電子招投標(biāo)平臺安全加速系統(tǒng)關(guān)鍵技術(shù)與實(shí)現(xiàn)

劉瀚　陳輝　樊文兵　郭進(jìn)利

摘要：基于互聯(lián)網(wǎng)構(gòu)建電子招投標(biāo)平臺是實(shí)現(xiàn)招投標(biāo)管理工作公平公正公開的必要手段。現(xiàn)實(shí)中的電子標(biāo)書文件動(dòng)輒幾百兆字節(jié)，實(shí)現(xiàn)基于C/S架構(gòu)的互聯(lián)網(wǎng)安全加速傳輸系統(tǒng)對于提高電子招投標(biāo)工作效率具有重要意義。系統(tǒng)綜合運(yùn)用身份認(rèn)證技術(shù)、安全傳輸協(xié)議、多種廣域網(wǎng)加速技術(shù)，在確保信息安全的前提下可以顯著提升標(biāo)書文件傳輸速度，為電子招投標(biāo)平臺提供數(shù)據(jù)接口，同時(shí)為供應(yīng)商提供支持USBkey+CA認(rèn)證的Windows版本客戶端。全面介紹了系統(tǒng)的關(guān)鍵技術(shù)和整體架構(gòu)。實(shí)踐結(jié)果表明，使用系統(tǒng)后，標(biāo)書文件的上傳速度得到了10倍以上的提升。

關(guān)鍵詞：電子招投標(biāo)；廣域網(wǎng)加速；身份認(rèn)證；安全傳輸

中圖分類號：TP 393 文獻(xiàn)標(biāo)識碼：A 文章編號：1672—7312（2017）04—0412—06

0引言

招投標(biāo)是最規(guī)范、最嚴(yán)謹(jǐn)?shù)慕M織采購定價(jià)工具。傳統(tǒng)的招投標(biāo)業(yè)務(wù)，大量環(huán)節(jié)采取手工作業(yè)，具有工作繁瑣，效率低下的弊端。構(gòu)建電子招投標(biāo)平臺是服務(wù)于招標(biāo)采購管理的最佳實(shí)踐。隨著《電子招標(biāo)投標(biāo)辦法》的頒布和施行，電子招標(biāo)平臺被各級政府和企事業(yè)單位廣泛選擇和運(yùn)用。但在實(shí)際的應(yīng)用中很快有人發(fā)現(xiàn)，基于互聯(lián)網(wǎng)的電子招投標(biāo)平臺會遇到2個(gè)顯著問題，嚴(yán)重制約了招投標(biāo)工作效率。一是信息安全受到威脅；二是互聯(lián)網(wǎng)通訊效率低。

目前，針對上述問題，國內(nèi)在電子招投標(biāo)平臺的研發(fā)方面基本采用了計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)理論和技術(shù)，并且應(yīng)用基本成熟。但在第二個(gè)問題上，卻很少有人提及相應(yīng)的解決方案。根據(jù)多年在計(jì)算機(jī)安全通訊領(lǐng)域的實(shí)踐經(jīng)驗(yàn)，我們認(rèn)為，既然互聯(lián)網(wǎng)是由廣域網(wǎng)組成的，那么互聯(lián)網(wǎng)面臨的問題也可以采取廣域網(wǎng)加速解決方案。廣域網(wǎng)加速技術(shù)及產(chǎn)品目前在國內(nèi)不同行業(yè)已經(jīng)有不少成功應(yīng)用的先例，其技術(shù)成熟可靠，加速效果顯著。

在這樣的指導(dǎo)思想下，我們結(jié)合國內(nèi)外先進(jìn)技術(shù)，針對電子招投標(biāo)平臺的特點(diǎn)，嘗試設(shè)計(jì)一套軟硬件綜合解決方案，即互聯(lián)網(wǎng)安全加速傳輸系統(tǒng)，同時(shí)為了最大限度地降低對現(xiàn)有平臺的影響，保持系統(tǒng)的相對獨(dú)立，我們?yōu)槠脚_提供接口以實(shí)現(xiàn)無縫對接。

