O2O模式下的生鮮農產品溯源方案

（宿州學院商學院，安徽 宿州234000）

近年來，食品安全問題頻發[1]，如農藥殘留、濫用有毒添加劑、摻假摻雜及假冒名優特產品等。隨著我國人民生活水平的提高，越來越多的人開始關注飲食健康。這些食品安全事故的發生，引起了廣大消費者的焦慮，如何保障食品安全已經成為政府和人民共同關注的熱點問題。生鮮農產品作為老百姓的剛性需求，其質量安全更是食品安全中的重中之重。當前，產品溯源是解決食品安全問題的一個切實有效的措施。本文基于相關領域現有的研究及應用，提出了一種新的生鮮農產品防偽與溯源方案。該方案利用圖案防偽、數字簽名、二維碼技術，有效解決了生鮮農產品的線上信息認證和線下產品來源認證的難題。

一、國內外研究現狀

1997年，歐盟就建立了農產品溯源系統。在2006年《歐盟食品及飼料安全管理法規》中，要求食品從農場到餐桌要能夠被追溯。同時，歐盟使用統一標識系統對所有食品供應鏈信息進行標識實現溯源，所有的生產商都必須遵循其標準統一標識，方便食品管理。美國于2004年發布了《食品安全跟蹤條例》，要求食品供應鏈要建立溯源體系，其特點是以企業為主導，政府起輔助作用[2]。日本不但制定了相應食品溯源法規，還要求零售超市安裝產品溯源終端[3]。澳大利亞于2001年開始實施國家牲畜標識計劃（NLIS），它是一個永久性的家畜身份追溯系統，能夠追蹤家畜從出生到屠宰的全過程[4]。

我國食品質量安全體系建設起步較晚，關于食品溯源體系的研究開始于2002年，大多以特定企業或產品為試點進行溯源系統的研究與開發，并逐步制定了一些標準，但國家層面的溯源機制尚未形成。在溯源系統采用的追蹤技術上，國內文獻研究主要集中在條形碼、二維碼、RFID、IC卡、分子光譜、區塊鏈等方面，并結合web網絡、移動網絡和數據庫來實現產品溯源，目前已取得了一定的成果[5-8]。

總的來說，國外溯源體系發展較早，政府層面已經建立了相應的標準。國內正處于發展階段，國家層面的溯源機制尚未形成。在溯源技術上，國內外的研究重點都在信息追蹤上，可以準確地追蹤生產、流通中的每一個細節，但是在產品與產品信息的綁定上，并沒有多少可靠的技術方案，同時在產品溯源信息的安全防護方面也沒有相應的信息安全技術做保障。也就是說，數據庫中的溯源信息有可能被非法篡改，即使溯源信息是對的，產品實物也有可能是假貨。基于以上因素，本文重點研究生鮮農產品的線上信息認證和線下產品來源認證問題。

二、溯源方案相關技術

（一）公鑰加密

公鑰加密也稱非對稱加密，是一種基于數學問題來保證算法安全的信息加密技術，算法密鑰由公鑰和私鑰組成，公鑰公開，私鑰保密。若使用公鑰加密信息，則只有私鑰的擁有者才能正確解密，即實現了信息的加密傳輸。若公鑰為解密密鑰，則只有通過私鑰加密的信息，才可以被該公鑰正確解密，即實現了信息的簽名。

（二）數字證書

數字證書主要是指公鑰數字證書，是由CA（證書認證機構）發行的一種數字信息文件，用來證明某個公鑰屬于某個主體，同時也能標志和證明網絡通信雙方的身份，內容包括：主體身份及公鑰信息、CA及簽名信息、簽名算法等。證書大多采用X.509標準。

（三）數字摘要

數字摘要是由單向Hash函數根據任意長度的信息生成的固定長度字符串，不同信息生成的數字摘要總是不同的，而同樣的信息其數字摘要必定一致。數字摘要技術用于信息的完整性校驗，主要算法有SHA、MD5等。

（四）數字簽名

數字簽名是附加在信息上的額外數據，這種數據能保證信息傳輸的完整性、發送者的身份認證、防止交易中的抵賴發生。數字簽名借助公鑰加密算法和數字摘要算法實現，常用的數字簽名算法有RSA、ElGamal、橢圓曲線數字簽名算法等。

