曹霆

摘  要： 针对国内外食品安全问题频发的现象，建立完整有效的食品安全追溯体系势在必行。我国现有的食品追溯系统的功能还停留在信息的追溯上，而无法保证信息传递的安全可靠，也就无法防止信息被恶意篡改。文章以确保追溯系统在肉类食品流通过程中信息的安全传递为目标，在需求分析的基础上，提出将物流、信息流和控制流相结合的三流一体化思想作为保证追溯系统信息安全性的实践方案。通过在传统的物流和信息流的基础上加入控制流的方法，使物流和信息流的信息在食品流通的每一个阶段受到安全监控，确保了追溯系统信息的完整性和可靠性，从而防止食品安全问题进一步恶化。

关键词： 食品安全; 三流一体化; 可追溯体系; 软件体系结构

中图分类号：X56          文献标志码：A      文章编号：1006-8226（2019）07-87-05

Abstract： For the problem on domestic and international food safety came out one after another， the establishment of comprehensive and effective food safety traceability system is imperative. The function of current food traceability system in China can only trace the information. The safety and security on the process of information transmission cannot be guaranteed. This dissertation proposed the idea called three-flow conformity， which includes logistics， information flow and control flow， as the plan of implementation to guarantee the information safety of the traceability system. It can monitor food distribution process on every stage by joining control flow into logistics and information flow， which ensured integrity and reliability of the information.

Key words： food safety; three-flow conformity; traceability system; software architecture

0 引言

近年來，国内、外食品安全问题接连不断，食品安全问题已成为当今各国政府、消费者和科技界广为关注的焦点问题之一[1]。为此，建立完整有效的食品安全追溯体系势在必行。

目前已有的猪肉追溯系统在保证信息的安全方面存在一些安全漏洞，不能保证信息在传递过程中的安全可靠、不被篡改。以养殖子系统为例，其系统的简要流程如图1所示。

这样的追溯系统，在保证信息的安全方面存在以下几点漏洞。

安全漏洞一：用户信息仅存储在子系统本地，当子系统数据库中的数据丢失或被人恶意改动时，没有识别和解决该安全问题的有效措施，因此，不能保证身份验证功能的可靠性。

安全漏洞二：当用户进行采够信息管理和养殖过程管理等功能模块的操作时，系统没有采取对其操作过程的实时监控，从而无法保证用户所有操作行为的合法性。

安全漏洞三：在录入耳标信息时，系统没有对追溯码进行有效的分配和控制，不仅使追溯码在存储过程中是否正确合法产生疑点，还让追溯链的完整性和可信度大打折扣。

本文提出基于三流一体化模型的肉类食品安全追溯系统安全体系结构，旨在解决上述信息传递的安全问题，所要体现的安全需求包括以下几点。

第一，将本地系统的用户身份信息保存在管理平台，从而确保用户的身份信息不被篡改，这是无干扰理论在体系结构中的体现。

第二，保证用户操作的合法性，对于用户的操作采取同步安全监测管理，及时发现用户的错误或非法操作对系统产生的干扰，并对这些干扰做出反应，或提示用户，或对用户禁用某些功能。

第三，保留所有修改记录。当用户在进入系统后采取某些非法操作，试图修改系统已有真实数据时，系统会记录该用户的具体身份信息和非法操作步骤，当此用户或具有此用户特征的其它用户进入系统时，会触发报警事件，同时降低该用户权限，对系统进行安全保护。

1 三流一体化思想

所谓三流，就是指物流，信息流和控制流。

物流 指肉类食品从牲畜幼仔到成为客户餐桌上的菜肴的过程中相关产品的流通过程。其信息包括各个流通过程的时间、地点、经办人、数量、运载信息（包括车辆信息和运载方式）。

信息流 指牲畜在养殖、屠宰加工和销售各阶段的相关属性信息。其包括两类信息，一类是追溯信息，用于追溯食品来源和去向，另一类是基本信息，用于记录在整个流通过程的每个细微环节中生产者、经营者、消费者以及商品本身的具体状况。

控制流 控制流是在肉类食品流通环节中对信息实现控制的过程，通过采取适当的控制手段，保证在食品流通过程中每一步操作的合法性、合理性及安全性，使信息能够以可信的方式传递，也就是保证信息的安全可靠和不被篡改。