系統(tǒng)包含計(jì)算機(jī)軟件和硬件設(shè)備，試圖整合計(jì)算機(jī)安全領(lǐng)域廣泛應(yīng)用的USBKey+CA認(rèn)證模式、SSL安全傳輸協(xié)議，以及在廣域網(wǎng)優(yōu)化領(lǐng)域廣受推崇的重復(fù)數(shù)據(jù)刪除、TCP連接優(yōu)化、應(yīng)用優(yōu)化、并發(fā)傳輸?shù)燃夹g(shù)，無需改變用戶使用環(huán)境，在確保互聯(lián)網(wǎng)數(shù)據(jù)傳輸安全的同時(shí)，大幅度提升標(biāo)書文件的傳輸效率。

1面臨問題

目前隨著互聯(lián)網(wǎng)的廣泛普及，通過互聯(lián)網(wǎng)進(jìn)行網(wǎng)上數(shù)據(jù)和文件的傳輸已經(jīng)具備現(xiàn)實(shí)的可能性，但是在互聯(lián)網(wǎng)上進(jìn)行招投標(biāo)文件上傳還必須解決幾個(gè)核心技術(shù)問題。

1.1速度問題

雖然互聯(lián)網(wǎng)已經(jīng)廣泛普及，甚至互聯(lián)網(wǎng)的骨干帶寬每年都成倍地提升，但是互聯(lián)網(wǎng)最后一公里的問題仍然困擾著廣大互聯(lián)網(wǎng)用戶。不少用戶實(shí)際可用的互聯(lián)網(wǎng)接人手段仍然停留在ADSL這樣相對低速的接人手段上。由于最后一公里的互聯(lián)網(wǎng)接入是一個(gè)世界性的難題，解決該問題的工程量和資金投入遠(yuǎn)比解決互聯(lián)網(wǎng)骨干帶寬要大得多，在可以預(yù)見的將來，相當(dāng)一部分互聯(lián)網(wǎng)用戶仍然只能選擇低速的ADSL.

ADSL（Asymmetric Digital Subscriber Line，非對稱數(shù)字用戶環(huán)路）是一種數(shù)據(jù)傳輸方式。它因?yàn)樯闲泻拖滦袔挷粚ΨQ，因此稱為非對稱數(shù)字用戶線環(huán)路。它采用頻分復(fù)用技術(shù)把普通的電話線分成了電話、上行和下行3個(gè)相對獨(dú)立的信道，從而避免了相互之間的干擾。目前互聯(lián)網(wǎng)用戶廣泛采用的8 MADSL標(biāo)準(zhǔn)，它提供下行7 Mbps上行512 Kbps的帶寬。

以8 M ADSL為例，由于ADSL的非對稱性，ADSL非常不適合數(shù)據(jù)上傳。以一份典型的500MB的標(biāo)書為例，一份500 MB的標(biāo)書上傳理論上需

（500 MB*1 024*8）/512 K=9 600 s=2.7 h.

如果考慮誤碼率及網(wǎng)絡(luò)延時(shí)，500MB實(shí)際上傳時(shí)間常常在4～8 h.而在開標(biāo)前夕，標(biāo)書經(jīng)常要做一些小的改動(dòng)，即使只改了個(gè)數(shù)字，用戶必須重傳所有的500 MB文件，又需要4～8 h.在互聯(lián)網(wǎng)狀況不穩(wěn)定的情況下，甚至導(dǎo)致大型標(biāo)書根本無法上傳。

1.2安全問題

由于標(biāo)書涉及敏感信息，通過互聯(lián)網(wǎng)上傳標(biāo)書必須解決安全傳輸問題。必須保證整個(gè)標(biāo)書在互聯(lián)網(wǎng)上的傳輸是強(qiáng)加密方式，任何人即使通過互聯(lián)網(wǎng)竊取了上傳標(biāo)書的密文，由于其沒有密鑰，也無法解開標(biāo)書。

