二维码的安全问题

2024-06-07

二维码的安全问题（精选八篇）

二维码的安全问题篇1

关键词：二维条码,安全,综合保护模型

信息传输的快速发展,促使信息识别的条码技术应运而生。一维条码将线条与空白按照一定的编码规则组合起来,用以代表字母、数字等信息,是对“物品”的标识而非描述。二维条码则不同,它具有高密度、高容量、纠错强和成本低等特点,不依赖网络和数据库,因此广泛应用于电子凭证、防伪溯源、平面杂志以及数字出版等方面。但近年来,在二维码使用中出现了各种安全问题,阻碍了它的应用和发展。基于此,本文针对二维码的安全隐患,提出一种系统化的二维码安全综合保护模型。

1 二维码应用中的安全隐患

1)手机病毒和恶意网址等攻击形式借助二维码快速传播。如果二维码链接的是恶意应用或恶意网址,当用户通过手机扫描这种二维码时,就会遭遇安全威胁。据报道,2012年上半年查杀到手机恶意软件共计17676款,比2011年下半年增长42%,感染手机1283万部,比2011年同期增长177%。

2)随手丢弃的火车票二维码信息成为个人信息泄露的主要来源之一。火车票二维码记录了乘车人身份证号码以及车次、车号和座位号等信息,一些不法分子通过破解火车票二维码盗取乘客个人信息,从事违法犯罪活动,给人们的生活带来不稳定因素。

3)伪造的二维码认证使消费者因无法确定商品真伪而利益受损。不法商贩通过复制合法商品的二维码制假,消费者很难识别。例如在购买珠宝首饰等贵重商品时,如果商家伪造二维码认证信息,很多消费者就无法分辨其真伪。

2 二维码安全的综合保护模型

二维码作为信息识别类的新兴领域,未来将会越来越普及,它的安全问题来自自然和人为两个方面。为实现二维码的安全应用,需要建立一个二维码安全的综合保护模型,即二维码的防护、检测、响应、恢复和安全管理,如图1所示,下面将从这五个方面进行逐一分析。

1)防护阶段:二维码标签已作为一种信息携带和身份识别工具使用,其应用过程要保证信息的安全,即其机密性,完整性,可用性,可控性以及不可抵赖性。运用数字加密技术建立起一套严密的身份认证系统,可以保证二维码信息不被它人窃取信息,在传输过程中不被篡改,接收方能够通过数字证书来确认发送方的身份,而且发送方对于自己已发的信息不能抵赖。

2)检测阶段:二维码已广泛应用于电子商务领域,由于用心不良者的破坏,很可能会出现伪造或篡改等现象,需要有相应的二维码产品的检测防伪程序。一个通过编解码及非对称加密算法实现第三方认证和识别的检测防伪程序,主要包括三个模块:(1)密钥管理模块:由具有公信力的机构承担,负责公钥和私钥的生成,分发和管理。(2)二维码生成模块:由生产厂家承担,在每个产品二维码的制作过程中,处理原始信息,生成数字签名。(3)二维码识别模块:由消费者使用公钥对数字签名进行判断,如果通过则确定是正品,否则就是伪劣产品。

3)恢复阶段:二维码的恢复是指对于差错信息或由于实物损毁造成的信息缺失而进行的纠错和还原。二维码的制作和保存环境多样,标签遭到破坏时,使用者便无法读取,因此不可避免的要解决二维码的恢复问题。二维码在实际制作时,用户可以根据实际情况选择不同的纠错等级,通过纠错码生成算法,再由数据码字生成纠错码字。当由于脱墨、污点等符号破损造成信息差错或缺失时,利用编码时引入的纠错码字,通过特定的纠错译码算法便可以正确议解和还原数据信息。

4)响应阶段:为了能够合理、有序地处理二维码信息安全事件,此阶段将安全响应分成准备、检测,抑制、根除、恢复和总结等六个阶段的工作:准备阶段:明确应急计划和响应策略;检测阶段:制定相应检测手段;抑制阶段:适时通知响应中的关键角色,以便履行职责;根除阶段:改变个人使用和管理行为模式,谨慎对待二维码;恢复阶段:备份恢复二维码信息数据并及时验证;总结阶段:进行事后分析总结,修订安全计划。

