QR碼信息安全研究

梁大偉

（江蘇警官學院 計算機信息與網(wǎng)絡(luò)安全系，江蘇 南京 210031）

0 引言

近年來，移動智能終端在中國呈現(xiàn)爆發(fā)式的增長，搭載二維碼技術(shù)的相關(guān)應用層出不窮，涉及到人們生活的方方面面。但在人們享受二維碼帶來便利的同時，其本身所存在的信息安全問題也不容忽視，因二維碼使用不當造成經(jīng)濟損失或者個人信息泄露的事件時有發(fā)生。

結(jié)合市面現(xiàn)有二維碼的使用方式，對二維碼生成、傳播、使用等環(huán)節(jié)進行分析研究，以提高用戶端二維碼信息的安全性，給出各方面安全隱患的應對策略。

1 QR 碼概述

在20世紀70年代，日本Denso Wave公司為了追蹤汽車零部件而設(shè)計了二維碼（two-dimensional bar code），它是用某種特定的幾何圖形按一定規(guī)律在平面（二維方向）分布的黑白相間的圖形記錄數(shù)據(jù)符號信息[1]。根據(jù)編碼方式的不同，可分為堆疊式和矩陣式等。其中由于 QR二維碼具有（Quick-Response code）高密度、大容量、容錯強、譯碼可靠等特點，在移動支付、信息交互、物流管理等方面被廣泛應用。

1.1 QR 碼的符號結(jié)構(gòu)

QR碼是由若干個黑白方形模塊排列組成的正方形矩陣，分為編碼區(qū)域和功能圖形區(qū)域，黑色代表1，白色代表0，符號規(guī)格根據(jù)編碼數(shù)據(jù)量自適應調(diào)整，支持數(shù)字、字母、日文字（Shift JIS）、漢字（UTF-8、BIG5）等數(shù)據(jù)編碼方式[2]。

QR碼的通用結(jié)構(gòu)標準是由功能圖形（function patterns）和編碼區(qū)（encoding region）組成，其中功能圖形有空白區(qū)（quite zone）保證QR碼清晰可識別、定位標識（finder pattern）協(xié)助掃描軟件定位并變換坐標系、分隔符（separator）用于區(qū)分編碼區(qū)域和定位標識、定時標識（timing pattern）指示標識密度和確定坐標系、校正標識（alignment pattern）進一步校正坐標系；編碼區(qū)有編碼區(qū)域（encoding region）標識編碼數(shù)據(jù)、格式信息（format information）來存放容錯級別等數(shù)據(jù)、版本信息（version information）、數(shù)據(jù)及容錯字碼（data and error correction codewords）。

圖1 QR 碼的符號結(jié)構(gòu)[3]Fig.1 QR Code Symbolic structure[3]

1.2 QR 碼的編解碼原理

ISO/IEC 18004中規(guī)定了QR碼使用四種標準編碼方式將數(shù)據(jù)信息轉(zhuǎn)換為二維碼圖形的通用編碼流程，通過硬件設(shè)備將圖形定位掃描后對圖形進行逆轉(zhuǎn)還原成數(shù)據(jù)信息則為解碼。

圖2 數(shù)據(jù)“JSPI”編碼過程Fig.2 Coding process of data “JSPI”

首先對要編碼的數(shù)據(jù)進行分析（data analysis），確定使用的 QR碼的版本信息、編碼方式等，對數(shù)據(jù)進行編碼（data encoding），插入模式標識碼和終止標識符，加入填充字節(jié)來滿足標準的數(shù)據(jù)字碼數(shù)要求，計算容錯碼（error correction coding），附在編碼數(shù)據(jù)后，組織數(shù)據(jù)（structure final message），將準備好的數(shù)據(jù)切分后填充（module placement in matrix）到矩陣中，對數(shù)據(jù)進行掩碼（data masking），使得二維碼圖形中的深色和淺色(黑色和白色)區(qū)域能夠比率最優(yōu)的分布，最后填入格式和版本信息（format and version information），完成整個編碼過程[4]。

