張振宇, 滕明英, 廖浩偉, 杜明哲, 段桂華

(中南大學 信息科學與工程學院, 湖南 長沙, 410083)

面向物流行業(yè)的用戶隱私信息保護方法

張振宇, 滕明英, 廖浩偉, 杜明哲, 段桂華

(中南大學 信息科學與工程學院, 湖南 長沙, 410083)

針對當前物流行業(yè)中存在的信息泄露問題, 提出了一種面向物流行業(yè)的用戶隱私信息保護方法。該方法基于匿名通信的思想, 對現(xiàn)有的物流條碼技術(shù)加以改進, 使得物流過程中的每個站點只能獲取到部分用戶信息, 從而有效地避免了用戶隱私信息的泄露。本方法采用 6位驗證碼作為取貨碼來驗證取件人身份, 并且該取貨碼在簽收完成之前只有收件人知道, 從而有效地防止了快遞冒領(lǐng)等問題的出現(xiàn)。理論分析和模擬測試結(jié)果表明, 該方法在保證物流轉(zhuǎn)運效率的同時, 降低了用戶信息泄露的概率, 有效地保護了用戶的個人隱私。

隱私泄露; 匿名通信; 二維碼; 移動互聯(lián)網(wǎng)

近年來, 隨著市場經(jīng)濟體制、電子商務和全球經(jīng)濟一體化的快速發(fā)展, 我國的物流企業(yè)開始逐漸增加。物流行業(yè)發(fā)展的同時, 其安全問題也日益突出。人們觸之可及的物流信息泄露事件層出不窮。早在2012年, 新華網(wǎng)報道的《快遞單變身泄密條 明碼標價銷售引發(fā)惡性案件》文章備受關(guān)注[1]?？爝f單被明碼售賣, 從而引發(fā)的眾多刑事案件更是讓人膽戰(zhàn)心驚[2]。近年來層出不窮的信息泄露事件[3]使得人們極有可能面臨垃圾詐騙信息及電話的騷擾。不僅如此, 信息泄露事件帶來的還有許多雖然隱形但卻非常致命的問題。例如密碼破譯, 針對用戶信息采取的字典式攻擊成功率高達50%, 特別是年紀偏大的人所設定的密碼被破譯的成功率更是高達 70%～80%。銀行卡密碼被破譯所帶來的直接財產(chǎn)損失對大多數(shù)人和家庭可能造成毀滅性的影響。此外, 由于政策原因, 即在快遞實名制的壓力下, 消費者在防范信息泄露上很是被動。然而在當今的市場體制下, 用戶信息已經(jīng)成為一種極其重要的商業(yè)信息, 有著不容小覷的經(jīng)濟價值。于是在利益誘導下, 大量消費者信息被泄露和不當利用。

針對物流行業(yè)中存在的信息泄露問題, 現(xiàn)階段國內(nèi)大部分對策還是從法規(guī)、制度和管理層面上著手的[4], 文獻[5]從信息管理的角度探討了供應鏈中供應商主導的信息泄露問題。文獻[6]提出了基于二維碼技術(shù)的安全包裹投遞系統(tǒng)以解決傳統(tǒng)快遞業(yè)務中存在的安全問題。在創(chuàng)新快遞業(yè)務運營模式上, 目前部分物流公司也開始進行了一些創(chuàng)新和改變, 例如收件時已經(jīng)不需要快遞員與消費者直接接觸, 通過一個快遞箱, 并附上加密設施, 在消費者發(fā)短信通知時通知地點和密鑰即可, 方便快遞員的工作, 有效地防止了冒領(lǐng)現(xiàn)象[7]。

然而這都不能從根本上解決用戶信息的泄露問題, 其根本原因是明文用戶信息對所有人可見: 完整的用戶信息以明文的形式存在于快遞單之上, 為不法分子提供了可乘之機; 即使使用二維碼或條碼代替明文信息, 但是用戶信息對所有快遞員工均是可見的, 工作人員將有可能通過泄露這些信息來牟取利益。針對這個問題, 本文提出了一種面向物流行業(yè)的用戶隱私信息保護方法。該方法基于現(xiàn)有的物流條碼技術(shù), 引入匿名通信的思想, 使得物流過程中的每個站點只能獲取到部分用戶信息, 從而有效避免了用戶隱私信息的泄露。