5)安全管理:在技术保障模型的前提下,综合的二维码安全保护模型还包括对二维码的安全管理。首先,政府相关部门应尽快出台二维码安全的法律法规,例如,铁道部门对于火车票上二维码可实施加密,从源头上遏制个人信息泄露的继续发生;其次,对于用户来说,需要注意:(1)使用前要鉴别二维码来源,并在手机中安装相应的防护程序;(2)不随意丢弃火车票;(3)顾客购买贵重商品时,可通过商家建立的网络监控管理系统查询二维码标识;(4)个人信息被非法获取,公民隐私权受到侵害时,可向公安机关报案,追究行为人的责任;(5)商家存在欺诈行为时,如索赔不成,可通过向消费者协会投诉、工商行政管理机关申诉、法院起诉等有效途径解决问题。

3 结束语

二维码在给人们带来方便快捷的同时,其安全风险也不可小觑。本文首先阐述了二维码的产生与基本应用,然后从其安全隐患的角度作出分析,并基于二维码的生命周期提出了二维码安全的综合保护模型。从五个阶段分别阐述二维码安全事件的准备与应对,并结合技术与人员的安全管理实现了立体化的二维码信息安全防护。

参考文献

[1]中国物品编码中心.二维条码技术与应用[M].中国计量出版社,2007:15-133.

[2]《刑法修正案(七)》[N],2009.

[3]余承杭.信息安全技术[M].北京:科学出版社,2011:17-21.

[4]陈珏.面向手机的二维条码技术的研究与应用[D].沈阳:东北大学,2005(11).

[5]杨秋英.陈立潮.高兴元.二维条码技术现状及前景展望[J].山西电子技术,2002(02).

[6]廖东方.二维码电子标签的安全技术研究[D]北京:北京邮电大学,2008(02).

二维码的安全问题篇2

构建食品安全可追溯系统

目前，美国多家公司利用手机二维码技术，构建食品安全可追溯系统。消费者利用智能手机扫描产品包装上的二维码，就可获取食品的生产时间、产地、农场的信息，甚至食品的召回信息。同时，商家可以利用二维码追溯系统，了解消费者对产品的反馈情况，拉近与消费者的距离。

点评：听说上海市也已经有类似追溯系统，只是覆盖面还不够广，希望今后能在更多地方看到。

意大利超市引进

“电子鼻”确保食物质量

为了确保食品安全和质量，意大利连锁生鲜超市“库柏”斥资10万欧元购入最新型气相色谱仪，分析食品成分、农药残留，并杜绝假冒知名产地的产品。由于物质的气相特质独一无二，像是人类的指纹，气相色谱能精确并快速辨识出单一某物质存在，然后赋予每种食物一张身份证。气相色谱仪还可以检验出残留的化学物和农药，遏止假冒的有机产品。

点评：该设备在我国的一些大型实验室已经有配备，不过肯投入这么多资金的超市实在罕见，可见人家企业对质量和诚信的重视，中国企业也该好好学学！

人造牛肉汉堡问世

口感接近真肉

近日，荷兰马斯垂克大学波斯特（Mark Post）教授研发出人造牛肉，推出全球第一个实验室培育而成的牛肉汉堡，在伦敦以油煎方式供应给自愿试吃者，希望由此开启食物革命。这片140克重的汉堡牛肉，制造成本超过25万欧元，是用自活牛肌肉细胞培育而成的肉条制成。试吃者称赞道，其口感接近真实的牛肉。

点评：亚非拉贫困同胞表示吃不起。看过《云图》的朋友一定知道将来靠这个养活老百姓是有问题的。

德国：

营养品常被“过量”摄取

德国一家研究机构公布的研究结果显示，部分消费者实际上摄入了“过量”的营养物质。在1.37万名15～80岁的德国人中，约1/4的受访者曾食用营养品。受访者中，女性食用营养品的数量占整个受访人群的30%，男性占19%。相对于年轻人，65～80岁的受访者食用营养品比例最高，女性达46%，男性30%。不论男女，食用最多的营养品当属维生素C、维生素E以及镁、钙等矿物质。这导致他们摄入的维生素、矿物质等营养素往往超过欧洲食品安全局给出的每天最高摄入上限。

