張 豐,施 勇,薛 質(zhì)
(上海交通大學(xué) 電子信息與電氣工程學(xué)院 上海市信息安全綜合管理技術(shù)研究重點(diǎn)實(shí)驗(yàn)室,上海 200240)
二維QR碼在電子商務(wù)中應(yīng)用的安全性研究
張 豐,施 勇,薛 質(zhì)
(上海交通大學(xué) 電子信息與電氣工程學(xué)院 上海市信息安全綜合管理技術(shù)研究重點(diǎn)實(shí)驗(yàn)室,上海 200240)
近年來,二維QR碼在電子商務(wù)中的應(yīng)用越來越廣泛,但是隨之也出現(xiàn)了許多關(guān)于二維碼的安全問題。因此,主要采用文獻(xiàn)調(diào)研以及實(shí)驗(yàn)實(shí)踐的方法,研究了二維QR碼在電子商務(wù)中的應(yīng)用以及安全性問題。對(duì)二維QR碼的構(gòu)成、來源、特點(diǎn)進(jìn)行了概述,對(duì)二維QR碼在當(dāng)今電子商務(wù)中各個(gè)方面的應(yīng)用,如安全登錄、掃描購物、電子憑證、二維碼支付等,進(jìn)行了介紹,并對(duì)二維QR碼在電子商務(wù)應(yīng)用中的安全性問題,如物理攻擊、隱私泄露、掃描攻擊等,進(jìn)行了總結(jié)。從信息安全具體的安全屬性出發(fā),總結(jié)和提出了對(duì)二維碼內(nèi)容進(jìn)行加密、對(duì)發(fā)布者發(fā)布的二維碼提供身份認(rèn)證機(jī)制這兩大改進(jìn)方向。
二維QR碼;電子商務(wù);安全性研究
電子商務(wù)經(jīng)過10多年的發(fā)展,如今已成為人們生活中必不可少的一部分。它創(chuàng)造了大量的就業(yè)崗位,推動(dòng)了經(jīng)濟(jì)發(fā)展,更孕育出了像阿里巴巴、支付寶這樣的互聯(lián)網(wǎng)巨頭。電子商務(wù)在PC互聯(lián)網(wǎng)上已相當(dāng)成熟,各大公司紛紛把新的戰(zhàn)略要點(diǎn)聚集在移動(dòng)互聯(lián)網(wǎng)上。
而近年來,帶攝像頭的觸屏智能手機(jī)的普及,帶動(dòng)了許多新的技術(shù)應(yīng)用,如手機(jī)購物、手機(jī)支付、打車軟件、二維碼支付等等。二維碼得益于智能手機(jī)的發(fā)展,在電子商務(wù)的各領(lǐng)域得到了應(yīng)用,像在日本和韓國,近8成手機(jī)用戶通過手機(jī)“掃描上網(wǎng)”和購買電子票據(jù)。在中國,像二維防偽碼,演唱會(huì)二維電子票,地鐵站通道的二維碼購物墻,手機(jī)支付寶的掃一掃轉(zhuǎn)賬,付款碼,報(bào)紙雜志上的廣告二維碼,等等[1-3],隨處可以找到。在中國廣泛使用的二維碼基本上是日本Denso-Wave公司發(fā)明的QR(Quick Response)碼,正如其名,相比于其他二維碼有快速識(shí)別,360°拍攝讀取無限制,高密度,大容量,抗污損能力強(qiáng)等優(yōu)點(diǎn)。
在二維碼給人們帶來便利、新穎的好處時(shí),許多問題也伴隨而來。如火車票最開始應(yīng)用二維碼時(shí)的泄露信息問題,有報(bào)道的手機(jī)掃一掃二維碼,手機(jī)話費(fèi)被扣光問題,支付寶賬號(hào)被盜問題,等等。由此,研究二維碼的安全性就有了非常重大的意義。
