鐘敏 吳曉凌 陳樂

摘要：二維碼由于存儲(chǔ)量大、編碼范圍廣、成本低和追蹤性高等特性，在我國的應(yīng)用風(fēng)起云涌，但其安全風(fēng)險(xiǎn)巨大，不僅會(huì)波及人民群眾的生活，還會(huì)對(duì)社會(huì)安全構(gòu)成嚴(yán)重威脅。本文對(duì)二維碼安全識(shí)別問題進(jìn)行了研究，提出了一種系統(tǒng)設(shè)計(jì)方案，通過軟件提前識(shí)別二維碼的真正意圖，防止手機(jī)用戶誤入陷阱，造成相關(guān)損失。

關(guān)鍵詞：二維碼;安全識(shí)別;系統(tǒng)設(shè)計(jì)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）22-0198-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

在當(dāng)今的日常生活中，手機(jī)這個(gè)角色顯得越來越重要，二維碼也成了生活中必不可少的信息交換方式，例如用戶可以通過讓他人掃描自己的二維碼來添加個(gè)人社交軟件賬號(hào)，也可以用支付App的支付收款二維碼進(jìn)行付款和收款，大到百貨餐飲酒店出行，小到街邊小攤小店，無處不在。第40次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》中披露，我國移動(dòng)支付用戶規(guī)模在2017年6月已達(dá)到5.02億，有4.63億網(wǎng)民在線下消費(fèi)時(shí)使用手機(jī)支付，其中很多都是通過掃描二維碼實(shí)現(xiàn)的。

1 二維碼概述

二維碼作為一種有效的信息傳輸方式，可以將各種數(shù)字化信息如文字，圖形等進(jìn)行編碼，即在原先一維條形碼的基礎(chǔ)上向多維方向擴(kuò)展，發(fā)展出矩陣式（Matrix）二維條形碼。因?yàn)樗哂行畔⑷萘看?、密度高、糾錯(cuò)能力強(qiáng)和可靠性高等特點(diǎn)，在1990年代初開始就逐漸得到使用。國際自動(dòng)識(shí)別制造商協(xié)會(huì)（ AIM）和美國標(biāo)準(zhǔn)化協(xié)會(huì)（ANSI）等機(jī)構(gòu)在二維碼標(biāo)準(zhǔn)化方面，已完成了PDF417，QR Code，Code 49.Code 16K.Code One等碼制的符號(hào)標(biāo)準(zhǔn)研究。因此二維碼技術(shù)被應(yīng)用于海關(guān)、稅務(wù)、醫(yī)療、商業(yè)、交通運(yùn)輸、郵政等，成為現(xiàn)今人們?nèi)粘Ｉ钪斜夭豢缮俚囊徊糠帧?/p>

二維碼由數(shù)據(jù)生成，其本身就是一個(gè)黑白相間的矩形方陣圖形，只要有專門生成二維碼圖像的軟件就可以直接生成，掃碼解析也是同樣的道理。二維碼因?yàn)楠?dú)特的成本低、容量大和制作簡單等優(yōu)點(diǎn)，被各大企業(yè)和互聯(lián)網(wǎng)廠商廣泛地使用。但是，由于二維碼是新生事物，人們對(duì)二維碼并不熟悉，這樣就極易被犯罪分子利用。

2 二維碼的安全隱患

隨著二維碼的使用日益頻繁，越來越多的安全性問題也接二連三的出現(xiàn)，如釣魚網(wǎng)站、手機(jī)病毒和惡意攻擊程序等。

二維碼技術(shù)雖然應(yīng)用普遍，但關(guān)于其規(guī)范使用方面的制度還處于暫無狀態(tài)，所以只要有二維碼生成軟件，就能根據(jù)用戶的輸入來得到相應(yīng)的二維碼，可以無門檻地制作生成含有木馬病毒或者手機(jī)吸費(fèi)程序等惡意鏈接的二維碼。再加上目前沒有相關(guān)法律制約，二維碼可以隨意進(jìn)行發(fā)布和傳播，不法分子往往使用促銷打折廣告、游戲推廣或系統(tǒng)升級(jí)信息等作為偽裝。一旦在聯(lián)網(wǎng)狀態(tài)下掃描這些惡意二維碼，手機(jī)就會(huì)自動(dòng)執(zhí)行設(shè)置在二維碼中的鏈接從而導(dǎo)致手機(jī)中毒，手機(jī)里存儲(chǔ)的銀行卡號(hào)或通訊錄等隱私信息可能會(huì)造成泄露?？偟膩碚f，就是應(yīng)用安全和信息安全風(fēng)險(xiǎn)巨大。

3 方案設(shè)計(jì)

本文設(shè)計(jì)的二維碼安全識(shí)別系統(tǒng)目的是檢測并攔截木馬病毒。該系統(tǒng)可以在用戶掃描二維碼時(shí)檢測病毒，如果是安全，將自動(dòng)進(jìn)入;如果有異常，將提醒通知用戶，并自動(dòng)攔截。

