肖海燕

摘 要 隨著智能終端的推廣與移動(dòng)網(wǎng)絡(luò)的快速普及，QR二維碼技術(shù)在移動(dòng)電子商務(wù)、文字快速錄入、食品安全管理等領(lǐng)域得到廣泛旳使用。二維碼是信息的載體，也是信息釆集、傳播的重要方法和手段。因此保證二維碼信息安全尤為重要。本文總結(jié)了常見(jiàn)的攻擊二維碼的方法，并提出從編碼環(huán)節(jié)引入安全機(jī)制的防護(hù)策略，以保證信息的準(zhǔn)確性和安全性。

關(guān)鍵詞 QR二維碼 編碼譯碼 認(rèn)證 雙重加密

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

在移動(dòng)終端不斷升級(jí)的時(shí)代背景下，QR（Quick Response）二維碼作為一種憑借幾何圖形記錄數(shù)據(jù)信息、使用相關(guān)設(shè)備便可實(shí)現(xiàn)信息快速處理的通信技術(shù)，如今已經(jīng)廣泛地應(yīng)用于人們?nèi)粘Ｉ畹母鱾€(gè)方面。只要對(duì)著二維碼輕輕一掃，就可以立刻獲得所需信息。但是在二維碼的使用過(guò)程中，存在的安全風(fēng)險(xiǎn)也不容小覷，病毒、木馬、惡意信息傳播等讓人猝不及防，因此如何安全使用二維碼，規(guī)避風(fēng)險(xiǎn)成為了亟待解決的問(wèn)題。

1針對(duì)QR二維碼的常見(jiàn)攻擊

由于二維碼的數(shù)據(jù)內(nèi)容與制作來(lái)源難以監(jiān)管，編/譯碼過(guò)程完全開(kāi)放，識(shí)讀軟件質(zhì)量參差不齊，在缺乏統(tǒng)一的管理規(guī)范的前提下，造成二維碼存在諸多安全漏洞，主要包括如下四類：

（1）誘導(dǎo)登錄惡意網(wǎng)站：攻擊者只需將偽造、詐騙或釣魚(yú)等惡意網(wǎng)站的網(wǎng)址鏈接制作成二維碼圖形，在誘導(dǎo)用戶掃碼登錄其網(wǎng)站后，獲取用戶輸入的個(gè)人敏感信息、金融賬號(hào)等。

（2）木馬植入：攻擊者將自動(dòng)下載惡意軟件的命令編入二維碼，當(dāng)用戶在缺少防護(hù)措施的情況下掃描該類二維碼時(shí)，用戶系統(tǒng)悄悄被植入了木馬、蠕蟲(chóng)或隱匿軟件，攻擊者在后臺(tái)可以肆意破壞用戶文件，偷竊用戶信息，甚至遠(yuǎn)程控制用戶等等。

（3）信息劫持：很多商家提供掃碼支付等在線支付手段，網(wǎng)絡(luò)支付平臺(tái)根據(jù)用戶訂單生成二維碼，方便用戶掃描支付。若攻擊者劫持了商家與用戶之間的通訊信息，并惡意修改訂單，這將對(duì)用戶和商家造成直接經(jīng)濟(jì)損失。

（4）Web攻擊：隨著手機(jī)瀏覽器功能的日趨成熟，用戶能夠通過(guò)手機(jī)輸入網(wǎng)站域名或提交Web表單。攻擊者利用Web頁(yè)面的漏洞，將非法SQL語(yǔ)句插入二維碼信息，當(dāng)用戶使用手機(jī)掃描二維碼登錄Web頁(yè)面時(shí)，惡意SQL語(yǔ)句被自動(dòng)執(zhí)行。

2二維碼安全機(jī)制設(shè)計(jì)

針對(duì)二維碼編譯碼流程中存在的安全漏洞，本文設(shè)計(jì)在編碼環(huán)節(jié)引入雙重加密策略，在譯碼環(huán)節(jié)進(jìn)行解密，并使用認(rèn)證手段進(jìn)行安全管理。

2.1二維碼加密算法選擇

二維碼加密策略要求兼顧信息保密性與編譯碼復(fù)雜度。而序列密碼采用隨機(jī)方式生成與明文序列長(zhǎng)度相等的密鑰序列，即將密鑰、明文表示成連續(xù)的二進(jìn)制流，對(duì)應(yīng)地進(jìn)行加密，加解密速度快、差錯(cuò)傳播率低，而且容易檢測(cè)插入、刪除、重播等主動(dòng)攻擊。其算法模型如下所示：

