打开文本图片集
摘要:基于互联网构建电子招投标平台是实现招投标管理工作公平公正公开的必要手段。现实中的电子标书文件动辄几百兆字节,实现基于C/S架构的互联网安全加速传输系统对于提高电子招投标工作效率具有重要意义。系统综合运用身份认证技术、安全传输协议、多种广域网加速技术,在确保信息安全的前提下可以显著提升标书文件传输速度,为电子招投標平台提供数据接口,同时为供应商提供支持USBkey+CA认证的Windows版本客户端。全面介绍了系统的关键技术和整体架构。实践结果表明,使用系统后,标书文件的上传速度得到了10倍以上的提升。
关键词:电子招投标;广域网加速;身份认证;安全传输
中图分类号:TP 393 文献标识码:A 文章编号:1672—7312(2017)04—0412—06
0引言
招投标是最规范、最严谨的组织采购定价工具。传统的招投标业务,大量环节采取手工作业,具有工作繁琐,效率低下的弊端。构建电子招投标平台是服务于招标采购管理的最佳实践。随着《电子招标投标办法》的颁布和施行,电子招标平台被各级政府和企事业单位广泛选择和运用。但在实际的应用中很快有人发现,基于互联网的电子招投标平台会遇到2个显著问题,严重制约了招投标工作效率。一是信息安全受到威胁;二是互联网通讯效率低。
目前,针对上述问题,国内在电子招投标平台的研发方面基本采用了计算机网络安全的相关理论和技术,并且应用基本成熟。但在第二个问题上,却很少有人提及相应的解决方案。根据多年在计算机安全通讯领域的实践经验,我们认为,既然互联网是由广域网组成的,那么互联网面临的问题也可以采取广域网加速解决方案。广域网加速技术及产品目前在国内不同行业已经有不少成功应用的先例,其技术成熟可靠,加速效果显著。
在这样的指导思想下,我们结合国内外先进技术,针对电子招投标平台的特点,尝试设计一套软硬件综合解决方案,即互联网安全加速传输系统,同时为了最大限度地降低对现有平台的影响,保持系统的相对独立,我们为平台提供接口以实现无缝对接。
系统包含计算机软件和硬件设备,试图整合计算机安全领域广泛应用的USBKey+CA认证模式、SSL安全传输协议,以及在广域网优化领域广受推崇的重复数据删除、TCP连接优化、应用优化、并发传输等技术,无需改变用户使用环境,在确保互联网数据传输安全的同时,大幅度提升标书文件的传输效率。
1面临问题
目前随着互联网的广泛普及,通过互联网进行网上数据和文件的传输已经具备现实的可能性,但是在互联网上进行招投标文件上传还必须解决几个核心技术问题。
1.1速度问题
虽然互联网已经广泛普及,甚至互联网的骨干带宽每年都成倍地提升,但是互联网最后一公里的问题仍然困扰着广大互联网用户。不少用户实际可用的互联网接人手段仍然停留在ADSL这样相对低速的接人手段上。由于最后一公里的互联网接入是一个世界性的难题,解决该问题的工程量和资金投入远比解决互联网骨干带宽要大得多,在可以预见的将来,相当一部分互联网用户仍然只能选择低速的ADSL.
ADSL(Asymmetric Digital Subscriber Line,非对称数字用户环路)是一种数据传输方式。它因为上行和下行带宽不对称,因此称为非对称数字用户线环路。它采用频分复用技术把普通的电话线分成了电话、上行和下行3个相对独立的信道,从而避免了相互之间的干扰。目前互联网用户广泛采用的8 MADSL标准,它提供下行7 Mbps上行512 Kbps的带宽。
以8 M ADSL为例,由于ADSL的非对称性,ADSL非常不适合数据上传。以一份典型的500MB的标书为例,一份500 MB的标书上传理论上需
(500 MB*1 024*8)/512 K=9 600 s=2.7 h.