二維碼是按一定規(guī)律在平面上(二維方向)分布黑白像素的特定圖形。相對(duì)于一維條形碼只能在一個(gè)方向分布信息,二維碼具有密度大,能承載大量信息的優(yōu)點(diǎn)。常見的二維碼有行排列式二維碼CODE49、PDF417,矩陣式二維碼Data Matrix、QR Code等。矩陣式二維碼在矩陣元素位置上,出現(xiàn)黑色(也支持其他顏色)方點(diǎn)表示二進(jìn)制“1”,不出現(xiàn)點(diǎn)表示二進(jìn)制“0”,點(diǎn)的排列組合確定了矩陣式二維碼所代表的意義。
QR碼于1994年由日本Denso-Wave公司發(fā)明,QR碼的標(biāo)準(zhǔn)JIS X 0510在1999年發(fā)布,而其對(duì)應(yīng)的國際標(biāo)準(zhǔn)是ISO/IEC18004。QR碼是屬于開放式的標(biāo)準(zhǔn),其規(guī)格公開,而由Denso Wave公司持有的專利權(quán)益,并不會(huì)被執(zhí)行,所以世界各國紛紛采用了QR碼技術(shù)。國內(nèi)在原標(biāo)準(zhǔn)基礎(chǔ)上進(jìn)行適當(dāng)修改,于2000年發(fā)布了相對(duì)應(yīng)的國家標(biāo)準(zhǔn)GB/T18284。
圖1是版本等級(jí)2的QR圖,它是25*25規(guī)格的。QR碼提供了40個(gè)版本,最小的版本是21*21模塊的,最大的版本則是177*177。
圖1 QR碼版本二
圖中的左上角、左下角和右上角的3個(gè)“回”字結(jié)構(gòu)是QR碼的位置探測(cè)圖形,用于快速識(shí)別圖形方向,它可以使拍攝時(shí)不受角度限制;而右下角的1個(gè)“回”字結(jié)構(gòu)是校正圖形,用于確定和校正符號(hào)中模塊的坐標(biāo);另外,QR碼可以根據(jù)實(shí)際需要,靈活選擇糾錯(cuò)等級(jí)。QR碼按糾錯(cuò)等級(jí)分為4等,分別有7%,15%,25%的碼字被糾正。其他更多信息請(qǐng)參見文獻(xiàn)[4],它是國內(nèi)的QR碼標(biāo)準(zhǔn)。
QR碼主要和手機(jī)一起使用,根據(jù)其具體使用方式的差別,將其分為主讀類應(yīng)用和被讀類應(yīng)用。被讀類應(yīng)用主要將手機(jī)作為接收和存儲(chǔ)QR碼的地方,需要由其他設(shè)備來識(shí)別讀取二維碼信息,讀取信息之后的業(yè)務(wù)也不在手機(jī)上執(zhí)行。典型的應(yīng)用如電子優(yōu)惠券、電子會(huì)員卡等。主讀類應(yīng)用是手機(jī)安裝有二維碼識(shí)讀軟件,并用手機(jī)攝像頭識(shí)讀二維碼,在手機(jī)本地解析或者通過網(wǎng)絡(luò)與相應(yīng)系統(tǒng)數(shù)據(jù)庫進(jìn)行交互處理,然后再執(zhí)行具體的業(yè)務(wù)。下面將介紹QR碼在電子商務(wù)中的幾大類典型應(yīng)用。
2.1 安全登錄
長久以來,在登陸網(wǎng)站的方式是登錄名和密碼。但是,當(dāng)想在公共場(chǎng)所(比如網(wǎng)吧)登錄淘寶網(wǎng)時(shí),會(huì)有很多安全險(xiǎn)患。然而現(xiàn)在很多購物網(wǎng)站(像淘寶網(wǎng))提供了QR碼登錄方式,具體流程如圖2所示。
圖2 QR碼安全登錄流程
