技术领域
[0001] 本
发明涉及一种加解密投标文件方法,尤其是一种取代实物U盾的扫描加解密投标文件方法,属于招投标
电子交易平台技术领域。
背景技术
[0002] 在组织电子招投标时,根据《电子招标投标办法》和《电子招投标技术规范》的要求,为了确保电子投标文件绝对保密,投标人在投标时通过CA加密上传经过加密的投标文件,当解标时间到达后,需要投标人再用CA证书对投标文件进行解密。
[0003]
现有技术的通常做法是,各交易平台与国家颁发牌照的数字证书认证机构进行合作,先由数字证书认证机构对投标人的身份信息进行审核,无误后向投标人发放实物U盾;投标人投标时在电脑上插入U盾,调用数字证书进行签名、加密后上传投标文件。解标时间到达后,投标人再在电脑上插入U盾,调用数字证书对投标文件进行解密,从而完成整个投标过程。
[0004] 这种依靠实物U盾进行投标文件加解密方法存在的问题是,其实物U盾在各个交易平台间不能互任。当投标人只参加一个或少数几个交易平台投标时,实物U盾数量较少,尚不会出现太大问题。但是当投标人在全国范围或多个省份、多家交易平台进行投标时,随着实物U盾数量的增多,越来越突出的冲突问题将表现出来:一是实物U盾管理不便,很容易遗失;二是解标时经常因实物U盾混淆而一时难以找到对应平台的U盾,在解标时间有限的仓促操作过程中易造成解标失败;三是只能在电脑上进行操作,便利性大打折扣。
发明内容
[0005] 本发明的目的在于:针对上述现有技术存在的缺点,提出一种将数字证书存放于手机中取代实物U盾的扫描加解密投标文件方法,从而大大提高投标的便捷性、高效性。
[0006] 为了达到以上目的,本发明提出一种取代实物U盾的扫描加解密投标文件方法,在装有招标app、加解密浏览器的用户移动通讯设备和存储有供应商账号、CA账户的招标
服务器以及CA认证服务器构成的通讯系统中,扫描加解密步骤如下:
[0007] 第一步、构建安全控件
[0008] 招标服务器接收用户移动通讯设备加解密浏览器端的
请求后,发送支持扫码登录、扫码加密、扫码解密且可实现投标敏感表单及文件加密、传输的CA加解密安全控件,供用户移动通讯设备下载安装;
[0009] 第二步、CA扫码登录
[0010] 步骤2-1、招标服务器接收用户移动通讯设备扫码登录的
访问请求后,访问CA认证服务器并获取包含服务类型、扫码登录服务访问地址、业务流
水号、安全登录随机数和应用唯一标识信息的JSON数据二维码,发送到所述用户移动通讯设备供其扫码;
[0011] 步骤2-2、招标服务器接收用户通过移动通讯设备的扫码信息后,查询该用户是否已登记过供应商账号,若是,则进入下一步骤;若否,则结束;
[0012] 步骤2-3、招标服务器查询该用户是否已在CA认证服务器注册CA账户,若是,则进入下一步骤;若否,则向所述用户移动通讯设备发出注册CA账户提示之后结束;
[0013] 步骤2-4、用户通过移动通讯设备请求招标服务器告知该用户是否已有可下载的加解密证书;若是,则用户通过移动通讯设备选择证书,并输入证书密码提交给CA认证服务器;若否,则招标服务器向用户移动通讯设备发出在CA服务器下载证书通知;
[0014] 步骤2-5、CA认证服务器判断用户移动通讯设备提交的密码是否正确,如是,则进入下一步骤;若否,则等待获取用户移动通讯设备重新输入的密码;
[0015] 步骤2-6、CA认证服务器根据在已下载证书库中查询是否有此证书序列号来验证证书序列号是否合法并返回验证结果给招标服务器;
[0016] 步骤2-7、招标服务器接收到验证结果返回给用户移动通讯设备的加解密浏览器;
[0017] 步骤2-8、加解密浏览器根据招标服务器后台传来的扫码证书是否合法来判断扫码的证书是否合法,若是,则进入下一步骤;若否,则提示扫码签名失败,结束CA扫码登录;
[0018] 步骤2-9、加解密浏览器刷新页面并打开登录后的画面,结束CA扫码登录操作;
[0019] 第三步、CA扫码加密
[0020] 步骤3-1、招标服务器接收用户移动通讯设备的登录请求后,生成加密二维码,所述加密二维码json报文内容由扫码服务动作的枚举值、业务流水号和待签名数据的数组、供应商账号与CA认证服务器绑定时CA认证服务器提供授权给招标app应用的唯一appID标识及接受CA认证服务器回调的服务地址信息组成;
