二维码安全识别系统的研究与设计

钟敏 吴晓凌 陈乐

摘要：二维码由于存储量大、编码范围广、成本低和追踪性高等特性，在我国的应用风起云涌，但其安全风险巨大，不仅会波及人民群众的生活，还会对社会安全构成严重威胁。本文对二维码安全识别问题进行了研究，提出了一种系统设计方案，通过软件提前识别二维码的真正意图，防止手机用户误入陷阱，造成相关损失。

关键词：二维码;安全识别;系统设计

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2020）22-0198-02

開放科学（资源服务）标识码（OSID）：

在当今的日常生活中，手机这个角色显得越来越重要，二维码也成了生活中必不可少的信息交换方式，例如用户可以通过让他人扫描自己的二维码来添加个人社交软件账号，也可以用支付App的支付收款二维码进行付款和收款，大到百货餐饮酒店出行，小到街边小摊小店，无处不在。第40次《中国互联网络发展状况统计报告》中披露，我国移动支付用户规模在2017年6月已达到5.02亿，有4.63亿网民在线下消费时使用手机支付，其中很多都是通过扫描二维码实现的。

1 二维码概述

二维码作为一种有效的信息传输方式，可以将各种数字化信息如文字，图形等进行编码，即在原先一维条形码的基础上向多维方向扩展，发展出矩阵式（Matrix）二维条形码。因为它具有信息容量大、密度高、纠错能力强和可靠性高等特点，在1990年代初开始就逐渐得到使用。国际自动识别制造商协会（ AIM）和美国标准化协会（ANSI）等机构在二维码标准化方面，已完成了PDF417，QR Code，Code 49.Code 16K.Code One等码制的符号标准研究。因此二维码技术被应用于海关、税务、医疗、商业、交通运输、邮政等，成为现今人们日常生活中必不可少的一部分。

二维码由数据生成，其本身就是一个黑白相间的矩形方阵图形，只要有专门生成二维码图像的软件就可以直接生成，扫码解析也是同样的道理。二维码因为独特的成本低、容量大和制作简单等优点，被各大企业和互联网厂商广泛地使用。但是，由于二维码是新生事物，人们对二维码并不熟悉，这样就极易被犯罪分子利用。

2 二维码的安全隐患

随着二维码的使用日益频繁，越来越多的安全性问题也接二连三的出现，如钓鱼网站、手机病毒和恶意攻击程序等。

二维码技术虽然应用普遍，但关于其规范使用方面的制度还处于暂无状态，所以只要有二维码生成软件，就能根据用户的输入来得到相应的二维码，可以无门槛地制作生成含有木马病毒或者手机吸费程序等恶意链接的二维码。再加上目前没有相关法律制约，二维码可以随意进行发布和传播，不法分子往往使用促销打折广告、游戏推广或系统升级信息等作为伪装。一旦在联网状态下扫描这些恶意二维码，手机就会自动执行设置在二维码中的链接从而导致手机中毒，手机里存储的银行卡号或通讯录等隐私信息可能会造成泄露。总的来说，就是应用安全和信息安全风险巨大。

3 方案设计

本文设计的二维码安全识别系统目的是检测并拦截木马病毒。该系统可以在用户扫描二维码时检测病毒，如果是安全，将自动进入;如果有异常，将提醒通知用户，并自动拦截。

该系统从功能上划分为客户端和服务器端二部分，客户端能够通过扫码系统对二维码图像进行扫描和解析，并与数据库进行简单的白名单匹配;如果数据库无法对解析的网址进行检测，则将解析的网址发送至云端服务器进行再次检测。在服务器端，首先对网址进行更大的白名单和黑名单匹配，如果无法匹配则利用虚拟机先行登录网站辨别是否为恶意网站，若是则拦截，不是则回退给客户，工作原理如图1所示。

该系统的实现形式为工具类软件（如图2）。目前市场上还没有专门的二维码安全检测软件，因此本产品有一定的独创性。使用本产品可以放心扫描二维码，系统会自动过滤各种垃圾网页，将病毒扼杀于摇篮之中，保障用户的手机、财产以及个人信息的安全。

1）自动拦截木马病毒（如图3）：在用户扫描二维码时检测木马病毒，如果有异常，将自动拦截，并提醒用户。

2）显示链接信息（如图4）：通过安全识别，显示出二维码生成方的基本信息，包括主办方、网站类型等。让用户不但可以了解二维码的来源，还可查询到商家和企业的信息。

在具体实现时，数据库信息会使用国内最大的第三方网络安全数据共享交换平台——安全联盟。安全联盟是由知道创宇和腾讯等互联网企业发起的第三方公益组织，它目前已拥有超过8.9亿条恶意网址或电话数据。将这些数据应用于扫码过程，可以准确地识别出二维码链接的恶意网址，并对这些网站访问行为进行拦截，保护用户的上网安全。

5 结论

由于相关核心技术及知识产权大多来自国外，二维码技术来源不可控，为不良信息的传播提供了新的渠道，如木马病毒、钓鱼网站、与移动支付相关联的金融诈骗等。我国目前尚未建立标准而完善的二维码应用体系，缺乏国家层面的标准规范指导及严格的应用监管。绝大多数二维码扫码工具都没有识别和拦截恶意网址的能力，也没有专门的二维码安全检测工具，由此可见关于二维码安全识别系统的研究与实现已成了当务之急。

本文设计的产品定位是工具型软件，受众广泛，适用性强，主要通过增值服务收取费用来获取收益。随着5G商用，用户体验会得到极大改善，预期收入基本稳定，市场也比较开阔。技术成熟后，可与其他支付类软件合作，获取更大收益。

参考文献：

[1]吴书芳，田春辉.无所不在的小方块——二维码的安全性探讨[Jl，电脑知识与技术，2019，15（3）：274-275.

[2]谭德林。李均利.基于DHKE的二维码技术[J].微电子学与计算机，2018，35（2）：22-25.

[3]肖志伟，郝海彤，李琪，等.基于Android系统的二维码安全检测系统的设计与实王见[J].网络安全技术与应用，2015（4）：75，77.

[4]伊恩泽，佟新，魏震，等.Android智能终端二维码安全检测系统的设计与实现[J].电脑知识与技术，2017（8）：61-65.

【通联编辑：唐一东】

基金项目：湖北省教育厅科学研究计划项目（B2014157）;湖北省大学生创新创业训练项目（S201912362027）

作者简介：钟敏（1971-），男，湖北武汉人，武汉工程职业技术学院，讲师，博士在读，研究方向：软件工程理论与方法、软件工程技术;通讯作者：吴晓凌（1980-），女，湖北武汉人，武汉生物工程学院，副教授，博士，研究方向：软件工程理论与方法、软件工程技术。