QR二維碼安全技術研究

肖海燕

摘 要 隨著智能終端的推廣與移動網(wǎng)絡的快速普及，QR二維碼技術在移動電子商務、文字快速錄入、食品安全管理等領域得到廣泛旳使用。二維碼是信息的載體，也是信息釆集、傳播的重要方法和手段。因此保證二維碼信息安全尤為重要。本文總結(jié)了常見的攻擊二維碼的方法，并提出從編碼環(huán)節(jié)引入安全機制的防護策略，以保證信息的準確性和安全性。

關鍵詞 QR二維碼 編碼譯碼 認證 雙重加密

中圖分類號：TP393 文獻標識碼：A

在移動終端不斷升級的時代背景下，QR（Quick Response）二維碼作為一種憑借幾何圖形記錄數(shù)據(jù)信息、使用相關設備便可實現(xiàn)信息快速處理的通信技術，如今已經(jīng)廣泛地應用于人們?nèi)粘Ｉ畹母鱾€方面。只要對著二維碼輕輕一掃，就可以立刻獲得所需信息。但是在二維碼的使用過程中，存在的安全風險也不容小覷，病毒、木馬、惡意信息傳播等讓人猝不及防，因此如何安全使用二維碼，規(guī)避風險成為了亟待解決的問題。

1針對QR二維碼的常見攻擊

由于二維碼的數(shù)據(jù)內(nèi)容與制作來源難以監(jiān)管，編/譯碼過程完全開放，識讀軟件質(zhì)量參差不齊，在缺乏統(tǒng)一的管理規(guī)范的前提下，造成二維碼存在諸多安全漏洞，主要包括如下四類：

（1）誘導登錄惡意網(wǎng)站：攻擊者只需將偽造、詐騙或釣魚等惡意網(wǎng)站的網(wǎng)址鏈接制作成二維碼圖形，在誘導用戶掃碼登錄其網(wǎng)站后，獲取用戶輸入的個人敏感信息、金融賬號等。

（2）木馬植入：攻擊者將自動下載惡意軟件的命令編入二維碼，當用戶在缺少防護措施的情況下掃描該類二維碼時，用戶系統(tǒng)悄悄被植入了木馬、蠕蟲或隱匿軟件，攻擊者在后臺可以肆意破壞用戶文件，偷竊用戶信息，甚至遠程控制用戶等等。

（3）信息劫持：很多商家提供掃碼支付等在線支付手段，網(wǎng)絡支付平臺根據(jù)用戶訂單生成二維碼，方便用戶掃描支付。若攻擊者劫持了商家與用戶之間的通訊信息，并惡意修改訂單，這將對用戶和商家造成直接經(jīng)濟損失。

（4）Web攻擊：隨著手機瀏覽器功能的日趨成熟，用戶能夠通過手機輸入網(wǎng)站域名或提交Web表單。攻擊者利用Web頁面的漏洞，將非法SQL語句插入二維碼信息，當用戶使用手機掃描二維碼登錄Web頁面時，惡意SQL語句被自動執(zhí)行。

2二維碼安全機制設計

針對二維碼編譯碼流程中存在的安全漏洞，本文設計在編碼環(huán)節(jié)引入雙重加密策略，在譯碼環(huán)節(jié)進行解密，并使用認證手段進行安全管理。

2.1二維碼加密算法選擇

二維碼加密策略要求兼顧信息保密性與編譯碼復雜度。而序列密碼采用隨機方式生成與明文序列長度相等的密鑰序列，即將密鑰、明文表示成連續(xù)的二進制流，對應地進行加密，加解密速度快、差錯傳播率低，而且容易檢測插入、刪除、重播等主動攻擊。其算法模型如下所示：

明文序列：m=m1m2m3…（1）

密鑰序列：m=z1z2z3…（2）

密文序列：c=c1c2c3…（3）

加密變換：ci=E（zi，mi）（i=1，2，3…）（4）

解密變換：mi=D（zi，ci）（i=1，2，3…）（5）

RC4加密算法是典型的序列密碼算法，應用到二維碼編譯碼流程中時，密文序列長度固定且與明文序列長度相等，不會因為信息長度變化影響糾錯編碼的糾錯性能與二維碼圖形結(jié)構(gòu)？因此選用RC4加密算法引入二維碼編譯碼流程。

2.2 QR碼雙重加密策略

將RC4加解密算法應用于QR碼的編碼、譯碼環(huán)節(jié)。

第一步，二維碼編碼階段，在分析原始信息之后、信息編碼之前引入RC4加密算法，對原始信息進行加密。

加密使得整個QR碼處理過程都在已加密信息的基礎上完成，即實現(xiàn)了二維碼信息的加密傳遞。

第二步，在信息編碼之后、糾錯編碼之前進行RC4二次加密，本步驟是對信息編碼之后生成的二進制比特流進行二次加密。RC4算法在加密過程中未改變二進制流的長度，因此不會影響后續(xù)糾錯編碼過程。

第三步，二維碼譯碼階段，首先在糾錯解碼和信息解碼之間進行第一次RC4解密；繼而在信息解碼之后進行二次解密，還原二維碼原始信息。

3 QR碼認證與管理

本文設計在二維碼編譯碼環(huán)節(jié)引入第三方認證管理機制。該體系分為認證平臺。解析平臺與數(shù)據(jù)檢索平臺三部分。商戶或個人需要通過認證平臺注冊與登記，按照行業(yè)標準制作生成官方認證的加密二維碼圖形。用戶在認證平臺下載官方授權(quán)的二維碼掃描識讀應用程序，作為掃碼工具的唯一來源。完成掃碼后，識讀應用程序使用唯一私鑰對掃描信息進行解密，通過解析平臺對二維碼解析結(jié)果進行確認，完成對二維碼安全性的第一道防護；隨后將解析結(jié)果鏈接到認證平臺，認證平臺對惡意網(wǎng)址、虛假信息和惡意指令進行第二道攔截，為用戶屏蔽非法信息。依托官方數(shù)據(jù)檢索平臺的認證機制，檢索、確認信息來源的可靠性，最終將安全有效的掃碼結(jié)果反饋給用戶。

本文在編碼環(huán)節(jié)引入雙重RC4加密策略，在解析環(huán)節(jié)引入第三方認證管理手段，旨在從編碼機制、解析機制、二維碼認證管理機制等方面推動國家建立統(tǒng)一的二維碼管理體系，提高二維碼使用上的安全性。

參考文獻

[1] 曾子劍.基于QR二維碼編解碼技術的研究與實現(xiàn)[D].成都：電子科技大學，2015.

[2] 賈裕.基于云計算應用的二維碼解碼器實現(xiàn)[D].北京：北京郵電大學，2011.

[3] 高彥受.QR二維碼的安全實現(xiàn)與設計分析[D].南京：南京理工大學，2013.

[4] 解龍.基于加密QR碼的商品流通管理應用研究[D].北京：北京印刷學院，2014.

[5] 潘璐.基于二維碼的證件認證技術研究與實現(xiàn)[D].北京：北京郵電大學，2015.

[6] 解龍，杜艷平，程明智，楊義先，李璟.基于加密QR二維碼的商品包裝防偽技術[J].北京印刷學院學報，2013（04）：16-20.

[7] 高彥受，許春根.安全實用的二維碼研究與實現(xiàn)[J].信息網(wǎng)絡安全，2012（10）：47-50.

[8] 朱雯晶，夏翠娟.二維碼在圖書館移動服務中的應用——以上海圖書館為例[J].現(xiàn)代圖書情報技術，2012（Z1）：115-120.