QR碼包含多種獨特的符合特征，這些特征保證了通過硬件識別時快速的獨立定位性[5]。搜索 3個功能圖形和空白區(qū)后，QR碼得到定位，進行圖像的預處理，由于條碼圖案損壞或者掃描傳輸錯誤，運用 RS糾錯碼進行糾錯譯碼，最后將數(shù)據(jù)區(qū)得到的數(shù)據(jù)通過編碼的反向過程，得到被處理過的數(shù)據(jù)，通過格式和版本信息的解析，最終還原原始數(shù)據(jù)[6]。

1.3 QR 碼安全分析

QR碼在信息傳遞方面的巨大優(yōu)勢使其在移動智能端迅猛發(fā)展，但是其開源的性質(zhì)使得編解碼完全開放，導致了QR碼的安全隱患。據(jù)統(tǒng)計，雖然47%的用戶對二維碼漏洞有清醒的認識，但2016年因為二維碼問題出現(xiàn)的手機病毒危害仍達到了 13.2%[7]。

圖3 QR 碼染“毒”過程Fig.3 Poisoning process of QR code

（1）編碼方法簡單使得二維碼制作簡單。在對數(shù)據(jù)進行編碼的過程中，將待編碼數(shù)據(jù)進行數(shù)據(jù)分析，轉(zhuǎn)化為二進制數(shù)據(jù)流，加上終止符以表結(jié)束，最后將二進制數(shù)據(jù)流序列按照每八位一個碼字進行編碼，位數(shù)不足填零充滿。不法分子將 QR碼信息破解后隱藏手機病毒、收費軟件、釣魚網(wǎng)站等非法鏈接，偽裝成公用二維碼傳播。

（2）用戶使用手機移動端讀取二維碼信息缺少防范能力。普通解碼軟件無安全監(jiān)測能力，對解碼之后的數(shù)據(jù)中嵌入的非法信息無法識別，用戶掃碼后易中手機病毒或木馬，由于現(xiàn)在移動端硬件配置和幾年前的個人電腦相差無幾，電腦端的安全問題在移動端基本都可以重現(xiàn)。有的二維碼相關(guān)APP甚至自帶病毒，在后臺進行木馬植入或信息劫持，嚴重危害信息安全。

2 QR 碼信息安全設(shè)計

日益增長的信息安全問題將會對二維碼進一步發(fā)展帶來影響，針對二維碼各種應用方式、當前被攻擊的漏洞，對通用QR碼的算法設(shè)計也應有所區(qū)別。

2.1 QR 碼加密策略

鑒于通用 QR碼在編解碼算法方面的弱點，可以在編碼過程中加入額外的加密環(huán)節(jié)，以實現(xiàn)信息安全。移動手機端性能大幅提高，為 QR碼信息一次加密，甚至多次加密提供可能，同時，根據(jù)應用的實際需求和信息安全的要求，可以選擇硬件芯片加密，也可以選擇軟件加密；可以選擇傳統(tǒng)數(shù)據(jù)加密算法，也可以選擇對QR碼圖像進行加密。

加密算法可以根據(jù)二維碼具體應用的方法來選擇，針對信息泄露的的角度，在短時間信息交互時提高信息的保密性，例如票據(jù)信息的二維碼，可以采用序列密碼算法RC4等，提高偽隨機生成序列的隨機性和便利性，即使攻擊者利用 QR碼的譯碼原理和RC4算法的解密原理進行破解，但由于無法確定加密者最終選定的參數(shù)值， 因此也無法破解出明文信息[8]。

當二維碼信息傳遞處于網(wǎng)絡(luò)服務器端和移動客戶端時，可以采用公鑰密碼體制。以市面廣為流行的公共產(chǎn)品為例：初始信息為M，網(wǎng)絡(luò)服務器端產(chǎn)生私鑰SK，移動客戶端擁有公鑰PK，加密產(chǎn)生的信息 C = ESK(M )，將C進行QR碼編碼給予公共產(chǎn)品或服務，用戶使用公鑰對掃描得到的CX進行解碼，若解碼的結(jié)果正確則進行服務，確保了通訊過程中的信息安全[9]。