安全問題不僅僅體現(xiàn)在互聯(lián)網(wǎng)傳輸上，還體現(xiàn)在標(biāo)書上傳后的保存形式上，必須保證標(biāo)書在投標(biāo)文件服務(wù)器上都是以密文形式存在，只有在用戶和開標(biāo)人同時(shí)簽到，分別用各自的私鑰才能解開上傳的標(biāo)書。

1.3身份認(rèn)證問題

由于互聯(lián)網(wǎng)的開放性，我們必須保證準(zhǔn)確識別標(biāo)書上傳者的身份，只有身份合法并購買了相應(yīng)招標(biāo)書的投標(biāo)人才能上傳相應(yīng)標(biāo)段的投標(biāo)書。

1.4上傳內(nèi)容的不可抵賴性

不可抵賴性，又稱不可否認(rèn)性，是指標(biāo)書上傳后，防止標(biāo)書上傳者對上傳行為和內(nèi)容的否認(rèn)。同時(shí)我們又為成功的標(biāo)書上傳提供回執(zhí)，防止招標(biāo)人對成功收到標(biāo)書的否認(rèn)。

1.5上傳標(biāo)書的原子性一致性

必須絕對保證上傳標(biāo)書完整一致地上傳到投標(biāo)文件服務(wù)器，上傳標(biāo)書猶如數(shù)據(jù)庫的交易一樣有原子性，要么絕對上傳成功，要么失敗。上傳標(biāo)書的原子性和一致性不僅依賴于傳輸協(xié)議的保證，還需要應(yīng)用級別的保證。當(dāng)應(yīng)用級別的比對和確認(rèn)成功后，才能真正確保上傳標(biāo)書的原子性和一致性。

2解決方案

針對以上必須解決的幾個(gè)核心技術(shù)問題，系統(tǒng)采用了以下關(guān)鍵技術(shù)。

2.1數(shù)據(jù)壓縮技術(shù)

采用無損數(shù)據(jù)壓縮技術(shù)，在傳輸層發(fā)送端對傳輸數(shù)據(jù)進(jìn)行壓縮，在接收端對壓縮數(shù)據(jù)進(jìn)行解壓，獨(dú)立于應(yīng)用層協(xié)議，對上層協(xié)議完全透明，傳輸一級自動(dòng)對數(shù)據(jù)壓縮和解壓縮，提高帶寬利用率。壓縮與解壓縮技術(shù)其壓縮率與內(nèi)容相關(guān)，文件和重復(fù)率高的內(nèi)容其壓縮率較高，而經(jīng)過壓縮編碼的內(nèi)容如圖片、視頻、壓縮文件等其壓縮率低，甚至是負(fù)壓縮率。通常業(yè)界普遍認(rèn)可的平均壓縮率為2～3倍。即通過數(shù)據(jù)壓縮技術(shù)，我們可以提高傳輸效率2～3倍。

2.2數(shù)據(jù)去重技術(shù)

數(shù)據(jù)一旦通過廣域網(wǎng)應(yīng)用加速設(shè)備，設(shè)備能記住該數(shù)據(jù)并維持一套索引，一旦相同數(shù)據(jù)再次通過該設(shè)備，該數(shù)據(jù)無需再次通過廣域網(wǎng)，廣域網(wǎng)應(yīng)用加速設(shè)備會自動(dòng)在遠(yuǎn)端重建該數(shù)據(jù)，該功能也對上層應(yīng)用透明。就數(shù)據(jù)去重算法而言，傳統(tǒng)的IT廠商傾向于采用固定數(shù)據(jù)塊大小的去重算法，該方法算法簡單，但去重效果不佳。系統(tǒng)采用了可變長度數(shù)據(jù)塊大小和最小128字節(jié)的數(shù)據(jù)塊，極大地提升數(shù)據(jù)去重率。

2.3網(wǎng)絡(luò)延時(shí)優(yōu)化技術(shù)