根據(jù)流程圖可知,在電腦上登錄淘寶網(wǎng)的過程中,并沒有在電腦上輸入任何信息,登錄信息是通過手機(jī)網(wǎng)絡(luò)(不要走Wifi網(wǎng)絡(luò),走3G網(wǎng)絡(luò)更安全)進(jìn)行的,相對(duì)來說比較安全。其具體的實(shí)現(xiàn)原理是,網(wǎng)站上的二維碼內(nèi)容有一個(gè)獨(dú)特的標(biāo)識(shí)序列,用戶用登錄的手機(jī)掃描后,會(huì)將這個(gè)唯一的標(biāo)識(shí)序列發(fā)送到網(wǎng)站的服務(wù)器。服務(wù)器接到消息后,確認(rèn)登錄的手機(jī)客戶端的身份,然后將登錄的網(wǎng)站展現(xiàn)給用戶[5]。
2.2 商品防偽溯源
以往,若要辨別一個(gè)商品的真?zhèn)涡枰浵律唐返姆纻未a,然后到商品對(duì)應(yīng)官網(wǎng)或國家食品(產(chǎn)品)安全追溯平臺(tái)進(jìn)行查詢[6],有時(shí)并不方便?,F(xiàn)在淘寶手機(jī)客戶端已經(jīng)支持“中國藥品電子監(jiān)管碼”的查詢,經(jīng)掃描條碼后,可以查到藥品自被生產(chǎn)出來后的流轉(zhuǎn)信息。手機(jī)軟件應(yīng)用市場(chǎng)的“我查查”軟件也提供類似的防偽溯源功能,此外,它還提供比價(jià)功能,展示該產(chǎn)品在附近商場(chǎng)超市的不同價(jià)格。而類似QR碼能夠承載更多的信息,以后會(huì)支持更多商品的防偽溯源查詢。
2.3 電子憑證
現(xiàn)代生活中,人們離不開各種卡券,然而卡券多了以后,攜帶不便,易于丟失,而且卡券本身也有成本,補(bǔ)辦麻煩。而二維QR碼電子卡券就解決了很多問題,它攜帶方便,幾乎無成本,像綁定支付寶的世紀(jì)聯(lián)華電子卡,銀泰電子卡,即使丟失手機(jī),也不會(huì)丟失卡。這樣的例子有電子會(huì)員卡、電子提貨券、電子優(yōu)惠券、電影票電子券等?,F(xiàn)在支付寶手機(jī)錢包的“服務(wù)號(hào)”欄目就提供了很多實(shí)體商店的公眾號(hào),也綁定了用戶的電子卡券,這將線上營銷和線下使用相結(jié)合,具有很強(qiáng)的發(fā)展趨勢(shì)。
2.4 二維碼“掃描購物”
在各家互聯(lián)網(wǎng)公司爭(zhēng)奪移動(dòng)互聯(lián)網(wǎng)入口的戰(zhàn)爭(zhēng)中,二維碼是極為重要的一個(gè)戰(zhàn)場(chǎng)。淘寶網(wǎng)制訂了“碼上淘”戰(zhàn)略,在其網(wǎng)址www.ma.taobao.com上,淘寶賣家可以根據(jù)需要生成多種QR商品碼、媒體碼、服務(wù)碼、店鋪碼等。騰訊公司的微信也推出了微信二維碼。在很多報(bào)紙雜志,商品包裝上可以看到很多二維碼廣告,還有地鐵通道的二維碼購物墻等等。究其本質(zhì)來說,這些二維碼信息提供的只是一個(gè)網(wǎng)址,但是網(wǎng)址手動(dòng)輸入易輸錯(cuò)并且耗時(shí),而手機(jī)“掃一掃”卻極為方便,這使得掃描購物極為流行。
2.5 二維碼支付