点评：有钱买营养品的，一般吃得已经够了；吃得不够而需要营养品的，一般没钱买。

澳大利亚科学家

发明微波杀虫技术

昆虫和病原体对农作物的侵害使澳大利亚农业每年损失数亿澳元，例如，2003～2008年间，澳大利亚政府和农业行业就花费了1.28亿澳元用于控制具破坏性的害虫——果蝇。

近日，澳大利亚科学家研制出了微波杀灭苹果、牛油果、大辣椒和西葫芦中的昆虫和昆虫卵的先进技术。蔬菜与水果在经过该机器的传送带时，受到微波的照射。该技术可以代替杀虫剂，消除杀虫剂的健康隐患。

点评：就是将微波炉提前到生产运输环节使用啦！微波杀虫之后送到餐桌前能否包好，确保不被再污染呢？

美国禁止进口法国芝士面包

因螨虫数超标

从今年3月份开始，因担心螨虫导致食客过敏，美国当局开始禁止部分法国米莫雷特芝士进口，并将早前查扣的1.5吨米莫雷特芝士销毁。业内人士称，米莫雷特芝士发酵的几个月，螨虫会在其表面大量滋生。不过，工艺处理会去除大部分螨虫，但长时间的封闭运输也会加速残留螨虫的繁殖。

点评：螨虫芝士夹心面包，小心过敏啊亲！

二维码的安全问题篇3

如付诸现实将产生较大经济效益。

随着我国建筑业的发展, 建筑工人队伍不断壮大, 在建筑一线的技术工人中, 熟练工很少, 大部分都是农民工, 他们缺乏甚至是毫无施工经验, 技术水平根本无法满足工程质量的要求。在建筑行业, 要培养一名合格的技术工人, 需要1-3年的时间。然而, 目前我国的建筑业现状告诉我们, 多数施工企业并不具备条件去完成这种完整的培训。在这种情况下, 建造“安全质量示范区”, 作为实体工程样板, 实施“样板引路”显得尤为重要。

以往在日常生活中, 大家应用较多的是一维码 (条形码) 。但近十年来, 我国无线信息技术快速发展, 智能手机和平板电脑的功能越来越强大, 包含了指纹识别、4G视频电话及无线数据功能、二维码扫描、GPS定位、摄像与拍照等功能, 智能手机的广泛应用大大促进了之前不被看好的二维码应用的发展。

在这个信息化时代, 各行业都在加快自身的信息化步伐。在建筑行业, 将二维码技术应用于施工项目管理中, 有利于实现施工项目管理的信息化。

下文将以某工程的安全质量示范区为例, 对二维码在技术交底中的应用进行初步探讨。

安全质量示范区的作用

某工程, 建筑面积64万m2, 钢筋混凝土框架结构综合楼, 标准层层高为4m。工程项目部建立了安全质量示范区, 如图1所示。

1. 通过安全质量示范区的制作, 为工程提供实体样板, 明确各种构造做法、施工工艺流程、质量标准、质量通病的消除措施。如钢筋链接、构造柱做法、马牙槎等砌体砌筑工艺等。

2.通过安全质量示范区, 可有助于形象直观地完成向工人的技术交底, 相比于文字性的技术交底更能有效纠正工人的错误操作, 进一步提高工人的技术水平。

3.在施工现场制作安全质量示范区, 样板引路、实物交底可强化参建人员质量、安全意识, 有助于建造安全质量示范工程。

然而, 在借助安全质量示范区进行技术交底的过程中仍存在一些有待改善之处:1) 样板施工顺序、工艺流程、施工方法无法现场直接展现, 不能对作业人员进行直观技术培训;2) 技术交底情况缺乏实时有效监控, 工人技术交底可能流于形式;3) 两次技术交底时间间隔较长, 交底内容易淡忘而无法自主学习等。

