O2O模式下的生鲜农产品溯源方案

2018-10-12

山东农业工程学院学报 2018年9期

（宿州学院商学院，安徽宿州234000）

近年来，食品安全问题频发[1]，如农药残留、滥用有毒添加剂、掺假掺杂及假冒名优特产品等。随着我国人民生活水平的提高，越来越多的人开始关注饮食健康。这些食品安全事故的发生，引起了广大消费者的焦虑，如何保障食品安全已经成为政府和人民共同关注的热点问题。生鲜农产品作为老百姓的刚性需求，其质量安全更是食品安全中的重中之重。当前，产品溯源是解决食品安全问题的一个切实有效的措施。本文基于相关领域现有的研究及应用，提出了一种新的生鲜农产品防伪与溯源方案。该方案利用图案防伪、数字签名、二维码技术，有效解决了生鲜农产品的线上信息认证和线下产品来源认证的难题。

一、国内外研究现状

1997年，欧盟就建立了农产品溯源系统。在2006年《欧盟食品及饲料安全管理法规》中，要求食品从农场到餐桌要能够被追溯。同时，欧盟使用统一标识系统对所有食品供应链信息进行标识实现溯源，所有的生产商都必须遵循其标准统一标识，方便食品管理。美国于2004年发布了《食品安全跟踪条例》，要求食品供应链要建立溯源体系，其特点是以企业为主导，政府起辅助作用[2]。日本不但制定了相应食品溯源法规，还要求零售超市安装产品溯源终端[3]。澳大利亚于2001年开始实施国家牲畜标识计划（NLIS），它是一个永久性的家畜身份追溯系统，能够追踪家畜从出生到屠宰的全过程[4]。

我国食品质量安全体系建设起步较晚，关于食品溯源体系的研究开始于2002年，大多以特定企业或产品为试点进行溯源系统的研究与开发，并逐步制定了一些标准，但国家层面的溯源机制尚未形成。在溯源系统采用的追踪技术上，国内文献研究主要集中在条形码、二维码、RFID、IC卡、分子光谱、区块链等方面，并结合web网络、移动网络和数据库来实现产品溯源，目前已取得了一定的成果[5-8]。

总的来说，国外溯源体系发展较早，政府层面已经建立了相应的标准。国内正处于发展阶段，国家层面的溯源机制尚未形成。在溯源技术上，国内外的研究重点都在信息追踪上，可以准确地追踪生产、流通中的每一个细节，但是在产品与产品信息的绑定上，并没有多少可靠的技术方案，同时在产品溯源信息的安全防护方面也没有相应的信息安全技术做保障。也就是说，数据库中的溯源信息有可能被非法篡改，即使溯源信息是对的，产品实物也有可能是假货。基于以上因素，本文重点研究生鲜农产品的线上信息认证和线下产品来源认证问题。

二、溯源方案相关技术

（一）公钥加密

公钥加密也称非对称加密，是一种基于数学问题来保证算法安全的信息加密技术，算法密钥由公钥和私钥组成，公钥公开，私钥保密。若使用公钥加密信息，则只有私钥的拥有者才能正确解密，即实现了信息的加密传输。若公钥为解密密钥，则只有通过私钥加密的信息，才可以被该公钥正确解密，即实现了信息的签名。

（二）数字证书

数字证书主要是指公钥数字证书，是由CA（证书认证机构）发行的一种数字信息文件，用来证明某个公钥属于某个主体，同时也能标志和证明网络通信双方的身份，内容包括：主体身份及公钥信息、CA及签名信息、签名算法等。证书大多采用X.509标准。

（三）数字摘要

数字摘要是由单向Hash函数根据任意长度的信息生成的固定长度字符串，不同信息生成的数字摘要总是不同的，而同样的信息其数字摘要必定一致。数字摘要技术用于信息的完整性校验，主要算法有SHA、MD5等。

（四）数字签名

数字签名是附加在信息上的额外数据，这种数据能保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。数字签名借助公钥加密算法和数字摘要算法实现，常用的数字签名算法有RSA、ElGamal、椭圆曲线数字签名算法等。