根據(jù)支付寶的解釋,二維碼支付是商家將賬號(hào)商品價(jià)格等一系列信息匯編成一個(gè)二維碼,用戶通過移動(dòng)手機(jī)終端掃拍二維碼便可實(shí)現(xiàn)支付結(jié)算的體系。2014年3月13日,央行下達(dá)《中國人民銀行支付結(jié)算司關(guān)于暫停支付寶公司線下條碼(二維碼)支付等業(yè)務(wù)意見的函》,叫停了二維碼支付業(yè)務(wù)。其中提到,將條碼(二維碼)應(yīng)用于支付領(lǐng)域的有關(guān)技術(shù),其終端的安全標(biāo)準(zhǔn)尚不明確,安全性尚存質(zhì)疑,存在一定的支付風(fēng)險(xiǎn)隱患。這被很多業(yè)內(nèi)人士質(zhì)疑為是由于支付寶侵蝕了銀聯(lián)線下收單市場(chǎng)的利益。
然而,現(xiàn)在根據(jù)行業(yè)內(nèi)“法不禁則行”的定律,各公司在私下里仍在偷偷進(jìn)行二維碼支付業(yè)務(wù)。目前,二維碼支付主要分成4方力量在主導(dǎo)。
首先,是支付寶公司主導(dǎo)的“付款碼”方式,它已經(jīng)在全國15 000多家便利店和超市,還有像銀泰百貨這樣的商場(chǎng)布置開來。其支付流程如圖3所示。
經(jīng)過實(shí)踐分析,手機(jī)支付寶中的付款碼信息只是一個(gè)數(shù)字序列,并無任何其他信息。它應(yīng)用的是信息安全技術(shù)中的數(shù)字口令技術(shù),原理為:手機(jī)支付寶客戶端和支付寶服務(wù)器各自能產(chǎn)生數(shù)字序列,產(chǎn)生方法是前一串?dāng)?shù)字經(jīng)過一個(gè)特定的單項(xiàng)函數(shù)后會(huì)產(chǎn)生后一串?dāng)?shù)字。手機(jī)支付寶中的數(shù)字序列和服務(wù)器的數(shù)字序列剛開始是相同狀態(tài),當(dāng)手機(jī)產(chǎn)生新的數(shù)字串并傳到服務(wù)器時(shí),服務(wù)器也依次產(chǎn)生出對(duì)應(yīng)的數(shù)字串,這樣就能進(jìn)行身份認(rèn)證。如果服務(wù)器產(chǎn)生了一定數(shù)量的序列,卻沒有與客戶端發(fā)送過來的對(duì)應(yīng),則會(huì)認(rèn)證失敗,手機(jī)客戶端需要和服務(wù)器重新同步。
圖3 支付寶付款碼支付流程
付款碼支付過程具體的信息流為:收銀員結(jié)算好商品,在結(jié)算電腦上產(chǎn)生交易商品信息,產(chǎn)生交易數(shù)字序列號(hào);顧客點(diǎn)擊付款碼,手機(jī)支付寶產(chǎn)生付款碼,即一個(gè)與該支付寶賬戶對(duì)應(yīng)的數(shù)字序列號(hào);收銀員用掃描槍掃描付款碼,掃描槍解析付款碼信息,并傳輸?shù)街Ц秾殧?shù)據(jù)庫中,驗(yàn)證與該序列號(hào)對(duì)應(yīng)的支付寶賬戶,如果賬戶余額足夠,則發(fā)送支付請(qǐng)求確認(rèn)信息到顧客的手機(jī)支付寶;用戶在手機(jī)支付寶彈出的請(qǐng)求確認(rèn)支付框中輸入支付密碼確認(rèn)支付,如果密碼正確則交易成功;收銀機(jī)打印交易憑條。
其次,微信在“微信支付”中推出一個(gè)新模塊“刷卡”。微信的“刷卡”類似于支付寶的“付款碼”,兩者的支付過程和支付形式幾乎一樣。兩者都是互聯(lián)網(wǎng)巨頭,憑借在移動(dòng)端巨大的用戶數(shù)發(fā)力,其影響力巨大。但是由于兩者存在競(jìng)爭(zhēng)關(guān)系,互相屏蔽了對(duì)方的二維QR碼,這讓有些商家在做二維碼推廣時(shí),不得不制作雙份二維碼,增加了推廣成本和麻煩。
