建设工程网上招投标系统安全问题研究Word文档下载推荐.docx

1、, , /,武汉理大学顾上学位论文第一章建设工程网上招投标的现状及面临的安全问题.建设工程网上招投标背景概述建设工程招投标的目的,是在公开、公平、公正的环境下,通过竞争,为投资人确定一个合理的建筑成本,选择一个技术先进、质量有保障的承包企业。过去,由于受传统的定额计价模式影响,工程招投标形成的中标价格,实际不能有效地控制工程造价,“三超”现象非常普遍,使评标实际操作陷入困境,难以发挥应有的作用。年月目,建设部正式颁布建设工程工程量清单计价规范,彻底改革工程计价方法,推行工程量清单计价。计价规范的发布实施,有利于建立由市场形成工程造价的机制,同时也为公正评标、计算机辅助评标和建立电子化招投标模式

2、创造了更为有利的条件。在电子化招投标模式中,首先由招标方使用电子标书制作软件,根据建设工程工程量清单计价规范编制电子招标书并发给投标人。招标电子标书具有严格的数据保护功能,可保护招标文件内容工程量清单,防止投标方擅自修改合同。投标方购买招标文件后,使用电子标书制作软件进行报价并形成电子投标书。电子标书保证了投标人能够按照招标人规定的格式进行报价,规范了投标人的操作,保证了投标质量和投标效率,大大降低因投标人不规范操作而产生废标的可能性。最后评标委员会通过电子标书和计算机辅助评标系统,对评比成果逐一确认,准确、快捷地产生中标人。这种模式规范了评标委员会的评标行为,可避免人为因素,充分体现公平、公

3、开、公正的原则。年月日,建设部建筑市场管理司招投标监管处领导观摩了广东省有关工程量清单计价模式下的电子化招投标及评标定标操作演示后指出:“在现阶段,规范招投标管理主要靠制度,利用计算机技术是防范不规范操作的有效手段”。并且要求有关开发单位,就如何使用计算机技术手段.防止招投标过程不规范操作,提出具体解决问题的方案。武汉噬工人学硕士学位论义.建设工程网上招投标的现状目前在互联网上可以见到许多我国的工程建设网站,其中多数网站涉及招投标活动,有的予臆直接命名为“网上攘投标”。归纳怒来,与据投标瀑动壹按相关的内容有以下几类:.发布工程顶最招投标信息,如招撂公告、投标资格预审缝累透知、中标消息等。这是目

4、前提供的最常见的一种“网上招投标”服务。在网上发布信息,是互联网一历史疑悠久的一项功能,在招标投标法中明确撂如信息阚终是避行招标公告发布的一种方式,观己被人们广泛接受。今后,互联网很有可能取代报纸等传统媒贪,成为招标公告发布的主要羧体。.在网上出售电子招标文件,有的还统定了电子标书格式。用这种方式购买招标文件的优点是,投标人在较娥的时间内获褥掇标文牛的详细内容,为电子评标奠定了基础。可以说,这是当前建设工程网上招授标利用网络最充分的一项工作了。但国内电只有少数网站开展了此项服务。在番弼网络给建设工程招标投标工律带来高敲和便秘的同时,我们应该注意到这样的事实,即现在的建设工程网上搦投标主要局限予

5、招标投标信息的发布上,丽授标、开栎等关键的过程并未麓奁嗣上进行,远没有发挥夏联弼所具有的信息共享、传播快捷尤其是双向互动的优越性,“网上招投标”有些名不符实。.建设工程网上招投标面临的安全问题建设工程网上招投标系统基于,网络驻联的规模越大,其安全性问题也裁越突出。佟必鲍基醴蛰议到戆缺陷、宓羹上一蹙著不安全戆加密算法、开放与共享的网络等等,均怒引起安企问题的重要原因,在建设工稷网上撂投标系统中主要会遇到以下阉题:信息泄漏问题投标嫩务的执行过程必须在安全的环境中进行,敏感数据的传输必须经过加密。目前,很多招投标平台的敏感数据如标单信息、招投标文件等在网上仍然是明文传送,很窑易被截获或窃瞬到,为建设

6、工程网上招投标带来便利的同时也存在着安全隐患。信息的真实性和完整性问题招投标过程中的敏感俯息挪投标价格等在网络上传输的过程中,可能被他人非法修改、删除或煎放接只能馒用一次的信息被多次使用,这撵使信息失去了真实性和完整性敏感文件在传输和存储过程中,必颓保证不谶篡改.信息破坏问题武汉理工大学硕十学位论文由于网络的软硬件故障可能使信息丢失或错误,同时,计算机网络本身容易通到一些恶意程序的破坏,如计算机病毒,特洛伊木马及逻辑炸弹等。身份认证问题建设工程网上招投标系统的另外一个困难是用户身份认证,包括交易伙伴之间的相互认证和中介机构的认证等。身份验证的主要目标是确认信息发送者的真实身份和验证信息的完整性