[0021] 步骤3-2、用户通过移动通讯设备上的招标app扫码加密二维码,并选择证书输入当前证书密码,与所述加密二维码的json报文内容一起发送给CA认证服务器;
[0022] 步骤3-3、CA认证服务器首先比对证书与
数据库中该用户下的证书信息是否匹配,若不匹配,则结束CA扫码加密,若匹配则验证证书的有效性和证书密码的正确性,若没有通过验证,则结束CA扫码加密,若通过验证,CA认证服务器对所述加密二维码中的待签名内容进行数字签名后回传给招标服务器,并将扫码的最终结果返回给用户移动通讯设备上的招标app;
[0023] 步骤3-4、招标服务器验证判断加解密浏览器是否安装加解密控件,若是,则进入下一步骤;若否,则让用户安装加解密控件后进入下一步骤;
[0024] 步骤3-5、加解密浏览器的加解密控件生成秘钥,用户移动通讯设备上传报价文件,招标服务器判断报价文件是否符合格式规范,若是,加解密控件加密报价文件后进入下一步骤;若否,则返回上一步骤;
[0025] 步骤3-6、CA认证服务器返回的扫码结果至用户移动通讯设备;
[0026] 第四步、CA扫码解密
[0027] 步骤4-1、招标服务器接收用户移动通讯设备的登录请求后,打开待解密文件,弹出扫码解密二维码,所述扫码解密二维码json报文内容由扫码服务动作的枚举值、业务流水号、招标服务器base64格式编码加密密文、证书序列号、CA认证服务器提供授权给招标app应用的唯一appID标识及接受CA认证服务器回调的服务地址信息组成;
[0028] 步骤4-2、用户通过移动通讯设备上的招标app扫码解密二维码,并选择证书输入当前证书密码,与所述解密二维码json报文内容一起发送给CA认证服务器;
[0029] 步骤4-3、CA认证服务器首先比对证书与数据库中该用户下的证书信息是否匹配,若不匹配,则结束CA扫码解密,若匹配则验证证书的有效性和证书密码的正确性,若没有通过验证,则结束CA扫码解密,若通过验证,CA认证服务器对所述解密二维码中解码后的加密密文进行解密后回传给招标服务器,并将扫码的最终结果返回给用户移动通讯设备上的招标app;
[0030] 步骤4-4、招标服务器验证判断加解密浏览器是否安装加解密控件,若是,则进入下一步骤;若否,则让用户安装加解密控件后进入下一步骤;
[0031] 步骤4-5、加解密浏览器的加解密控件生成秘钥,招标服务器下载加密文件,并根据原文来解密加密文件,CA扫码解密结束。
[0032] 本发明进一步限定的技术方案是:
[0033] 前述取代实物U盾的扫描加解密投标文件方法,其中步骤2-4中,所述招标服务器根据用户账号是否已有下载加解密证书的http
接口来判断该用户是否已有可下载的加解密证书。
[0034] 前述取代实物U盾的扫描加解密投标文件方法,其中步骤2-4中,当招标服务器向用户移动通讯设备发出在CA服务器下载证书通知之后,还监测判断该用户的账户上是否有足够金额付款下载证书,若有则允许该用户下载证书,若无则提示该用户充值后再下载。
[0035] 前述取代实物U盾的扫描加解密投标文件方法,其中步骤2-5中,CA认证服务器获取用户移动通讯设备重新输入的密码或其重新选择证书再输入的密码。
[0036] 产述取代实物U盾的扫描加解密投标文件方法,其中步骤2-7中,招标服务器接收到验证结果后通过WebSocket返回给用户移动通讯设备的加解密浏览器。
[0037] 前述取代实物U盾的扫描加解密投标文件方法,其中步骤2-8和步骤2-9之间,用户每下载一次证书都向招标服务器的人员证书对应表中插入一条用户与证书的对应信息,招标服务器根据证书序列号从此表中获取用户信息并写入登录信息。
[0038] 前述取代实物U盾的扫描加解密投标文件方法,其中步骤3-3中和步骤4-3中,秘钥签名
算法的取值范围为{SHA256WithRSA,SM2WithSM3}。
[0039] 本发明的有益效果是:
[0040] 通过手机扫码登录、扫码加密、扫码解密,完美解决了实物U盾存在的问题,投标人投标时,再也不用面对数量庞大的实物U盾带来的烦恼,投标更加简单。
[0041] 传统的实物U盾采用通过U盾插入电脑进行加密的方式,不仅携带及使用都不方便,而且容易丢失。相比之下,移动扫码加解密技术只需要手机安装