如果考虑误码率及网络延时,500MB实际上传时间常常在4~8 h.而在开标前夕,标书经常要做一些小的改动,即使只改了个数字,用户必须重传所有的500 MB文件,又需要4~8 h.在互联网状况不稳定的情况下,甚至导致大型标书根本无法上传。
1.2安全问题
由于标书涉及敏感信息,通过互联网上传标书必须解决安全传输问题。必须保证整个标书在互联网上的传输是强加密方式,任何人即使通过互联网窃取了上传标书的密文,由于其没有密钥,也无法解开标书。
安全问题不仅仅体现在互联网传输上,还体现在标书上传后的保存形式上,必须保证标书在投标文件服务器上都是以密文形式存在,只有在用户和开标人同时签到,分别用各自的私钥才能解开上传的标书。
1.3身份认证问题
由于互联网的开放性,我们必须保证准确识别标书上传者的身份,只有身份合法并购买了相应招标书的投标人才能上传相应标段的投标书。
1.4上传内容的不可抵赖性
不可抵赖性,又称不可否认性,是指标书上传后,防止标书上传者对上传行为和内容的否认。同时我们又为成功的标书上传提供回执,防止招标人对成功收到标书的否认。
1.5上传标书的原子性一致性
必须绝对保证上传标书完整一致地上传到投标文件服务器,上传标书犹如数据库的交易一样有原子性,要么绝对上传成功,要么失败。上传标书的原子性和一致性不仅依赖于传输协议的保证,还需要应用级别的保证。当应用级别的比对和确认成功后,才能真正确保上传标书的原子性和一致性。
2解决方案
针对以上必须解决的几个核心技术问题,系统采用了以下关键技术。
2.1数据压缩技术
采用无损数据压缩技术,在传输层发送端对传输数据进行压缩,在接收端对压缩数据进行解压,独立于应用层协议,对上层协议完全透明,传输一级自动对数据压缩和解压缩,提高带宽利用率。压缩与解压缩技术其压缩率与内容相关,文件和重复率高的内容其压缩率较高,而经过压缩编码的内容如图片、视频、压缩文件等其压缩率低,甚至是负压缩率。通常业界普遍认可的平均压缩率为2~3倍。即通过数据压缩技术,我们可以提高传输效率2~3倍。
2.2数据去重技术
数据一旦通过广域网应用加速设备,设备能记住该数据并维持一套索引,一旦相同数据再次通过该设备,该数据无需再次通过广域网,广域网应用加速设备会自动在远端重建该数据,该功能也对上层应用透明。就数据去重算法而言,传统的IT厂商倾向于采用固定数据块大小的去重算法,该方法算法简单,但去重效果不佳。系统采用了可变长度数据块大小和最小128字节的数据块,极大地提升数据去重率。
2.3网络延时优化技术
互联网应用的性能不仅受制于广域网带宽,很多情况下更受制于广域网延时。许多互联网应用,如果广域网延时不能改善,仅仅提高广域网的带宽是不能解决问题的。而网络延时的改善在现实情况下,比简单地扩充广域网带宽更加困难。
TCP协议(Transmission Control Protocol传输控制协议)是互联网上广泛采用的面向连接的传输协议。系统采用了以下技术针对TCP协议实现延时优化。
1)连接池技术:系统客户端与投标服务器的加速设备系统建立了空闲连接的连接池。当系统客户端需要与投标服务器建立TCP连接时,系统客户端将直接采用一个已经建立的空闲连接,避免了在高延时的广域网上建议连接所需的3次握手等待。
2)TCP窗口优化技术:连接池的连接在系统客户端和投标服务器端的加速设备会自动协商优化TCP窗口大小,减少延时对吞吐率的影响。
3)HS-TCP技术:在传输出现丢包时,不是简单地将TCP窗口减半,而是适当地减少TCP窗口,使传输吞吐率不致受太大影响。HS-TCP能很好地适应高带宽和高延时的传输环境,HS-TCP能快速地从丢包中恢复到正常传输状态(如图1所示)。
4)MAX-TCP技术:在传输出现丢包时,MAX-TCP维持TCP窗口不变,以保证当瞬间数据包丢失时,不失去传输性能和吞吐率,而传统的TCP则会在瞬间大量丢包时失去大量的性能和吞吐率,并在丢包率正常时,缓慢恢复原有的性能和吞吐率。MAX-TCP有效地处理了丢包并维持了传输性能和吞吐率。
2.4多线程分块划片并行加密传输技术
即使采用了连接池技术和TCP窗口大小自动协商优化技术,在高延时的广域网上,单个线程的数据传输仍然不能将WAN的带宽充分利用。为此,我们对系统的标书加速上传采用了多线程并行传输技术。当需要在系统客户端与投标文件服务器之间上传标书时,系统将在系统客户端与投标文件服务器之间建立多个SSL连接(缺省为6个),即单个投标文件将在多个SSL连接通道上并行传输。多线程并行传输技术一方面解决了充分利用广域网带宽的问题,另一方面还解决了单个连接因不确定的网络原因造成的单个连接阻塞带来的传输阻塞问题,不用等待单个连接的缓慢恢复,整个文件的其他分块可以继续在其他通道上上传。
2.5信息摘要技术MD5