再者,是以銀行為代表的一方。銀行和自己的特約商戶合作,特約商戶生成只對(duì)應(yīng)于該行的二維碼,而顧客只能用該行的移動(dòng)客戶端才能掃描解碼。很多銀行都推出自己的二維碼,各家二維碼不能相互識(shí)別,不易大規(guī)模推廣開來。這里介紹中信銀行推出的“異度支付”的支付過程:
(1)安裝中信銀行手機(jī)客戶端。
(2)在客戶端綁定一個(gè)中信銀行賬戶。
(3)結(jié)賬時(shí),售貨員在二維碼終端機(jī)輸入金額,二維碼終端機(jī)產(chǎn)生支付二維碼。
(4)顧客用手機(jī)客戶端掃描二維碼終端機(jī)上的二維碼。
(5)掃描成功,手機(jī)客戶端得到交易信息。
(6)用戶確認(rèn)交易信息,并輸入密碼確認(rèn)。
(7)交易成功。
最后一方不可忽視的力量就是銀聯(lián)。在二維碼推出以前,線下POS收單市場(chǎng)的費(fèi)用是發(fā)卡行:收單行:銀聯(lián)按7∶2∶1的比例分配。當(dāng)支付寶的二維碼支付推出到市場(chǎng)上以后,各方只需要在支付寶有一個(gè)結(jié)算賬戶,那么交易時(shí)的資金結(jié)算完全在支付寶體系內(nèi)進(jìn)行。銀聯(lián)被架空了,它的那一份收單結(jié)算費(fèi)用就消失了。所以銀聯(lián)迫不及待要應(yīng)對(duì)這種挑戰(zhàn),銀聯(lián)的策略是推出手機(jī)客戶端二維碼支付插件,該插件可以產(chǎn)生屬于銀聯(lián)標(biāo)準(zhǔn)的二維碼,并且可以掃描屬于銀聯(lián)標(biāo)準(zhǔn)的二維碼,然后將該插件整合到各家銀行的手機(jī)客戶端中。通過這種方法,銀聯(lián)在二維碼支付中會(huì)要求銀行進(jìn)行手續(xù)費(fèi)率的分成,仍舊可以謀取利益。另一方面,這種方法產(chǎn)生統(tǒng)一標(biāo)準(zhǔn)的二維碼,各家銀行客戶端都可以掃描該二維碼,有利于推廣和方便用戶使用。當(dāng)然以后也有可能銀聯(lián)推出自己的手機(jī)二維碼客戶端軟件,人們?cè)谝粋€(gè)客戶端上可以綁定很多銀行卡,在支付時(shí)只需要選擇一張銀行卡,然后客戶端就產(chǎn)生對(duì)應(yīng)銀行賬戶的二維碼[7]。
目前,二維碼應(yīng)用中存在很多安全問題,文獻(xiàn)[8-9]有一些介紹。文中綜合現(xiàn)存的安全問題和攻擊方法,將其分為4類進(jìn)行討論。
3.1 物理攻擊
物理攻擊可以用筆涂改已有二維碼,使用戶掃描后定位到已被掛馬控制的網(wǎng)站。其具體做法是,首先解析出原有正常二維碼的信息,列舉許多已被控制的與原二維碼中網(wǎng)址相近的網(wǎng)址。然后按照原二維碼的編碼格式將這些相近網(wǎng)址進(jìn)行編碼,并與原二維碼進(jìn)行對(duì)照,選取與原二維碼最相近的一個(gè)新生成的二維碼,然后通過計(jì)算,涂改原二維碼一部分像素單位,使用戶掃描涂改后的二維碼被糾錯(cuò)定位到有問題的網(wǎng)址。該方法比較笨拙,實(shí)現(xiàn)耗時(shí)費(fèi)力,只能對(duì)一些特定二維碼進(jìn)行攻擊。
3.2 掃描攻擊