1　UPIPM系統(tǒng)

為了解決傳統(tǒng)快遞派送方法存在的用戶信息泄露問題, 本文提出了一種面向物流行業(yè)的用戶隱私信息保護方法UPIPM (User Privacy Information Protection Method)。該方法采用4種策略保護用戶的隱私信息: (1) 使用電子快遞單代替?zhèn)鹘y(tǒng)快遞單, 保證用戶信息對快遞員的透明; (2) 采用匿名通信和分級路由的思想, 使每個站點只能獲取到部分的站點信息; (3) 使用服務器代理通知的方法, 使快遞員無需知道收件人聯(lián)系方式就可以完成通知; (4) 使用對稱加密和非對稱加密相結(jié)合的方式對網(wǎng)絡通信中的所有內(nèi)容進行加密。

UPIPM 最大創(chuàng)新之處在于每個站點只能得到部分信息, 而不能得到快遞的整條路線以及寄件人和收件人的個人信息。在此方案中, 快遞單上不存在除快遞單號和二維碼以外的明文信息。眾所周知, 二維碼具有良好的容錯性, 在一定程度破損的情況下依舊可以被正確識別。每個站點在掃描二維碼時只能獲取到該快遞相對此站點的上一站點和下一站點, 通過這樣的設計, 就可以在不影響快遞運送的前提下, 避免了中間快遞人員泄露完整有效的用戶信息。

UPIPM 集掃描、通知、簽收于一體, 可以安裝在普通的智能手機上, 在滿足了快遞員工作需求的同時為快遞員提供方便?！白詈笠还铩蓖且粋€令人困擾的問題, UPIPM采用6位驗證碼作為取貨碼來驗證取件人身份, 并且該取貨碼在簽收完成之前只有收件人知道, 有效地防止了快遞冒領(lǐng)等問題的出現(xiàn)。由于各個站點轉(zhuǎn)運快遞時都只需要掃描一次二維碼, 既方便了快遞員的工作, 也為以后的機械化生產(chǎn)奠定了基礎(chǔ), 二維碼掃描以及掃描后將快遞分類派送至不同的地點, 裝箱完全可以由機器完成, 更加快捷高效地中轉(zhuǎn)流程將可能使此方案成為新的快遞配送標準。

圖1　UPIPM系統(tǒng)架構(gòu)

1.1UPIPM系統(tǒng)框架及工作流程

一般的快遞物流過程包括快遞寄出、快遞中轉(zhuǎn)和快遞簽收3個階段, 涉及的參與者有用戶(寄件人或收件人)、客戶端、服務器、快遞員, UPIPM的系統(tǒng)架構(gòu)如圖1所示。

UPIPM方法的工作流程包括3個階段。

(1) 快遞寄出階段。寄件人通過客戶端軟件填寫電子表單, 隨后客戶端將數(shù)據(jù)同步到云端服務器, 利用明文的快遞單號生成相對應的二維碼, 隨后打印出二維碼, 貼于快遞之上。

(2) 快遞中轉(zhuǎn)階段?？爝f每到達一個站點的時候, 快遞員使用客戶端軟件掃描快遞單上的二維碼獲取到該快遞上一站點和下一站點的信息。

(3) 快遞簽收階段。當快遞到達最后一個站點時, 快遞員在掃描二維碼后, 向服務器發(fā)送一條通知收件人收件的消息, 服務器收到此請求之后, 在消息后面追加一個6位驗證碼和快遞單號后通過短信的形式轉(zhuǎn)發(fā)給收件人。收件人通過快遞單號找到屬于自己的快遞, 并向快遞員提供6位驗證碼, 快遞員通過客戶端軟件發(fā)送驗證碼到服務器, 如果身份驗證成功, 則完成取貨。

1.2基于匿名通信思想的站點標識符設計

為了避免快遞中轉(zhuǎn)過程中快遞員得到快件的整條路線以及寄件人和收件人的個人信息, UPIPM 借助于匿名通信過程中發(fā)送者匿名和接收者匿名的思想[8-9], 由服務器根據(jù)快遞起始地點和目的地點選擇一條快件中轉(zhuǎn)路徑, 給路徑上的每個中轉(zhuǎn)站點分配相應的標識符。通過使用該標識符, 使得每個站點都不能獲取到完整的快件信息, 只能獲取其上一站和下一站的地址信息。

