梁鵬 王燕興

北京工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 北京 100124

0 引言

肉類食品消費(fèi)安全是關(guān)系國(guó)計(jì)民生、社會(huì)安定的國(guó)家大事，已經(jīng)成為全國(guó)性的問(wèn)題，商務(wù)部已經(jīng)開始部署實(shí)施全國(guó)性肉類食品消費(fèi)安全與追溯體系工作。但是，由于肉類食品追溯體系的建設(shè)是一個(gè)復(fù)雜的工程，“從源頭到餐桌”涉及的環(huán)節(jié)眾多，要實(shí)現(xiàn)肉類食品的質(zhì)量管理控制，必須對(duì)肉類食品供應(yīng)鏈進(jìn)行優(yōu)化重組，對(duì)肉類食品安全管理進(jìn)行有效監(jiān)控，以建立肉類食品供應(yīng)鏈追溯體系。

1 基于可信計(jì)算的信息流劃分

信息流的無(wú)干擾的思想是可信安全體系結(jié)構(gòu)的核心思想，它最早由Goguen等人提出，其思想是：對(duì)于系統(tǒng)中的安全域u和v，如果域u中的操作造成系統(tǒng)狀態(tài)的改變，從域v的角度來(lái)觀察系統(tǒng)，在域u的操作發(fā)生前和發(fā)生后，域v所觀察到的系統(tǒng)狀態(tài)是相同的，那么就認(rèn)為域u對(duì)于域v是無(wú)干擾的。

基于信息流的無(wú)干擾理論模型從動(dòng)作和運(yùn)行結(jié)果的角度建立系統(tǒng)安全可信策略模型，研究了基本的無(wú)干擾理論模型，給出無(wú)干擾模型的3個(gè)性質(zhì)，即單步一致性、結(jié)果一致性和局部一致性。借鑒以上思想方法本文以無(wú)干擾和可信傳遞的為理論指導(dǎo)對(duì)豬肉食品信息安全系統(tǒng)進(jìn)行了需求分析并分成養(yǎng)殖、屠宰、銷售、核銷四個(gè)域。這四個(gè)域滿足信息流無(wú)干擾的原則：任何一個(gè)域中的操作不會(huì)造成另一個(gè)域狀態(tài)的改變（如圖1所示）。

圖1 肉類食品安全追溯系統(tǒng)的信息流劃分

為了更進(jìn)一步細(xì)化整個(gè)肉類食品信息系統(tǒng)中各個(gè)子系統(tǒng)之間的信息流動(dòng)的本文引入了原子操作的概念。如圖2所示，原子操作｛耳標(biāo)信息采集管理系統(tǒng)→養(yǎng)殖過(guò)程管理系統(tǒng)｝表示耳標(biāo)信息采集管理系統(tǒng)通過(guò)箭頭指向養(yǎng)殖過(guò)程管理系統(tǒng)，表明耳標(biāo)信息采集管理系統(tǒng)會(huì)對(duì)養(yǎng)殖過(guò)程管理系統(tǒng)中的數(shù)據(jù)進(jìn)行訪問(wèn)，在這個(gè)訪問(wèn)過(guò)程中訪問(wèn)者稱為主體，被訪問(wèn)者稱為客體。借助原子操作的概念得到更為細(xì)化的信息流動(dòng)圖。

圖2 細(xì)化的肉類食品安全追溯的信息流動(dòng)圖

2 肉類食品安全追溯系統(tǒng)的可信安全體系結(jié)構(gòu)

在需求分析得到的數(shù)據(jù)流動(dòng)的基礎(chǔ)上，根據(jù)我們提出了一種全新可信體系結(jié)構(gòu)：以可信安全管理平臺(tái)為中心的三層可信體系結(jié)構(gòu)。第一層是現(xiàn)有的各個(gè)子系統(tǒng)，第二層是實(shí)現(xiàn)各個(gè)子系統(tǒng)的與可信管理平臺(tái)層的邊界訪問(wèn)控制和信息流安全交換功能。第三層是整個(gè)可信體系結(jié)構(gòu)的核心層。它包括：客體可信狀態(tài)控制、完整性狀態(tài)控制、保密性狀態(tài)控制、風(fēng)險(xiǎn)預(yù)警控制等功能模塊?？尚虐踩芾砥脚_(tái)是對(duì)整個(gè)肉類食品信息系統(tǒng)中信息流動(dòng)的統(tǒng)一管理和控制（如圖3）。

圖3 肉類食品安全追溯系統(tǒng)的可信安全體系結(jié)構(gòu)圖

一次原子操作管理平臺(tái)執(zhí)行過(guò)程（如圖4）：

（1）通過(guò)客體可信狀態(tài)函數(shù)實(shí)現(xiàn)客體可信狀態(tài)控制；

（2）通過(guò)Hash函數(shù)、數(shù)字簽名等實(shí)現(xiàn)客體完整性狀態(tài)控制；

（3）通過(guò)保密性函數(shù)實(shí)現(xiàn)保密性狀態(tài)控制；

（4）主體成功訪問(wèn)客體后將訪問(wèn)記錄，保存在記錄中；

（5）風(fēng)險(xiǎn)預(yù)警指撤銷求并非法入侵。

圖4 原子操作流程圖

3 肉類食品安全信息系統(tǒng)的可信體系結(jié)構(gòu)實(shí)現(xiàn)