软件,不仅携带方便,不容易丢失,而且可以随时随地使用,操作既简单快捷又安全方便。
具体实施方式
[0043] 本实施例是一种取代实物U盾的扫描加解密投标文件方法,在装有加解密浏览器的用户移动通讯设备和存储有供应商账号、CA账户的招标服务器以及CA认证服务器构成的通讯系统中,扫描加解密步骤如下:
[0044] 第一步、构建安全控件。
[0045] 招标服务器接收用户移动通讯设备加解密浏览器端的请求后,发送支持扫码登录、扫码加密、扫码解密且可实现投标敏感表单及文件加密、传输的CA加解密安全控件,供用户移动通讯设备下载安装。
[0046] 第二步、CA扫码登录。
[0047] 步骤2-1、招标服务器接收用户移动通讯设备扫码登录的访问请求后,访问CA认证服务器并获取包含服务类型、扫码登录服务访问地址、业务流水号、安全登录随机数和应用唯一标识信息的JSON数据二维码,发送到所述用户移动通讯设备供其扫码。
[0048] 步骤2-2、招标服务器接收用户通过移动通讯设备的扫码信息后,查询该用户是否已登记过供应商账号,若是,则进入下一步骤;若否,则结束。
[0049] 步骤2-3、招标服务器查询该用户是否已在CA认证服务器注册CA账户,若是,则进入下一步骤;若否,则向所述用户移动通讯设备发出注册CA账户提示之后结束。
[0050] 步骤2-4、用户通过移动通讯设备请求招标服务器告知该用户是否已有可下载的加解密证书;若是,则用户通过移动通讯设备选择证书,并输入证书密码提交给CA认证服务器;若否,则招标服务器向用户移动通讯设备发出在CA服务器下载证书通知。用户移动通讯设备上的招标APP向招标服务器请求根据用户账号判断是否已有下载加解密证书的http接口来判断该用户是否已有下载加解密证书,若是,则用户选择证书,及输入证书密码提交给CA认证服务器;若否,则向用户移动通讯设备发出用户
申请在CA服务器下载证书,CA方会监测该用户账户上是否有足够的金额来付款下载证书,若有则下载,若无则提示充值;用户移动通讯设备请求招标服务器告知其根据用户账号是否已有下载加解密证书的http接口来判断该用户是否已有可下载的加解密证书;若是,则用户通过移动通讯设备选择证书,并输入证书密码提交给CA认证服务器;若否,则招标服务器向用户移动通讯设备发出在CA服务器下载证书通知;CA方会监测该用户账户上是否有足够的金额来付款下载证书,若有则下载,若无则提示充值。
[0051] 步骤2-5、CA认证服务器判断用户移动通讯设备提交的密码是否正确,如是,则进入下一步骤;若否,则等待获取用户移动通讯设备重新输入的密码。
[0052] 步骤2-6、CA认证服务器根据在已下载证书库中查询是否有此证书序列号来验证证书序列号是否合法并返回验证结果给招标服务器。
[0053] 步骤2-7、招标服务器接收到验证结果返回给用户移动通讯设备的加解密浏览器,即招标服务器接收到验证结果通过WebSocket返回给用户移动通讯设备的加解密浏览器。
[0054] 步骤2-8、加解密浏览器根据招标服务器后台传来的扫码证书是否合法来判断扫码的证书是否合法,若是,则进入下一步骤;若否,则提示扫码签名失败,结束CA扫码登录。
[0055] 步骤2-9、加解密浏览器刷新页面并打开登录后的画面,结束CA扫码登录操作;用户每下载一次证书都会向招标服务器的人员证书对应表中插入一条用户与证书的对应信息,招标服务器会根据证书序列号从此表中获取用户信息并写入登录信息;浏览器刷新页面并打开登录后的画面,结束CA扫码登录操作。
[0056] 第三步、CA扫码加密。
[0057] 步骤3-1、用户招标服务器接收用户移动通讯设备的登录请求后,组装用于生成加密二维码的json报文,所述加密二维码由扫码服务动作的枚举值、招标系统的业务流水号和待签名数据的数组、供应商账号与CA认证服务器绑定时CA认证服务器提供授权给招标app应用的唯一appID标识及接受CA认证服务器回调的服务地址信息组成;其中,招标服务器二维码生成:用户登入招标服务器上的招标系统,在扫码加密阶段,招标服务器上的招标系统首先组装用于生成二维码json报文,提供扫码加密服务的枚举值、招标服务器上的招标系统按一定规则生成的业务流水号、待签名数据的数组、与ca认证服务器绑定时ca提供授权给app应用的唯一appID标识及接受ca认证服务器回调的服务地址。