三、溯源方案設計

（一）溯源方案架構與流程

生鮮農產品 （下文的產品如果沒有特別說明，則指生鮮農產品）主要包括水果、蔬菜、花卉、蛋、肉、奶以及水產品等，是老百姓日常必需品。在O2O模式下，產品通常由種植基地直接通過第三方物流配送到消費者手中，或者經過經銷商二次分裝配送，基本不涉及產品的再加工問題，故種植基地的質量安全把控和包裝防偽是產品溯源的重點工作。溯源方案由線上部分和線下部分構成，如下圖1所示。線上部分包括產品溯源系統和數字證書認證機構；線下部分包括防偽牌生產商、生鮮農產品種植基地、終端消費者。

溯源方案運作流程如下：

防偽牌生產商提前到認證機構申請數字證書，然后制造防偽牌并采集防偽牌圖案，對圖案進行數字簽名，將圖案和數字簽名上傳至產品溯源系統。生產商將防偽牌出售給產品種植基地。

產品種植基地需要提前申請數字證書。在產品出售前，種植基地對產品進行包裝，將防偽牌物理綁定到包裝上，確保兩者在不被破壞的情況下無法分開。種植基地掃描防偽牌背面的二維碼，進入產品溯源系統并查詢防偽牌圖案，系統驗證防偽圖案簽名。如果簽名有效，種植基地將產品信息和防偽牌圖案合并，并對合并后的數據進行數字簽名，然后上傳數據到產品溯源系統。

消費者收到產品后，先檢查防偽牌和包裝的綁定情況，如有破損，則產品可能是假冒的。消費者用手機掃描防偽牌上的二維碼進入溯源系統并查詢防偽牌圖案和產品信息，系統驗證圖案簽名和產品信息簽名。如果簽名有效，系統傳送客戶端圖案對比程序和防偽牌的出廠圖案到消費者手機。消費者用手機對準備驗證的防偽牌進行拍照，并利用程序對比兩幅圖案的一致性，從而判別產品真偽和產品溯源。

圖1 溯源方案架構與流程圖

（二）數字證書申請

數字證書的作用是保證產品種植基地和防偽碼生產商的身份真實性和簽名信息的可驗證性。數字證書含有公鑰，需要和私鑰配合使用，私鑰用來簽名，公鑰用來驗證簽名。數字證書的產生途徑很多，可由企業自建CA簽發，也可向比較權威的第三方CA申請。考慮到數字證書的信任范圍是跨企業的，而自建CA簽發的證書只能在企業內部使用，無法滿足產品溯源系統的需求，故需要向第三方權威的CA機構申請創建公私密鑰對和數字證書。國內權威的認證機構較多，服務也各有不同，企業可自行選擇申請，這里不做贅述。

（三）防偽牌圖像采集與簽名

防偽牌的作用是產品防偽，即通過驗證防偽牌的真實性來判定產品的真實性。目前防偽技術很多，如電子防偽碼驗證技術、激光防偽標簽技術等，都可以應用在生鮮農產品的防偽上。從安全性上看，電子防偽碼有被多次使用的問題，激光防偽標簽則存在假冒問題。本文的防偽牌原理是：制作一種含有隨機圖案和唯一序列號的標牌，要求制造簡單但是仿制相同圖案極其困難。將標牌圖案采集存入數據庫，標牌綁定到產品包裝上。驗證時用手機采集防偽牌圖案，使用圖案對比程序驗證和數據庫圖案的一致性，從而判別真偽。為了保證數字圖案的安全，需要對防偽圖案進行數字簽名，記IMG為防偽圖案，Sign()為簽名算法，S_IMG為圖案簽名值，H()為數字摘要算法，H_IMG為圖案數字摘要，CRTp為防偽牌生產商的公鑰證書，公鑰包含在CRTp中，PKpub為公鑰，PKpri為私鑰。簽名過程如下：先計算H_IMG=H(IMG)，然后使用PKpri計算S_IMG=Sign(H(IMG),PKpri)，將 IMG、S_IMG、CRTp存入數據庫，以防偽牌序列號作為記錄的索引關鍵字，用于驗證階段的防偽查詢。

