基于区块链的食品安全溯源体系设计

李明佳 汪登 曾小珊 白倩兰 孙耀杰

近年来，禽流感、瘦肉精、三聚氰胺、大米镉超标等一系列的质量安全问题引发了消费者的信任危机，也是国家建设发展诚信社会工作所面临的重大挑战。食品溯源系统能够标识食品来源，提供其从生产到餐桌全过程中的详细信息。一旦发生了食品安全意外事件，通过食品溯源系统可以快速准确地定位到发生问题的环节，明确责任主体，及时召回问题食品，遏制问题蔓延势头，这是解决目前食品安全现状的有效方法之一。当前食品安全溯源系统始终依赖于权威政府机构来管理中心数据库，并且食品供应链中各角色间信息传递的可靠性问题尚有待解决。以农产品为例，农产品从“农场到餐桌”的产前、产中、产后过程涉及农资供应商、农户等生产商、加工商、中间商（包括物流服务提供商、批发商、分销商、零售商等）和末端消费者等，具有“点多、线长、面广、错综交叉”的特点，这使食品安全监管和溯源尤为困难。区块链是一种共享账簿技术，具有分布式、全网记录、低成本、高效率、安全可靠等技术特点，能够降低监管成本、交易风险及其复杂度，提高信息记录可信度，增加监管透明度，各环节共同执行可信流程。本文将主要探讨基于区块链的食品安全溯源系统，将区块链底层技术和食品安全行业适当结合，在食品溯源领域中构建一个算法式的信任世界，以提高食品安全系统的可靠性与安全性。

1 食品安全溯源

1.1 食品溯源定义

食品溯源的定义在国际上尚未统一，行业认可度较高的食品溯源定义来自国际食品法典委员会（Codex Alimentarius Commissio，CAC）和国际标准化组织（Inter- national Organization for Standardiza- tion，ISO）。CAC 对食品溯源的定义是在指定的生产、加工、分销环节中，追踪食品运转情况的能力。ISO 对食品溯源的定义是对产品在需考虑范围内的来源、应用及其所在处进行回溯或追踪的能力。

1.2 食品安全溯源体系

在食品供应链中，参与活动的主体主要是：原材料供应商、生产企业、加工制造企业、分销商、消费者。基于食品供应链，按照食品溯源“向前一步，向后一步”的原则，理论上可以实现：在食品的生产、加工、配送、分销各环节中，对用于食品生产的相关食物、饲料以及具可食用性的动物或物质进行追踪或回溯，即赋予了食品可追溯性。

结合国际食品安全质量保障标准，可得出食品溯源体系概念框架。

然而，全面完善的溯源体系在落实过程中会有以下几个问题：（1）以往溯源信息诉求还停留在生产日期、产品质量合格等级、添加物含量等方面的低层次阶段，而真正具有可追溯性的产品还应当记有产地情况、工艺过程涉及的参与者等高层次信息，这对信息自动采集技术、数据存储技术等方面都有挑战；（2）中心化的食品溯源系统若要提高其监管水平，需要各权威组织和政府机构介入并作为第三方信任中介，这不仅影响系统运行效率，同时中心服务器的安全将影响到整个系统的正常运转；（3）企业之间的信息交换依赖于第三方信任中介，而基于当前监管部门社会诚信力下降现况，企业间的信息交换透明度与可信度不尽人意。

2 区块链

2.1 区块链概念

区块链可以狭义地理解为去中心化的、无需信任的新型数据架构（或共享账簿），由区块链网络中的所有节点共同参与及维护。技术特点在于去中心化、去信任、可集体维护、可靠。它由一系列基于密码学方法生成的数据块组成，数据块就是区块链概念中“区块”一词所指。按照区块产生的时间顺序，区块被有序链接而形成链条结构，从而被称为区块链。

2.2 区块链基本架构

区块链涉及到的技术领域包括分布式存储、密码学、经济学、博弈论、网络协议等，区块链系统可分为数据层、网络层、共识层、激励层、合约层和应用层。数据层主要封装了底层数据区块、时间戳和相关的加密数据等内容，是信息记 录安全隐私性的保证；网络层负责分布式组网机制、数据传播机制以及数据验证机制，是去中心化存储方式的结构基础；共识层封装网络节点间的各种共识机制，是分布式网络正常运行的保障；激励层负责经济激励相关的发行机制与分配机制，是区块链应用于虚拟货币场景的必要条件，但在其他应用场景中不是必须的；合约层处理各类系统脚本、算法和智能合约，是区块链可编程性的体现；应用层则封装了区块链的应用场景与案例。