二維碼在許多場(chǎng)合的本質(zhì)是將用戶定位到一個(gè)網(wǎng)址,而許多用戶根本無法分辨該網(wǎng)址是否安全。因此,結(jié)合在計(jì)算機(jī)上基于網(wǎng)頁攻擊的方法,可以通過二維碼,將用戶定位到釣魚網(wǎng)站,傳播惡意APP,甚至進(jìn)行SQL注入,跨站腳本攻擊,等等。例如,有報(bào)道的掃二維碼支付寶錢包被盜事件,大多數(shù)情況其流程如下:
用戶掃描二維碼→程序識(shí)別結(jié)果為網(wǎng)址鏈接→程序詢問是否打開→用戶打開鏈接后自動(dòng)下載惡意程序→下載完成→彈出APP安裝界面并詢問用戶是否安裝→用戶選擇安裝→APP安裝完成→點(diǎn)擊APP圖標(biāo)啟動(dòng)→手機(jī)中毒[10]。
之后木馬病毒運(yùn)行在用戶手機(jī)中,讀取手機(jī)號(hào)碼并將其發(fā)送到木馬制作者那里,木馬制作者用該手機(jī)號(hào)登錄支付寶網(wǎng)站并選擇忘記密碼。支付寶將驗(yàn)證碼發(fā)送到用戶手機(jī),而用戶手機(jī)中的木馬比短信系統(tǒng)先攔截驗(yàn)證碼短信,將其發(fā)給木馬制作者,然后刪除短信。在修改完支付密碼后,木馬制作者就可以對(duì)用戶支付寶賬戶資金進(jìn)行轉(zhuǎn)賬盜取,而用戶卻完全不知道。
3.3 隱私泄露
大多數(shù)二維碼是明文編碼的,為像上面提到的物理攻擊提供了可能。鐵道部在最初將二維碼應(yīng)用于火車票防偽時(shí),并沒有做好加密措施,從而產(chǎn)生了隱私泄露問題。此外,在進(jìn)行支付寶二維碼支付實(shí)驗(yàn)時(shí)發(fā)現(xiàn),支付寶的“付款碼”支持離線支付,當(dāng)你開啟小額免密碼支付時(shí),手機(jī)端產(chǎn)生付款碼,在不需要聯(lián)網(wǎng)的情況下,被掃描槍一掃就能扣款。
根據(jù)前面已經(jīng)講述過的原理可知,支付寶付款碼序列碼只是由手機(jī)客戶端產(chǎn)生,而非聯(lián)網(wǎng)后通過后臺(tái)數(shù)據(jù)庫產(chǎn)生,如果手機(jī)客戶端的信息加密不當(dāng),非常容易造成信息泄露。有可能被黑客逆向后,找到生成付款碼數(shù)字序列的方法[11]。
3.4 身份認(rèn)證
由于二維碼沒有身份驗(yàn)證機(jī)制,用戶無法鑒別一個(gè)二維碼的真?zhèn)?,這在一定程度上讓一部分用戶對(duì)二維碼望而卻步。另一方面,這也為基于二維碼的一些攻擊提供了土壤[12]。
信息技術(shù)中對(duì)安全性的要求在二維碼應(yīng)用中主要體現(xiàn)在4個(gè)方面:
(1)可認(rèn)證性:對(duì)二維碼來源是可以確認(rèn)的。
(2)保密性:隱私的信息不能被非相關(guān)人員不法獲得。
(3)完整性:確保二維碼消息不被修改,如果遭到了修改,是可以被驗(yàn)證發(fā)現(xiàn)的。
(4)不可否認(rèn)性:消息的發(fā)布者不能否認(rèn)它發(fā)布的二維碼。
根據(jù)安全性要求和上一節(jié)列舉的二維碼應(yīng)用中的問題,基本的解決思路主要有兩方面:對(duì)二維碼內(nèi)容進(jìn)行加密和提供認(rèn)證機(jī)制。