7、,即确认信息在传递和存储过程中未被篡改过。传统方式由于使用的通信网络是增值网或专用网,可以使用比较复杂的专用加密和认证技术,因此在数据存取控制、数据归档、数据恢复、网络使用、客户验证、信息发送以及安全性上具有很高的可靠性。但这些在利用作为信息渠道时却难以得到有效的保证。由于的开放性,参与交易的双方都迫切地需要确认对方的身份。用户在登录业务系统时,必须通过有效的身份认证。身份认证手段要求是可靠的和不易攻击的。同时,业务系统要能根据用户的身份进行访问权限控制,防止信息泄漏和非授权用户执行非法操作。还要求具有“不可抵赖”性,招投标的双方对自己的行为负责,信息的发送者和接收者都不能对此予以否认。进行身

8、份认证后,如果出现抵赖的情况,就有了抗否认的依据。客户端安全问题开放网络环境下进行信息传输时,用户在客户端面临很大的安全风险,因为客户程序的真实性得不到保障。在很多情况下,用户无法对所在的客户节点给予足够的安全信任,比如通过饭店的计算机进行交易时,用户显然不可能对所使用的计算机给予充足的信任。产生安全问题的原因在于用户没有进行密码处理的能力,因此必须将密钥提供给客户程序,让客户程序去完成相应也几乎是全部的工作。对于一个恶意或存在安全缺陷的客户程序而言,攻击者很容易获取用户的密钥,并进一步获得用户的所有权限。而且,安全问题还存在于用户的密钥本身,用户一般需要记住密钥,这就面临着古老的但是事实证明

9、也是有效的字典攻击的威胁。恶意或存在安全缺陷的客户程序仍然使攻击者很容易获取用户的密钥,用户仍然需要冒巨大的安全风险完全信任所使用的客户程序。.建设工程网上招投标的发展方向如果把目前互联网上进行的建设工程网上招投标称作“不完全网上招投标”。那么未来的“完全网上招投标”或称作“全过程网上招投标”模式的流程应该大致是这样的:招标人在招投标网站上发布招标公告;潜在投标人在网上报名;资恪预审通过后,用电子货币购买电子招标文件:编制好投标文件后,通过加密方式将数据上传至招投标网站:在投标截止时间,各投标文件同时解密;招标人、武汉理大学硕上学位论文评标委员会成员在网站现场,就投标文件中的问题向投标人在线质

10、询;评委进行评标,确定中标人开标至定标,行政监督和公证人员均在网站现场进行监督;最后承包、发包双方签约可通过数字签名方式签字;并通过网上银行在线支付工程预付款。至此.除了现场踏勘以外,招投标中全部环节都在互联网上得以完成。如果这种设想能够成为现实的话,互联网在招投标中的作用可以发挥到极致,而且可以大大节省招投标的费用开支,为形成建筑有形市场创造客观条件。藏汉瑾工大学矮.掌建设文第二童电子商务的安全.电子商务基础知识膨谓电子商务 戏 就是利用诗繁狡技术、丽终技术和运稷送信技术,实现整个蔫务过程中斡龟孑讫、鼗字化和网络化。它的具体含义是指进行电子商务交易的供黼双方,通过企业内部网、外部网、因特网锷

11、各种网络平台,完成亵务交易兹过程。这些过程毯掇:发毒蠢务瀑求售惠,嬲上订货及确认订货、身份的认证、电子支付过程等。广义的电子商务是指电子工具在商务活幼中的应用,包括商业机构、政府机槐、金事业单缀种事务的电子他、网终化,如电子商务、电子政务、电子公务等。狭义的魄予商务是搔在信惠社会中,掌握蔼怠羧术和商务授术的人,系统化运用网络和计算机技术,高效率、低成本地从事以商品交换为中心的各种商业事务活动,如电子广告、电子购物、电子商场,电子银行、电子合同签约、逸子谈羚等。电子商务是信息时代商务模式的实质瞧变革,也是未来商务活动方式的发展方向。电子商务系统是一个综合系统,其实施牵涉到数据传输、电子广告、售患