区块链创新性地融合了以上关键技术，因此区块链系统的主要特性包括以下几个方面：（1）分布式容错性：网络抗变换性强，理论上最高容错50%；（2）不可篡改性：通过共识机制的区块加入到区块链中，数据不可被销毁或修改；（3）隐私保护性：密码学技术保证了未经授权者尽管能访问到数据，但无法解析。

利用区块链分布式存储特点、非对称加密等技术共性，采用联盟链类型引入各监管部门与标准组织，合理调整区块链中的去中心化程度与共识机制，从而在不复杂化现有食品安全溯源体系的情况下，针对性解决溯源系统信息采集不标准、数据存储不安全、中心化系统易受攻击以及企业间信息交换过程隐私不能得到保障等问题。

3 基于区块链的食品安全溯源体系设计

3.1 体系层次及其实现

溯源系统的技术架构主要分为物理层、通信层、数据库层和接口层。其中，区块链技术应用于数据库层与通信层。

物理层中主要包含了智能传感器与执行器等，用于数据采集并转发到上层协议，实质上与物联网结构中的物理层相似。设备采用的密码加密技术和访问控制机制使其易受攻击，供应商可从路由器、通信协议等方面对其安全性进行加强。

通信层主要包括网络结构与协议。传统物联网架构的通信层主要采用蓝牙、Zigbee、Wifi、以太网、3G/4G 等通信机制。溯源系统的通信层应用基于区块链技术的以太坊平台、Telehash 信息传递协议，以防止被攻击节点通过网络破坏系统。

数据库层主要指分布式存储数据库。区块链中每条记录都包含时间戳及唯一的加密签名，同时完整的交易记录可供任何合法用户进行验证与审核。公有链中不设访问权限，信息记录对网络中所有节点公开，优点在于账本便于审查且具有高透明度，不足之处是执行共识机制的时间成本与耗能较大。在联盟链和私有链中，可访问到账本的合法用户仅是被授权的指定节点。故为增强系统可扩展性与执行效率，联盟链是更佳选择。

接口层（或应用层）主要嵌入应用程序或协议，提供人机交互入口。

在产品从生产到消费的全过程中，涉及到的参与者角色及其职责如下：注册机构：为其他参与节点提供唯一的身份账号；标准化组织：定义标准条例并有修改权利；原材料供应商、生产企业、加工制造企业、分销商、零售商：向区块链输入指定产品的主要信息；消费者：购买食品产品，有访问产品特定信息的权限。

从参与者角度来看，首先所有参与者在注册时会创建出一个对应的信息档案，档案内应对其企业信息、职能、地址、资格认证等必要信息进行记录。参与者在成功注册后，将会获得一个公钥和私钥，公钥向区块链中全体成员公开，而私钥作为交易过程中验证身份与信息的关键。每个参与者都可以利用已注册ID 登录用户界面，进入指定区块链网络。该软件的开发与维护工作须由可信任的单位来负责，并要有权威的组织机构来承担注册机构的职责。

从信息流来看，所有信息都存储在区块链中并且支持被授权的节点对其进行访问。信息存取的权限又取决于参与者在供应链中的角色与职能。此外，区块链的运行规则由代码定义并存储在区块链中，无法被区块链中的某一参与者所修改，从而保证数据的真实性与有效性。若要改变区块链运行规则，则同数据存储一样，需要向全部节点进行广播并且由重点部门核实确认。

显然，食品溯源链条中会涉及权限角色地位不等的各机关和企业，由此重申选用联盟链的意义。联盟链与公有链的区别不仅在于系统中心化与参与者身份，还有共识机制与激励机制上的差异。选用联盟链意味着：（1）区块链系统中的信任机制不再要求是PoW 或PoS，可以通过降低去中心化程度的方法减少参与共识机制的节点以克服挖矿过程的资源浪费问题；（2）维护食品溯源系统是联盟链中各参与节点的责任，故区块链系统的运行无需激励机制，即选用联盟链，可以不依赖数字货币，简化记录账簿，降低系统运行所需带宽。

