杨博 王瑜 刘琰/文
追溯与识别技术是从20世纪80年代开始发展并逐步走向成熟的一项重要技术,在国内食品安全、医疗卫生领域已经得到了逐步研究和应用,国家层面也非常重视利用追溯与识别技术提升我国食品监管的水平。食品追溯已经被写入到了食品安全法中,成为企业必须履行的一项义务。但企业在建设食品安全追溯系统时,往往存在一些顾虑,中大型企业会把部分追溯数据作为企业的经营隐私,不希望被公众和政府直接看到。尤其是企业的销售商品流向、企业的采购渠道、加工工艺和配方等。而政府出于监管的考虑,要求企业遵守HAC⁃CP关键控制点的要求进行生产,并按追溯系统的要求上报数据,但在海量的追溯数据中公众只关心食品的来源和质量证明等数据,政府只在发生重大食品安全事故的时候,才有进行详细追溯的需求。因此政府、公众和企业关注的数据是非对称的。本文提出一种基于区块链的食品安全追溯系统,可以解决企业的数据隐私保护问题,通过初步实践可以达到多方互信,建立良性食品安全追溯系统生态圈。
本文研究探索一种基于区块链的食品安全追溯系统的架构和实现方案,这种架构的追溯系统与传统的大集中平台的食品安全追溯系统要有本质区别,通过区块链技术需要能解决集中化部署的追溯系统带来的种种问题。本文作者在长期从事食品安全追溯相关工作中,经过总结提炼,认为这种新型的基于区块链的食品安全追溯系统应实现如下设计目标:
基于区块链的电子追溯系统要求能做到去中心化部署。在食品安全法中对企业的追溯责任和义务有明确的规定,因此食品安全电子追溯带有强烈的政府监管色彩,尤其在当前的形势下出于疫情防控的需要,政府主导建设食品安全电子追溯系统、冷链追溯系统、进口食品追溯系统的需求也越来越迫切。原有的中心化电子追溯系统将企业的追溯数据集中存储,实际上大量的企业追溯详细数据汇聚到政府端,这些数据的深层价值并不能有效发挥出来,反而数据安全、数据泄露的风险日益严峻。为了解决这些问题,建议监管端仅采集核心数据,并采用区块链底层平台对监管数据进行去中心化存储,通过区块链的Baas平台为企业提供数据监管服务,实现政府对企业的数据监管,而不是数据采集。但这里需要说明的是,去中心化并不等同于无中心,对于监管端建议采用多中心部署的联盟链进行数据分布式存储,确保数据安全。
实现数据隐私保护,即数据可用不可见。在食品安全追溯的过程中,企业对数据隐私的担忧成为推广食品安全电子追溯系统的难题,由于企业担心真实数据被政府采集以后,会带来不可预料的风险,因此企业不愿意上报真实的追溯数据。而政府端在进行宏观管理的时候,又往往需要企业的数据做支撑,因此数据可用不可见,将是破解企业追溯数据隐私保护难题的关键。
实现信息非对称存储和授权访问。针对监管端、公众端、企业端、上下游对追溯数据的不同诉求,将追溯数据划分为监管数据、公众数据、贸易数据。监管数据、公众数据和贸易数据可能会有部分数据是重叠的,企业的详细数据范围大于监管数据和贸易数据,监管数据大于公众数据,贸易数据一般不对公众开放。在实现监管职能的区块链重节点上,企业的监管数据上链存储,其它非监管数据可存放在企业本地,将非监管数据的哈希运算结果上链存储,实现对企业本地数据的监管即可。企业的非监管数据如果发生了篡改,仅凭哈希运算结果无法逆向将数据恢复,因此企业在本地应建立完善的数据备份系统或在其它商业化运行的区块链上进行数据加密存储,确保数据可恢复。
实现企业的数据增值运营。企业即使对数据隐私和信息非对称的诉求得到了满足,企业追溯的原生动力仍然不足以支撑追溯系统的长期运行,只有让追溯链变成价值链,企业才能长期不断地完善追溯系统建设。因此,建议在监管链下层构筑企业的商业链,使得上下游企业可以真正通过商业链进行自由交易,公众对企业的追溯请求可以透过监管链,深入到商业链,企业的商业活动也可以受到政府的有效监管,这将有助于破解追溯系统的建设容易,运营困难的难题。
上述设计目标可将区块链追溯系统的主要优势发挥出来,这将改变传统的追溯系统的建设方式,为追溯系统的长期发展源源不断注入活力。
本文所研究的基于区块链的食品安全追溯系统准确来说不是一个系统,而是一个生态圈,如图1所示(见下页)。在这个生态圈中共分为三层:Ecode地址解析层、监管业务层和企业商业层。其中Ecode地址解析层为下层节点提供地址解析服务,实现从物品编码到具体服务节点之间的地址映射。监管业务层主要实现政府的监管业务,在该层部署的节点要求有很强的硬件性能和处理能力,属于重量级节点;监管业务层为企业提供上链存证、公众查询、追踪溯源、产品召回等服务;企业可以单独的节点直接与监管链进行互通,也可以多家上下游企业之间通过行业协会或贸易组织自发组建商业链,由商业链和监管链进行跨链数据传输。
