梁鵬 王燕興

北京工業(yè)大學(xué)計算機學(xué)院 北京 100124

0 引言

肉類食品消費安全是關(guān)系國計民生、社會安定的國家大事，已經(jīng)成為全國性的問題，商務(wù)部已經(jīng)開始部署實施全國性肉類食品消費安全與追溯體系工作。但是，由于肉類食品追溯體系的建設(shè)是一個復(fù)雜的工程，“從源頭到餐桌”涉及的環(huán)節(jié)眾多，要實現(xiàn)肉類食品的質(zhì)量管理控制，必須對肉類食品供應(yīng)鏈進行優(yōu)化重組，對肉類食品安全管理進行有效監(jiān)控，以建立肉類食品供應(yīng)鏈追溯體系。

1 基于可信計算的信息流劃分

信息流的無干擾的思想是可信安全體系結(jié)構(gòu)的核心思想，它最早由Goguen等人提出，其思想是：對于系統(tǒng)中的安全域u和v，如果域u中的操作造成系統(tǒng)狀態(tài)的改變，從域v的角度來觀察系統(tǒng)，在域u的操作發(fā)生前和發(fā)生后，域v所觀察到的系統(tǒng)狀態(tài)是相同的，那么就認(rèn)為域u對于域v是無干擾的。

基于信息流的無干擾理論模型從動作和運行結(jié)果的角度建立系統(tǒng)安全可信策略模型，研究了基本的無干擾理論模型，給出無干擾模型的3個性質(zhì)，即單步一致性、結(jié)果一致性和局部一致性。借鑒以上思想方法本文以無干擾和可信傳遞的為理論指導(dǎo)對豬肉食品信息安全系統(tǒng)進行了需求分析并分成養(yǎng)殖、屠宰、銷售、核銷四個域。這四個域滿足信息流無干擾的原則：任何一個域中的操作不會造成另一個域狀態(tài)的改變（如圖1所示）。

圖1 肉類食品安全追溯系統(tǒng)的信息流劃分

為了更進一步細(xì)化整個肉類食品信息系統(tǒng)中各個子系統(tǒng)之間的信息流動的本文引入了原子操作的概念。如圖2所示，原子操作｛耳標(biāo)信息采集管理系統(tǒng)→養(yǎng)殖過程管理系統(tǒng)｝表示耳標(biāo)信息采集管理系統(tǒng)通過箭頭指向養(yǎng)殖過程管理系統(tǒng)，表明耳標(biāo)信息采集管理系統(tǒng)會對養(yǎng)殖過程管理系統(tǒng)中的數(shù)據(jù)進行訪問，在這個訪問過程中訪問者稱為主體，被訪問者稱為客體。借助原子操作的概念得到更為細(xì)化的信息流動圖。

圖2 細(xì)化的肉類食品安全追溯的信息流動圖

2 肉類食品安全追溯系統(tǒng)的可信安全體系結(jié)構(gòu)

在需求分析得到的數(shù)據(jù)流動的基礎(chǔ)上，根據(jù)我們提出了一種全新可信體系結(jié)構(gòu)：以可信安全管理平臺為中心的三層可信體系結(jié)構(gòu)。第一層是現(xiàn)有的各個子系統(tǒng)，第二層是實現(xiàn)各個子系統(tǒng)的與可信管理平臺層的邊界訪問控制和信息流安全交換功能。第三層是整個可信體系結(jié)構(gòu)的核心層。它包括：客體可信狀態(tài)控制、完整性狀態(tài)控制、保密性狀態(tài)控制、風(fēng)險預(yù)警控制等功能模塊。可信安全管理平臺是對整個肉類食品信息系統(tǒng)中信息流動的統(tǒng)一管理和控制（如圖3）。

圖3 肉類食品安全追溯系統(tǒng)的可信安全體系結(jié)構(gòu)圖

一次原子操作管理平臺執(zhí)行過程（如圖4）：

（1）通過客體可信狀態(tài)函數(shù)實現(xiàn)客體可信狀態(tài)控制；

（2）通過Hash函數(shù)、數(shù)字簽名等實現(xiàn)客體完整性狀態(tài)控制；

（3）通過保密性函數(shù)實現(xiàn)保密性狀態(tài)控制；

（4）主體成功訪問客體后將訪問記錄，保存在記錄中；

（5）風(fēng)險預(yù)警指撤銷求并非法入侵。

圖4 原子操作流程圖

3 肉類食品安全信息系統(tǒng)的可信體系結(jié)構(gòu)實現(xiàn)