為了保證實現(xiàn)快遞在派送過程中不同站點掃描二維碼后得到不同的站點信息, 需要給每一個站點分配一個固定的標識作為用戶名UserName, 同時為了保證標識信息不被泄露, 輔助以密碼UserPass作為驗證, 該密碼由用戶自己設定。掃描二維碼的時候同時向服務器提供UserName和UserPass, 完成驗證后才能進行站點識別。

標識符的格式如圖2所示。其中, 站點類型分為省級站點、市級站點和區(qū)級站點等等。例如湖南省長沙市岳麓區(qū)大學城站點的用戶名可以表示為3hn010200aXeJ, 其中3表示該站點為區(qū)級站點, hn表示湖南, 01表示長沙市, 02表示岳麓區(qū), 00表示上一級別為中止站點, aXeJ為隨機序列。通過對用戶名的解析,可以獲得該站點所在的地區(qū)和等級, 從而從數(shù)據(jù)庫讀出并返回上一站和下一站的地址信息。等級編號與等級的具體對照如表1所示。

用戶名作為站點的唯一標識, 只能由系統(tǒng)即公司總部分配而不支持個人注冊, 密碼可以由用戶自由更改。在有效地完善快遞責任制度的同時保證了系統(tǒng)的安全性, 降低用戶信息泄露概率。

圖2　站點標識符格式

表1　地區(qū)等級編號對照表

1.3UPIPM的實現(xiàn)

1.3.1快遞寄出階段

快遞寄出階段主要完成信息存儲、二維碼生成和快遞路線的規(guī)劃等工作。

(1) 用戶信息錄入和二維碼生成。寄件人通過使用客戶端Client軟件填寫電子快遞單, 向服務器Sever寫入本次快遞的相關(guān)信息Information, 服務器在生成快遞路線之后, 產(chǎn)生快遞單號LogisticsNumber并返回給客戶端, 隨后客戶端生成對應的二維碼QRCode, 工作人員打印出該二維碼, 貼于快遞之上。

(2) 快遞路線規(guī)劃和消息通知。根據(jù)快遞起始地點和目的地點, 結(jié)合運輸中實際情況和快遞公司自身的設定, 通過 A*[10]、神經(jīng)網(wǎng)絡[11]等算法規(guī)劃出最優(yōu)路線 Road, 并且把該路線存入服務器的數(shù)據(jù)庫DataBase中。隨后服務器隨機生成一個6位的序列號, 并通過短信發(fā)送給寄件人和收件人, 這個序列號為查詢碼QueryCode, 寄件人和收件人可以通過查詢碼跟蹤查詢快遞的實時狀態(tài)。

1.3.2快遞中轉(zhuǎn)階段

快遞每到達一個站點 Site, 工作人員 Worker通過使用移動設備掃描二維碼, 向服務器發(fā)送該站點的用戶名UserName和密碼UserPass, 服務器在接收到這2個消息之后, 首先驗證用戶名和密碼是否匹配, 隨后根據(jù)UserName得到當前站點信息, 按照事先規(guī)劃好的快遞線路返回上一站點LastSite和下一站點NextSite的有關(guān)信息。隨后層層送達, 直到最后一個站點。

下面以用戶名3hn010200aXeJ為例說明分級信息的獲取。工作人員在使用軟件之前會被要求使用自己的用戶名 UserName和密碼 UserPass登錄。掃描二維碼時, 軟件自動向服務器發(fā)送當前用戶的UserName和UserPass, 服務器先驗證收到的UserName和UserPass是否匹配, 匹配失敗則操作結(jié)束, 返回ERROR。匹配成功后需要從路線表Roadinfo中得到當前站點在快遞路線中的位置, 根據(jù)用戶名第1位為3, 得到當前站點為區(qū)級站點, 匹配出本次路線經(jīng)過的所有區(qū)級站點的信息。隨后由用戶名可以得到該用戶屬于湖南省長沙市岳麓區(qū)站點, 根據(jù)此信息可以得到當前站點、上一站點和下一站點的信息。