二维码技术在安全质量示范区的应用探讨

二维码技术

二维码二维条码/二维码 (2-dimensional bar code) 是用某种特定的几何图形按一定规律在平面 (二维方向上) 分布的黑白相间的图形记录数据符号信息的;在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念, 使用若干个与二进制相对应的几何形体来表示文字数值信息, 通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。

二维码具有以下特点:1) 高密度编码, 信息容量大, 为条形码容量的几十倍;2) 编码范围广, 可将文字、图片、声音、影像、签字、指纹等多样化信息进行编码;3) 容错能力强, 具有纠错功能, 即使二维码有污损等局部损坏时仍可被识读;4) 译码可靠性高;5) 可引入加密措施, 保密性、防伪性好;6) 成本低, 易制作, 持久耐用。

二维码技术在安全质量示范区的应用要点初探

目前, 在一些工程项目管理中, 二维码技术已经在工程技术交底、物资信息、质量实测实量等方面中得到应用。通过智能手机二维码扫码, 项目的介绍、项目动态及一些实测信息可立即显现眼前。

下文将对二维码技术在质量安全示范区中的应用要点进行初步探讨。二维码技术在安全质量示范区中的应用主要体现在如何借助二维码云端网络技术来解决工程实际中技术交底过程中存在的一些问题。

各类基础数据支撑及管理平台

1. 安全质量相关人员基本信息管理

1) 现场作业人员信息管理

现场作业人员 (如各分项工程工长、技术工人) 的姓名、性别、年龄、指纹、照片、工种、上岗证书、所属班组、进场时间等信息在云端数据平台上的注册、审核、注销、修改。

2) 其他人员信息管理

项目部管理人员、施工员、安全员、质量员、现场技术人员的姓名、性别、职称、岗位、进场时间、证书编号、联系方式、岗位职责、工作业绩等信息在云端数据平台上的注册、审核、注销、修改。

2. 各类音像资料和文档资料的支撑

以某项目安全质量示范区为例, 就钢筋工程、混凝土工程、砌筑工程、脚手架工程、模板制作及安装展开相关讨论。经研究讨论, 得出各分项工程所需各类文档资料和音像资料如表1所示。

3. 技术交底台账管理

对各技术交底建立电子台账以便项目部管理人员进行查询与统计。详细记录工人登录云端数据平台自主学习的次数、时长, 进行统计, 以便项目部相关技术人员查询其技术交底情况。

通讯终端技术

主要使用智能手机作为终端, 利用3G/4G无线数据通讯功能、WIFI无线局域网功能、GPS定位功能、拍照与摄像功能、二维码扫描功能, 进行人员身份信息验证, 通过二维码扫码, 链接到云端数据平台, 获取相关技术文件的文字及音像资料进行在线学习以完成相关技术培训及技术交底工作。

二维码制作

二维码制作步骤如下:

1) 收集二维码原始信息, 如需在二维码中显示的文字、图片、音像等内容;

2) 用二维码生成软件制作二维码活码;

3) 利用自粘纸打印二维码;

4) 在安全质量示范区内的相应位置张贴二维码。

借助二维码技术在安全质量示范区进行技术交底的组织流程

1.质量、安全技术交底相关人员注册

相关安全、质量技术交底人员通过二维码扫码登录云端数据平台进行注册, 并对姓名、性别、年龄、指纹、职称、照片、工种、上岗证书、岗位证书、证书编号、联系方式、所属班组、进场时间等信息进行完善。

2.样板实物+二维码的交底与再交底

分项工程开始前及过程中, 施工单位组织操作工人在规定时间或期限内到安全质量示范区进行实物交底和质量培训。对于关键工序、部位, 操作工人通过实物及书面交底无法确切掌握的, 可通过扫描相应的二维码, 观看相关施工视频, 确保工人掌握技术要点。交底后, 形成纸质交底记录的同时生成电子技术交底记录, 保存于云端数据平台, 以便随时随地查询与统计。