中間層的邊界訪問控制主要是通過數(shù)字證書向可信安全管理平臺提交數(shù)據(jù)訪問申請，通過可信管理平臺層具體的數(shù)據(jù)訪問操作后，實現(xiàn)信息的安全交互。而底層是現(xiàn)有的信息系統(tǒng)不需要的進行任何修改。以下重點介紹可信安全管理平臺功能的實現(xiàn)。

3.1 客體可信狀態(tài)控制

基于現(xiàn)有的計算平臺可信證明方法，可以保證信息在分布式系統(tǒng)流動中的安全可信。其具有如下優(yōu)點：①可以識別并防止由于遠(yuǎn)程計算平臺用戶的無意識行為導(dǎo)致的安全事件（比如木馬、病毒等惡意代碼或錯誤的安全配置）對其它系統(tǒng)產(chǎn)生影響。②通過分析與平臺狀態(tài)可信直接相關(guān)的系統(tǒng)行為可以更準(zhǔn)確地判斷證明平臺是否可信，避免度量和驗證大量無關(guān)要素所帶來的隱私保護和計算可行性問題（如圖5）。

函數(shù)返回值：0表示符合要求，1表示不符合要求。

圖5 客體可信狀態(tài)控制函數(shù)圖

3.2 完整性狀態(tài)控制

其中Hash（）表示Hash函數(shù)，Sig訪問請求表示訪問者的對請求的數(shù)字簽名，PK表示訪問者的公開密鑰，完整性狀態(tài)控制的流程（如圖6）。

圖6 完整性狀態(tài)控制流程圖

3.3 基于Lampson安全模型的保密性狀態(tài)控制

安全策略是一套用于規(guī)范組織如何管理、保護以及分發(fā)信息的法律、法規(guī)與行為準(zhǔn)則，訪問控制依據(jù)用戶制定的安全策略對系統(tǒng)發(fā)生的訪問事件進行控制，防止未經(jīng)授權(quán)的用戶訪問系統(tǒng)資源。1971年，Lampson首次對信息系統(tǒng)的訪問控制問題進行抽象，建立了訪問矩陣模型，模型中主體（subject）代表發(fā)出訪問請求的主動實體；客體（object）代表受保護的系統(tǒng)資源；訪問矩陣（access matrix）以所有主體為行，所有客體為列，列舉每個主體對每個客體的所有訪問權(quán)限，以表示管理員對訪問控制的具體要求，即安全策略。因此，本文提出的肉類安全追溯系統(tǒng)中的安全策略也采用這種（主體，客體，權(quán)限）三元組的抽象方式，描述系統(tǒng)的訪問。

保密性函數(shù)構(gòu)造=：（原子操作∈or?訪問控制矩陣）

函數(shù)返回值：屬于返回0不屬于返回1。根據(jù)細(xì)化的信息流圖（見圖2），可以得到以下為訪問控制矩陣（如表1）。

表1 Lampson訪問控制矩陣

訪問控制矩陣列元素：訪問客體的主體元素：檢疫臺賬生成系統(tǒng)，耳標(biāo)信息采集管理系統(tǒng)等等。

3.4 審計預(yù)警控制

針對客體可信狀態(tài)控制、完整性狀態(tài)控制、保密性狀態(tài)控制中的出現(xiàn)的非法入侵記錄并通知到相關(guān)的責(zé)任人。

4 結(jié)束語

實現(xiàn)以可信計算和安全體系結(jié)構(gòu)相結(jié)合的技術(shù)方法建立肉類食品安全追溯體系可以有效防止各類假冒偽劣肉類食品流入消費市場，提高肉類食品安全保障程度。包括源頭防護、中間控制、最后可追溯與審計的可兼顧的控制體系。減少在生產(chǎn)、流通、消費各環(huán)節(jié)中存在的諸多安全隱患。建立以政府為主導(dǎo)的公共信息服務(wù)和發(fā)布渠道，公示經(jīng)營者的信用檔案和政府部門監(jiān)察的記錄，提高信息服務(wù)完善群眾監(jiān)督的環(huán)境。有助于推動我國肉類食品安全追溯體系的規(guī)劃和發(fā)展。

[1]Koen Yskout，Bart De Win and Wouter Joosen.transforming security audit reauirements into a software architecture.IBBT-DistriNet.Katholieke Universiteit Leuven.Belgium.The Third International Conference on Availability，Reliability and Security，2008 IEEE DOI 10.1109/ARES.2008.

[2]Pejman Salehi，Pooya Jaferian，Ahmad Abdollahzadeh Barforoush，Modeling Secure Architectural Connector with UML 2.0.IMECS 2007.