中間層的邊界訪問(wèn)控制主要是通過(guò)數(shù)字證書向可信安全管理平臺(tái)提交數(shù)據(jù)訪問(wèn)申請(qǐng)，通過(guò)可信管理平臺(tái)層具體的數(shù)據(jù)訪問(wèn)操作后，實(shí)現(xiàn)信息的安全交互。而底層是現(xiàn)有的信息系統(tǒng)不需要的進(jìn)行任何修改。以下重點(diǎn)介紹可信安全管理平臺(tái)功能的實(shí)現(xiàn)。

3.1 客體可信狀態(tài)控制

基于現(xiàn)有的計(jì)算平臺(tái)可信證明方法，可以保證信息在分布式系統(tǒng)流動(dòng)中的安全可信。其具有如下優(yōu)點(diǎn)：①可以識(shí)別并防止由于遠(yuǎn)程計(jì)算平臺(tái)用戶的無(wú)意識(shí)行為導(dǎo)致的安全事件（比如木馬、病毒等惡意代碼或錯(cuò)誤的安全配置）對(duì)其它系統(tǒng)產(chǎn)生影響。②通過(guò)分析與平臺(tái)狀態(tài)可信直接相關(guān)的系統(tǒng)行為可以更準(zhǔn)確地判斷證明平臺(tái)是否可信，避免度量和驗(yàn)證大量無(wú)關(guān)要素所帶來(lái)的隱私保護(hù)和計(jì)算可行性問(wèn)題（如圖5）。

函數(shù)返回值：0表示符合要求，1表示不符合要求。

圖5 客體可信狀態(tài)控制函數(shù)圖

3.2 完整性狀態(tài)控制

其中Hash（）表示Hash函數(shù)，Sig訪問(wèn)請(qǐng)求表示訪問(wèn)者的對(duì)請(qǐng)求的數(shù)字簽名，PK表示訪問(wèn)者的公開密鑰，完整性狀態(tài)控制的流程（如圖6）。

圖6 完整性狀態(tài)控制流程圖

3.3 基于Lampson安全模型的保密性狀態(tài)控制

安全策略是一套用于規(guī)范組織如何管理、保護(hù)以及分發(fā)信息的法律、法規(guī)與行為準(zhǔn)則，訪問(wèn)控制依據(jù)用戶制定的安全策略對(duì)系統(tǒng)發(fā)生的訪問(wèn)事件進(jìn)行控制，防止未經(jīng)授權(quán)的用戶訪問(wèn)系統(tǒng)資源。1971年，Lampson首次對(duì)信息系統(tǒng)的訪問(wèn)控制問(wèn)題進(jìn)行抽象，建立了訪問(wèn)矩陣模型，模型中主體（subject）代表發(fā)出訪問(wèn)請(qǐng)求的主動(dòng)實(shí)體；客體（object）代表受保護(hù)的系統(tǒng)資源；訪問(wèn)矩陣（access matrix）以所有主體為行，所有客體為列，列舉每個(gè)主體對(duì)每個(gè)客體的所有訪問(wèn)權(quán)限，以表示管理員對(duì)訪問(wèn)控制的具體要求，即安全策略。因此，本文提出的肉類安全追溯系統(tǒng)中的安全策略也采用這種（主體，客體，權(quán)限）三元組的抽象方式，描述系統(tǒng)的訪問(wèn)。

保密性函數(shù)構(gòu)造=：（原子操作∈or?訪問(wèn)控制矩陣）

函數(shù)返回值：屬于返回0不屬于返回1。根據(jù)細(xì)化的信息流圖（見圖2），可以得到以下為訪問(wèn)控制矩陣（如表1）。

表1 Lampson訪問(wèn)控制矩陣

訪問(wèn)控制矩陣列元素：訪問(wèn)客體的主體元素：檢疫臺(tái)賬生成系統(tǒng)，耳標(biāo)信息采集管理系統(tǒng)等等。

3.4 審計(jì)預(yù)警控制

針對(duì)客體可信狀態(tài)控制、完整性狀態(tài)控制、保密性狀態(tài)控制中的出現(xiàn)的非法入侵記錄并通知到相關(guān)的責(zé)任人。

4 結(jié)束語(yǔ)

實(shí)現(xiàn)以可信計(jì)算和安全體系結(jié)構(gòu)相結(jié)合的技術(shù)方法建立肉類食品安全追溯體系可以有效防止各類假冒偽劣肉類食品流入消費(fèi)市場(chǎng)，提高肉類食品安全保障程度。包括源頭防護(hù)、中間控制、最后可追溯與審計(jì)的可兼顧的控制體系。減少在生產(chǎn)、流通、消費(fèi)各環(huán)節(jié)中存在的諸多安全隱患。建立以政府為主導(dǎo)的公共信息服務(wù)和發(fā)布渠道，公示經(jīng)營(yíng)者的信用檔案和政府部門監(jiān)察的記錄，提高信息服務(wù)完善群眾監(jiān)督的環(huán)境。有助于推動(dòng)我國(guó)肉類食品安全追溯體系的規(guī)劃和發(fā)展。

[1]Koen Yskout，Bart De Win and Wouter Joosen.transforming security audit reauirements into a software architecture.IBBT-DistriNet.Katholieke Universiteit Leuven.Belgium.The Third International Conference on Availability，Reliability and Security，2008 IEEE DOI 10.1109/ARES.2008.

[2]Pejman Salehi，Pooya Jaferian，Ahmad Abdollahzadeh Barforoush，Modeling Secure Architectural Connector with UML 2.0.IMECS 2007.