在施工过程中, 若发现存在与样板示范区有差异的工序、部位, 或发现工艺变化、特殊质量要求没有进行交底的情况, 项目部相关专业技术人员应对操作错误的工人进行再次交底, 及时整改。再次交底亦可由操作工人自行到安全质量示范区通过扫描二维码获取相关文字、音像资料进行自学, 而项目部相关专业技术人员可通过云端数据平台查询到操作工人的交底情况。

闯关式技术要点在线测试

经过“样板实物+二维码”的交底与再交底后, 操作工人真正掌握安全、质量技术要点与否, 将直接影响工程质量及安全, 故十分有必要通过设置相关测试来进一步了解交底的效果。为激发操作工人积极性和自信心, 可设置闯关式在线测试。对交底相关内容, 尤其是要点, 进行阶梯式、渐进式的题目设置, 让操作工人一关关通过测试, 逐步建立自信, 进而完成技术要点的再次学习与巩固。要求每位操作工人在线测试通关率在必须在90%及以上。根据通关率的高低设置适当奖罚机制, 以调动工人的积极性, 加强他们自主学习的意识。

结语

项目部设立安全质量示范区, 使得各安全、质量技术交底可实现实物交底, 再结合二维码云端网络技术, 将消除以往技术交底存在的一些弊端。通过智能手机扫描二维码访问云端数据平台, 使操作工人能获得直观的施工过程音像及相关文字性的技术要点说明, 进而交底效果明显提高。同时, 对技术交底要点进行闯关式在线测试, 可以充分调动操作工人对交底内容进行自主学习的积极性。“互联网+技术交底”的交底模式, 将是工程施工安全及质量的有效保障措施。

文中对二维码在安全质量示范区中的应用进行了初步探讨, 不足之处, 敬请行业专家、学者、工程人员提出宝贵建议与意见。

二维码安全隐患分析及应对之策略篇4

1 二维码的发展及特征[1]

1.1 二维码概述

二维码是一项将数据符号信息记录在某种特定几何图形中的条码技术, 通过图像输入设备或光电扫描设备自动识读, 以实现信息自动处理。

1.2 二维码特征

1.2.1 信息容量大

与一维码相比, 二维码拥有更多的信息储量, 可容纳多达1850个大写字母, 或2710个数字, 或1108个字节, 或500多个汉字[1], 约为普通一维码容量的几十倍。

1.2.2 编码范围广泛

二维码不仅可存储文字、数字类信息, 同样可将图片、声音、指纹、链接等数字化信息进行编码存储;

1.2.3 制作简便, 成本低

通过在线服务网站、软件应用端即可快速生成二维码图片, 并且可以自定义嵌入Logo、图案样式、嵌入文字等;

1.2.4 抗损坏和容错能力强, 译码可靠性高

由于二维码在形成过程中加入了判断污损、错位后可进行替代运算功能, 使二维码具有了错误校验和纠正能力。理论上说, 就算二维码损坏50%也可以还原正确信息。

1.2.5 信息自动快速传递

当进行二维码扫描时, 被识读的二维码信息会被自动快速地传递到相应的PC机或手机等平台上。信息录入的速度、工作的效率得以提高, 人为失误得以减少, 真正实现管理上的自动识别和跟踪监管。

2 二维码安全隐患及分析

2.1 二维码存在的安全隐患

手机感染二维码病毒与电脑中毒的机理十分类似, 但相较于电脑中毒过程, 二维码病毒更易感染传播, 这是由于扫码前无法对二维码中的信息进行辨别, 且手机对病毒辨识度不高等原因造成的。此外, 由于二维码目前处于“人人皆可制作和发布”的状态, 造成由此带来的信息安全风险难以监管。

中国电子商务研究中心发布的《2012年手机网络安全报告》显示, 二维码已经成为手机用户感染病毒的新渠道, 黑客利用二维码的兴起, 把大量病毒下载的链接、钓鱼网址等转化为二维码, 通过户外、网络等各种途径大规模发布、传播。据腾讯移动安全实验室监测, 腾讯手机管家从2012年7月为灵动快拍提供二维码安全检测以来, 7月-12月共为灵动快拍用户检测网址达956万条以上, 恶意网址拦截率为2.1%[2], 拦截到的恶意网址达20.6万条。据2014年8月腾讯移动安全实验室发布的《2014年7月手机安全报告》中指出, 二维码渠道的染毒比例持续增长, 从无到有, 到迅速占据了3%的病毒传播渠道, 直至达到12%[3]。由于刷二维码的人群日益普及, 制毒者和制毒机构也进一步利用该渠道传播恶意软件与恶意网址链接, 用户刷码后往往会安装恶意扣费软件或隐私窃取等病毒, 这种情况日趋严峻。