互聯(lián)網(wǎng)應(yīng)用的性能不僅受制于廣域網(wǎng)帶寬，很多情況下更受制于廣域網(wǎng)延時(shí)。許多互聯(lián)網(wǎng)應(yīng)用，如果廣域網(wǎng)延時(shí)不能改善，僅僅提高廣域網(wǎng)的帶寬是不能解決問題的。而網(wǎng)絡(luò)延時(shí)的改善在現(xiàn)實(shí)情況下，比簡單地?cái)U(kuò)充廣域網(wǎng)帶寬更加困難。

TCP協(xié)議（Transmission Control Protocol傳輸控制協(xié)議）是互聯(lián)網(wǎng)上廣泛采用的面向連接的傳輸協(xié)議。系統(tǒng)采用了以下技術(shù)針對TCP協(xié)議實(shí)現(xiàn)延時(shí)優(yōu)化。

1）連接池技術(shù)：系統(tǒng)客戶端與投標(biāo)服務(wù)器的加速設(shè)備系統(tǒng)建立了空閑連接的連接池。當(dāng)系統(tǒng)客戶端需要與投標(biāo)服務(wù)器建立TCP連接時(shí)，系統(tǒng)客戶端將直接采用一個(gè)已經(jīng)建立的空閑連接，避免了在高延時(shí)的廣域網(wǎng)上建議連接所需的3次握手等待。

2）TCP窗口優(yōu)化技術(shù)：連接池的連接在系統(tǒng)客戶端和投標(biāo)服務(wù)器端的加速設(shè)備會自動(dòng)協(xié)商優(yōu)化TCP窗口大小，減少延時(shí)對吞吐率的影響。

3）HS-TCP技術(shù)：在傳輸出現(xiàn)丟包時(shí)，不是簡單地將TCP窗口減半，而是適當(dāng)?shù)販p少TCP窗口，使傳輸吞吐率不致受太大影響。HS-TCP能很好地適應(yīng)高帶寬和高延時(shí)的傳輸環(huán)境，HS-TCP能快速地從丟包中恢復(fù)到正常傳輸狀態(tài)（如圖1所示）。

4）MAX-TCP技術(shù)：在傳輸出現(xiàn)丟包時(shí)，MAX-TCP維持TCP窗口不變，以保證當(dāng)瞬間數(shù)據(jù)包丟失時(shí)，不失去傳輸性能和吞吐率，而傳統(tǒng)的TCP則會在瞬間大量丟包時(shí)失去大量的性能和吞吐率，并在丟包率正常時(shí)，緩慢恢復(fù)原有的性能和吞吐率。MAX-TCP有效地處理了丟包并維持了傳輸性能和吞吐率。

2.4多線程分塊劃片并行加密傳輸技術(shù)

即使采用了連接池技術(shù)和TCP窗口大小自動(dòng)協(xié)商優(yōu)化技術(shù)，在高延時(shí)的廣域網(wǎng)上，單個(gè)線程的數(shù)據(jù)傳輸仍然不能將WAN的帶寬充分利用。為此，我們對系統(tǒng)的標(biāo)書加速上傳采用了多線程并行傳輸技術(shù)。當(dāng)需要在系統(tǒng)客戶端與投標(biāo)文件服務(wù)器之間上傳標(biāo)書時(shí)，系統(tǒng)將在系統(tǒng)客戶端與投標(biāo)文件服務(wù)器之間建立多個(gè)SSL連接（缺省為6個(gè)），即單個(gè)投標(biāo)文件將在多個(gè)SSL連接通道上并行傳輸。多線程并行傳輸技術(shù)一方面解決了充分利用廣域網(wǎng)帶寬的問題，另一方面還解決了單個(gè)連接因不確定的網(wǎng)絡(luò)原因造成的單個(gè)連接阻塞帶來的傳輸阻塞問題，不用等待單個(gè)連接的緩慢恢復(fù)，整個(gè)文件的其他分塊可以繼續(xù)在其他通道上上傳。

