張 豐，施 勇，薛 質

(上海交通大學 電子信息與電氣工程學院 上海市信息安全綜合管理技術研究重點實驗室,上海 200240)

二維QR碼在電子商務中應用的安全性研究

張 豐，施 勇，薛 質

(上海交通大學 電子信息與電氣工程學院 上海市信息安全綜合管理技術研究重點實驗室,上海 200240)

近年來，二維QR碼在電子商務中的應用越來越廣泛，但是隨之也出現(xiàn)了許多關于二維碼的安全問題。因此，主要采用文獻調研以及實驗實踐的方法，研究了二維QR碼在電子商務中的應用以及安全性問題。對二維QR碼的構成、來源、特點進行了概述，對二維QR碼在當今電子商務中各個方面的應用，如安全登錄、掃描購物、電子憑證、二維碼支付等，進行了介紹，并對二維QR碼在電子商務應用中的安全性問題，如物理攻擊、隱私泄露、掃描攻擊等，進行了總結。從信息安全具體的安全屬性出發(fā)，總結和提出了對二維碼內容進行加密、對發(fā)布者發(fā)布的二維碼提供身份認證機制這兩大改進方向。

二維QR碼;電子商務;安全性研究

0 引 言

電子商務經過10多年的發(fā)展，如今已成為人們生活中必不可少的一部分。它創(chuàng)造了大量的就業(yè)崗位，推動了經濟發(fā)展，更孕育出了像阿里巴巴、支付寶這樣的互聯(lián)網巨頭。電子商務在PC互聯(lián)網上已相當成熟，各大公司紛紛把新的戰(zhàn)略要點聚集在移動互聯(lián)網上。

而近年來，帶攝像頭的觸屏智能手機的普及，帶動了許多新的技術應用，如手機購物、手機支付、打車軟件、二維碼支付等等。二維碼得益于智能手機的發(fā)展，在電子商務的各領域得到了應用，像在日本和韓國，近8成手機用戶通過手機“掃描上網”和購買電子票據(jù)。在中國，像二維防偽碼，演唱會二維電子票，地鐵站通道的二維碼購物墻，手機支付寶的掃一掃轉賬，付款碼，報紙雜志上的廣告二維碼，等等[1-3]，隨處可以找到。在中國廣泛使用的二維碼基本上是日本Denso-Wave公司發(fā)明的QR(Quick Response)碼，正如其名，相比于其他二維碼有快速識別，360°拍攝讀取無限制，高密度，大容量，抗污損能力強等優(yōu)點。

在二維碼給人們帶來便利、新穎的好處時，許多問題也伴隨而來。如火車票最開始應用二維碼時的泄露信息問題，有報道的手機掃一掃二維碼，手機話費被扣光問題，支付寶賬號被盜問題，等等。由此，研究二維碼的安全性就有了非常重大的意義。

1 二維QR碼簡介

二維碼是按一定規(guī)律在平面上(二維方向)分布黑白像素的特定圖形。相對于一維條形碼只能在一個方向分布信息，二維碼具有密度大，能承載大量信息的優(yōu)點。常見的二維碼有行排列式二維碼CODE49、PDF417,矩陣式二維碼Data Matrix、QR Code等。矩陣式二維碼在矩陣元素位置上，出現(xiàn)黑色(也支持其他顏色)方點表示二進制“1”，不出現(xiàn)點表示二進制“0”，點的排列組合確定了矩陣式二維碼所代表的意義。

QR碼于1994年由日本Denso-Wave公司發(fā)明，QR碼的標準JIS X 0510在1999年發(fā)布，而其對應的國際標準是ISO/IEC18004。QR碼是屬于開放式的標準，其規(guī)格公開，而由Denso Wave公司持有的專利權益，并不會被執(zhí)行，所以世界各國紛紛采用了QR碼技術。國內在原標準基礎上進行適當修改，于2000年發(fā)布了相對應的國家標準GB/T18284。