對于整個 QR碼信息安全角度來說，信息編解碼的實現(xiàn)方式、運算速度、安全性等方面決定了加密算法的選擇。由于 QR碼應用的場合大多是移動智能端、物聯(lián)網(wǎng)平臺等，系統(tǒng)硬件速度快，軟件實現(xiàn)簡單，數(shù)據(jù)傳輸方式大部分是電信服務商提供的4G網(wǎng)絡(luò)，傳輸?shù)氖荎B級別的數(shù)據(jù)，當進行客戶端登錄或者信息驗證時，對數(shù)據(jù)的安全性要求較高，綜合上述原因，比較適合 QR碼的算法在對稱加密算法中有AES，在非對稱算法中有ECC等，在特殊場合，增加數(shù)據(jù)的時效性也是一個較好的辦法[10-13]。

圖4 引入加密編碼過程Fig.4 Adding encryption encoding process

2.2 QR 碼解碼策略

用戶時常會要單方面處理 QR碼，并沒有產(chǎn)品服務器端提供信息安全的保證。在這種情況下，為保證原始信息在傳輸過程中不被篡改，可以采用在數(shù)據(jù)編碼（data encoding）時后端加入hash值模塊的方法，通過解碼后的消息認證碼是否匹配來確保信息安全[14]。

表1 常見適用QR碼加密算法比較Tab.1 Comparison of common application of QR code encryption algorithm

圖5 Hash 值解碼過程Fig.5 Hash decoding process

若用戶通過瀏覽器自帶軟件識別二維碼，可以通過瀏覽器廠商在用戶端建立黑白名單或者加載的特征庫，對 QR碼解碼得到的數(shù)據(jù)信息或者鏈接進行靜態(tài)和動態(tài)特征檢測，在用戶掃描惡意二維碼后執(zhí)行惡意程序之前，給出相應的提示信息，防止用戶信息泄露或者經(jīng)濟損失的可能。

安全解碼在技術(shù)面可以將使用的 QR碼作為明文，應用圖像加密算法等算法，通過建立其與偽明文圖像的映射矩陣并將偽明文圖像嵌入載體圖像進行傳輸，實現(xiàn)了密鑰和算法的密切結(jié)合，起到了單方面截獲算法或密鑰完全破解不出加密信息的作用，表明算法對不法分子具有較大的迷惑性的同時極大地增強了系統(tǒng)的安全性[15]。

2.3 第三方和用戶

二維碼市場快速發(fā)展的同時是標準的混亂和監(jiān)管的缺失，對應解碼策略中在用戶端建立特征庫，引入互聯(lián)網(wǎng)端的第三方監(jiān)管能夠更好的攔截 QR碼攜帶的非法數(shù)據(jù)信息，增強其來源的可靠性。

第三方云平臺通過大數(shù)據(jù)分析產(chǎn)生的 QR碼解析數(shù)據(jù)進行靜態(tài)特征和動態(tài)特征分析，建立黑白名單數(shù)據(jù)庫，為用戶建立防火墻。在用戶和應用提出申請后，提供解析結(jié)果和官方信息，屏蔽非法數(shù)據(jù)。

在技術(shù)層面通過算法更新和第三方認證等加強信息安全的同時，個人用戶方面也應當注意，提高二維碼使用的防范意識，加強自身信息的保護意識，不盲目掃描不明來源的二維碼，在進行電子支付的時候尤其要提高警惕，以免遭受經(jīng)濟損失。

圖6 第三方二維碼交互Fig.6 Third party two-dimensional code interaction

3 結(jié)語

近年來，隨著網(wǎng)絡(luò)購物和電子商務的發(fā)展，二維碼在電子支付、身份認證、信息交互等領(lǐng)域被廣泛使用，給用戶帶來便利的同時也存在著嚴重的安全隱患。當前社會上二維碼安全問題出現(xiàn)大多數(shù)都是由于誤掃，隨著用戶的警惕將大幅減少，但將QR碼破解后混入非法數(shù)據(jù)的方式將成為主流。因此，分析二維碼加密問題具有重要意義。本文介紹了QR碼的通用結(jié)構(gòu)和編解碼的原理，分析了其存在的安全問題，并從編碼的算法、解碼的安全性及第三方認證角度提出了解決安全隱患的方法。

[1] BAIDU.COM.QR code[EB/OL] [2017-09-03]. http://baike.baidu.com/view/132241.htm.

