全国首创！ 这个投标文件加解密方案彻底“免CA”

在公共资源交易尤其是电子招投标领域，如何在保障安全的前提下进一步提升电子投标文件的加解密速度，是提高交易便利性、优化招标投标营商环境的一项重要课题。对此，苏州工业园区公共资源交易中心在率先实现并成熟运行“电子营业执照+统一加解密”模式（投标人免CA数字证书）的基础上，在全国首创推出了更具安全、高效和低成本的投标文件加解密方案，即：电子营业执照+密钥管理服务（KMS），实现了投标和开标环节彻底“免CA”（不再使用投标人、招标人或管理部门的任何CA），进一步提升了投标和开标效率。

记者了解到，目前该方案已经在园区逾50个工程建设招投标项目超1200家（次）投标企业进行了应用实践，取得了良好的效果。

KMS，系密钥管理服务（Key Management Service）的简称，是云服务厂商针对云上数据或用户加密需求设计的密码应用服务。KMS使用经过第三方认证的HSM（硬件安全模块）生成和保护密钥，确保了密钥的安全性。由KMS平台生成一对非对称密钥对，分为公钥（加密密钥）和私钥（解密密钥），园区公共资源交易中心将KMS平台生成的公钥嵌入投标文件制作工具，投标人完成投标文件制作后，投标文件制作工具使用该公钥对投标文件进行加密，类似于投标人插入CA数字证书后的加密环节，生成加密的投标文件。

“KMS平台生成的公钥相当于CA数字证书中的公钥，两者都可以进行导出下载，用于投标文件的加密，KMS平台生成的私钥相当于CA数字证书中的实体锁，无法导出，只能通过接口调用KMS平台的私钥解密服务。”园区公共资源交易中心相关负责人解释说，密钥放置在KMS平台中，无法导出，只能通过对应接口调用。而KMS平台对密钥的所有操作都会进行访问控制及日志跟踪，提供所有解密的日志，满足审计和合规性要求。交易系统也会记录相应的解密请求日志。两方的日志做交叉审计，确保投标文件的解密操作安全。日志记录可以公开发布供公众监督。

通过这一技术手段，密钥由HSM中的根密钥保护，无法直接下载，需通过专用接口调用，避免了密钥泄露风险，为公共资源交易提供了安全可靠的保障。数据显示，实践中300份投标文件可以在2分钟内完成解密，而当前传统模式下的大多数相关运行方案，根据投标情况需要较长的时间，开标效率大大提高。相比当前使用一些传统的加解密投标文件的方式，KMS作为云端服务大幅降低了运维管理成本，实现了低成本高效益。

“优化后的交易流程更加简洁高效，用户无需担心证书丢失、加解密繁琐等问题，且可以选择不参与线上开标大厅的开标会，提升了用户的满意度和信任度。”该负责人说。目前，园区公共资源交易中心采用的由“华为云”提供的密钥管理服务（KMS），其每个服务周期的服务可用率达到99.95%。即一年365天发生云服务中断的概率约为0.1825天（365天×（1-99.95%）=0.1825），远较当前大部分实质化系统稳定。“电子营业执照+密钥管理服务”的加密方案，招标人和投标人均可使用电子营业执照替代CA，整个交易活动可以不使用CA数字证书，探索实践了在投标开标领域电子营业执照全面应用的思路和举措。

在全面构建公共资源交易全国统一大市场的背景下，电子营业执照更加统一、权威、安全等维度的应用优势愈发显现，由于目前电子营业执照还不能提供单独的招标文件加解密功能，而通过园区公共资源交易中心提出的“密钥管理服务”这一创新应用，对于解决当下公共资源交易领域投标开标相关环节便利度方面存在的有关情况，提供了具体可行性和操作性的“苏州方案”和“园区经验”，为全国公共资源交易领域持续改革创新发展，积极助力技术参考和实践应用。（苏报融媒记者 董捷）