（四）產品信息的采集與簽名

產品信息包括地理信息、產地土壤檢測數據、產地水質監測數據、生產種植過程中的田間管理數據和環境數據等，這些數據能夠準確地反映出產品的質量安全情況。種植基地做好這些數據的采集與整理工作，然后上傳至產品溯源系統。為了保證產品信息的完整性和可認證性，需要對產品信息簽名。同時，為了保證產品信息與產品實物的可靠關聯，需要將防偽圖案附加在產品信息中。記FAPI為產品信息，CRTf為種植基地的公鑰證書，公鑰包含在CRTf中，H_FAPI為產品信息數字摘要，S_FAPI為產品信息簽名值，Verify()為簽名驗證算法，FKpri為私鑰。簽名過程如下：掃描防偽牌進入溯源系統并檢索相應防偽圖案的記錄，系統驗證CRTp有效性，根據IMG計算H_IMG’=H(IMG)，接著計算Verify(S_IMG,H_IMG’，CRTp)的值，如果值為真則S_IMG有效，說明圖案自防偽牌生產商且沒有被篡改。種植基地下載IMG，重新計算H_IMG=H(IMG)和H_FAPI=H (FAPI)，然后使用FKpri計算H_FAPI=Sign(H(FAPI)+H_IMG,FKpri)，將 FAPI、S_FAPI、CRTf存入數據庫。

（五）產品的溯源與防偽驗證

消費者在收到產品后，先檢查防偽牌與產品外包裝的綁定情況。如果包裝和防偽牌的結合處破損或有二次綁定的痕跡，則認為防偽牌和包裝在流通過程中被重新綁定了，即意味著產品被假冒掉包。如果綁定完好，則用手機掃描防偽牌進入溯源系統查詢產品信息和防偽牌圖案。系統先驗證圖案簽名，上文已經敘述。系統接著驗證信息簽名，過程如下：根據數據庫中的FAPI計算H_FAPI’=H(FAPI)，驗證CRTf的有效性，計算Verify(S_FAPI,H_FAPI’,CRTf)的值，如果值為真則S_FAPI有效，說明產品信息來自種植基地且沒有被篡改。系統將 IMG、FAPI傳送到消費者手機，并傳遞一個客戶端圖案對比程序。消費者拍照防偽牌上的圖案，并利用圖案對比程序驗證和IMG的一致性。如果兩幅圖案一致，則認為防偽牌是真實有效的，也意味著產品確實來自防偽牌上標志的種植基地。

（六）溯源系統的構建

溯源系統主要實現了系統設置、管理員管理、系統用戶管理、防偽牌圖案和簽名的上傳、產品信息及簽名的上傳、產品信息和防偽牌圖案的簽名驗證、防偽圖案的下載、產品信息的下載、圖案對比程序的下載等功能。這里的系統用戶是指防偽牌生產商職員和種植基地職員，他們擁有上傳和修改產品溯源信息的權限。消費者僅需要查詢功能，無需注冊登錄。在數據庫設計上，主要創建管理員信息表、系統用戶信息表、產品溯源信息表。產品溯源信息表的字段包括：防偽牌序列號、防偽圖案、圖案簽名、防偽牌生產商數字證書、種植基地數字證書、產品信息、產品信息簽名等，其中防偽序列號要求是主鍵，唯一地對應一個防偽牌。溯源系統一般由防偽牌生產商建設并提供服務，也可以由第三方網絡服務平臺搭建。在系統的實現上，可以選擇Linux+Apache+PHP+MySQL技術環境。使用PHP的好處在于：PHP集成了OpenSSL加密擴展包，后者是一個開源的基于密碼學的安全開發包，封裝了多個用于加密解密、簽名及驗證的函數，極大地方便了對數據的加解密及簽名驗證操作。本文的產品溯源原型系統就是使用了PHP技術開發，其中用到的密碼函數包括：數字摘要生成函數openssl_digest、簽名函數openssl_sign、簽名驗證函數openssl_verify等。溯源系統正常運行后，防偽牌生產商就可以將溯源系統網址及查詢參數添加進防偽牌的二維碼里。

四、溯源方案安全性分析

（一）產品信息安全性分析

產品信息的安全包括信息來源的真實性、信息的完整性和來源的不可否認性，下面分別從這三個方面進行分析。

真實性是指產品信息來源的身份是可以確認的、真實的。產品信息的數字摘要使用了種植基地的私鑰進行數字簽名后，必須使用與之對應的公鑰才能驗證解密。公鑰存在于數字證書中，數字證書是權威的第三方認證機構經過審核并簽發的，所以通過數字證書可以確定公鑰的所屬主體就是種植基地。如果該公鑰可以解密驗證某個產品信息的數字摘要簽名，則該產品信息一定是由種植基地的私鑰簽的名，由于私鑰只有種植基地才有，從而確定了信息的來源是種植基地。