[2] GB/T18284-2000, 快速響應矩陣碼[S]. 北京：中國標準出版社, 2000.

[3] ISO/IEC. ISO/IEC 18004-2015, Information Technology-Automatic Identification and Data Capture Techniques-QR Code 2005 Bar Code Symbology Specification[S]. Switzerland: ISO, 2015.

[4] Pavlidis T, Swartz J, Wang Y P. Information encoding with two-dimensional bar codes[J]. IEEE Computer, 1992, 27(6):18-27.

[5] ZhangMin, ZhenJianli. Recognition Algorithm of QR Code Based on Symbol Characteristic[J]. Computer Engineering,2011, 37(4). (in Chinese)張民, 鄭建立. 基于符號特征的QR碼識別算法[J]. 計算機工程, 2011, 37(4).

[6] Liu Hongwei, Yan Yan. Recognition and decoding of QR code[J].Computer Engineering and Design, 2005, 26(6). (in Chinese)劉宏偉, 嚴妍. 快速響應碼的識別和解碼[J]. 計算機工程與設(shè)計, 2005, 26(6).

[7] 騰訊移動安全實驗室. 2016年手機安全報告[R]. 2017.

[8] Zhou Wenqian,Ma Yan, etal. Improved RC4 Algorithm Applied in QR Code Information Encryption[J]. Computer Engineering, 2015, 41(8). (in Chinese)周文倩, 馬燕等. 應用于QR碼信息加密的RC4改進算法[J].計算機工程, 2015, 41(8).

[9] An Jiwan, Xu Kaihong. Design of Encryption Coding of Two-dimensional Code Based on RSA and Key[J]. Forest Engineering, 2014, 30(2): 125-129. (in Chinese)安吉旺, 徐凱宏. 基于RSA和密鑰的二維碼加密編碼的研究[J]. 森林工程, 2014, 30(2): 125-129.

[10] QU Wei-feng, XU Yue, NIU Lei-lei. A Study of an Efficient Method for the Processing of Uneven Illumination QR Code Images[J]. Computer Engineering & Software, 2015, 36(6):47-52. (in Chinese)屈衛(wèi)鋒, 徐越, 牛磊磊, 等. 光照不均QR二維碼圖像的高效處理方法研究[J]. 軟件, 2015, 36(6): 47-52

[11] HAN Liang-liang, YE Ping, SUN Han-xu. A Jacobian Matrix Inversion Method for Redundant Robotic Manipulator Base on QR Decomposition[J]. Computer Engineering & Software,2013, 34(11): 64-66(in Chinese)韓亮亮, 葉平, 孫漢旭. 基于QR分解的冗余度機械臂雅可比矩陣求逆方法[J]. 軟件, 2013, 34(11): 64-66

[12] Hu Qi. Application and Research of QR Code in Equipment Management Information System[J]. Computer Engineering& Software, 2014, 35(8): 125-128(in Chinese)胡奇. QR碼在裝備管理信息系統(tǒng)中的應用研究[J]. 軟件,2014, 35(8): 125-128

[13] ZHANG Bo, LIU Jia, WEI Sui. Joint Source and Channel Coding based on Distributed Compressed Sensing[J]. The Journal of New Industrialization, 2011, 1(5): 10-15. (in Chinese)張波, 劉佳, 韋穗. 一種基于分布式壓縮傳感的信源信道聯(lián)合編碼方法[J]. 新型工業(yè)化, 2011, 1(5): 10-15.

[14] Lin Jiahua, Yang Yong, Ren Wei. Attacks in QR Code and Defending Countermeasures[J]. Netinfo Security, 2013(05).(in Chinese)林嘉華, 楊永, 任偉. QR二維碼的攻擊方法與防御措施[J].信息網(wǎng)絡(luò)安全, 2013(05)Sun Yeqiang, Wang Xiaohong. Information Encryption Technology with Strong Robustness Based on QR Code and Matrix Mapping[J]. Packaging Engineering, 2017, 38(5). (in Chinese)

[15] 孫業(yè)強, 王曉紅. 基于QR碼和矩陣映射的強魯棒性信息加密技術(shù)[J]. 包裝工程, 2017, 38(5).