2.2 安全隐患增加的原因

2.2.1 监管力度不够

二位码制作、发布过程, 易被恶意利用导致病毒木马传播, 造成信息泄露、资金流失等问题, 并且流传的二维码难以溯源, 其安全性得不到保证。相关部门对二维码的监管也是“一片空白”, 制作二维码没有任何规定, 发布二维码没有任何限制, 我国二维码行业处于无序竞争状态。二维码诸多安全问题产生的根源在于该行业尚未建立起统一的标准体系, 尚未形成统一的顶层编码和解析体系。

2.2.2 技术门槛低、藏毒隐蔽性强

在网页上可轻松找到制作二维码的渠道, 只需短短几分钟, 就能够制作出藏毒的二维码, 且与普通二维码在外观上并无差异, 使手机用户无法辨别其安全性。

2.2.3 使用开源码制和明文编码存在较大的信息泄露风险

由于一些用户对自己的信息保护度不够, 当黑客扫描了开源码制或者明文编码的二维码时, 便可轻松获取其他用户的信息, 导致信息外漏等安全隐患。

2.2.4 未考虑到二维码承载信息的可靠性因素

在主流码制QR Code编码过程中设置相对应的错误纠正机制, 只能够保证其完整性, 殊不知在信息传递过程中, 可靠性因素关系着二维码信息传播的安全性。

3 应对措施

由于二维码在其制作、发布过程中不可避免地面临一系列风险, 因此必须得到立法和技术上的双重保障。

3.1 从监管角度

我国二维码行业发展较晚, 二维码安全机制并不健全, 没有统一的标准来规范二维码市场, 其承载的信息也缺乏国家相关监管部门的审核、认证、监控和追溯, 容易被黑客用来传播不良信息。

要改变当前格局, 首要任务便是出台二维码制作、传播、使用统一标准, 完善针对移动互联网安全的法律法规。从法律角度严格限制二维码生成的使用权, 只对通过认证的集体或个人授权。国家标准化管理委员会司长邓瑞德表示:“鉴于二维码发展和推广的需要, 当务之急就是要建立健全标准体系, 要制订相应的接口标准、数据流标准、统计标准、测试方法标准、安全标准、保密标准、诚信标准等, 并推进标准的实施[4]。”

3.2 从技术层面

3.2.1 在二维码内加入签名认证[5]

签名认证机制是确保网络用户安全的最基本保障之一。

ID-AKA避免了传统的基于证书的公钥认证机制CA—AK中的公钥证书管理问题, 但ID—AKA系统存在着最大的隐患, 即是KGC管理和拥有所有用户的私钥, 能仿冒所有用户。隐藏签名认证方案 (SMA) 采用分布式KGC的思想提供了真实世界应用的有效解决方案, 其方案的关键在于基于身份的私钥由两个不同的KGC产生, 其中任意一个KGC不能取出另一个KGC并由此得到私钥。这样, 在假设两个KGC不共谋的情况下, 实现了密钥托管特性。

3.2.2 采用抵御性强的加密解密方法

主要针对基于DES算法的主流码制QR Code二维码加密解密方法, 数据加密标准DES (Data Encryption Standard) 是一种对称的分组加密算法。初始置换后经过16次轮函数作用, 每轮都应用置换和代替密码技术, 采用迭代的算法结构, 使结构紧凑, 条理清楚, 最后一轮迭代的输出进行逆初始置换, 最终得到64位的密文。加密的关键在于S盒的操作, 代替函数由8个S盒组成, 每个S盒都由6位输入压缩至4位输出。即使明文或密钥只有一位有变化, 经过16次迭代, 最终密文都会发生约32位的变化, 在一定程度上保证了保密性。

