摘 要:目前,各种不同形式的肉类食品安全追溯工程普遍存在缺乏理论指导
和统一规划、建设目标不清晰、工程设计不合理、缺少技术标准体系等问题,从根本上解决只停留在信息的追溯上而没有通过安全流通控制理论来保证传递信息不被篡改,传递信息的可信问题。本项目针对基于上述问题和需求,围绕肉类食品安全可追溯体系,以可信计算和安全体系结构理论为指导初步提出一个完整的可信安全体系结构,以改进和推动食品安全追溯系统的实施。
关键词:肉类食品安全追溯 可信计算 信息流 无干扰
0引言
肉类食品消费安全是关系国计民生、社会安定的国家大事,已经成为全国性的问 题,商务部已经开始部署实施全国性肉类食品消费安全与追溯体系工作。但是,由于肉类食品追溯体系的建设是一个复杂的工程,“从源头到餐桌”涉及的环节众多,要实现肉类食品的质量管理控制,必须对肉类食品供应链进行优化重组,对肉类食品安全管理进行有效监控,以建立肉类食品供应链追溯体系。
1、基于可信计算的信息流划分
信息流的无干扰的思想是可信安全体系结构的核心思想,它最早由Goguen等人提出,其思想是:对于系统中的安全域u和v,如果域u中的操作造成系统状态的改变,从域v的角度来观察系统,在域u的操作发生前和发生后,域v所观察到的系统状态是相同的,那么就认为域u对于域v是无干扰的。基于信息流的无干扰理论模型从动作和运行结果的角度建立系统安全可信策略模型,研究了基本的无干扰理论模型,给出无干扰模型的3个性质,即单步一致性、结果一致性和局部一致性。借鉴以上思想方法本文以无干扰和可信传递的为理论指导对猪肉食品信息安全系统进行了需求分析并分成养殖、屠宰、销售、核销四个域。这四个域满足信息流无干扰的原则:任何一个域中的操作不会造成另一个域状态的改变。采购信息管理检验检疫台账生成耳标信息采集管理养殖收购台账生成批发台账生成养殖过程管理屠宰核销屠宰过程管理RFID卡管理屠宰储存台账生成零售台账核销交易信息管理销售零售台账管理公钥加密核销中心收购台账核销批发台账核销肉类食品安全追溯系统的信息流划分为了更进一步细化整个肉类食品信息系统中各个子系统之间的信息流动的本文引入了原子
操作的概念。原子操作{耳标信息采集管理系统→养殖过程管理系统}表示耳标信息采集管理系统通过箭头指向养殖过程管理系统,表明耳标信息采集管理系统会对养殖过程管理系统中的数据进行访问,在这个访问过程中访问者称为主体,被访问者称为客体。借助原子操作的概念得到更为细化的信息流动图。收购台帐生成系统养殖过程管理系统耳标信息采集管理检验检疫台帐生成系统收购台帐核销管理系统屠宰过程管理系统批发台帐生成系统贮存台帐生成系统RFID卡管理系统批发台帐核销管理系统零售台帐管理系统交易信息管理系统二维条码管理系统。
2肉类食品安全追溯系统的可信安全体系结构在需求分析得到的数据流动的基础上,根据我们提出了一种全新可信体系结构:
以可信安全管理平台为中心的三层可信体系结构。第一层是现有的各个子系统,第二层是实现各个子系统的与可信管理平台层的边界访问控制和信息流安全交换功能。第三层是整个可信体系结构的核心层。它包括:客体可信状态控制、完整性状态控制、保密性状态控制、风险预警控制等功能模块。可信安全管理平台是对整个肉类食品信息系统中信息流动的统一管理和控制。主体客体资源屠宰子系统主体客体资源养殖子系统主体客体资源销售子系统可信安全管理平台边界访问控制安全交互系统边界客体可信状态控制完整性状态控制保密性状态控制风险预警控制边界访问控制安全交互边界访问控制安全交互现已存在的各个肉类信息系统图3肉类食品安全追溯系统的可信安全体系结构图一次原子操作管理平台执行过程:(1)通过客体可信状态函数实现客体可信状态控制;(2)通过Hash函数、数字签名等实现客体完整性状态控制;(3)通过保密性函数实现保密性状态控制;(4)主体成功访问客体后将访问记录,保存在记录中;(5)风险预警指撤销求并非法入侵。主体访问客体请求客体可信状态控制客体完整性状态控制保密性状态控制允许该原子操作,并记录该操作均返回成功拒绝该原子操作,并风险预警是否结束
3肉类食品安全信息系统的可信体系结构实现中间层的边界访问控制主要是通过数字证书向可信安全管理平台提交数据访问申请,通过可信管理平台层具体的数据访问操作后,实现信息的安全交互。而底层是现有的信息系统不需要的进行任何修改。以下重点介绍可信安全管理平台功能的实现。