所谓一体是指利用控制流来实现对各物流环节的相关追溯信息的控制与监测，使物流、信息流和控制流形成统一的整体。

在屠宰加工阶段，物流过程主要包括牲畜进厂、建立进厂台账、检验检疫、建立检疫台账、屠宰、出场前肉质检验、包装冷冻冷藏、建贮存台账。这一阶段信息的主要载体是RFID（射频识别）卡。控制流程主要包括IC卡管理、收购台账管理、检疫台账管理、贮存台账管理。

在此阶段中，耳标中的信息传递到RFID卡中，同时加入了屠宰批次和日期，从而形成了记载关键追溯信息的屠宰号。管理中心不仅要管理这些追溯信息，同时要实现信息核销功能。核销管理分为两类：一类是子系统内部的核销，通过系统本身的核销管理模块来完成;另一类是不同子系统间的核销，通过管理平台的核销管理来完成。

2 基于三流一体化的肉类食品安全追溯系统安全体系结构模型的总体设计方案

肉类食品安全追溯系统的设计以多层软件体系结构作为整体构架[2]，包括用户界面层、业务逻辑层、通用操作层、数据接口层以及数据层[3]。

其中，用户界面层由界面对象（UI对象）组成，是应用软件的用户接口部分，对应于用户的需求，并负责触发业务事件以启动业务逻辑。业务逻辑层是应用软件系统的主体，负责处理所有与业务逻辑和业务规则直接相关的操作，是应用软件系统的业务模型。其通用操作层为业务逻辑层提供打印功能、查询功能、数据存取功能。数据接口层屏蔽具体数据库服务器之间的差异，为上层提供统一的数据访问接口，从而提高应用程序的可移植性和适应性。数据层负责基础数据和商业数据的存放和管理，并对这些数据的完整性、一致性提供保证。

信息在各层传递过程中的安全控制策略如下。

⑴ 用户界面层安全

登录用户身份验证：保证每一位登录用户身份的合法性，是可信思想的无干扰理论模型在安全体系结构设计中的主要体现之一，系统的用户界面层具有验证登录用户身份，并为每一类用户分配访问权限的功能。

操作的合理性控制：用户界面层会在用户登录后开始业务流程操作时自动调用数据验证的功能构件，对输入数据的有效性进行验证，禁止用户输入非法数据，从而屏蔽垃圾数据对系统的干扰。

⑵ 业务逻辑层信息传递的安全性

各子系统间核销：由于本系统由多个子系统组成，因此系统间的信息传递是否符合可信链传递模型的要求，是体系结构安全和可信度量的一项重要的指标。在养殖和屠宰子系统间的核销功能是通过耳标信息管理构件和RFID卡信息管理构件实现的。

码的分配与管理：通过参考现有类似产品的追溯码结构，拟对肉类食品追溯碼采用全球贸易项目代码（GTIN）+批号/系列号+源实体参考代码[4]，其中，GTIN是在世界范围内贸易项目的唯一标识代码，其结构为14位数字[5]。源实体参考代码是贸易项目的一个属性，用于跟踪贸易项目的最初来源，在本系统中采用耳标号。

执法设备管理：在业务逻辑层的控制流构件中，专门设计了执法设备管理构件，向用户提供硬件设施的接口，对执法设备的使用情况进行记录，从而规范操作合法性，避免非法操作设备对系统的信息安全性造成的干扰。

同步安全监测：业务逻辑层控制流构件中为每个子系统都设计了统一的同步安全监测构件，用来规范各子系统内部人员在操作过程中对数据的更新合理有效，通过安全监测信息的记录确保信息传递的可靠性。

⑶ 通用操作层的安全性

通用操作层构件需要提供规范化的接口，以确保所有业务构件在调用通用构件时，都能实现构件之间通信的安全可靠。同时，通用构件的平台无关性设计能够使构件适应各种上层功能需求的变化，保持可用性，为上层业务操作提供了安全保障。