但DES算法仍存在以下不足:分组比较短, 密钥长度偏短, 存在一些弱密钥和半弱密钥、互补对称性, S盒子的设计准则不公开, 低轮数DES抗差分密码分析能力差[6], 因此需要进行改进。

3.2.3 从智能手机用户层面

提高对二维码中病毒的防范意识, 加强自身信息保护意识, 扫描前先确定二维码来源是否权威可信, 不盲目扫描来历不明的二维码。使用手机二维码进行在线支付时提高警惕, 看清网站域名, 保护好自己的身份信息。

4 结语

二维码的本质是解决信息化问题、实现信息快速便捷地传递、引导信息从线上向线下导入的入口。随着二维码安全隐患受到广泛关注并得到妥善解决, 行业市场、商业模式不断成熟, 促进了媒体、通信和互联网的融合, 对于传统商业来说, 开辟了新营销服务, 延伸了宣传路径, 增进了与客户的互动, 提升了服务品质;将其应用在电子票务方面, 节省了票据开支、配送成本, 并且可提升防伪和安全性能方面的需求。

二维码提供的信息移动性、便捷性以及全面性, 是其他方式难以比拟的。此外, 物联网的发展规模也为二维码应用带来更广阔的前景, 在物联网和电子商务的推动下, 二维码应用必将大行其道。

参考文献

[1]孟楠, 韩佳琳, 贺晓能, 张振涛.二维码安全问题分析及应对策略[J].现代电信科技, 2014 (10) .

[2]中国电子商务研究中心.2012年手机网络安全报告[R].2012.

[3]腾讯移动安全实验室.2014年7月手机安全报告[R].2014.

[4]郑智维, 胡飞.二维码产业的魔道较量[J].民生周刊, 2014 (04) .

[5]杨路, YANG Lu.一种隐藏签名认证方案的分析与改进[J].计算机应用研究, 2011 (07) .

二维码的安全问题篇5

随着微信成为每个智能手机的必备应用,微信公众平台服务号在企业中的应用也越来越广泛,虽然包括银行,京东之类的一线商家、机构很多都已经具备了自己的移动客户端应用,但是也不会放弃微信平台来宣传自己的企业,或者直接进行营销与服务。

传统的APP应用需要用户自行下载安装,虽然功能强大但是宣传推广成本较高,对于中小型企业而言效果不甚理想,而且经常需要开发安卓与IOS两个版本,有时会得不偿失。而微信服务号不存在跨平台问题也无需单独安装,无论何种手机只要安装了微信客户端,通过扫码或名称搜索即可轻松关注服务号并使用其提供的相关服务。利用微信内置浏览器实现BS模式的应用,在推广传播中有先天优势,对用户而言也容易上手和接受。此外微信平台提供的微店、微信支付等接口极大的降低了企业用户的开发成本缩短了上线周期。

1 项目需求

微信服务号的宣传推广一直是企业非常关注的问题,目前通过朋友圈转发图文消息,引导用户关注并继续转发是一种最为常见并且效果良好的方式。除了以消息的精彩内容吸引相关人群关注之外,很多企业也在尝试给用户奖励的方式使其帮助企业进行推广。笔者正在开发的一款微信应用中,企业提出:每一个注册用户在转发企业服务号的图文信息中(包括企业资讯,产品,服务等)要加入此用户的专属二维码,一旦有新的用户在阅读此信息时对本服务号进行了扫码关注,则建立新用户和此注册用户间的推荐关系。当注册用户在发展的关注用户达到一定数量时,会给推荐人以一定的积分或赠品奖励。

2 微信二维码接口

每个微信公共号都具有自己固定的二维码供用户扫描关注,但是这种二维码无法对用户来源进行区分,根据微信的开发文档,微信公众平台提供了生成带参数二维码的接口。使用该接口可以获得多个带不同场景值的二维码,用户扫描后,服务号可以接收到事件推送。用户扫描带参二维码时,若其还未关注本服务号,则会先执行关注,并将带有场景值(参数)的关注事件推送给开发者,我们就可以根据这个参数来确定二维码的来源了。目前微信提供临时二维码和永久二维码两种方式,前者有过期时间,最大为1800 秒,能够生成较多数量,后者无过期时间,数量较少目前只支持100000 以内,适用于帐号绑定、用户来源统计等场景。