2.5信息摘要技術(shù)MD5

MD5即Message-Digest Mgorithm 5（信息-摘要5），用于確保信息傳輸完整一致。采用MD5技術(shù)系統(tǒng)能保證標(biāo)書上傳過程中的數(shù)據(jù)一致性。由于系統(tǒng)不僅采用了標(biāo)準(zhǔn)的協(xié)議上的一致性檢查，系統(tǒng)還在應(yīng)用級做了多級的MD5計(jì)算和數(shù)據(jù)效驗(yàn)，因此系統(tǒng)能確保標(biāo)書上傳的數(shù)據(jù)一致性。

2.6雙因數(shù)身份認(rèn)證技術(shù)USBKey+用戶口令+CA認(rèn)證模式

電子商務(wù)認(rèn)證授權(quán)機(jī)構(gòu)CA（CA，Certificate Au-thority），也稱為電子商務(wù)認(rèn)證中心，是負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。

系統(tǒng)內(nèi)部整合了CA認(rèn)證系統(tǒng)。通過和國家有資質(zhì)的第三方數(shù)字認(rèn)證中心（cA）合作，可以獲取由CA提供的數(shù)字證書來保證需要進(jìn)行網(wǎng)絡(luò)通訊的用戶身份合法性。數(shù)字證書將放置在由CA統(tǒng)一制作發(fā)放的USBKey之中，接人系統(tǒng)后，就能由CA來確保用戶的合法性。為了防止USBKey被不法用戶利用，系統(tǒng)還通過用戶自行設(shè)置的口令來保證USBKey的使用人是USBKey的所有者。

2.7 SSL安全傳輸協(xié)議技術(shù)

安全套接層（Secure Sockets Layer，SSL）SSL是國際上使用非常廣泛的網(wǎng)絡(luò)安全通訊協(xié)議，具有公認(rèn)的安全可靠性，同樣在安全需求較高的行業(yè)如金融行業(yè)中大量使用。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的。

系統(tǒng)在SSL協(xié)商加密算法時(shí)采用的是128位的AES 128加解密算法。與加速設(shè)備在SSL的握手方式上做了透明優(yōu)化，從而達(dá)到既加密又去重和壓縮的效果。

2.8 XML技術(shù)

可擴(kuò)展標(biāo)記語言（eXtensible Markup Language，簡稱XML），是一種標(biāo)記語言。標(biāo)記指計(jì)算機(jī)所能理解的信息符號，通過此種標(biāo)記，計(jì)算機(jī)之間可以處理包含各種信息的文章等。

系統(tǒng)采用XML技術(shù)與標(biāo)書制作子系統(tǒng)及招投標(biāo)業(yè)務(wù)子系統(tǒng)之間傳遞數(shù)據(jù)信息，以說明數(shù)據(jù)的用途和意義。通過XML技術(shù)，系統(tǒng)能夠很容易同任何CA系統(tǒng)和招投標(biāo)平臺集成。

3與平臺無縫整合

為了與招投標(biāo)平臺及CA認(rèn)證進(jìn)行無縫整合，減少用戶操作復(fù)雜度，同時(shí)保障相關(guān)技術(shù)的順利實(shí)現(xiàn)，系統(tǒng)與其他系統(tǒng)采用XML技術(shù)進(jìn)行跨平臺的數(shù)據(jù)交換，并通過WebService接口同其他系統(tǒng)進(jìn)行信息交互。系統(tǒng)軟件部分在平臺內(nèi)的流程如圖2所示。

系統(tǒng)除了同平臺上的相關(guān)子系統(tǒng)可以進(jìn)行無縫對接外，還具有如下特點(diǎn)

1）系統(tǒng)是招投標(biāo)平臺之外的相對獨(dú)立的傳輸系統(tǒng)。

2）系統(tǒng)通過招投標(biāo)平臺生成的XML文檔獲取服務(wù)器、供應(yīng)商、主持人、標(biāo)書等信息。

3）系統(tǒng)的CA認(rèn)證、供應(yīng)商和主持人密鑰獲取、數(shù)據(jù)加密等操作完全自成體系。

4）系統(tǒng)由3個(gè)部分組成：①系統(tǒng)客戶端程序；②系統(tǒng)服務(wù)器端程序；③廣域網(wǎng)加速系統(tǒng)（包含加速設(shè)備、移動(dòng)版控制器、移動(dòng)版加速軟件）