圖1是版本等級2的QR圖，它是25*25規(guī)格的。QR碼提供了40個版本，最小的版本是21*21模塊的，最大的版本則是177*177。

圖1 QR碼版本二

圖中的左上角、左下角和右上角的3個“回”字結構是QR碼的位置探測圖形，用于快速識別圖形方向，它可以使拍攝時不受角度限制；而右下角的1個“回”字結構是校正圖形，用于確定和校正符號中模塊的坐標；另外，QR碼可以根據(jù)實際需要，靈活選擇糾錯等級。QR碼按糾錯等級分為4等，分別有7%，15%，25%的碼字被糾正。其他更多信息請參見文獻[4],它是國內的QR碼標準。

2 QR碼在電子商務中的應用

QR碼主要和手機一起使用，根據(jù)其具體使用方式的差別，將其分為主讀類應用和被讀類應用。被讀類應用主要將手機作為接收和存儲QR碼的地方，需要由其他設備來識別讀取二維碼信息，讀取信息之后的業(yè)務也不在手機上執(zhí)行。典型的應用如電子優(yōu)惠券、電子會員卡等。主讀類應用是手機安裝有二維碼識讀軟件，并用手機攝像頭識讀二維碼，在手機本地解析或者通過網絡與相應系統(tǒng)數(shù)據(jù)庫進行交互處理，然后再執(zhí)行具體的業(yè)務。下面將介紹QR碼在電子商務中的幾大類典型應用。

2.1 安全登錄

長久以來，在登陸網站的方式是登錄名和密碼。但是，當想在公共場所(比如網吧)登錄淘寶網時，會有很多安全險患。然而現(xiàn)在很多購物網站(像淘寶網)提供了QR碼登錄方式，具體流程如圖2所示。

圖2 QR碼安全登錄流程

根據(jù)流程圖可知，在電腦上登錄淘寶網的過程中，并沒有在電腦上輸入任何信息，登錄信息是通過手機網絡(不要走Wifi網絡，走3G網絡更安全)進行的，相對來說比較安全。其具體的實現(xiàn)原理是，網站上的二維碼內容有一個獨特的標識序列，用戶用登錄的手機掃描后，會將這個唯一的標識序列發(fā)送到網站的服務器。服務器接到消息后，確認登錄的手機客戶端的身份，然后將登錄的網站展現(xiàn)給用戶[5]。

2.2 商品防偽溯源

以往，若要辨別一個商品的真?zhèn)涡枰浵律唐返姆纻未a，然后到商品對應官網或國家食品(產品)安全追溯平臺進行查詢[6]，有時并不方便?，F(xiàn)在淘寶手機客戶端已經支持“中國藥品電子監(jiān)管碼”的查詢，經掃描條碼后，可以查到藥品自被生產出來后的流轉信息。手機軟件應用市場的“我查查”軟件也提供類似的防偽溯源功能，此外，它還提供比價功能，展示該產品在附近商場超市的不同價格。而類似QR碼能夠承載更多的信息，以后會支持更多商品的防偽溯源查詢。

2.3 電子憑證

現(xiàn)代生活中，人們離不開各種卡券，然而卡券多了以后，攜帶不便，易于丟失，而且卡券本身也有成本，補辦麻煩。而二維QR碼電子卡券就解決了很多問題，它攜帶方便，幾乎無成本，像綁定支付寶的世紀聯(lián)華電子卡，銀泰電子卡，即使丟失手機，也不會丟失卡。這樣的例子有電子會員卡、電子提貨券、電子優(yōu)惠券、電影票電子券等?，F(xiàn)在支付寶手機錢包的“服務號”欄目就提供了很多實體商店的公眾號，也綁定了用戶的電子卡券，這將線上營銷和線下使用相結合，具有很強的發(fā)展趨勢。

2.4 二維碼“掃描購物”