由于快遞在整個傳輸過程中只有收件人和寄件人知道完整的快遞信息, 每個站點只能知道快遞相對本站點的上一站點和下一站點的信息, 有效地保證了個人隱私不被泄露。

1.3.3快遞簽收階段

為了保證在快遞員不知道收件人聯(lián)系方式的前提下能夠準確無誤地將快遞送至收件人手中, 快遞簽收消息由快遞員發(fā)起, 由服務器通知到收件人。

(1) 快遞員發(fā)起簽收通知。最后一個站點掃描后得到收件人所在片區(qū), 該片區(qū)的快遞員Courier使用專用軟件掃描二維碼后, 當前快遞狀態(tài)為未通知WaitNotice?？爝f員選擇需要通知的快遞, 點擊通知按鈕, 編寫相應的信息Message通知收件人領(lǐng)取快遞, 軟件將把Message和快遞單號LogisticsNumber發(fā)送給服務器Sever。

(2) 服務器發(fā)送簽收信息。服務器接收到快遞員發(fā)來的消息后, 生成一個6位的序列號作為驗證碼IdentifyingCode追加在消息后, 并通過短信的形式把消息(Message + LogisticsNumber + IdentifyingCode)發(fā)送給對應快遞的收件人。該驗證碼在快遞簽收階段作為身份驗證的標識。此時, 快遞狀態(tài)變?yōu)橐淹ㄖ狪nformed。

收件人收到快遞簽收消息后, 通過快遞單號找到對應的快遞, 向快遞員 Courier提供短信收到的 6位驗證碼 IdentifyingCode, 快遞員在已通知欄中找到該快遞單號, 點擊該選項卡輸入該驗證碼, 點擊確認后將該驗證碼發(fā)送給服務器Server, 若驗證碼校驗失敗, 服務器返回false。反之, 服務器返回true, 簽收成功, 完成收件人身份驗證, 同時快遞狀態(tài)變?yōu)橐押炇誗igned, 至此整個快遞流程結(jié)束。驗證碼的接收和輸入。

2　性能分析

為了分析本方案在快遞保密中的有效性, 本文將UPIPM與傳統(tǒng)快遞方案進行比較, 從用戶信息保密性和效率2個方面進行了分析。

定義1用戶信息保密性S, 即快件在中轉(zhuǎn)過程中用戶的地址、姓名和電話等信息不被泄密者獲取的概率。

假設快遞在每一個站點泄露信息的概率為p, 快遞中轉(zhuǎn)一共經(jīng)過n個站點。則傳統(tǒng)快遞派送方法在整個傳遞過程中, 由于用戶信息是以明文形式存在的, 所以用戶信息在每個站點不被泄密的概率為1 -p, n個站點后用戶信息仍然不被泄密的概率為(1 - p)n, 因此傳統(tǒng)快遞派送方法的用戶信息保密性ST= (1 - p)n。而UPIPM方法在整個傳遞過程中, 中轉(zhuǎn)快遞員獲取的只是快遞單號和相鄰站點的地址消息,并不能獲取任何與用戶隱私相關(guān)的其他信息, 因此其用戶信息保密性SU= 1。

此外, 傳統(tǒng)方法通過手機號碼等公開信息進行身份驗證, UPIPM 方法的驗證碼在簽收之前只有收件人知道, 所以快遞被冒領(lǐng)概率極低; 傳統(tǒng)方法在分揀過程中依賴于字符識別, 分級保護方法則依賴于二維碼識別, 眾所周知, 二維碼識別的正確率比字符要高出很多; 2種方法都需要和服務器的即時通信, 所以分級保護方法并沒有過多的增加通信負擔。

在通知收件階段, 快遞員在APP上勾選需要發(fā)送的快遞單號, 然后編輯通知內(nèi)容, APP將此消息發(fā)送給服務器, 服務器接收到請求后生成一個6位驗證碼附加在消息之后, 再把整合后的消息通過短信轉(zhuǎn)發(fā)給收件人?？爝f員無需手動輸入收件人聯(lián)系方式, 操作簡單, 同時收件人的個人隱私也得到了保障。