三、溯源方案设计

（一）溯源方案架构与流程

生鲜农产品（下文的产品如果没有特别说明，则指生鲜农产品）主要包括水果、蔬菜、花卉、蛋、肉、奶以及水产品等，是老百姓日常必需品。在O2O模式下，产品通常由种植基地直接通过第三方物流配送到消费者手中，或者经过经销商二次分装配送，基本不涉及产品的再加工问题，故种植基地的质量安全把控和包装防伪是产品溯源的重点工作。溯源方案由线上部分和线下部分构成，如下图1所示。线上部分包括产品溯源系统和数字证书认证机构；线下部分包括防伪牌生产商、生鲜农产品种植基地、终端消费者。

溯源方案运作流程如下：

防伪牌生产商提前到认证机构申请数字证书，然后制造防伪牌并采集防伪牌图案，对图案进行数字签名，将图案和数字签名上传至产品溯源系统。生产商将防伪牌出售给产品种植基地。

产品种植基地需要提前申请数字证书。在产品出售前，种植基地对产品进行包装，将防伪牌物理绑定到包装上，确保两者在不被破坏的情况下无法分开。种植基地扫描防伪牌背面的二维码，进入产品溯源系统并查询防伪牌图案，系统验证防伪图案签名。如果签名有效，种植基地将产品信息和防伪牌图案合并，并对合并后的数据进行数字签名，然后上传数据到产品溯源系统。

消费者收到产品后，先检查防伪牌和包装的绑定情况，如有破损，则产品可能是假冒的。消费者用手机扫描防伪牌上的二维码进入溯源系统并查询防伪牌图案和产品信息，系统验证图案签名和产品信息签名。如果签名有效，系统传送客户端图案对比程序和防伪牌的出厂图案到消费者手机。消费者用手机对准备验证的防伪牌进行拍照，并利用程序对比两幅图案的一致性，从而判别产品真伪和产品溯源。

图1 溯源方案架构与流程图

（二）数字证书申请

数字证书的作用是保证产品种植基地和防伪码生产商的身份真实性和签名信息的可验证性。数字证书含有公钥，需要和私钥配合使用，私钥用来签名，公钥用来验证签名。数字证书的产生途径很多，可由企业自建CA签发，也可向比较权威的第三方CA申请。考虑到数字证书的信任范围是跨企业的，而自建CA签发的证书只能在企业内部使用，无法满足产品溯源系统的需求，故需要向第三方权威的CA机构申请创建公私密钥对和数字证书。国内权威的认证机构较多，服务也各有不同，企业可自行选择申请，这里不做赘述。

（三）防伪牌图像采集与签名

防伪牌的作用是产品防伪，即通过验证防伪牌的真实性来判定产品的真实性。目前防伪技术很多，如电子防伪码验证技术、激光防伪标签技术等，都可以应用在生鲜农产品的防伪上。从安全性上看，电子防伪码有被多次使用的问题，激光防伪标签则存在假冒问题。本文的防伪牌原理是：制作一种含有随机图案和唯一序列号的标牌，要求制造简单但是仿制相同图案极其困难。将标牌图案采集存入数据库，标牌绑定到产品包装上。验证时用手机采集防伪牌图案，使用图案对比程序验证和数据库图案的一致性，从而判别真伪。为了保证数字图案的安全，需要对防伪图案进行数字签名，记IMG为防伪图案，Sign()为签名算法，S_IMG为图案签名值，H()为数字摘要算法，H_IMG为图案数字摘要，CRTp为防伪牌生产商的公钥证书，公钥包含在CRTp中，PKpub为公钥，PKpri为私钥。签名过程如下：先计算H_IMG=H(IMG)，然后使用PKpri计算S_IMG=Sign(H(IMG),PKpri)，将 IMG、S_IMG、CRTp存入数据库，以防伪牌序列号作为记录的索引关键字，用于验证阶段的防伪查询。

