二維碼安全識別系統的研究與設計

鐘敏 吳曉凌 陳樂

摘要：二維碼由于存儲量大、編碼范圍廣、成本低和追蹤性高等特性，在我國的應用風起云涌，但其安全風險巨大，不僅會波及人民群眾的生活，還會對社會安全構成嚴重威脅。本文對二維碼安全識別問題進行了研究，提出了一種系統設計方案，通過軟件提前識別二維碼的真正意圖，防止手機用戶誤入陷阱，造成相關損失。

關鍵詞：二維碼;安全識別;系統設計

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2020）22-0198-02

開放科學（資源服務）標識碼（OSID）：

在當今的日常生活中，手機這個角色顯得越來越重要，二維碼也成了生活中必不可少的信息交換方式，例如用戶可以通過讓他人掃描自己的二維碼來添加個人社交軟件賬號，也可以用支付App的支付收款二維碼進行付款和收款，大到百貨餐飲酒店出行，小到街邊小攤小店，無處不在。第40次《中國互聯網絡發展狀況統計報告》中披露，我國移動支付用戶規模在2017年6月已達到5.02億，有4.63億網民在線下消費時使用手機支付，其中很多都是通過掃描二維碼實現的。

1 二維碼概述

二維碼作為一種有效的信息傳輸方式，可以將各種數字化信息如文字，圖形等進行編碼，即在原先一維條形碼的基礎上向多維方向擴展，發展出矩陣式（Matrix）二維條形碼。因為它具有信息容量大、密度高、糾錯能力強和可靠性高等特點，在1990年代初開始就逐漸得到使用。國際自動識別制造商協會（ AIM）和美國標準化協會（ANSI）等機構在二維碼標準化方面，已完成了PDF417，QR Code，Code 49.Code 16K.Code One等碼制的符號標準研究。因此二維碼技術被應用于海關、稅務、醫療、商業、交通運輸、郵政等，成為現今人們日常生活中必不可少的一部分。

二維碼由數據生成，其本身就是一個黑白相間的矩形方陣圖形，只要有專門生成二維碼圖像的軟件就可以直接生成，掃碼解析也是同樣的道理。二維碼因為獨特的成本低、容量大和制作簡單等優點，被各大企業和互聯網廠商廣泛地使用。但是，由于二維碼是新生事物，人們對二維碼并不熟悉，這樣就極易被犯罪分子利用。

2 二維碼的安全隱患

隨著二維碼的使用日益頻繁，越來越多的安全性問題也接二連三的出現，如釣魚網站、手機病毒和惡意攻擊程序等。

二維碼技術雖然應用普遍，但關于其規范使用方面的制度還處于暫無狀態，所以只要有二維碼生成軟件，就能根據用戶的輸入來得到相應的二維碼，可以無門檻地制作生成含有木馬病毒或者手機吸費程序等惡意鏈接的二維碼。再加上目前沒有相關法律制約，二維碼可以隨意進行發布和傳播，不法分子往往使用促銷打折廣告、游戲推廣或系統升級信息等作為偽裝。一旦在聯網狀態下掃描這些惡意二維碼，手機就會自動執行設置在二維碼中的鏈接從而導致手機中毒，手機里存儲的銀行卡號或通訊錄等隱私信息可能會造成泄露。總的來說，就是應用安全和信息安全風險巨大。

3 方案設計

本文設計的二維碼安全識別系統目的是檢測并攔截木馬病毒。該系統可以在用戶掃描二維碼時檢測病毒，如果是安全，將自動進入;如果有異常，將提醒通知用戶，并自動攔截。

該系統從功能上劃分為客戶端和服務器端二部分，客戶端能夠通過掃碼系統對二維碼圖像進行掃描和解析，并與數據庫進行簡單的白名單匹配;如果數據庫無法對解析的網址進行檢測，則將解析的網址發送至云端服務器進行再次檢測。在服務器端，首先對網址進行更大的白名單和黑名單匹配，如果無法匹配則利用虛擬機先行登錄網站辨別是否為惡意網站，若是則攔截，不是則回退給客戶，工作原理如圖1所示。

該系統的實現形式為工具類軟件（如圖2）。目前市場上還沒有專門的二維碼安全檢測軟件，因此本產品有一定的獨創性。使用本產品可以放心掃描二維碼，系統會自動過濾各種垃圾網頁，將病毒扼殺于搖籃之中，保障用戶的手機、財產以及個人信息的安全。

1）自動攔截木馬病毒（如圖3）：在用戶掃描二維碼時檢測木馬病毒，如果有異常，將自動攔截，并提醒用戶。

2）顯示鏈接信息（如圖4）：通過安全識別，顯示出二維碼生成方的基本信息，包括主辦方、網站類型等。讓用戶不但可以了解二維碼的來源，還可查詢到商家和企業的信息。

在具體實現時，數據庫信息會使用國內最大的第三方網絡安全數據共享交換平臺——安全聯盟。安全聯盟是由知道創宇和騰訊等互聯網企業發起的第三方公益組織，它目前已擁有超過8.9億條惡意網址或電話數據。將這些數據應用于掃碼過程，可以準確地識別出二維碼鏈接的惡意網址，并對這些網站訪問行為進行攔截，保護用戶的上網安全。

5 結論

由于相關核心技術及知識產權大多來自國外，二維碼技術來源不可控，為不良信息的傳播提供了新的渠道，如木馬病毒、釣魚網站、與移動支付相關聯的金融詐騙等。我國目前尚未建立標準而完善的二維碼應用體系，缺乏國家層面的標準規范指導及嚴格的應用監管。絕大多數二維碼掃碼工具都沒有識別和攔截惡意網址的能力，也沒有專門的二維碼安全檢測工具，由此可見關于二維碼安全識別系統的研究與實現已成了當務之急。

本文設計的產品定位是工具型軟件，受眾廣泛，適用性強，主要通過增值服務收取費用來獲取收益。隨著5G商用，用戶體驗會得到極大改善，預期收入基本穩定，市場也比較開闊。技術成熟后，可與其他支付類軟件合作，獲取更大收益。

參考文獻：

[1]吳書芳，田春輝.無所不在的小方塊——二維碼的安全性探討[Jl，電腦知識與技術，2019，15（3）：274-275.

[2]譚德林。李均利.基于DHKE的二維碼技術[J].微電子學與計算機，2018，35（2）：22-25.

[3]肖志偉，郝海彤，李琪，等.基于Android系統的二維碼安全檢測系統的設計與實王見[J].網絡安全技術與應用，2015（4）：75，77.

[4]伊恩澤，佟新，魏震，等.Android智能終端二維碼安全檢測系統的設計與實現[J].電腦知識與技術，2017（8）：61-65.

【通聯編輯：唐一東】

基金項目：湖北省教育廳科學研究計劃項目（B2014157）;湖北省大學生創新創業訓練項目（S201912362027）

作者簡介：鐘敏（1971-），男，湖北武漢人，武漢工程職業技術學院，講師，博士在讀，研究方向：軟件工程理論與方法、軟件工程技術;通訊作者：吳曉凌（1980-），女，湖北武漢人，武漢生物工程學院，副教授，博士，研究方向：軟件工程理論與方法、軟件工程技術。