如果單純的只對(duì)二維碼進(jìn)行加密,即對(duì)要編碼的信息先加密,然后再將加密后的密文進(jìn)行編碼[13]。但是加密系統(tǒng)時(shí)常面臨密鑰更改的問題,如果不能方便進(jìn)行整個(gè)系統(tǒng)的密鑰更改,是不行的。加密手段在有些場(chǎng)合可以解決問題,比如火車票,因?yàn)榛疖嚻敝辉谶M(jìn)出站時(shí)需要掃描,掃描解密密鑰可在檢票系統(tǒng)比較方便的同步或者更新。但是在其他場(chǎng)合,比如銀行的二維碼,它在加密后,就只能被自家的客戶端解密。
身份認(rèn)證,在電腦上已經(jīng)有比較成熟的應(yīng)用,如成熟的PKI體系。但是手機(jī)的計(jì)算能力有限,無法達(dá)到RSA加解密和證書認(rèn)證的要求。然而,二維碼的認(rèn)證可以借鑒WAP中的WPKI密鑰體系[14]。WPKI是為無線環(huán)境中的應(yīng)用提供密鑰和證書管理,它采用PKI中簡(jiǎn)化的證書格式,并用加密能力更強(qiáng)但是對(duì)計(jì)算能力要求低很多的ECC公鑰算法。
在國內(nèi),如果銀聯(lián)可以和支付寶,各銀行聯(lián)合起來,推出統(tǒng)一格式的二維碼,并推出類似PKI體系的身份認(rèn)證機(jī)制,二維碼的應(yīng)用將迎來一個(gè)新的春天。
此外,還有云掃描技術(shù)可以提高二維碼在使用中的安全性。以往的掃描上網(wǎng)過程是:
(1)用戶用手機(jī)客戶端掃描二維碼。
(2)手機(jī)客戶端解析出二維碼中的網(wǎng)址,并顯示網(wǎng)址信息(有些客戶端不顯示網(wǎng)址,而直接連接)。
(3)用戶點(diǎn)擊網(wǎng)址。
(4)瀏覽器打開網(wǎng)址并連接。
現(xiàn)在電腦瀏覽器上都有云掃描過程,當(dāng)你輸入一個(gè)網(wǎng)址后,瀏覽器首先會(huì)先將網(wǎng)址與數(shù)據(jù)庫比對(duì),如果是一個(gè)掛馬網(wǎng)站,瀏覽器就會(huì)提醒用戶該網(wǎng)站危險(xiǎn),是否確認(rèn)打開[15]。在手機(jī)客戶端掃描二維碼的過程中,也可以借鑒這一做法??蛻舳私馕龀鼍W(wǎng)址后不會(huì)馬上打開,而是先聯(lián)網(wǎng)與后臺(tái)數(shù)據(jù)庫比對(duì)掃描,然后再提示用戶操作。當(dāng)然,要求聯(lián)網(wǎng)可能會(huì)帶來使用不便,在不要求聯(lián)網(wǎng)的情況下可以使用離線數(shù)據(jù)庫比對(duì),這樣也能大大提高安全性。
當(dāng)前正處于移動(dòng)互聯(lián)時(shí)代,二維QR碼由于優(yōu)點(diǎn)眾多而被廣泛使用,給人們的生活帶來了諸多益處,但也伴隨許多安全隱患。隨著手機(jī)計(jì)算能力的不斷提升和人們對(duì)安全性的不斷要求,相信在不久的將來至少在國內(nèi)會(huì)形成比較統(tǒng)一的編碼標(biāo)準(zhǔn)和身份認(rèn)證以及加密體系。到那時(shí),二維碼將發(fā)揮更強(qiáng)大的作用。
[1] Gao J Z,Prakash L,Jagatesan R.Understanding 2D-barcode technology and applications in m-commerce-design and implementation of a 2D barcode processing solution[C]//International computer software and applications conference.[s.l.]:IEEE,2007:49-56.