該系統(tǒng)從功能上劃分為客戶端和服務(wù)器端二部分，客戶端能夠通過掃碼系統(tǒng)對(duì)二維碼圖像進(jìn)行掃描和解析，并與數(shù)據(jù)庫進(jìn)行簡單的白名單匹配;如果數(shù)據(jù)庫無法對(duì)解析的網(wǎng)址進(jìn)行檢測，則將解析的網(wǎng)址發(fā)送至云端服務(wù)器進(jìn)行再次檢測。在服務(wù)器端，首先對(duì)網(wǎng)址進(jìn)行更大的白名單和黑名單匹配，如果無法匹配則利用虛擬機(jī)先行登錄網(wǎng)站辨別是否為惡意網(wǎng)站，若是則攔截，不是則回退給客戶，工作原理如圖1所示。

該系統(tǒng)的實(shí)現(xiàn)形式為工具類軟件（如圖2）。目前市場上還沒有專門的二維碼安全檢測軟件，因此本產(chǎn)品有一定的獨(dú)創(chuàng)性。使用本產(chǎn)品可以放心掃描二維碼，系統(tǒng)會(huì)自動(dòng)過濾各種垃圾網(wǎng)頁，將病毒扼殺于搖籃之中，保障用戶的手機(jī)、財(cái)產(chǎn)以及個(gè)人信息的安全。

1）自動(dòng)攔截木馬病毒（如圖3）：在用戶掃描二維碼時(shí)檢測木馬病毒，如果有異常，將自動(dòng)攔截，并提醒用戶。

2）顯示鏈接信息（如圖4）：通過安全識(shí)別，顯示出二維碼生成方的基本信息，包括主辦方、網(wǎng)站類型等。讓用戶不但可以了解二維碼的來源，還可查詢到商家和企業(yè)的信息。

在具體實(shí)現(xiàn)時(shí)，數(shù)據(jù)庫信息會(huì)使用國內(nèi)最大的第三方網(wǎng)絡(luò)安全數(shù)據(jù)共享交換平臺(tái)——安全聯(lián)盟。安全聯(lián)盟是由知道創(chuàng)宇和騰訊等互聯(lián)網(wǎng)企業(yè)發(fā)起的第三方公益組織，它目前已擁有超過8.9億條惡意網(wǎng)址或電話數(shù)據(jù)。將這些數(shù)據(jù)應(yīng)用于掃碼過程，可以準(zhǔn)確地識(shí)別出二維碼鏈接的惡意網(wǎng)址，并對(duì)這些網(wǎng)站訪問行為進(jìn)行攔截，保護(hù)用戶的上網(wǎng)安全。

5 結(jié)論

由于相關(guān)核心技術(shù)及知識(shí)產(chǎn)權(quán)大多來自國外，二維碼技術(shù)來源不可控，為不良信息的傳播提供了新的渠道，如木馬病毒、釣魚網(wǎng)站、與移動(dòng)支付相關(guān)聯(lián)的金融詐騙等。我國目前尚未建立標(biāo)準(zhǔn)而完善的二維碼應(yīng)用體系，缺乏國家層面的標(biāo)準(zhǔn)規(guī)范指導(dǎo)及嚴(yán)格的應(yīng)用監(jiān)管。絕大多數(shù)二維碼掃碼工具都沒有識(shí)別和攔截惡意網(wǎng)址的能力，也沒有專門的二維碼安全檢測工具，由此可見關(guān)于二維碼安全識(shí)別系統(tǒng)的研究與實(shí)現(xiàn)已成了當(dāng)務(wù)之急。

本文設(shè)計(jì)的產(chǎn)品定位是工具型軟件，受眾廣泛，適用性強(qiáng)，主要通過增值服務(wù)收取費(fèi)用來獲取收益。隨著5G商用，用戶體驗(yàn)會(huì)得到極大改善，預(yù)期收入基本穩(wěn)定，市場也比較開闊。技術(shù)成熟后，可與其他支付類軟件合作，獲取更大收益。

參考文獻(xiàn)：

[1]吳書芳，田春輝.無所不在的小方塊——二維碼的安全性探討[Jl，電腦知識(shí)與技術(shù)，2019，15（3）：274-275.

[2]譚德林。李均利.基于DHKE的二維碼技術(shù)[J].微電子學(xué)與計(jì)算機(jī)，2018，35（2）：22-25.

[3]肖志偉，郝海彤，李琪，等.基于Android系統(tǒng)的二維碼安全檢測系統(tǒng)的設(shè)計(jì)與實(shí)王見[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（4）：75，77.

[4]伊恩澤，佟新，魏震，等.Android智能終端二維碼安全檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2017（8）：61-65.

【通聯(lián)編輯：唐一東】

基金項(xiàng)目：湖北省教育廳科學(xué)研究計(jì)劃項(xiàng)目（B2014157）;湖北省大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練項(xiàng)目（S201912362027）

作者簡介：鐘敏（1971-），男，湖北武漢人，武漢工程職業(yè)技術(shù)學(xué)院，講師，博士在讀，研究方向：軟件工程理論與方法、軟件工程技術(shù);通訊作者：吳曉凌（1980-），女，湖北武漢人，武漢生物工程學(xué)院，副教授，博士，研究方向：軟件工程理論與方法、軟件工程技術(shù)。