以扩展到网络,与此同时,它是严格按照要求为可靠的电子签名,电子签名法具有相同法律效力的签名和盖章的纸质文件模式。在公共资源交易中使用UKEY数字证书和电子印章,不仅具有电子化的便利性,而且有其独特的安全性。使用UKEY数字证书和电子印章,可以有效保证签名者身份的真实性,保护电子文档的完整性,签名盖章行为的不可否认性和电子文档的保密性。

关键词:公共资源交易;跨域交易;关键技术

1需求和挑战

1.1存量兼容

在目前的应用中,有大量的UKEY,它包含数字证书和电子印章。要解决市场主体跨域交易的问题,需要充分考虑股票,最大限度地支持股票UKEY、数字证书和电子印章应用。在应用集成模式方面,需要保证现有的区域和行业交易模式和流程不调整或少调整,使股票业务不能因实现跨域交易而正常开展。

1.2增量支撑

整个系统需要具有良好的扩展性和先进性。总体技术路线应符合国家对数字证书和电子印章的要求和规划。在集成模式下,需要考虑集成成本,以最小的集成成本顺利实现增量更新和调整。

1.3应用管理要求

跨域交易实现了市场主体可以在不同的交易系统中进行应用,是对原有的交易范围进行了扩展,其交易的内容不再局限于某一个具体的交易系统。跨域交易办理,通过有效的认证机制,在保障申请人真实身份的情况下,能够实现全业务流程办理。同时,由于市场主体进行跨域交易后,其原有交易空间进行了放大,需要一套完整的监管机制,保障市场主体跨域交易受控、可见、可查。

1.4规范化、统一化

由于各地公共资源交易没有进行统一的规划和设计,各个交易系统间的数据接口、文档格式没有进行统一要求,造成各个系统间的文件无法互认。为了提升行业的整体应用水平,打破系统间“信息孤岛”“数据烟囱”,需要结合公共资源交易相关数据规范,拟定一套标准,在数字证书格式、印章格式规范、签章格式规范、文件载体存储规范、交易系统集成等方面进行统一约定。

2互认系统设计

2.1接入检测系统

接入检测系统为标准化检测平台,其依托制定的标准规范,用于检验待检测的内容、接口是否符合相关技术规范。功能上,接入检测系统支持CA证书认证、UKEY接口数据互认、数字证书格式符合性、电子印章符合性、签章互认检测等功能。

CA证书认证主要用于验证证书是否有效,其通过基于PKI认证机制实现该功能。在接入检测系统上,可以针对不同的CA,实现证书链白名单的导入,并通过基于CRL或者OCSP机制查询证书状态。CRL的更新,可以通过本地上传或通过LDAP协议、HTTP等常规协议访问,确保CA提供的认证机制有效、可用。UKEY的接口数据规范,主要用于检测UKEY设备能否被正常识别、接口是否齐全、接口是否可用、接口数据是否可以互认等。通过UKEY的接口数据规范检测,能够识别不同UKEY,并利用UKEY完成譬如数字签名、验证、证书读取等功能,为实现不同UKEY的统一集成做好准备。

数字证书格式符合性主要包括两个方面的检测。一是数字证书格式检测,即检测当前UKEY设备中的数字证书是否为X509V3格式,其内容项是否符合国家密码管理局对数字证书内容的格式要求;二是业务格式检测,依据标准规范检测当前数字证书中是否包含了业务内容项,譬如证书中必须包括企业的社会信用代码等,以便在业务中得到此业务数据。

2.2统一身份认证系统

统一身份认证系统是实现基于市场主体UKEY的身份认证,用于解决市场主体在跨域交易时登录认证的问题。统一身份认证系统前端通过互认中间件可动态识别不同UKEY中的数字证书,后台连接了多家不同的CA,可通过证书链、CRL、OCSP等技术手段认证证书的有效性。在身份认证上,统一身份认证系统通过PKI的“挑战”认证原理,实现了客户端身份的认证。对于认证通过的客户端,统一身份认证系统可发放有效Token,并利用此Token登录访问不同地域的交易系统。同样,统一身份认证系统还衔接跨域交易管理系统,用于市场主体在办理跨域交易时的身份真实性认证。