[2] Li H.Benchmarking the use of QR code in mobile promotion[J].Journal of Advertising Research,2012(3):102-117.
[3] 黃 宇.二維碼在移動(dòng)電子商務(wù)中的應(yīng)用[J].中國新通信,2006(5):78-80.
[4] GB/T 18284-2000快速響應(yīng)矩陣碼[S].北京:國家質(zhì)量技術(shù)監(jiān)督局,2000.
[5] 潘繼財(cái).二維條碼技術(shù)及應(yīng)用淺析[J].商場(chǎng)現(xiàn)代化,2009(9):118-120.
[6] 韓 韋.手機(jī)二維碼應(yīng)用及安全性分析[J].信息與電腦:理論版,2012(7):19-20.
[7] Lee Y S,Kim N H,Lim H,et al.Online banking authentication system using mobile-OTP with QR-code[C]//5th international conference on computer sciences and convergence information technology.[s.l.]:IEEE,2010:644-648.
[8] 林佳華,楊 永,任 偉.QR二維碼的攻擊方法與防御措施[J].信息網(wǎng)絡(luò)安全,2013(5):29-32.
[9] Kieseberg P,Leithner M,Mulazzani M,et al.QR code security[C]//Proceedings of the 8th international conference on advances in mobile computing and multimedia.[s.l.]:ACM,2010:430-435.
[10] 欒 宇,李洪祚.移動(dòng)惡意軟件治理關(guān)鍵技術(shù)研究[J].郵電設(shè)計(jì)技術(shù),2013(6):52-55.
[11] Gao J,Kulkarni V,Ranavat H,et al.A 2D barcode-based mobile payment system[C]//Third international conference on multimedia and ubiquitous engineering.[s.l.]:IEEE,2009:320-329.
[12] Liao K C,Lee W H.A novel user authentication scheme based on QR-code[J].Journal of Networks,2010(8):937-941.
[13] 付利莉.DES算法在二維條碼數(shù)據(jù)加密中的應(yīng)用[J].石油化工高等學(xué)校學(xué)報(bào),2005,18(2):80-82.
[14] 馮 韻.移動(dòng)支付中身份認(rèn)證分析與研究[J].信息通信,2012(3):107-109.
[15] 邸洪波,于紹輝,蘇吉成.網(wǎng)站安全掃描產(chǎn)品的分析與比較[J].信息網(wǎng)絡(luò)安全,2014(9):180-183.
Research on Security of Application of 2-Dimentional QR Code in Electronic Commerce
ZHANG Feng,SHI Yong,XUE Zhi
(Key Laboratory of Integrated Administration Technologies for Information Security of Shanghai,School of Electronic Information and Electrical Engineering of Shanghai Jiaotong University,Shanghai 200240,China)
In recent years,the application of 2-Dimentional (2D) QR code has more and more extensive in E-commerce,accompanying with many security issues.Hence,the application and security issue of QR code in the E-commerce are studied by means of document research and experiment.The formation,origin and features of 2D QR code are summed up,diverse applications of QR code in current E-commerce including secure login,scanning shopping,electronic certificate,2-Dimensional code payment are introduced,and the emerging security issues such as physical attacks,privacy divulging,scanning attacks and so on summarized.Finally,by referring the attributions of information security,two improving ways of encryption of 2D code contents and offering authentication of the issued specific 2D code are summed up.
2-Dimentional QR code;E-commerce;security study
2015-12-08
2016-04-13
時(shí)間:2017-02-17
國家自然科學(xué)基金資助項(xiàng)目(61332010)
張 豐(1990-),男,碩士,研究方向?yàn)殡娮由虅?wù)信息安全;薛 質(zhì),教授,研究方向?yàn)樾畔踩?/p>
http://www.cnki.net/kcms/detail/61.1450.TP.20170217.1623.004.html
TP393
A
1673-629X(2017)03-0131-05
10.3969/j.issn.1673-629X.2017.03.027