3.1客体可信状态控制基于现有的计算平台可信证明方法,可以保证信息在分布式系统流动中的安全可信。其具有如下优点:
①可以识别并防止由于远程计算平台用户的无意识行为导致的安全事件(比如木马、病毒等恶意代码或错误的安全配置)对其它系统产生影响。②通过分析与平台状态可信直接相关的系统行为可以更准确地判断证明平台是否可信,避免度量和验证大量无关要素所带来的隐私保护和计算可行性问题。客体可信函数构造=:match(主体ia安全策略预期,客体jb行为记录)函数返回值:0表示符合要求,1表示不符合要求。主体行为度量模块主体行为报告模块系统行为验证模块可信安全策略预期模块主体客体管理平台TPM客体可信状态控制函数
3.2完整性状态控制其中Hash()表示Hash函数,Sig访问请求表示访问者的对请求的数字签名,PK表示访问者的公开密钥,完整性状态控制的流程。S=Hash()D=D(Sig访问请求)byPKS=D?报告并返回0(拒绝)S=Hash(访问请求)报错记录并返回1(成功)否:访问请求被篡改是否是S在可信管理数据中?
3.3基于Lampson安全模型的保密性状态控制安全策略是一套用于规范组织如何管理、保护以及分发信息的法律、法规与行为准则,访问控制依据用户制定的安全策略对系统发生的访问事件进行控制,防止未经授权的用户访问系统资源。1971年,Lampson首次对信息系统的访问控制问题进行抽象,建立了访问矩阵模型,模型中主体技术应用(subject)代表发出访问请求的主动实体;客体(object)代表受保护的系统资源;访问矩阵(access matrix)以所有主体为行,所有客体为列,列举每个主体对每个客体的所有访问权限,以表示管理员对访问控制的具体要求,即安全策略。因此,本文提出的肉类安全追溯系统中的安全策略也采用这种(主体,客体,权限)三元组的抽象方式,描述系统的访问。保密性函数构造=:(原子操作∈or?访问控制矩阵)函数返回值:属于返回0不属于返回1。可以得到以下为访问控制矩阵。Lampson访问控制矩阵客体object主体subject养殖过程管理系统屠宰过程管理系统码分配与控制系统„..检疫台帐生成系统{1 2 3 4Z ,Z ,Z ,Z}{1 2 3 4Z ,Z ,Z ,Z}?耳标信息采集管理系统{1 2 3 4Z ,Z ,Z ,Z}?{1 2 3 4Z ,Z ,Z ,Z}„..描述:访问控制矩阵行元素:一次原子操作中的客体(jobject)元素:养殖过程管理系统、屠宰过程管理系统、码分配与控制系统等等。访问控制矩阵列元素:访问客体的主体元素:检疫台账生成系统,耳标信息采集管理系统等等。访问控制矩阵成员集合:表示操作权限i ,jM={1Z=:新增add,2Z=:显示show,3Z=:修改update,4Z=:删除delete}
3.4审计预警控制针对客体可信状态控制、完整性状态控制、保密性状态控制中的出现的非法入侵记录并通知到相关的责任人。
4、结束语
实现以可信计算和安全体系结构相结合的技术方法建立肉类食品安全追溯体系可以有效防止各类假冒伪劣肉类食品流入消费市场,提高肉类食品安全保障程度。包括源头防护、中间控制、最后可追溯与审计的可兼顾的控制体系。减少在生产、流通、消费各环节中存在的诸多安全隐患。建立以为主导的公共信息服务和发布渠道,公示经营者的信用档案和部门监察的记录,提高信息服务完善群众监督的环境。有助于推动我国肉类食品安全追溯体系的规划和发展。
参考文献:
[1]Koen Yskout,Bart De Win and Wouter Joosen.transformingsecurity audit reauirements into a software architecture.IBBT-DistriNet.Katholieke Universiteit
[2]Pejman Salehi,Pooya Jaferian,Ahmad AbdollahzadehBarforoush,Modeling Secure Architectural Connector withUML 2.0.IMECS 2007.
Leuven.Belgium.TheThird International Conference on
Availability,Reliability andSecurity,2008 IEEE DOI 10.1109/ARES.2008.