3.2 运行机制分析

3.2.1 产品标识 食品溯源系统运行的基础是产品标识与编码，且仅当对产品进行正确标识，才能实现有效的追踪和溯源。

EAN UCC 系统（全球统一标识系统）是当前比较成熟的系统，包含编码体系、数据载体（如条码、射频识别（radio frequency identification，RFID）、数据交换 / 电子数据交换（ electronic data interchange，EDI）和可扩展标记语言（extensible markup language，XML）。选用该系统对产品进行标识，不但提高了产品编码的标准化程度，而且基于区块链的食品安全溯源系统与传统系统之间的兼容性也得到了保障，有利于增强新系统在投入市场应用过程中的适应性。

条码技术与RFID 技术均支持通过扫描器识别出产品的系统ID 并链接到产品的电子信息文档，将数据自动输入系统。

3.2.2 数据录入过程 在设想的溯源系统中，每一样商品都在区块链网络中被数字化，包括其身份标识及参数信息，信息维护者方可全面具体地维护产品信息，避免溯源信息割裂问题。利用产品和参与者的标识，认证授权中心可以通过智能合约的方式自动对产品当前担责节点开放权限，保证数据维护的有序性与可靠性，防止非相关节点违规操作，实现系统有序、严谨、全面地跟踪产品并维护产品信息。

在被授权参与者维护产品信息文档时，要求必须以私钥连接到网络后，在软件应用界面进行数据信息输入。系统要收集一系列信息，包括产品当前状态、产品类型、所依据的行业标准等。一旦参与者发起产品转移，系统通过内嵌的智能合约，对数据格式是否合法及是否符合行业标准等方面进行审核，验证成功后，将该参与者之前提供的信息打包录入。由此可见，数据打包成区块的时间节点是可控的，从而保证内部溯源数据不会与外部溯源数据被封装进同一区块，造成区块信息访问权限发生矛盾（为保护企业隐私，内部溯源信息的访问权限必然高于外部溯源信息）。被授权的节点在与另一节点进行“交易”时，比如当产品从加工厂流动到物流企业时，产品所属关系被转移，两节点之间需要达成统一协议并数字签字。数字签名利用了非对称加密技术，保证了信息不被篡改且两节点的身份信息无需公开。当“交易”在区块链网络中被核心层节点公证并进行全网广播后，包含交易详细信息的区块按照时间戳顺序成为区块链上的最新环节。一旦交接工作完成，智能合约执行协议内容，系统授权对象将自动从加工厂转移到物流企业，物流企业方可继续维护并补充产品信息。在“交易”过程中，双方对交易信息的加密解密过程通过不对称密钥完成，保证了信息无法被恶意篡改，解决了交易过程中的诚信问题。

综上，企业内部信息维护与企业间交易过程都可以通过区块链来记载操作日志，时间戳技术与不对称加密技术保证了基于区块链技术的食品溯源系统的可靠性和防篡改性。

在溯源过程中依赖的产品信息文档中应包含以下几个方面。

产品担责方资料：被授权参与者的资料列表应按照时间顺序记载到当前最新担责方为止。每次产品转移，即被授权参与者发生改变时，系统将会记录关于新的产品担责方的详细信息并添加到产品信息文档中。利用参与者在注册时生成的数字化标签，系统可以便利地进行指定和授权正确的产品担责方。当然，产品担责方信息设有访问限制，避免造成企业隐私泄露问题。

时间戳：当产品信息文档中产生新的输入记录时，系统会自动记录下信息输入的时间点。通过时间戳技术，供应链网络的输入条目满足时间排序，也对防篡改提供了保障。

位置信息：为了解产品的物流路线，当有参与者对产品信息进行录入时，系统会根据参与者的位置信息记录产品相应的地理位置。通常，可以利用唯一的ID 来表示位置信息，有条件的系统也可以通过动态GPS 数据来提供准确的位置信息。