（四）产品信息的采集与签名

产品信息包括地理信息、产地土壤检测数据、产地水质监测数据、生产种植过程中的田间管理数据和环境数据等，这些数据能够准确地反映出产品的质量安全情况。种植基地做好这些数据的采集与整理工作，然后上传至产品溯源系统。为了保证产品信息的完整性和可认证性，需要对产品信息签名。同时，为了保证产品信息与产品实物的可靠关联，需要将防伪图案附加在产品信息中。记FAPI为产品信息，CRTf为种植基地的公钥证书，公钥包含在CRTf中，H_FAPI为产品信息数字摘要，S_FAPI为产品信息签名值，Verify()为签名验证算法，FKpri为私钥。签名过程如下：扫描防伪牌进入溯源系统并检索相应防伪图案的记录，系统验证CRTp有效性，根据IMG计算H_IMG’=H(IMG)，接着计算Verify(S_IMG,H_IMG’，CRTp)的值，如果值为真则S_IMG有效，说明图案自防伪牌生产商且没有被篡改。种植基地下载IMG，重新计算H_IMG=H(IMG)和H_FAPI=H (FAPI)，然后使用FKpri计算H_FAPI=Sign(H(FAPI)+H_IMG,FKpri)，将 FAPI、S_FAPI、CRTf存入数据库。

（五）产品的溯源与防伪验证

消费者在收到产品后，先检查防伪牌与产品外包装的绑定情况。如果包装和防伪牌的结合处破损或有二次绑定的痕迹，则认为防伪牌和包装在流通过程中被重新绑定了，即意味着产品被假冒掉包。如果绑定完好，则用手机扫描防伪牌进入溯源系统查询产品信息和防伪牌图案。系统先验证图案签名，上文已经叙述。系统接着验证信息签名，过程如下：根据数据库中的FAPI计算H_FAPI’=H(FAPI)，验证CRTf的有效性，计算Verify(S_FAPI,H_FAPI’,CRTf)的值，如果值为真则S_FAPI有效，说明产品信息来自种植基地且没有被篡改。系统将 IMG、FAPI传送到消费者手机，并传递一个客户端图案对比程序。消费者拍照防伪牌上的图案，并利用图案对比程序验证和IMG的一致性。如果两幅图案一致，则认为防伪牌是真实有效的，也意味着产品确实来自防伪牌上标志的种植基地。

（六）溯源系统的构建

溯源系统主要实现了系统设置、管理员管理、系统用户管理、防伪牌图案和签名的上传、产品信息及签名的上传、产品信息和防伪牌图案的签名验证、防伪图案的下载、产品信息的下载、图案对比程序的下载等功能。这里的系统用户是指防伪牌生产商职员和种植基地职员，他们拥有上传和修改产品溯源信息的权限。消费者仅需要查询功能，无需注册登录。在数据库设计上，主要创建管理员信息表、系统用户信息表、产品溯源信息表。产品溯源信息表的字段包括：防伪牌序列号、防伪图案、图案签名、防伪牌生产商数字证书、种植基地数字证书、产品信息、产品信息签名等，其中防伪序列号要求是主键，唯一地对应一个防伪牌。溯源系统一般由防伪牌生产商建设并提供服务，也可以由第三方网络服务平台搭建。在系统的实现上，可以选择Linux+Apache+PHP+MySQL技术环境。使用PHP的好处在于：PHP集成了OpenSSL加密扩展包，后者是一个开源的基于密码学的安全开发包，封装了多个用于加密解密、签名及验证的函数，极大地方便了对数据的加解密及签名验证操作。本文的产品溯源原型系统就是使用了PHP技术开发，其中用到的密码函数包括：数字摘要生成函数openssl_digest、签名函数openssl_sign、签名验证函数openssl_verify等。溯源系统正常运行后，防伪牌生产商就可以将溯源系统网址及查询参数添加进防伪牌的二维码里。