綜上, 有UPIPM與傳統(tǒng)快遞派送方法的性能對比如表2所示。

表2　2種方法的性能對比分析

3　結(jié)論

計算機的出現(xiàn)加速了互聯(lián)網(wǎng)時代的到來, 電子商務在計算機技術(shù)、網(wǎng)絡通信技術(shù)的互動發(fā)展中產(chǎn)生和不斷完善。在電子商務的帶動下, 物流快遞業(yè)進入了前所未有的鼎盛時期。快遞的確給我們的生活帶來了極大的便利, 但其中存在的問題也十分明顯, 信息泄露、快件冒領(lǐng)等現(xiàn)象屢見不鮮。本文在現(xiàn)有的物流二維碼技術(shù)的基礎(chǔ)上加以改進, 借助移動互聯(lián)網(wǎng), 結(jié)合匿名通信的思想使每個快遞站點只能獲取到相對當前站點的上一站點和下一站點的信息, 在不影響正常的工作流程的情況下降低了信息泄露的概率。采用服務器代理發(fā)送短信通知寄件人和收件人, 保證了用戶信息在最后一級不會被泄露。用戶名作為站點的唯一標識, 只能由系統(tǒng)分配而不支持個人注冊, 密碼可以由用戶更改。在完善快遞責任制度的同時保證了系統(tǒng)的安全性。此外, 快遞中轉(zhuǎn)只需要一次掃描, 二維碼的正確識別率相比其他技術(shù)要高出很多, 這也為傳統(tǒng)物流行業(yè)的機械化轉(zhuǎn)型以及自動化中轉(zhuǎn)派送奠定了基礎(chǔ)。

[1] 新華網(wǎng). 快遞單變身泄密條 明碼標價銷售引發(fā)惡性案件[EB/OL]. http://news.xinhuanet.com/politics/2012-11/16/c_ 123960492.htm, 2012–11–16.

[2] 趙宇飛. 快遞單信息買賣形成“灰色產(chǎn)業(yè)鏈”[J]. 法制與經(jīng)濟, 2013(10): 6–7.

[3] 喬欄. 中國企業(yè)信息安全泄漏案例[J]. 法人, 2014(8): 1.

[4] 段沛佑, 曲延旭, 馬曉寧. 我國快遞行業(yè)安全體系建設研究探討[J]. 物流科技, 2012(6): 110–112.

[5] 付恒, 蹇明. 考慮信息泄露的供應鏈信息管理策略[J]. 計算機集成制造系統(tǒng), 2015, 21(8): 2 170–2 178.

[6] 楊增, 任評, 胡飚, 等. 二維碼技術(shù)在快遞安全中的應用研究[J]. 科技創(chuàng)業(yè)家, 2014(8): 73.

[7] 百度百科. 智能快遞投遞箱[EB/OL]. http://baike.baidu.com/view/10858278.htm, 2016–02–20.

[8] Haraty R A, Zantout B. The TOR data communication system [J]. Journal of Communication and Networks, 2014, 16(4): 415–420.

[9] Kotzanikolaou P, Chatzisofroniou G, Burmester M. Broadcast anonymous routing (BAR): scalable real-time anonymous communication [J]. International Journal of Information Security, 2016(1): 1–14.

[10] 錢紅昇, 葛文鋒, 鐘鳴, 等. 基于分層的改進A*算法在路徑規(guī)劃中的應用[J]. 計算機工程與應用, 2014, 50(7): 225–229.

[11] 秦映波. 神經(jīng)網(wǎng)絡算法在物流配送車輛優(yōu)化調(diào)度中應用[J]. 計算機仿真, 2012(1): 301–303, 308.

(責任編校: 劉曉霞)

A new method for protecting user privacy in logistics industry

Zhang Zhenyu, Teng Mingying, Liao Haowei, Du Mingzhe, Duan Guihua
(School of Information Science and Engineering, Central South University, Changsha 410083, China)

Aimed at the information leak problem within the logistics industry, a method of protection for user private information is proposed. Based on the idea of anonymous communication, by improving the existing logistics bar code technology, it is ensured that each site would only acquire segmental user information within logistics activities. This method identifies receivers with six-figure verification code and only the receivers would know the code throughout the express progress, therefore it can effectively avoid goods from false claim. The outcome proves that this method ensures the productivity of logistics service, lower probabilities of user information leaking problems and effectively protect user personal privacy.

privacy leak; anonymous communication; QR code; mobile internet

TP 391

1672–6146(2016)02–0074–05

10.3969/j.issn.1672–6146.2016.02.017

滕明英, 740327140@qq.com。

2016-02-29