在各家互聯(lián)網公司爭奪移動互聯(lián)網入口的戰(zhàn)爭中，二維碼是極為重要的一個戰(zhàn)場。淘寶網制訂了“碼上淘”戰(zhàn)略，在其網址www.ma.taobao.com上，淘寶賣家可以根據(jù)需要生成多種QR商品碼、媒體碼、服務碼、店鋪碼等。騰訊公司的微信也推出了微信二維碼。在很多報紙雜志，商品包裝上可以看到很多二維碼廣告，還有地鐵通道的二維碼購物墻等等。究其本質來說，這些二維碼信息提供的只是一個網址，但是網址手動輸入易輸錯并且耗時，而手機“掃一掃”卻極為方便，這使得掃描購物極為流行。

2.5 二維碼支付

根據(jù)支付寶的解釋，二維碼支付是商家將賬號商品價格等一系列信息匯編成一個二維碼，用戶通過移動手機終端掃拍二維碼便可實現(xiàn)支付結算的體系。2014年3月13日，央行下達《中國人民銀行支付結算司關于暫停支付寶公司線下條碼(二維碼)支付等業(yè)務意見的函》，叫停了二維碼支付業(yè)務。其中提到，將條碼(二維碼)應用于支付領域的有關技術，其終端的安全標準尚不明確，安全性尚存質疑，存在一定的支付風險隱患。這被很多業(yè)內人士質疑為是由于支付寶侵蝕了銀聯(lián)線下收單市場的利益。

然而，現(xiàn)在根據(jù)行業(yè)內“法不禁則行”的定律，各公司在私下里仍在偷偷進行二維碼支付業(yè)務。目前，二維碼支付主要分成4方力量在主導。

首先，是支付寶公司主導的“付款碼”方式，它已經在全國15 000多家便利店和超市，還有像銀泰百貨這樣的商場布置開來。其支付流程如圖3所示。

經過實踐分析，手機支付寶中的付款碼信息只是一個數(shù)字序列，并無任何其他信息。它應用的是信息安全技術中的數(shù)字口令技術，原理為：手機支付寶客戶端和支付寶服務器各自能產生數(shù)字序列，產生方法是前一串數(shù)字經過一個特定的單項函數(shù)后會產生后一串數(shù)字。手機支付寶中的數(shù)字序列和服務器的數(shù)字序列剛開始是相同狀態(tài)，當手機產生新的數(shù)字串并傳到服務器時，服務器也依次產生出對應的數(shù)字串，這樣就能進行身份認證。如果服務器產生了一定數(shù)量的序列，卻沒有與客戶端發(fā)送過來的對應，則會認證失敗，手機客戶端需要和服務器重新同步。

圖3 支付寶付款碼支付流程

付款碼支付過程具體的信息流為：收銀員結算好商品，在結算電腦上產生交易商品信息，產生交易數(shù)字序列號；顧客點擊付款碼，手機支付寶產生付款碼，即一個與該支付寶賬戶對應的數(shù)字序列號；收銀員用掃描槍掃描付款碼，掃描槍解析付款碼信息，并傳輸?shù)街Ц秾殧?shù)據(jù)庫中，驗證與該序列號對應的支付寶賬戶，如果賬戶余額足夠，則發(fā)送支付請求確認信息到顧客的手機支付寶；用戶在手機支付寶彈出的請求確認支付框中輸入支付密碼確認支付，如果密碼正確則交易成功；收銀機打印交易憑條。

其次，微信在“微信支付”中推出一個新模塊“刷卡”。微信的“刷卡”類似于支付寶的“付款碼”，兩者的支付過程和支付形式幾乎一樣。兩者都是互聯(lián)網巨頭，憑借在移動端巨大的用戶數(shù)發(fā)力，其影響力巨大。但是由于兩者存在競爭關系，互相屏蔽了對方的二維QR碼，這讓有些商家在做二維碼推廣時，不得不制作雙份二維碼，增加了推廣成本和麻煩。

再者，是以銀行為代表的一方。銀行和自己的特約商戶合作，特約商戶生成只對應于該行的二維碼，而顧客只能用該行的移動客戶端才能掃描解碼。很多銀行都推出自己的二維碼，各家二維碼不能相互識別，不易大規(guī)模推廣開來。這里介紹中信銀行推出的“異度支付”的支付過程：

