安全性？便利性？

在公共资源交易尤其是电子招投标领域，如何在保障安全的前提下，进一步提升电子投标文件的加解密速度，是提升交易更加便利化、招标投标营商环境更加优质高效的一项重要课题。

针对这一课题，近年来，苏州工业园区公共资源交易中心始终坚持聚力创新、奋发作为，在率先实现并成熟运行“电子营业执照+统一加解密”模式（投标人免“CA数字证书”）的基础上，在全国首创推出了更具安全、高效和低成本的投标文件加解密方案，即：电子营业执照+密钥管理服务（“KMS”），实现了投标和开标环节彻底“免CA”（不再使用投标人、招标人或管理部门的任何CA）,进一步提升了投标和开标效率。

目前，该方案已经在苏州工业园区的逾50个工程建设招投标项目、超1200家（次）投标企业进行了应用实践，取得了良好的效果。

密钥管理服务

KMS，系密钥管理服务（KeyManagementService）的简称，是云服务厂商针对云上数据或用户加密需求设计的密码应用服务。KMS使用经过第三方认证的HSM（硬件安全模块）生成和保护密钥，确保了密钥的安全性。

一、加密投标文件过程

由KMS平台生成一对非对称密钥对，分为公钥（加密密钥）和私钥（解密密钥），公共资源交易中心将KMS平台生成的公钥嵌入投标文件制作工具，投标人完成投标文件制作后，投标文件制作工具使用该公钥对投标文件进行加密，类似于投标人插入CA数字证书后的加密环节，生成加密的投标文件。

KMS平台生成的公钥相当于CA数字证书中的公钥，两者都可以进行导出下载，用于投标文件的加密，KMS平台生成的私钥相当于CA数字证书中的实体锁，无法导出，只能通过接口调用KMS平台的私钥解密服务。

二、解密投标文件过程

由交易系统判断开标时间、操作人等条件，满足开标条件后通过KMS的API接口发起解密请求，对投标文件进行解密，该过程相当于开标人员插入CA数字证书，使用CA数字证书的私钥对投标文件进行解密。

三、安全保障技术说明

解密密钥放置在KMS平台中，无法导出，只能通过对应接口调用。KMS平台对密钥的所有操作都会进行访问控制及日志跟踪，提供所有解密的日志，满足审计和合规性要求。同时，交易系统也会记录相应的解密请求日志。两方的日志做交叉审计，确保投标文件的解密操作安全。日志记录可以公开发布供公众监督。

应用意义

一、安全性保障 密钥由HSM中的根密钥保护，无法直接下载，需通过专用接口调用，避免了密钥泄露风险，为公共资源交易提供了安全可靠的保障。

二、开标效率大大提高解密速度快，实践中300份投标文件可以在2分钟内完成解密，而当前传统模式下的大多数相关运行方案，根据投标情况需要较长的时间。

三、交易成本有效降低 相比当前使用一些传统的加解密投标文件的方式，KMS作为云端服务大幅降低了运维管理成本，实现了“低成本高效益”的运营模式。

四、用户体验大幅提升 优化后的交易流程更加简洁高效，用户无需担心证书丢失、加解密繁琐等问题，且可以选择不参与线上开标大厅的开标会，提升了用户的满意度和信任。

五、运行服务更加稳定 目前，苏州工业园区公共资源交易中心采用的由“华为云”提供的密钥管理服务（KMS），其每个服务周期的服务可用率达到99.95%。即一年365天发生云服务中断的概率约为0.1825天（365天X（1-99.95%）=0.1825），远较当前大部分实质化系统稳定。

六、电子营业执照对“CA”全面替代 “电子营业执照+密钥管理服务”的加密方案，招标人和投标人均可使用电子营业执照替代CA，整个交易活动可以不使用CA数字证书，探索实践了在投标开标领域电子营业执照全面应用的思路和举措。

在全面构建公共资源交易全国统一大市场的背景下，电子营业执照更加统一、权威、安全等维度的应用优势愈发显现，由于目前电子营业执照还不能提供单独的招标文件加解密功能，而通过苏州工业园区公共资源交易中心提出的“密钥管理服务”这一创新应用，经过目前的初步实践，将以极低的运行成本解决投标文件加解密的问题。

“电子营业执照+密钥管理服务”替代CA数字证书在公共资源交易领域的应用，对于解决当下公共资源交易领域投标开标相关环节便利度方面存在的有关情况，提供了具体可行性和操作性的“苏州方案”和“园区经验”，为全国公共资源交易领域持续改革创新发展，积极助力技术参考和实践应用。