明文序列：m=m1m2m3…（1）

密鑰序列：m=z1z2z3…（2）

密文序列：c=c1c2c3…（3）

加密變換：ci=E（zi，mi）（i=1，2，3…）（4）

解密變換：mi=D（zi，ci）（i=1，2，3…）（5）

RC4加密算法是典型的序列密碼算法，應(yīng)用到二維碼編譯碼流程中時(shí)，密文序列長(zhǎng)度固定且與明文序列長(zhǎng)度相等，不會(huì)因?yàn)樾畔㈤L(zhǎng)度變化影響糾錯(cuò)編碼的糾錯(cuò)性能與二維碼圖形結(jié)構(gòu)？因此選用RC4加密算法引入二維碼編譯碼流程。

2.2 QR碼雙重加密策略

將RC4加解密算法應(yīng)用于QR碼的編碼、譯碼環(huán)節(jié)。

第一步，二維碼編碼階段，在分析原始信息之后、信息編碼之前引入RC4加密算法，對(duì)原始信息進(jìn)行加密。

加密使得整個(gè)QR碼處理過(guò)程都在已加密信息的基礎(chǔ)上完成，即實(shí)現(xiàn)了二維碼信息的加密傳遞。

第二步，在信息編碼之后、糾錯(cuò)編碼之前進(jìn)行RC4二次加密，本步驟是對(duì)信息編碼之后生成的二進(jìn)制比特流進(jìn)行二次加密。RC4算法在加密過(guò)程中未改變二進(jìn)制流的長(zhǎng)度，因此不會(huì)影響后續(xù)糾錯(cuò)編碼過(guò)程。

第三步，二維碼譯碼階段，首先在糾錯(cuò)解碼和信息解碼之間進(jìn)行第一次RC4解密；繼而在信息解碼之后進(jìn)行二次解密，還原二維碼原始信息。

3 QR碼認(rèn)證與管理

本文設(shè)計(jì)在二維碼編譯碼環(huán)節(jié)引入第三方認(rèn)證管理機(jī)制。該體系分為認(rèn)證平臺(tái)。解析平臺(tái)與數(shù)據(jù)檢索平臺(tái)三部分。商戶或個(gè)人需要通過(guò)認(rèn)證平臺(tái)注冊(cè)與登記，按照行業(yè)標(biāo)準(zhǔn)制作生成官方認(rèn)證的加密二維碼圖形。用戶在認(rèn)證平臺(tái)下載官方授權(quán)的二維碼掃描識(shí)讀應(yīng)用程序，作為掃碼工具的唯一來(lái)源。完成掃碼后，識(shí)讀應(yīng)用程序使用唯一私鑰對(duì)掃描信息進(jìn)行解密，通過(guò)解析平臺(tái)對(duì)二維碼解析結(jié)果進(jìn)行確認(rèn)，完成對(duì)二維碼安全性的第一道防護(hù)；隨后將解析結(jié)果鏈接到認(rèn)證平臺(tái)，認(rèn)證平臺(tái)對(duì)惡意網(wǎng)址、虛假信息和惡意指令進(jìn)行第二道攔截，為用戶屏蔽非法信息。依托官方數(shù)據(jù)檢索平臺(tái)的認(rèn)證機(jī)制，檢索、確認(rèn)信息來(lái)源的可靠性，最終將安全有效的掃碼結(jié)果反饋給用戶。

本文在編碼環(huán)節(jié)引入雙重RC4加密策略，在解析環(huán)節(jié)引入第三方認(rèn)證管理手段，旨在從編碼機(jī)制、解析機(jī)制、二維碼認(rèn)證管理機(jī)制等方面推動(dòng)國(guó)家建立統(tǒng)一的二維碼管理體系，提高二維碼使用上的安全性。

參考文獻(xiàn)

[1] 曾子劍.基于QR二維碼編解碼技術(shù)的研究與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2015.

[2] 賈裕.基于云計(jì)算應(yīng)用的二維碼解碼器實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2011.

[3] 高彥受.QR二維碼的安全實(shí)現(xiàn)與設(shè)計(jì)分析[D].南京：南京理工大學(xué)，2013.

[4] 解龍.基于加密QR碼的商品流通管理應(yīng)用研究[D].北京：北京印刷學(xué)院，2014.

[5] 潘璐.基于二維碼的證件認(rèn)證技術(shù)研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2015.

[6] 解龍，杜艷平，程明智，楊義先，李璟.基于加密QR二維碼的商品包裝防偽技術(shù)[J].北京印刷學(xué)院學(xué)報(bào)，2013（04）：16-20.

[7] 高彥受，許春根.安全實(shí)用的二維碼研究與實(shí)現(xiàn)[J].信息網(wǎng)絡(luò)安全，2012（10）：47-50.

[8] 朱雯晶，夏翠娟.二維碼在圖書(shū)館移動(dòng)服務(wù)中的應(yīng)用——以上海圖書(shū)館為例[J].現(xiàn)代圖書(shū)情報(bào)技術(shù)，2012（Z1）：115-120.