(1)安裝中信銀行手機客戶端。

(2)在客戶端綁定一個中信銀行賬戶。

(3)結賬時，售貨員在二維碼終端機輸入金額，二維碼終端機產生支付二維碼。

(4)顧客用手機客戶端掃描二維碼終端機上的二維碼。

(5)掃描成功，手機客戶端得到交易信息。

(6)用戶確認交易信息，并輸入密碼確認。

(7)交易成功。

最后一方不可忽視的力量就是銀聯(lián)。在二維碼推出以前，線下POS收單市場的費用是發(fā)卡行：收單行：銀聯(lián)按7∶2∶1的比例分配。當支付寶的二維碼支付推出到市場上以后，各方只需要在支付寶有一個結算賬戶，那么交易時的資金結算完全在支付寶體系內進行。銀聯(lián)被架空了，它的那一份收單結算費用就消失了。所以銀聯(lián)迫不及待要應對這種挑戰(zhàn)，銀聯(lián)的策略是推出手機客戶端二維碼支付插件，該插件可以產生屬于銀聯(lián)標準的二維碼，并且可以掃描屬于銀聯(lián)標準的二維碼，然后將該插件整合到各家銀行的手機客戶端中。通過這種方法，銀聯(lián)在二維碼支付中會要求銀行進行手續(xù)費率的分成，仍舊可以謀取利益。另一方面，這種方法產生統(tǒng)一標準的二維碼，各家銀行客戶端都可以掃描該二維碼，有利于推廣和方便用戶使用。當然以后也有可能銀聯(lián)推出自己的手機二維碼客戶端軟件，人們在一個客戶端上可以綁定很多銀行卡，在支付時只需要選擇一張銀行卡，然后客戶端就產生對應銀行賬戶的二維碼[7]。

3 QR碼在應用中的安全問題

目前，二維碼應用中存在很多安全問題，文獻[8-9]有一些介紹。文中綜合現(xiàn)存的安全問題和攻擊方法，將其分為4類進行討論。

3.1 物理攻擊

物理攻擊可以用筆涂改已有二維碼，使用戶掃描后定位到已被掛馬控制的網站。其具體做法是，首先解析出原有正常二維碼的信息，列舉許多已被控制的與原二維碼中網址相近的網址。然后按照原二維碼的編碼格式將這些相近網址進行編碼，并與原二維碼進行對照，選取與原二維碼最相近的一個新生成的二維碼，然后通過計算,涂改原二維碼一部分像素單位，使用戶掃描涂改后的二維碼被糾錯定位到有問題的網址。該方法比較笨拙，實現(xiàn)耗時費力，只能對一些特定二維碼進行攻擊。

3.2 掃描攻擊

二維碼在許多場合的本質是將用戶定位到一個網址，而許多用戶根本無法分辨該網址是否安全。因此，結合在計算機上基于網頁攻擊的方法，可以通過二維碼，將用戶定位到釣魚網站，傳播惡意APP，甚至進行SQL注入，跨站腳本攻擊，等等。例如，有報道的掃二維碼支付寶錢包被盜事件，大多數(shù)情況其流程如下：

用戶掃描二維碼→程序識別結果為網址鏈接→程序詢問是否打開→用戶打開鏈接后自動下載惡意程序→下載完成→彈出APP安裝界面并詢問用戶是否安裝→用戶選擇安裝→APP安裝完成→點擊APP圖標啟動→手機中毒[10]。

之后木馬病毒運行在用戶手機中，讀取手機號碼并將其發(fā)送到木馬制作者那里，木馬制作者用該手機號登錄支付寶網站并選擇忘記密碼。支付寶將驗證碼發(fā)送到用戶手機，而用戶手機中的木馬比短信系統(tǒng)先攔截驗證碼短信，將其發(fā)給木馬制作者，然后刪除短信。在修改完支付密碼后，木馬制作者就可以對用戶支付寶賬戶資金進行轉賬盜取，而用戶卻完全不知道。