2.3跨域交易管理系统

跨域交易管理系统承担了市场主体跨域交易申请、认证、监管等多项功能,以在线的方式提供跨域交易申请功能。市场主体可持有有效UKEY,通过统一身份认证系统认证后访问该系统,并申请开通跨域交易请求。相关请求会发送至系统业务审核人员,待审核人员确认通过后,市场主体可查阅审核结果,并进行跨域交易。在市场主体进行跨域登录交易时,除了通过统一身份认证验证身份的有效性外,还需要进入跨域交易管理系统查询当前身份是否开通了待访问系统的交易权限。

3关键技术

3.1系统过于庞大

由于系统需要打包多个不同UKEY的驱动、电子印章控件,导致系统的安装包特别大。

3.2系统稳定性较差

由于系统里面涉及多个UKEY驱动,如果驱动安装过多,会造成驱动冲突,导致业务应用受到影响。

3.3系统升级的成本高

系统是采用完全打包方式,每次加入新的设备或印章都需要全部进行打包,然后让用户重新下载使用,升级成本较高。每次新增新的介质,都需要额外增加大量的空间,在推广集成上面临很大的问题。

统一互认中间件采用了技术分层技术,大大降低中间件与UKEY、印章之间的耦合,通过“无驱”技术,实现了CAUKEY设备的自动识别;通过定义标准的印章接口,以“黑盒”方式统一印章控件的方式兼容多家印章数据;通过动态调用模式,可以实现不同设备、印章的动态库动态升级。

3.3.1设备的识别

设备识别统一按照国家密码管理局GM/T0016-2012定义的SKF接口来识别。在实际应用时,可提前把相应UKEY的SKF接口库以及其依赖文件放在安装路径下的特定目录,统一UKEY中间件会按照目录自动轮询加载对应的SKF接口,利用接口尝试连接设备。由于系统内置相应标准的驱动,因此在进行通信交易时,不需要单独安装对应驱动程序,从而实现了“无驱”识别。在实际操作时,为了保障设备能够“真正”地被正确识别,除了调用SKF的枚举设备接口得到设备外,还需要尝试枚举应用接口,确定能枚举到应用,以便确保能够真正识别设备。待设备被正确识别后,对于识别设备可依靠SKF接口读取内部数字证书,调用内部密钥完成加解密、数字签名、验证等功能,最终由统一UKEY中间件对外统一提供服务。

3.3.2印章的识别

由于在不同的UKEY介质里面存放的印章位置、格式和入方法均不相同,采用不同接口入的文件无法采用其他接口进行读取。在设计上,主要通过“黑盒”设计,统一接口名称、返回信息的方式进行统一化处理,即不关心电子印章存放的位置、格式和入方法,任何一个UKEY对应的电子印章,均需要按照标准提供对应的动态库,能够完成标准数据的读取和返回。

为了解决诸如底层库冲突之类的问题,在为Windows平台进行设计时,需要遵循以下约定。首先,所有底层库都是标准的32位dll。其次,根据设定的封印接口在DLL中提供符合规范的响应数据(获取封印列表和读取封印数据)。dll独立于任何COM/ ActiveX组件,可以在任何目录下正确执行。必须提供完整的依赖库文件。在电子签名过程中,统一的电子签名中间件会根据目录轮询,逐个动态加载印章的动态库,并利用它读取列表来获取印章的内容。当发现可以正常获得封条时,即可完成轮询操作。

结束语

公共资源跨域交易是降低市场主体运行成本、进一步深化“放管服”改革的有效手段。通过构建跨域交易系统,市场实体可以实现“一处领先UKEY,处处通用”的目的,是解决相互识别中间件逻辑图存在问题的有效手段。

参考文献

[1]密码行业标准化技术委员会.GM/T0031—2014安全电子签章密码技术规范[S].北京:中国标准出版社,2014.

[2]国家密码管理局.GM/T0016—2012智能密码钥匙密码应用接口规范[S].北京:中国标准出版社,2013.

本站部分资源来自网络,如有侵权请联系删除!点击联系

(0)
上一篇 2021-04-09
下一篇 2021-04-09