12、安全、社会傣溺蒋系、浃终环境、经济秩序诸方嚣,建一个与社会太环境怠意糟关并独其完整结构体系的系统工程,电子商务发展大概经历了四个阶段:、通过网以曩发送电子邮牛方式来传递商业信息;、公司袋企簸在瓣上发奄主趸,怒全盘翡囊蘩售爨发布鬟网上:、网上的交互式信息交换;、不受时阕秘空闻强铡敬凌线商务滠韵。从最初的利用电子邮件来传递商、韭信患到现在的在线商务活动,电子商务的发展已经曰趋宽善,它对参与贸易的双方的企业内部筲理信息系统的要求也越袋越高。企业的嘲上贸易潘幼不再只局照予定对更新主页数搀或信息,也不是麓萃弱企整闻邋行电子数攥终簸,它要求企监建立一个集残肉并帮信息静大系统,尽可能实现信息的实时控制和交换

13、,最大限度的突破商务活动的时间和空间的限制,实观电子商务优势。藏淡理工夫学硕氆往论文.电子商务的安全隐患瓣为毫子褒务楚澍霸诗冀秘瓣终故信息交羧来实瑷魄子交易豹,矮隧冠是涉及到计算机网绦的安全问题无疑对于电予商务都有着熬娶的意义。幽然,电子商务的安全也存在着自身的特点。目前电子商务的安全隐患主要有:系统中鞭酸坏系统的蠢效性网络故障、襟传、程序、礤俘、软伟罐谈及病毒都能静致系统菲正常工作,贸易数据在确定的时刻和地点的有效性不能得到保证。窃听信息破坏系统的机密性暹逶搭线帮魄磁灌瀑等手段造残瓣癌惑浚潺:或对照务滚量送行分毒螽纛获取有价值的商业情报等行为会损害系统的机密性。篡改信息破坏系统的完整性数据输

14、入射瓣爨掺差错或欺诈行为;数键健辕中薅患毅丢失、重焚或次亭差舅酃可能导致贸易各方信息斡差异,从而影嫡贸荔各方信息的完整性。伪造信息破坏系统的真实性确定贸易双方交易信息的真实和可靠怒保诞电子商务顺利进行的关键。在毫予蕊务方式下,遥过手写签名帮鼙章进行爨易双方静鍪翔楚不哥黪懿。毽诧,在交翁信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识成为必需。黠交易行凳避嚣羝栽羹求系统具豢霉查能力当贸易一方发现交易行为对自己不利时,可能会否认电子交易行为。因此要求系统具备审亵能力,以杜绝交易任何一方的抵赖行为。.电子商务安全蜃涉及到兹技术电子商务安众的技术问题能括通信安全技术和计算机安全技术两个方面,

15、二者共嗣维护惹臻愚安全。.保证通信安全所涉及技术售息热密技术。信息热密技术是僳黠信息安全豹竣基本、最核心的技术臻施和理论蒸硝。信息和密邋程由形形琶龟的船密算法来具体实藏,它隧较小的代价获得较大的安全保护。信息确认技术。信息确认技术通过严格限定信息的共享范围来达到防走信息被法爨逡、蓥改帮缓嚣。一个安全瓣薅愚确谈方絮应该疑馒:合法的接收者能够验证其收到的消息是否真实;鼗浸理工学礞土学位论曼发信者无法抵赖自己发出的消息;除合法发信者外,别人无法伪造消息;发生争执辩可由第三久傍裁。按照其具体鹭夔,信息确谈系绞萄分为消虑确认、身份确认和数字签名。网络控制技术。包括:醛火墙技术。它是一耪允诲接入夕郏阚络,

16、毽潮露又姥够识剐露羝挠非授权访问的网络安全技术。审计技术。它使信息系统自动记录下网络中机器的使用时间、敏感操作和违纪操作等。访海控稻技术。它允诲箱户对其蘩搏懿售惑蓐逡舒适当投秘妁谤游,限制他随意删除、修改或拷信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入傻。安全癸议。整个弼终系统熬安全强度实琢上取决予襞馕蠲豹安全协议的安全性。.保证计算机安全所涉及到的技术计算梳安全涉及计算视硬件、软件和数据的安全。所涉及的技术问题主要有:容错计黪机技术。容锩计算枫具礴的基本特点怒:稳定可靠的电源、疆箱馥障、豫谣数獾鞠宠整髋;鞋数器滚复等。当任蒋一个霹操乍懿予鬈统遭蚕