3.3 隱私泄露

大多數(shù)二維碼是明文編碼的，為像上面提到的物理攻擊提供了可能。鐵道部在最初將二維碼應用于火車票防偽時，并沒有做好加密措施，從而產生了隱私泄露問題。此外，在進行支付寶二維碼支付實驗時發(fā)現(xiàn)，支付寶的“付款碼”支持離線支付，當你開啟小額免密碼支付時，手機端產生付款碼，在不需要聯(lián)網的情況下，被掃描槍一掃就能扣款。

根據(jù)前面已經講述過的原理可知，支付寶付款碼序列碼只是由手機客戶端產生，而非聯(lián)網后通過后臺數(shù)據(jù)庫產生，如果手機客戶端的信息加密不當，非常容易造成信息泄露。有可能被黑客逆向后，找到生成付款碼數(shù)字序列的方法[11]。

3.4 身份認證

由于二維碼沒有身份驗證機制，用戶無法鑒別一個二維碼的真?zhèn)?，這在一定程度上讓一部分用戶對二維碼望而卻步。另一方面，這也為基于二維碼的一些攻擊提供了土壤[12]。

4 QR碼安全問題的應對

信息技術中對安全性的要求在二維碼應用中主要體現(xiàn)在4個方面：

(1)可認證性：對二維碼來源是可以確認的。

(2)保密性：隱私的信息不能被非相關人員不法獲得。

(3)完整性：確保二維碼消息不被修改，如果遭到了修改，是可以被驗證發(fā)現(xiàn)的。

(4)不可否認性：消息的發(fā)布者不能否認它發(fā)布的二維碼。

根據(jù)安全性要求和上一節(jié)列舉的二維碼應用中的問題，基本的解決思路主要有兩方面：對二維碼內容進行加密和提供認證機制。

如果單純的只對二維碼進行加密，即對要編碼的信息先加密，然后再將加密后的密文進行編碼[13]。但是加密系統(tǒng)時常面臨密鑰更改的問題，如果不能方便進行整個系統(tǒng)的密鑰更改，是不行的。加密手段在有些場合可以解決問題，比如火車票，因為火車票只在進出站時需要掃描，掃描解密密鑰可在檢票系統(tǒng)比較方便的同步或者更新。但是在其他場合，比如銀行的二維碼，它在加密后，就只能被自家的客戶端解密。

身份認證，在電腦上已經有比較成熟的應用，如成熟的PKI體系。但是手機的計算能力有限，無法達到RSA加解密和證書認證的要求。然而，二維碼的認證可以借鑒WAP中的WPKI密鑰體系[14]。WPKI是為無線環(huán)境中的應用提供密鑰和證書管理，它采用PKI中簡化的證書格式，并用加密能力更強但是對計算能力要求低很多的ECC公鑰算法。

在國內，如果銀聯(lián)可以和支付寶，各銀行聯(lián)合起來，推出統(tǒng)一格式的二維碼，并推出類似PKI體系的身份認證機制，二維碼的應用將迎來一個新的春天。

此外，還有云掃描技術可以提高二維碼在使用中的安全性。以往的掃描上網過程是：

(1)用戶用手機客戶端掃描二維碼。

(2)手機客戶端解析出二維碼中的網址，并顯示網址信息(有些客戶端不顯示網址，而直接連接)。

(3)用戶點擊網址。

(4)瀏覽器打開網址并連接。

現(xiàn)在電腦瀏覽器上都有云掃描過程，當你輸入一個網址后，瀏覽器首先會先將網址與數(shù)據(jù)庫比對，如果是一個掛馬網站，瀏覽器就會提醒用戶該網站危險，是否確認打開[15]。在手機客戶端掃描二維碼的過程中，也可以借鑒這一做法?？蛻舳私馕龀鼍W址后不會馬上打開，而是先聯(lián)網與后臺數(shù)據(jù)庫比對掃描，然后再提示用戶操作。當然,要求聯(lián)網可能會帶來使用不便，在不要求聯(lián)網的情況下可以使用離線數(shù)據(jù)庫比對，這樣也能大大提高安全性。

5 結束語

當前正處于移動互聯(lián)時代，二維QR碼由于優(yōu)點眾多而被廣泛使用，給人們的生活帶來了諸多益處，但也伴隨許多安全隱患。隨著手機計算能力的不斷提升和人們對安全性的不斷要求，相信在不久的將來至少在國內會形成比較統(tǒng)一的編碼標準和身份認證以及加密體系。到那時，二維碼將發(fā)揮更強大的作用。

[1] Gao J Z,Prakash L,Jagatesan R.Understanding 2D-barcode technology and applications in m-commerce-design and implementation of a 2D barcode processing solution[C]//International computer software and applications conference.[s.l.]:IEEE,2007:49-56.