完整性指的是信息在存儲和傳輸過程中沒有被非法篡改或者破壞。首先，產品信息和數字摘要是一一對應的，即同一個產品信息對應同一個數字摘要，產品信息不同則數字摘要不同。如果產品信息的數字摘要簽名能夠被種植基地的公鑰驗證解密，說明簽名有效。由于產品信息和其數字摘要是一一對應的，此時只要重新計算當前產品信息的數字摘要，并和剛才解密出來的數字摘要做對比，若兩者一致，就可以確定產品信息沒有被篡改，是完整的。如果有人想篡改產品信息，就必須使用種植基地的私鑰重新簽名信息摘要，而私鑰是不可能得到的，故除了種植基地，沒有人可以篡改產品信息。

不可否認性指的是信息來源不能否認自己曾經發送過的信息。當種植基地對某條產品信息進行否認時，消費者可以使用種植基地的公鑰進行驗證解密，如果一個產品信息的數字摘要簽名能夠被種植基地的公鑰驗證解密，則說明該簽名是由種植基地的私鑰簽署的。由于私鑰是秘密的、私有的，不能為他人所共享，所以可以斷言一定是種植基地對信息摘要進行了簽名，種植基地無法否認這一點。當然，種植基地可以聲稱私鑰丟失，但是要承擔相應責任。

（二）產品安全性分析

產品安全包括來源真實性和產品質量安全。來源真實性是指產品的真實來源與產品信息中的聲明來源是一致的，即產品不是假冒的。產品質量安全是指產品的可靠性、使用性和內在價值，既有等級、規格、品質等特性要求，也有對人、環境的危害等級水平的要求，這些要求的實施過程記錄在種植基地的產品溯源信息中。對產品安全性分析如下：

來源真實性通過產品防偽技術實現。產品防偽一直是企業的難題，既要保證消費者容易鑒別產品真偽，又要求防偽成本可控，目前仍沒有完美的解決方案。本文防偽標牌的圖案是由隨機散布的細絲、細小顆粒及防偽序列號組成的，具有唯一性，被壓塑在透明塑料內，標牌背面印有二維碼，制造過程簡單且成本低廉，。防偽牌生產商將防偽標牌圖案采集并簽名存入數據庫，種植基地則將圖案數字摘要附在產品信息摘要尾部并簽名，以便后期消費者驗證。如果有人想要銷售假冒的產品，一種手段是得到相同圖案紋路的防偽牌，假冒者要么獲取真正的防偽牌，要么造假防偽牌。獲取真實產品上綁定的防偽牌會導致其破損，無法二次使用。單純偽造防偽牌在加工技術上沒有難度，但是偽造一個圖案紋路完全一致的防偽牌是極其困難的，對于消費者而言，利用圖案對比程序可以很輕松地察覺圖案的細微變化，故無法有效批量偽造產品。另一種造假手段就是篡改數據庫中的防偽圖案，將圖案換成造假者自己的防偽牌圖案。先不說攻陷溯源系統數據庫的技術難度，即使造假者擁有上傳修改圖案的權限，但由于沒有種植基地的私鑰，無法偽造種植基地的簽名，而沒有簽名的信息是無效的。造假者可以使用自己的私鑰簽名數據，但消費者使用種植基地的數字證書是不能驗證成功的。所以，該溯源技術能夠保證產品來源真實性。

產品質量通過產品溯源信息反映出來，正常情況下，產品信息能如實地反映出產品生產過程。當然，也不排除種植基地通過修改產品信息來“提升”產品質量，但是，由于產品的實際質量沒有提升，種植基地的這種行為很容易被發現，會造成種植基地的信用受損，對企業長遠發展是不利的。種植基地也不能聲稱產品信息被他人篡改，因為有自己的數字簽名，別人無法篡改。所以，溯源機制也會對種植基地起到監督促進作用，從而有效保證了產品的質量安全。

五、結束語

綜上所述，本文利用數字簽名、圖案防偽、二維碼等技術構建了一個O2O模式下的生鮮農產品溯源系統，有效解決了生鮮農產品的線上信息認證和線下產品來源認證的難題。下一步的工作將根據該溯源方案，進一步優化各個設計細節，尤其是防偽牌的量產細節，以期將該體系真正運用到生鮮電商的生產實踐中去。