[0058] 步骤3-2、用户使用移动通讯设备上的招标APP扫码:用户通过移动通讯设备上的招标app扫码加密签名二维码,首先验证二维码json报文是否符合约定格式,此时app加载本地数据库备份的用户已申请并下载的CA证书列表,证书在应用本地数据库备份,若app卸载重装、用户使用其他手机登入,账户下CA可应用证书也将不复存在,用户必须重新下载或申请新证书下载,用户选择使用其中一张证书输入当前证书密码,与二维码json报文内容一起发送给CA认证服务器,数字证书通过BASE64编码为字符串。
[0059] 步骤3-3、CA认证服务器响应招标app客户端请求和回调信息给招标服务器:CA认证服务器首先比对证书与数据库中该用户下的证书信息是否匹配,验证证书的有效性和证书密码的正确性,若通过,CA认证服务器通过秘钥签名算法,取值范围为{SHA256WithRSA,SM2WithSM3},对招标服务器上的招标系统二维码中的待签名内容进行数字签名,完成后回调招标服务器的服务,将应用唯一标识、业务流水号、用户数字证书(Base64字符串)、用户唯一身份、签名算法、待签名数据、签名后数据回传给招标服务器,将扫码的最终结果返回给用户移动通讯设备上的app客户端。
[0060] 步骤3-4、招标服务器验证数字签名并做其他操作:招标服务器验证ca认证服务器生成的数字签名,必须包括:验证证书有效性、验证数字签名、验证用户唯一身份与证书内相应项匹配,若验证通过,判断浏览器是否安装加解密控件,若是,则进入下一步骤;若否,则让用户安装浏览器控件后进入下一步骤;浏览器的加解密控件生成秘钥,用户上传报价文件;招标服务器判断报价文件是否符合格式规范,若是,则进入下一步骤;若否,则返回上一步骤;浏览器加解密控件加密报价文件并上传到文件服务器,结束CA扫码加密。
[0061] 步骤3-5、手机端展示CA认证服务器返回的扫码结果提示给用户。
[0062] 第四步、CA扫码解密。
[0063] 步骤4-1、解密二维码生成:用户登入招标系统,在扫码解密阶段,招标系统打开待解密文件列表画面,用户点击解密文件,招标系统弹出扫码解密的二维码招标系统首先组装用于生成二维码json报文,提供扫码加密服务的枚举值、招标系统按一定规则生成的业务流水号、招标系统base64格式编码加密密文、证书序列号、与CA系统绑定时CA提供授权给app应用的唯一appID标识及接受ca系统回调的服务地址。
[0064] 步骤4-2、app终端用户扫码:登入招标系统的app用户通过移动通讯设备扫码加密签名二维码,首先验证二维码json报文是否符合约定格式,此时app加载本地数据库备份的用户已申请并下载的CA证书列表,证书在应用本地数据库备份,若app卸载重装、用户使用其他手机登入,账户下CA可应用证书也将不复存在,用户必须重新下载或申请新证书下载,用户选择使用其中一张证书输入当前证书密码,与二维码json报文内容一起发送给CA认证服务器,数字证书通过BASE64编码为字符串。
[0065] 步骤4-3、CA认证服务器响应app客户端请求和回调信息给招标服务器:ca认证服务器首先比对证书与数据库中该用户下的证书信息是否匹配,验证证书的有效性和证书密码的正确性,并比对当前证书与签名加密所使用的证书是否一致,若通过,CA认证服务器通过秘钥签名算法,取值范围为{SHA256WithRSA,SM2WithSM3},对招标系统二维码中的base64解码后的加密密文进行解密,完成后回调招标服务器的服务,将应用唯一标识、业务流水号、base64格式编码加密密文、加密原文数据回传给招标服务器,将扫码的最终结果返回给app客户端。
[0066] 步骤4-4、招标服务器验证加密原文并做其他操作:招标服务器验证CA认证服务器解密后的加密原文是否正确,判断浏览器是否安装浏览器控件,若是,则进入下一步骤;若否,则让用户安装浏览器控件后进入下一步骤;浏览器控件生成秘钥,招标服务器从文件服务器上下载加密文件,并根据原文来解密加密文件,CA扫码解密结束。
[0067] 步骤4-5、手机端展示CA认证服务器返回的扫码结果提示给用户。
[0068] 除上述实施例外,本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。