[2] Li H.Benchmarking the use of QR code in mobile promotion[J].Journal of Advertising Research,2012(3):102-117.

[3] 黃 宇.二維碼在移動電子商務中的應用[J].中國新通信,2006(5):78-80.

[4] GB/T 18284-2000快速響應矩陣碼[S].北京:國家質量技術監(jiān)督局,2000.

[5] 潘繼財.二維條碼技術及應用淺析[J].商場現(xiàn)代化,2009(9):118-120.

[6] 韓 韋.手機二維碼應用及安全性分析[J].信息與電腦:理論版,2012(7):19-20.

[7] Lee Y S,Kim N H,Lim H,et al.Online banking authentication system using mobile-OTP with QR-code[C]//5th international conference on computer sciences and convergence information technology.[s.l.]:IEEE,2010:644-648.

[8] 林佳華,楊 永,任 偉.QR二維碼的攻擊方法與防御措施[J].信息網絡安全,2013(5):29-32.

[9] Kieseberg P,Leithner M,Mulazzani M,et al.QR code security[C]//Proceedings of the 8th international conference on advances in mobile computing and multimedia.[s.l.]:ACM,2010:430-435.

[10] 欒 宇,李洪祚.移動惡意軟件治理關鍵技術研究[J].郵電設計技術,2013(6):52-55.

[11] Gao J,Kulkarni V,Ranavat H,et al.A 2D barcode-based mobile payment system[C]//Third international conference on multimedia and ubiquitous engineering.[s.l.]:IEEE,2009:320-329.

[12] Liao K C,Lee W H.A novel user authentication scheme based on QR-code[J].Journal of Networks,2010(8):937-941.

[13] 付利莉.DES算法在二維條碼數(shù)據(jù)加密中的應用[J].石油化工高等學校學報,2005,18(2):80-82.

[14] 馮 韻.移動支付中身份認證分析與研究[J].信息通信,2012(3):107-109.

[15] 邸洪波,于紹輝,蘇吉成.網站安全掃描產品的分析與比較[J].信息網絡安全,2014(9):180-183.

Research on Security of Application of 2-Dimentional QR Code in Electronic Commerce

ZHANG Feng,SHI Yong,XUE Zhi

(Key Laboratory of Integrated Administration Technologies for Information Security of Shanghai,School of Electronic Information and Electrical Engineering of Shanghai Jiaotong University,Shanghai 200240,China)

In recent years，the application of 2-Dimentional (2D) QR code has more and more extensive in E-commerce，accompanying with many security issues.Hence，the application and security issue of QR code in the E-commerce are studied by means of document research and experiment.The formation,origin and features of 2D QR code are summed up,diverse applications of QR code in current E-commerce including secure login,scanning shopping,electronic certificate，2-Dimensional code payment are introduced,and the emerging security issues such as physical attacks，privacy divulging，scanning attacks and so on summarized.Finally,by referring the attributions of information security，two improving ways of encryption of 2D code contents and offering authentication of the issued specific 2D code are summed up.

2-Dimentional QR code;E-commerce;security study

2015-12-08

2016-04-13

時間：2017-02-17

國家自然科學基金資助項目(61332010)

張 豐(1990-)，男，碩士，研究方向為電子商務信息安全;薛 質，教授，研究方向為信息安全。

http://www.cnki.net/kcms/detail/61.1450.TP.20170217.1623.004.html

TP393

A

1673-629X(2017)03-0131-05

10.3969/j.issn.1673-629X.2017.03.027