QR二维码安全技术研究

摘 要 随着智能终端的推广与移动网络的快速普及，QR二维码技术在移动电子商务、文字快速录入、食品安全管理等领域得到广泛旳使用。二维码是信息的载体，也是信息釆集、传播的重要方法和手段。因此保证二维码信息安全尤为重要。本文总结了常见的攻击二维码的方法，并提出从编码环节引入安全机制的防护策略，以保证信息的准确性和安全性。

关键词 QR二维码 编码译码 认证 双重加密

中图分类号：TP393 文献标识码：A

在移动终端不断升级的时代背景下，QR（Quick Response）二维码作为一种凭借几何图形记录数据信息、使用相关设备便可实现信息快速处理的通信技术，如今已经广泛地应用于人们日常生活的各个方面。只要对着二维码轻轻一扫，就可以立刻获得所需信息。但是在二维码的使用过程中，存在的安全风险也不容小觑，病毒、木马、恶意信息传播等让人猝不及防，因此如何安全使用二维码，规避风险成为了亟待解决的问题。

1针对QR二维码的常见攻击

由于二维码的数据内容与制作来源难以监管，编/译码过程完全开放，识读软件质量参差不齐，在缺乏统一的管理规范的前提下，造成二维码存在诸多安全漏洞，主要包括如下四类：

（1）诱导登录恶意网站：攻击者只需将伪造、诈骗或钓鱼等恶意网站的网址链接制作成二维码图形，在诱导用户扫码登录其网站后，获取用户输入的个人敏感信息、金融账号等。

（2）木马植入：攻击者将自动下载恶意软件的命令编入二维码，当用户在缺少防护措施的情况下扫描该类二维码时，用户系统悄悄被植入了木马、蠕虫或隐匿软件，攻击者在后台可以肆意破坏用户文件，偷窃用户信息，甚至远程控制用户等等。

（3）信息劫持：很多商家提供扫码支付等在线支付手段，网络支付平台根据用户订单生成二维码，方便用户扫描支付。若攻击者劫持了商家与用户之间的通讯信息，并恶意修改订单，这将对用户和商家造成直接经济损失。

（4）Web攻击：随着手机浏览器功能的日趋成熟，用户能够通过手机输入网站域名或提交Web表单。攻击者利用Web页面的漏洞，将非法SQL语句插入二维码信息，当用户使用手机扫描二维码登录Web页面时，恶意SQL语句被自动执行。

2二维码安全机制设计

针对二维码编译码流程中存在的安全漏洞，本文设计在编码环节引入双重加密策略，在译码环节进行解密，并使用认证手段进行安全管理。

2.1二维码加密算法选择

二维码加密策略要求兼顾信息保密性与编译码复杂度。而序列密码采用随机方式生成与明文序列长度相等的密钥序列，即将密钥、明文表示成连续的二进制流，对应地进行加密，加解密速度快、差错传播率低，而且容易检测插入、删除、重播等主动攻击。其算法模型如下所示：

明文序列：m=m1m2m3…（1）

密钥序列：m=z1z2z3…（2）

密文序列：c=c1c2c3…（3）

加密变换：ci=E（zi，mi）（i=1，2，3…）（4）

解密变换：mi=D（zi，ci）（i=1，2，3…）（5）

RC4加密算法是典型的序列密碼算法，应用到二维码编译码流程中时，密文序列长度固定且与明文序列长度相等，不会因为信息长度变化影响纠错编码的纠错性能与二维码图形结构？因此选用RC4加密算法引入二维码编译码流程。

2.2 QR码双重加密策略

将RC4加解密算法应用于QR码的编码、译码环节。

第一步，二维码编码阶段，在分析原始信息之后、信息编码之前引入RC4加密算法，对原始信息进行加密。

加密使得整个QR码处理过程都在已加密信息的基础上完成，即实现了二维码信息的加密传递。

第二步，在信息编码之后、纠错编码之前进行RC4二次加密，本步骤是对信息编码之后生成的二进制比特流进行二次加密。RC4算法在加密过程中未改变二进制流的长度，因此不会影响后续纠错编码过程。

第三步，二维码译码阶段，首先在纠错解码和信息解码之间进行第一次RC4解密；继而在信息解码之后进行二次解密，还原二维码原始信息。

3 QR码认证与管理

本文设计在二维码编译码环节引入第三方认证管理机制。该体系分为认证平台。解析平台与数据检索平台三部分。商户或个人需要通过认证平台注册与登记，按照行业标准制作生成官方认证的加密二维码图形。用户在认证平台下载官方授权的二维码扫描识读应用程序，作为扫码工具的唯一来源。完成扫码后，识读应用程序使用唯一私钥对扫描信息进行解密，通过解析平台对二维码解析结果进行确认，完成对二维码安全性的第一道防护；随后将解析结果链接到认证平台，认证平台对恶意网址、虚假信息和恶意指令进行第二道拦截，为用户屏蔽非法信息。依托官方数据检索平台的认证机制，检索、确认信息来源的可靠性，最终将安全有效的扫码结果反馈给用户。

本文在编码环节引入双重RC4加密策略，在解析环节引入第三方认证管理手段，旨在从编码机制、解析机制、二维码认证管理机制等方面推动国家建立统一的二维码管理体系，提高二维码使用上的安全性。

参考文献

[1] 曾子剑.基于QR二维码编解码技术的研究与实现[D].成都：电子科技大学，2015.

[2] 贾裕.基于云计算应用的二维码解码器实现[D].北京：北京邮电大学，2011.

[3] 高彦受.QR二维码的安全实现与设计分析[D].南京：南京理工大学，2013.

[4] 解龙.基于加密QR码的商品流通管理应用研究[D].北京：北京印刷学院，2014.

[5] 潘璐.基于二维码的证件认证技术研究与实现[D].北京：北京邮电大学，2015.

[6] 解龙，杜艳平，程明智，杨义先，李璟.基于加密QR二维码的商品包装防伪技术[J].北京印刷学院学报，2013（04）：16-20.

[7] 高彦受，许春根.安全实用的二维码研究与实现[J].信息网络安全，2012（10）：47-50.

[8] 朱雯晶，夏翠娟.二维码在图书馆移动服务中的应用——以上海图书馆为例[J].现代图书情报技术，2012（Z1）：115-120.