图1 基于区块链的食品安全追溯生态圈架构
监管链重量级节点和商业链的轻量级节点的架构,如图2所示(见下页)。首先监管链的重量级节点由上层业务应用和底层区块链Baas平台组成。底层区块链Baas平台分为区块链硬件设施层、区块链可信网络层、区块链能力服务层和区块链业务服务层。区块链硬件设施层尽可能复用现有的服务器设备,通过外置USB接口连接外部的硬件加密狗,实现软件直接调用硬件的加密算法和伪随机数发生器;硬件框架也有利用FPGA并行计算实现区块链加速器的服务器架构;在追溯系统建设初期业务负荷不重的情况下,建议使用通用服务器,在业务量上升到不足以支撑系统服务能力的情况下再考虑插卡式的区块链算法加速器。区块链可信网络层则是基于Fabric技术的基础,借用钱包管理技术,引入对追溯企业的身份管理,实现对企业的分布式账本记账、身份管理、共识算法管理、应用并行管理和资源配额管理以及API开发等功能。区块链能力服务层主要实现了对区块链节点集群的节点管理、存储空间配额管理、数据通道管理和用户管理等功能。区块链服务层对外提供应用接入管理、智能合约管理、业务逻辑配置与管理和数据隐私管理等功能。区块链Baas平台为上层应用提供分布式数据存证等原子服务,但上层应用要想直接使用这些服务,需要再插入一个中间数据服务层,实现类似于传统数据库的管理功能,这些数据可能来自外部存证,也可能来自于第三方平台或现有的监管数据库,典型的数据包括经营主体数据、隐私密钥数据、电子证照数据,检验报告数据和用户身份管理等数据。承担政府监管职能的区块链追溯平台需要对外提供公众查询服务、质量追溯服务、监督稽查、产品召回等功能,也方便监管部门开展统计分析。
图2 基于区块链的监管链重量级节点系统架构
基于商业链的轻量级节点的架构与监管链的重量级节点的架构区别在于轻量级节点的承载业务更面向商业活动,轻量级节点需要向公众开展防伪查询、积分促销等商业活动或开展上下游供应链之间的合作;企业可通过该区块链系统收集用户对该产品的质量评价等信息,帮助企业改善产品。轻量级节点需要实现数据隐私保护的功能,在监管链和商业链之间存在隐私数据访问的授权接口,当监管用户出于召回或重大质量安全事故分析必要的情况下,监管端可向企业提出数据授权的请求,企业在授权请求以后,对监管用户实现数据可见。
该区块链追溯系统主要采用了区块链、非对称加密、数字签名、隐私计算等技术构建可信食品安全追溯平台,尽管这一系列技术都或多或少在其它领域出现过,但将这些技术组合应用到追溯系统建设领域是本文的一大创新。这些技术具体包括以下典型关键技术:
多层次、多样化、高性价比的标识与识别技术考虑到尽量节省追溯成本,建议采用基于GS1的物品编码体系,采用EAN-13条码、128码、二维码、EPC编码等多层次、多样化的企业溯源解决方案,兼容多种形式和颗粒度的溯源模式,基于该模式,既有利于在企业内部实现溯源,又方便完成与上下游经销商完成数据连通,从而实现全链条溯源。
区块链技术利用区块链技术,把产品的原材料、生产、运输、销售等环节的信息记入数据链条上,通过哈希函数、数字签名、非对称加密算法对产品数据加密保护和有效性验证,从而保证整个参与区块链的实体都能透明地看到其中每个环节信息,且产品信息不会被人为的篡改。
溯源数据深层次挖掘与决策支持技术利用深度学习、智能挖掘等大数据分析处理技术,对所采集到食品追溯数据进行进一步分析处理。为相关监管部门提供了合规检查、统计分析、合规预警、企业资质预警、产品检验预警、生产记录预警等功能。利用系统的智能数据分析功能,方便用户基于企业上报数据,对企业是否满足追溯要求进行分析,并随时查验企业的质量安全信息。
共识机制是区块链系统能够稳定、可靠运行的核心关键技术。不同于传统的中心化系统,区块链系统中所有网络节点是自由参与、自主维护的,不存在一个可信的中心节点承担网络维护、数据存储等任务。典型的共识算法例如PBFT、Paxos和Raft等。PBFT共识机制效率高,支持秒级出块,并支持强监管节点参与,具备权限分级能力,在安全性、一致性、可用性方面有较强优势。然而,在PBFT系统,一旦有1/3或以上记账人停止工作,系统将无法提供服务,当有1/3或以上记账人联合作恶,且其他所有的记账人被恰好分割为两个网络孤岛时,恶意记账人可以使系统出现分叉。
智能合约是基于密码学技术的数字化合同,是一种计算机程序。是以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易。这些交易可追踪且不可逆转。在追溯系统中可用智能合约实现出口数据记录、检测数据记录与验证、追溯查询跟踪。