17、破坏后,容错计算机能够继续藏常运行。安全操作系统。操作系统是计算机工作的平台,般的操作系统都在一惑程度上具有游润控剩、安全内孩窝系统浚诗等安全功能。计算机艨病毒技术。计算机病毒蕊实是一种在汁算机系统运行过程中能够实现传染和侵害的功能程序,是影响计算机安全不容忽视的重要因索。另外,实际上任何安全技术都防藏不了内部人员的乍寨,出子用户自身的豌忽和用户虎部的疆嚣章予为所弓超的麓栗,箕严黧髓远远超过蠢于夕部入餐蕊起酶危寄。因此,要从管理制度上米弥补技术上的不足,以保证网络的安全性。电子裔务的安全体系结构电子商务的安全体系结构如图.所示,包括以下部分:基本加密算法;以基本加密算法为基础的体系以及数字熊名

18、等基本安全投术:以基本加密算法、安全技术、以搴系为基穑熬备耱安全应爝蛰议。武汉埋工大学顺士学位论文图.电子商务的安全体系结构以上部分构成了电子商务的安全体系,在此安全体系之上建立电子商务的支付体系和各种业务系统。.国内外研究现状.国外的技术发展情况国际上信息安全的研究起步早,力度大、积累多、应用广。安全体系结构?基础年代,美国国防部基于军事计算机系统的保密需要,在年代的基础理论研究成果计算机保密模型 模型的基础上,制订了“可信计算机系统安全评价准则”,随后又制订了关于网络系统、数据库等方面的系列安全解释,形成了安全信息系统体系结构的最早原则。至今美国已研究出达到要求的安全系统包括安全操作系统、

19、安全数据库、安全网络部件产品多种。带动了国际计算机安全的评估研究。年代初,西欧四国英、法、德、荷针对准则只考虑保密性的局限,联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”,但是该准则中并没有给出综合解决以上问题的理论模型和方案。年,六国七方美国国家安全局和国家技术标准研究所、加、英、法、德、荷共同提出了“信息技术安全评价通用准则” 。综合了国际上己有的评审准则和技术标准的精华,给出了框架和原则要求。然而,作为将取代,用于系统安全评测的国际标准,它仍然缺少综合解决信息的多种安全属性的理论模型依据。同时,它们的高安全级别的产品对我国是封锁禁售的。安全协议?桥梁协议是指信息交换、

20、传输、处理、存储、认证、加密等等过程的一组约定武汉理太学硕学位论文的艘硒。目前最典型的有。办议和协议。 协议是公司开发的用于上的会话层安全协议,用于保护传递于用户溺览器车嚣服务器之闯的敏感数据,通过超文本传输耱议湃或安全的超文本协议把密码应用于超文本坏境中,从而提供多种安全服务,成为今天宅予商务应露中广泛重褫静协浚之一。是、和等公司合作开发的用于开放网络进行亳了支付麓安全协议,蠲予保护麓户、裔家和镊纾之闻筑支付信纛安全,这个协议考虑的安全因索多,安全保护的功能比较完蒋严谨,但是也比较复杂,实瑷跑较困滚。密码技术?核心美国学者提出熬公开褰锈密码髂锾克黢了网终信怠系统蜜钥饕遴夔困鼹,同时解决了数字

21、签名问题,并可用于身份认证,它是当前研究的热点。由于计算瓤簸力懿邀逮增爨,己缀爨遥了骏译兹专矮攘器。己不滚是安全需要,美国溅积极推动适用于世纪的新的加密标准的研究。计算机运算速度戆不叛鼹寒,套耱密秘冀洼嚣冁着瑟熬密鼹薅剿魏量予密羁、密鼹、混沌理论正处于探索中。基于密码理论的综合研究成果和可信计算机系统的研究残暴,擒建公开密鲷基磁设藏,密镄管理基戳设燕已藏为当藤静另?令热点。.国内的技术发展情冼我嚣戆信患安全聿亍遂逶避学习、较毂、瀵纯豹器爨,取缮了一定涎成绩。但我豳的网络信息安全研究起步晚、投入少、研究力量分散,与技术先进戮家毒差距,毒到是在系绞安全秘安全协汶方夏戆工乍与鏊癸差蹉更大。磷究和建立

22、创新性安全理论和系列算法,对我国而言仍是一项艰巨的任务。武澈理工大学颂学位论义第三囊信患加密技术信息加密技术是保障信息安全的最基本、最核心的技术措施,是所有其他傣悫安全技本懿疆论基萋窭,是贯穿整个僖怠安全豹主线。售惠鸯嚣密过罄癌澎形色色的加密算法来具体实施,它能够以较小的代价获得较大的安全保护。.密码学纂础明文:信息的原始形式,通常记作。密文:明文缀过变换加密后的形式,通常记作。加密:由明文变成密文的过程称为身甜密,记馆,加密通常是由加密算法来实现的。簿密;将密文变成嚼文的遭耧称为解密,记律,解密是由某种解密算法来实现的。密镶:为了霄效遗整铺加密籀解密算法的实现,在其处理过稷中要有通讯双方掌握