⑷ 数据接口层和数据层的安全性

身份认证：所有操作人员访问系统数据必须经过开机口令、操作系统口令、应用程序口令、数据库访问口令检测，系统根据客户机IP地址、操作员工号/口令、帐本/仓库号等对该用户的操作进行严格的限制。

访问控制：数据库的访问控制是为保护有账户的用户之间的权限不受侵犯。每个用户都有自己的表格，可以适当访问这些表格。访问控制的组成部分除用户认证之外，还包括对象、动作和特权。

存取权限控制：对数据库中的数据操作一般有输入、查询、编辑、删除四种情况，按照以上操作类别将用户划分为四个权限等级，各级操作人员只能对自己权限范围内的数据进行权限范围内的操作。

3 基于三流一体交互模型的构件提取

构件通常是体系结构描述的主要设计元素，基于三流一体化模型的软件体系结构的建立同样以构件技术作为实现的基础。在三流一体的交互模型中，控制流的建立是保证信息传递安全性的关键，从控制流中要体现的信息安全控制功能出发，抽象提取出封装良好、接口风格统一、功能完善、具备相互协作能力的构件，是体系结构建立的必要环节。

综合对控制流的安全需求分析，大致可以抽象出如下几种业务逻辑层实现信息安全控制功能的构件大类：

⑴ 同步安全监测构件

这一类构件主要负责对某一子系统内部信息进行随时随地的跟踪和检测，防止非法录入和修改信息造成安全漏洞。主要功能包括饲养过程、运输过程、屠宰过程及交易过程的安全监测等。

⑵ 核销构件

此类构件既可完成对子系统内部信息传递过程中的核对，又可控制信息在各系统间交换时保持一致性。其主要功能包括养殖与屠宰系统间、屠宰过程、屠宰和销售系统间以及销售过程的核销管理。

⑶ 执法设备管理构件

该类构件主要为接入系统的读取和记录信息的硬件设备提供接口，实时监控硬件设备使用过程中的安全性和合法性，从而避免硬件的损坏和非法操作对系统的干扰。主要功能有批发专用POS机使用管理、耳标读写器使用管理、RFID卡读卡器使用管理等。

⑷ 码的分配与控制构件

此类构件负责与追溯相关的信息的安全控制，生成合法有效的追溯码，对记录关键信息的码段采取加密解密操作，其功能包括耳标号的信息管理、屠宰号信息管理和二维条码信息管理。

⑸ 身份验证构件

该类构件对系统的主体（包括用户和参与者）进行身份的合法性验证，应用安全模型中的访问控制模块来完成，限定此系统的使用者、使用对象和使用权限，从而为体系结构建立起最外层的安全屏障。

控制流构件的功能设计如图3所示。

4 结束语

食品安全可追溯体系结构模型的研究对于目前食品流通领域倍受关注的食品安全问题具有积极的现实意义。在传统的食品安全追溯系统的物流和信息流之间加入控制流，从而提出三流一体化思想，为发展和完善食品安全可追溯体系提供切实可行的新思路。然而，要彻底解决日益恶化的食品安全问题这一全球性的难题还任重道远。首先，该安全体系结构模型是否能够屏蔽地域差别，应用在全国各地的具有不同地域特点的肉类食品安全追溯系统之中还有待研究;其次，要把此体系结构完整地实施到现实食品安全可追溯系统中还需要很长的路要走，还必须依赖于人才的培养和经费的支持。但是，我们有理由相信，在不远的将来，随着人们思路的不断创新和研究的不断深入，以及社会各界关注度的不断提高，食品安全追溯系统一定会趋于完善，我国的食品安全问题一定会得以解决。

参考文献（References）：

[1] 马汉武，王善霞.食品安全环境下的肉类食品可追溯系统的构建[J].中国安全科学学报，2006.16（11）：4

[2] 蔡喆.基于构件的N层体系结构研究与应用[D].中国地质大学博士学位论文，2004.

[3] 贾玉莹.一种基于构件的多层软件体系结构设计与应用[D].南京工业大学硕士学位论文，2006：23-25

[4] 文向阳.中国商品条码标识系统在食品安全溯源中的应用[J].食品安全导刊，2007.2：68-69

[5] 王国强，吕亚林.商品条码的编码规则[J].中国防伪，2000.5：60-61