产品指定信息：这部分是食品溯源线索关键所在，同时也是消费者角色最为关注的信息。要求的信息应该能够展示出产品形成过程的投入，甚至为生产、加工、质检部门提供反馈信息。

3.2.3 数据访问过程 在溯源系统中，对任何参与者而言，产品信息的体现方式都是产品信息电子文档。

其中，每条信息输入条目都有时间戳并且由所负责的参与方签名，与产品相关的认证机构信息也包含在内。此外，为了控制用户对信息文档（包括指定的产品信息、参与者的详细信息等）的访问权限，会在产品文档中嵌入一定的规则代码。在参与者访问信息文档时，需要输入其密钥，系统根据其拥有的权限来展示可见内容。

以农产品为例，通过以上食品溯源系统的信息采集，指定蔬菜产品有一个电子信息文档，文档中应当包含了指定信息如产品的收获日期、物流路线与转运的时间节点和其种植地等。购买产品的用户有权利读取以上关键信息，但实际上，信息文档中还包括更加具体的信息，包括产品生产的农场或基地、产品的生长环境如温度湿度等。这些与顾客无直接关系且涉及到企业隐私的信息只能由区块链中被授权的参与者访问，一般会在发生食品安全问题后访问此类信息。

3.2.4 溯源系统应用场景 上文已提出一个基于区块链的食品安全溯源体系，并对其运行机制进行了简要介绍。下文将从实际案例出发，详细描述溯源系统的工作过程。

不妨以火腿肠的食品供应链为例，其中包含供应商、加工企业、分销商等参与者角色。需要声明的是，食品供应链的复杂性决定了其主链上还存在诸多分支，此处仅取主链进行流程分析。

下面将对基于区块链的食品安全溯源系统的应用进行展开介绍。

养殖（生产）环节：主要角色是养殖场，养殖场首先对所有畜禽进行身份标识并输入区块链中，完成各自的产品信息文档创建工作，随后在系统中输入畜禽出生信息、饲料信息、配药信息、疫病信息、出售情况等指定信息。在畜禽被出售并流动到下一环节（屠宰过程）时，当前担责方节点发起一个交易请求并和屠宰场利用私钥签署内嵌在区块链中的智能合约，系统记录下交易操作并在交易完成后自动对接收产品方进行授权，屠宰场便成为新的被授权角色，负责跟进产品并维护产品信息文档。另外，养殖操作需要符合一系列规定标准，故养殖环节中参与角色还应当包含相应的检测监督部门。监督认证部门有权利对以上信息进行访问并审查，并以私钥方式签名以认证养殖环节合规。

加工环节：初加工过程主要是屠宰，主要角色是屠宰场，屠宰场在接收到来自养殖场的畜禽之后，获得访问与维护产品信息文档的权限。屠宰场主要写入来源信息、屠宰信息、检验免疫信息、出售信息等。其中，检验免疫信息应同养殖环节一般，需要有认证机构介入。在本环节中，与动物食物检验免疫相关的部门需要参与审查并通过数字签名对产品安全性进行认证。在深加工过程中，除了经过屠宰过的禽畜外，还将引入其他原材料（例如添加剂类）。本文将这些原材料认作另外的食品供应链的产物，有专属的身份标识和产品信息文档。在加工过程中，新引进的原材料的物理身份标识被取消，但产品信息保留并写入加工主体产品的电子信息文档中。最后一步是产品包装。包装过程中，需要增加产品包装材料、包装时间、体积质量等物理信息。此外，还需要为产品生成物理标签，为消费者提供查询入口。

物流环节：主要角色是物流公司，依赖物流公司成熟的位置跟踪技术，为产品提供精确的地理位置信息。物流公司需要在产品信息文档中补充运输方式、运输环境和接受地等信息。另外，产品通常被批量集装在大型收纳空间如集装箱中，则集装箱的信息文档中应包含指定产品的标识，以满足物流公司在批量管理过程中能面面俱到。

销售环节：主要角色是销售企业。产品可能经过多次分销环节方最后到达零售环节，故销售企业对产品来源必须明确，并写入产品信息文档。同时，销售企业也应补充产品售出时间、价格等情况，保证产品文档的完整性，同时保证区块链系统中信息条目的时间确定性。