四、溯源方案安全性分析

（一）产品信息安全性分析

产品信息的安全包括信息来源的真实性、信息的完整性和来源的不可否认性，下面分别从这三个方面进行分析。

真实性是指产品信息来源的身份是可以确认的、真实的。产品信息的数字摘要使用了种植基地的私钥进行数字签名后，必须使用与之对应的公钥才能验证解密。公钥存在于数字证书中，数字证书是权威的第三方认证机构经过审核并签发的，所以通过数字证书可以确定公钥的所属主体就是种植基地。如果该公钥可以解密验证某个产品信息的数字摘要签名，则该产品信息一定是由种植基地的私钥签的名，由于私钥只有种植基地才有，从而确定了信息的来源是种植基地。

完整性指的是信息在存储和传输过程中没有被非法篡改或者破坏。首先，产品信息和数字摘要是一一对应的，即同一个产品信息对应同一个数字摘要，产品信息不同则数字摘要不同。如果产品信息的数字摘要签名能够被种植基地的公钥验证解密，说明签名有效。由于产品信息和其数字摘要是一一对应的，此时只要重新计算当前产品信息的数字摘要，并和刚才解密出来的数字摘要做对比，若两者一致，就可以确定产品信息没有被篡改，是完整的。如果有人想篡改产品信息，就必须使用种植基地的私钥重新签名信息摘要，而私钥是不可能得到的，故除了种植基地，没有人可以篡改产品信息。

不可否认性指的是信息来源不能否认自己曾经发送过的信息。当种植基地对某条产品信息进行否认时，消费者可以使用种植基地的公钥进行验证解密，如果一个产品信息的数字摘要签名能够被种植基地的公钥验证解密，则说明该签名是由种植基地的私钥签署的。由于私钥是秘密的、私有的，不能为他人所共享，所以可以断言一定是种植基地对信息摘要进行了签名，种植基地无法否认这一点。当然，种植基地可以声称私钥丢失，但是要承担相应责任。

（二）产品安全性分析

产品安全包括来源真实性和产品质量安全。来源真实性是指产品的真实来源与产品信息中的声明来源是一致的，即产品不是假冒的。产品质量安全是指产品的可靠性、使用性和内在价值，既有等级、规格、品质等特性要求，也有对人、环境的危害等级水平的要求，这些要求的实施过程记录在种植基地的产品溯源信息中。对产品安全性分析如下：

来源真实性通过产品防伪技术实现。产品防伪一直是企业的难题，既要保证消费者容易鉴别产品真伪，又要求防伪成本可控，目前仍没有完美的解决方案。本文防伪标牌的图案是由随机散布的细丝、细小颗粒及防伪序列号组成的，具有唯一性，被压塑在透明塑料内，标牌背面印有二维码，制造过程简单且成本低廉，。防伪牌生产商将防伪标牌图案采集并签名存入数据库，种植基地则将图案数字摘要附在产品信息摘要尾部并签名，以便后期消费者验证。如果有人想要销售假冒的产品，一种手段是得到相同图案纹路的防伪牌，假冒者要么获取真正的防伪牌，要么造假防伪牌。获取真实产品上绑定的防伪牌会导致其破损，无法二次使用。单纯伪造防伪牌在加工技术上没有难度，但是伪造一个图案纹路完全一致的防伪牌是极其困难的，对于消费者而言，利用图案对比程序可以很轻松地察觉图案的细微变化，故无法有效批量伪造产品。另一种造假手段就是篡改数据库中的防伪图案，将图案换成造假者自己的防伪牌图案。先不说攻陷溯源系统数据库的技术难度，即使造假者拥有上传修改图案的权限，但由于没有种植基地的私钥，无法伪造种植基地的签名，而没有签名的信息是无效的。造假者可以使用自己的私钥签名数据，但消费者使用种植基地的数字证书是不能验证成功的。所以，该溯源技术能够保证产品来源真实性。

产品质量通过产品溯源信息反映出来，正常情况下，产品信息能如实地反映出产品生产过程。当然，也不排除种植基地通过修改产品信息来“提升”产品质量，但是，由于产品的实际质量没有提升，种植基地的这种行为很容易被发现，会造成种植基地的信用受损，对企业长远发展是不利的。种植基地也不能声称产品信息被他人篡改，因为有自己的数字签名，别人无法篡改。所以，溯源机制也会对种植基地起到监督促进作用，从而有效保证了产品的质量安全。