跨链通信技术通过公证人技术实现跨链通信。公证人技术是指利用可信的公证人保证交易执行的原子性,从而完成跨链交易的技术。这种技术是利用多跳连接者连接跨链交易的发送者和接收者,通过发送者、多跳连接者与接收者之间的一组交易达到目的交易需要实现的效果,同时通过公证人保证这一组交易执行的原子性。在追溯系统中用来实现监管链和商业链之间的互通。
针对企业的非对称数据访问与隐私保护的需求,提出了一种既满足政府监管需要,又满足企业隐私保护需求的区块链食品安全追溯的体系结构;在该体系中分为承担政府监管角色的重量级节点和企业部署的轻量级节点,通过将系统分为两个层,实现政府和企业的非对称数据访问。
实现数据的非对称访问控制,控制主体在企业,在企业端的轻量级节点的架构,如图3所示(见下页):
图3 基于区块链的企业端轻量级节点系统架构
首先企业端的原始数据也承载在区块链Baas底层平台上,这些数据在企业端的区块链节点之间形成互相备份和容灾的关系,基于密码学算法和技术,企业对数据存储的安全性不需要有任何担心。这些数据对于其它同样部署区块链节点的企业来说是不可用也是不可见的。对于数据的拥有方企业,持有数据的私钥,才能确认拥有数据的所有权。企业在原始数据集的基础上,通过配置不同的数据漏斗,实现对不同用户的非对称访问控制,确保数据的所有权掌握在企业手里。详细数据对监管用户只在企业收到明确的监管需求或函件的时候,企业可开放到监管用户的核查接口,平时企业可关闭该数据接口。公众用户通过监管平台访问企业的数据库,利用公众查询通道开展防伪认证、积分促销、消费者意愿调查等商业活动,政府监管平台只提供通道,不关心其内部数据。上下游企业可通过该系统查询与该客户相关的商品物流信息、贸易数据、生产信息和原料信息,进而做到差异化数据保护和控制,保护企业的数据安全。
在日常的监管工作中,一般只关注企业的宏观数据,忽略企业的微观数据。大量的监管数据存在较大的数据隐私泄露的风险,为了杜绝此类问题,需要采用隐私计算技术,实现监管用户对数据的可用不可见。
隐私计算是指在保证数据提供方不泄露敏感数据的前提下,对数据进行分析计算并能验证计算结果的信息技术。在食品安全电子追溯的监管平台上,适合采用隐私计算技术既能对企业的数据进行合规检查,又不侵犯企业的数据隐私。隐私保护技术涵盖数据的产生、存储、计算、应用、销毁等信息流程全过程,想要达成的效果是使数据在各个环节中“可用不可见”。在保证数据安全的前提下,让数据可以更加安全地自由流通或共享,从而可以释放数据更大的价值,推进产业创新。
基于密码学的多方安全计算(MPC)技术通过秘密分享、遗忘传输、混淆电路或同态加密等特殊的加密算法和协议,从而支持在加密数据上直接进行计算。理论上,在不考虑代价的“理想”情况下,多方安全计算技术能实现任意的计算“功能”,并且达到比较高的安全性。但是由于数据通信量骤增,计算效率损失大和需要极高的算力要求等因素,MPC的技术产品化还有一定的限制。这种技术在构建政府、企业和公众之间的信任关系,起到重要的作用。
基于可信硬件的安全沙箱计算(TEE)技术其核心思想是构建一个硬件安全区域,数据仅在该安全区域内进行计算,利用可信任执行环境TEE防止操作系统恶意地查看应用执行环境的内容;利用安全沙箱防止恶意应用通过特殊调用控制操作系统。
基于人工智能的联邦学习技术在横向维度,每个参与者在本地训练计算自己的样本,只分享模型训练的梯度;纵向维度,各参与者训练各自的向量映射,共同训练上层模型。两个维度的融合,从而让多个相互不信任的数据拥有方不必共享数据的基础上联合进行模型训练。
除了上述技术以外,还有差分隐私技术(Differ⁃ential Privacy),保护的是数据源中一点微小的改动导致的隐私泄露问题。要实现真正的数据可用不可见,在实现监管职能的区块链重量级节点上还有大量的技术研究工作要做。
基于区块链的非对称隐私保护食品安全追溯系统明确将数据的非对称访问和数据的隐私保护列为食品安全电子追溯系统的发展核心问题。在数字经济时代,数据资产作为企业的核心资产之一,其发挥的价值将越来越大。在原有的集中式追溯系统建设过程中,政府和公众尚未认识到这一点,而导致追溯系统实际运行一段时间以后,企业容易陷入缺乏足够的动力去上报数据,甚至只上报一些正常数据,应付监管部门的要求。采用本文所提出的区块链电子追溯系统以后,可以较好地解决企业的顾虑和担忧,保护企业隐私,有效促进行业的健康良性发展。笔者认为,下一步为食品安全追溯系统建立完整的数字证书体系,做好监管链和商业链双链同步的系统建设,进一步规范好监管上链数据接口、企业上下游数据接口和公众查询的数据接口,进一步构建区块链食品安全追溯的标准体系,任重道远。