MD5即Message-Digest Mgorithm 5(信息-摘要5),用于确保信息传输完整一致。采用MD5技术系统能保证标书上传过程中的数据一致性。由于系统不仅采用了标准的协议上的一致性检查,系统还在应用级做了多级的MD5计算和数据效验,因此系统能确保标书上传的数据一致性。
2.6双因数身份认证技术USBKey+用户口令+CA认证模式
电子商务认证授权机构CA(CA,Certificate Au-thority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
系统内部整合了CA认证系统。通过和国家有资质的第三方数字认证中心(cA)合作,可以获取由CA提供的数字证书来保证需要进行网络通讯的用户身份合法性。数字证书将放置在由CA统一制作发放的USBKey之中,接人系统后,就能由CA来确保用户的合法性。为了防止USBKey被不法用户利用,系统还通过用户自行设置的口令来保证USBKey的使用人是USBKey的所有者。
2.7 SSL安全传输协议技术
安全套接层(Secure Sockets Layer,SSL)SSL是国际上使用非常广泛的网络安全通讯协议,具有公认的安全可靠性,同样在安全需求较高的行业如金融行业中大量使用。SSL协议的优势在于它是与应用层协议独立无关的。
系统在SSL协商加密算法时采用的是128位的AES 128加解密算法。与加速设备在SSL的握手方式上做了透明优化,从而达到既加密又去重和压缩的效果。
2.8 XML技术
可扩展标记语言(eXtensible Markup Language,简称XML),是一种标记语言。标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种信息的文章等。
系统采用XML技术与标书制作子系统及招投标业务子系统之间传递数据信息,以说明数据的用途和意义。通过XML技术,系统能够很容易同任何CA系统和招投标平台集成。
3与平台無缝整合
为了与招投标平台及CA认证进行无缝整合,减少用户操作复杂度,同时保障相关技术的顺利实现,系统与其他系统采用XML技术进行跨平台的数据交换,并通过WebService接口同其他系统进行信息交互。系统软件部分在平台内的流程如图2所示。
系统除了同平台上的相关子系统可以进行无缝对接外,还具有如下特点
1)系统是招投标平台之外的相对独立的传输系统。
2)系统通过招投标平台生成的XML文档获取服务器、供应商、主持人、标书等信息。
3)系统的CA认证、供应商和主持人密钥获取、数据加密等操作完全自成体系。
4)系统由3个部分组成:①系统客户端程序;②系统服务器端程序;③广域网加速系统(包含加速设备、移动版控制器、移动版加速软件)
4案例分析
4.1项目概况
某省财政厅采购中心拟建立财政体系在全国的第一套电子招投标平台,这项举措具有划时代意义。一方面是顺应电子政务发展的必然趋势,另一方面使充满弊端和低效的传统招投标管理方式得以被取代。安全、高效、不被人为干预的招投标管理方式是很多正直守法、通过合法商业竞争获得优势的企事业单位所期待的。
电子招投标平台的安全加速传输系统部署在省财政厅采购中心及省内13个地市采购中心。各地供应商正常接人互联网以后,可通过财政厅采购中心的网站系统下载投标客户端程序。安装完毕后,按照标书制作向导完成标书制作,插入线下申请获得的用户USBKey就能将制作好的标书和投标商相关信息上传至服务器。开标时,各供应商和本次招投标的主持人通过自己的USBKey逐个解密标书并进行评标。
4.2系统部署
安全加速传输系统,负责将用户需上传的投标文件通过各种网络安全技术和多种广域网加速技术安全而高效地上传至服务器,然后使用可靠的安全存储技术将用户的投标文件存档至服务器存储中(如图3所示)。
4.3使用效果
安全加速系统能够有效地提高传输速率达10倍以上(见表1),对极差网络状况的超强适应能力,在标书上传完成后还能提供超高速的修改后再投递功能。同时在整个过程中,以CA中心提供的安全策略和安全技术作为保障,用户不必担心标书内容外泄的问题。
5结语
电子招投标平台主要解决现实中招投标工作中存在的管理问题,但在实际应用中因为互联网的某些局限带来一系列技术问题,主要集中在安全保障和传输效率方面。安全加速传输系统就是针对这些问题而研发的一体化解决方案。系统软硬结合,将成熟的安全理论和算法、跨平台协议、独特的广域网优化技术有机地整合到一起,与平台无缝对接,显著提升传输效率,同时与平台保持相对独立,提供友好接口。系统在研发后期还通过了一系列严酷的压力测试。
系统已在某省财政厅投入使用,为政府采购电子招投标平台提供标书传输服务。实际应用表明,系统具有安全性、健壮性、超高效率的特点,得到了政府相关部门和供应商的普遍好评。为电子招投标平台量身定制的安全加速传输系统具有适应我国互联网现状的鲜明特点,具有一定的推广价值。