追溯环节：主要角色是消费者。当消费者购买产品时，可以通过产品包装上的条形码、二维码或RFID访问到产品信息文档（指定权限），了解到必要信息。

另外，当发生食品安全事故时，主要角色是执法部门。这时，相关部门通过私钥获得更高等级的权限，访问到产品从农场到餐桌整体过程中的细节，从而确定问题本源并进行问责，或是通过详细的物流与分销信息来进行精确的产品召回。

3.3 案例分析

结合3.2 节内容，不妨选取著名的双汇“瘦肉精”案例进行分析，从而验证本溯源系统的有效性。

3.3.1 案例简介 2011年3月15日，央视曝光了河南等地含有“瘦肉精”的生猪流入济源双汇公司，受事件影响，双汇公司当年净利润同比下降51.3%，营业额损失近200亿元，同时也大大打击了消费者对食品安全的信心。

该公司主要以生猪屠宰加工为主，在火腿肠产品的供应链中处于中游环节，主要与上游供应商交接。根据双汇集团董事长万隆所述，瘦肉精事件是上游产业链中养殖环节出现问题，济源双汇的猪源是在流通环节中因把关不严流入企业。社会新闻中则有观点认为养殖环节固然是事件的担责方之一，但双汇企业内部也存在管理力度薄弱甚至违规操作谋取私利的问题。综上，食品安全问题无法溯源并准确定位到担责方，舆论对社会带来的负面影响是不可估量的。由此，笔者试图通过基于区块链的食品安全溯源技术，为上述问题提供解决方案。

3.3.2 改善效果 当养殖场诚实写入饲料信息（包含瘦肉精），系统根据事先嵌入的标准条规对录入信息的合规性进行检查，判别其为无效信息，无法写入系统；当养殖场隐瞒饲料成分含瘦肉精时，即饲料信息中不包含瘦肉精相关时，输入合法，经私钥进行数字签名后成功写入系统。

当添加瘦肉精的产品被检测或监管部门抽检时，将被查出养殖场隐瞒饲料成分问题，从而阻止问题产品流入市场，同时明确养殖场应担负责任；当问题产品未被抽查而顺利出厂时，养殖场与负责屠宰加工环节的企业或部门（此处为双汇公司采购部门）进行交接。此时，养殖企业向双汇公司发送加密协议，同时将问题畜禽交付到双汇公司。

双汇公司在接收产品前应进行检验工作，理论上当且仅当检验合格后方可发送经数字签名的电子协议给养殖企业，系统对协议（交易）过程成功验证并记录后再次通过智能合约技术，自动授权双汇公司对产品信息进行补充维护。若检测结果发现被供应原料与其对应文档记载信息不符，检测部门节点应将结果写入系统，系统自动将问题向监管部门节点反馈，相当于完成举报过程，同时也阻止了问题畜禽在供应链上继续流动。

若检验工作被忽略或存在疏漏，问题产品将流入企业，将在市场范围内的食品抽检中被查出，此时，根据可能情况排除法，双汇公司采购部门的产品验收环节定是主要担责方。其次，根据产品信息文档可追溯到对应的养殖环节供应商，其隐瞒行为也理应受到惩戒，由其提供原料的产品也应全数召回，避免发生更大范围的食品安全事故。

综上所述，本文所设计的食品溯源系统不仅能进行问题产品溯源，亦支持危机预警，从而改善食品安全现状，有助于建设更安全可靠的食品供应链，保障国民饮食健康。

4 结语

本文根据区块链的工作原理及技术特征，设计了基于区块链的食品安全溯源体系设计，并从实际应用场景出发验证设计方案的可行性与有效性。目前基于区块链的食品安全溯源案例鲜少，大多应用于企业内部溯源过程，仅仅发挥了区块链作为分布式存储数据库的特性。本文创新性地提出了基于区块链的食品安全溯源体系方案，从溯源体系顶层架构出发，描述出区块链在溯源体系中的技术落脚点，并在区块链的去中心化程度、共识机制等方面加以改进以克服原始区块链（公有链）的缺点，使区块链系统在食品溯源体系中的应用在发挥优势的同时，不给宿主系统带来负担。

（摘自《食品科学》2019年第3期）