4案例分析

4.1項(xiàng)目概況

某省財(cái)政廳采購中心擬建立財(cái)政體系在全國的第一套電子招投標(biāo)平臺，這項(xiàng)舉措具有劃時(shí)代意義。一方面是順應(yīng)電子政務(wù)發(fā)展的必然趨勢，另一方面使充滿弊端和低效的傳統(tǒng)招投標(biāo)管理方式得以被取代。安全、高效、不被人為干預(yù)的招投標(biāo)管理方式是很多正直守法、通過合法商業(yè)競爭獲得優(yōu)勢的企事業(yè)單位所期待的。

電子招投標(biāo)平臺的安全加速傳輸系統(tǒng)部署在省財(cái)政廳采購中心及省內(nèi)13個(gè)地市采購中心。各地供應(yīng)商正常接人互聯(lián)網(wǎng)以后，可通過財(cái)政廳采購中心的網(wǎng)站系統(tǒng)下載投標(biāo)客戶端程序。安裝完畢后，按照標(biāo)書制作向?qū)瓿蓸?biāo)書制作，插入線下申請獲得的用戶USBKey就能將制作好的標(biāo)書和投標(biāo)商相關(guān)信息上傳至服務(wù)器。開標(biāo)時(shí)，各供應(yīng)商和本次招投標(biāo)的主持人通過自己的USBKey逐個(gè)解密標(biāo)書并進(jìn)行評標(biāo)。

4.2系統(tǒng)部署

安全加速傳輸系統(tǒng)，負(fù)責(zé)將用戶需上傳的投標(biāo)文件通過各種網(wǎng)絡(luò)安全技術(shù)和多種廣域網(wǎng)加速技術(shù)安全而高效地上傳至服務(wù)器，然后使用可靠的安全存儲技術(shù)將用戶的投標(biāo)文件存檔至服務(wù)器存儲中（如圖3所示）。

4.3使用效果

安全加速系統(tǒng)能夠有效地提高傳輸速率達(dá)10倍以上（見表1），對極差網(wǎng)絡(luò)狀況的超強(qiáng)適應(yīng)能力，在標(biāo)書上傳完成后還能提供超高速的修改后再投遞功能。同時(shí)在整個(gè)過程中，以CA中心提供的安全策略和安全技術(shù)作為保障，用戶不必?fù)?dān)心標(biāo)書內(nèi)容外泄的問題。

5結(jié)語

電子招投標(biāo)平臺主要解決現(xiàn)實(shí)中招投標(biāo)工作中存在的管理問題，但在實(shí)際應(yīng)用中因?yàn)榛ヂ?lián)網(wǎng)的某些局限帶來一系列技術(shù)問題，主要集中在安全保障和傳輸效率方面。安全加速傳輸系統(tǒng)就是針對這些問題而研發(fā)的一體化解決方案。系統(tǒng)軟硬結(jié)合，將成熟的安全理論和算法、跨平臺協(xié)議、獨(dú)特的廣域網(wǎng)優(yōu)化技術(shù)有機(jī)地整合到一起，與平臺無縫對接，顯著提升傳輸效率，同時(shí)與平臺保持相對獨(dú)立，提供友好接口。系統(tǒng)在研發(fā)后期還通過了一系列嚴(yán)酷的壓力測試。

系統(tǒng)已在某省財(cái)政廳投入使用，為政府采購電子招投標(biāo)平臺提供標(biāo)書傳輸服務(wù)。實(shí)際應(yīng)用表明，系統(tǒng)具有安全性、健壯性、超高效率的特點(diǎn)，得到了政府相關(guān)部門和供應(yīng)商的普遍好評。為電子招投標(biāo)平臺量身定制的安全加速傳輸系統(tǒng)具有適應(yīng)我國互聯(lián)網(wǎng)現(xiàn)狀的鮮明特點(diǎn)，具有一定的推廣價(jià)值。