23、的专门信息参与,这种专门信息称为密钥,记作。密钥国, 、陬司竺一一再品坚司 ?图一单钥密码体制武汉理工人学硕上学位论文铲 。加密密钥 解密密钥 ,网竺 .陌司竺兰 .陌习【?一图?双钥密码体制加密算法实质上是要完成某种函数的运算。这个函数具有两个自变量,即和,它们经过作用后得到密文。然而,对于一个确定的密钥来说,就可以看作是只有一个自变量的函数,记作,称为加密变换,因此加密算法可以记为:,即加密变换作用到明文上后得到密文。同样,解密算法实质上是完成某种函数,的运算。对于一个确定的密钥来说可以记为:,为解密变换。即解密变换作用到密文上得到明文。由此可知,为使明文加密后的密文经解密后仍能恢复到原来

24、的明文,就必须有:,因此就要求:是恒等变换,也就是说是的一个逆变换。.密码学的发展过程密码学的研究始终围绕着寻找更强、更好的密码体制而进行,它经历了凯撒式的代换密码、单表代换密码、多名代换密码、多表代换密码、转轮密码和多字母代换密码等古典密码体制,最终发展到现代的密码体制。在密码学发展的历史中,于年发表的通信的数学理论首次把数学理论运用于通信,丌创了通信研究的新视角,在科学和工程界引起了强烈反响。之后他于年发表的保密通信的信息理论,进一步把密码学的研究引入了科学的轨道,使密码学和密码破译学的研究工作奠基在一个重要理论基础?信息论之上,创立了信息论的一个新学科?单钥密码学。年代中期,和发表了密码

25、学的新方向一文,对单钥密码体制提出了革命性的改进思路,提出一种崭新的密码体制,即公开密钥体制或称双钥体制。该密码体制允许发送方和接受方之间无需事先交换密钥就可建立起保密通信。与此同时,美国困家标准局于年月日正式公布了美嘈数据加密标准。加密算法的公开及其广泛的应用于商用数据加密,作密码学研究史上是第 ;。这举动吸引了许多数学家、计算机专家和通信_界的研究武汉理大学硕士学位论文人员参加密码学的研究,大大推进了密码学研究的进展。到目前为止,密码学已成为结合数学、计算机科学、电子与通信等诸多学科于身的交叉学科。密码学中出现了大量的新技术和新概念,例如零知识证明技术、自签名、比特承诺、遗忘传递、数字化现

26、金、量子密码技术、混饨密码等。它己不仅仅具有信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造或假冒。.单钥密码体制.对称密钥密码技术这种体制的加密密钥和解密密钥相同或者本质上相同即从其中一个可以很容易的推出另一个。其典型代表是美国的数据加密标准其优点是具有很高的保密强度,但它的密钥必须按照安全途径进行传递,密钥管理成为影响系统安全的关键性因素,难于满足开放式计算机网络的需求。单钥对称加密体制存在着以下问题:密钥使用一段时间后就要更换,加密方需经过某种秘密渠道把密钥传送给解密方,

27、而密钥在此过程中可能会泄露。网络通信时,如果网内用户都使用相同的密钥,就失去了保密的意义;但如果网内任意两个用户通信都使用互不相同的密钥,密钥量太大难于管理。、 无法满足互不相识的人进行私人谈话的保密性需求。难以解决数字签名验证的问题。.算法数据加密标准 是众所周知的对称密钥分级加密算法,是一种分组密码,加密时,首先将明文分成长度为比特的由、组成的串,密钥也是长为比特的串,不过仅有位有数,其它位用于奇偶校验。设明文?,密钥?,其中或,?,加密过程可表示为:“一?式中:是明文的初始置换,它将明文按照一种特定的次序进行排州:一是的逆置换。一满足?;是武汉型工人学硕 学位论文的迭代过程。首先将明文按初始置换进行排序成为,然后进行的迭代过程。这个迭代过程共分为步。在进行某次迭代时,首先将一次的迭代结果分为两部分,各比特,则。一,式中;为按位作不进位加法运算;是由比特的密钥按照一定的算法产生的子密钥;一,为函数。因此的关键就是要实现函数,。,它是将比特的输入,在子密钥的作用下转化为比特的输出,见图?图一 密码中函数的实现首先将一由比特膨胀为位,然后与进行按位作不进位加法运算。将结果分为顺序的组,每组比特,分别通过,?盒后又缩为比特,即每盒的输入为比特。将盒输出的比特经置,最后便可得到。,。迭代结束后,再对迭代结果进行一次。一置换,就得