获取带参数的二维码的过程包括两步,首先创建二维码ticket,然后凭借ticket到指定URL换取二维码。以永久二维码为例,获取ticket需要把指定的请求信息,(此处场景编号为23)

发送到以下微信服务器:

https://api.weixin.qq.com/cgi-bin/qrcode/create?access_token=TOK-EN(服务号的access_token,有效期7200秒,过期则需要重新向微信服务器请求。为了加快用户方面的响应速度,access_token一般是以文件或数据库形式缓存在自己的服务器端的,只有当其即将过期时才需要重新向微信服务器请求新的access_token。)应用服务器得到微信服务器返回的ticket之后,要再次以此ticket为参数向微信服务器以下网址发送请求,https://mp.weixin.qq.com/cgi-bin/showqrcode?ticket=TICKET。在ticket正确的情况下,微信服务器会返回一张图片,这就是我们需要的带参二维码了。

3 解决方案

考虑到每一个用户在转发文章时都会带有自己的专属二维码,如果每个点击文章的请求都会导致二维码的生成过程那么用户会明显的感觉到响应缓慢,因为根据之前的介绍,生成二维码需要与微信服务器产生至少2 次交互(如果当前access_token过期则还会增加一次重新申请access_token的交互过程)这无疑会恶化用户体验,并增加双方服务器和网络的负载。为此,我采取了本地存储二维码的方案,二维码生成后以图片文件的形式保存在企业服务器端,微信页面被转发时无需请求微信服务器生成二维码图片,而是直接把本地存储的二维码图片添加到页面发送给客户端,大大加快了响应速度。具体的实现过程如下:

3.1 建立两个数据表,user和regist_user表

user为推荐关系表,其中保存的是所有关注用户的open_id和其推荐人的open_id,如果用户是自行搜索或者对服务号二维码扫描关注,其推荐人项为空。

regist_user为注册用户表,保存的是注册用户的个人信息,包括其open_id。

3.2 为每个注册用户生成二维码图片并保存在公共号服务器

既然要在本地保存二维码,此二维码应保持有效,用于唯一标识一个注册用户,所以选择生成永久二维码,在用户注册提交表单时,如果校验通过,在把注册数据包括唯一身份识别码open_id插入用户表regist_user之后,获取此条注册记录在表中的id号(主键),以此id号作为场景编码"scene_id"向微信服务器发出二维码的请求,然后把微信服务器返回的二维码图片,以id号为名,存放在指定的文件夹中,如“qrcode/23.jpg”,这样原则上可以提供十万名注册用户的身份识别能力。根据企业的需求说明,普通关注用户转发公共号信息时只带有公共号的固定二维码,只有提交了个人信息和手机验证后成为注册用户才可以在转发公共号信息页时带有自己的专属二维码,所以十万容量的标识空间已相当可观,根据本企业的情况和用户规模,足以满足需求。

在注册用户转发公共号的图文信息时,服务端会根据其open_id在regist_user表中获取这条记录的id号,然后在二维码图片存储目录中提取名为id.jpg的图片添加到转发信息中供其他用户扫码关注之用。

3.3 新用户扫码关注,生成和某注册用户的推荐关系

通过朋友圈阅读到好友转发消息的新用户如果对信息中的二维码进行扫描,微信服务器会以xml的格式向应用服务器推送事件消息。在应用服务器消息接口程序中要对此事件进行响应,处理函数的片段如下

此处获得的$object->Event Key为一个字符串,假如我们在此二维码中带的参数为23(即注册用户表中id号为23 的用户二维码), 则扫描推送事件中获取的$object->Event Key值为”qrscene_23”,通过字符串处理函数截取id号。在user表中插入一条记录,保存新关注用户和23 号注册用户的open_id,他们之间的推荐关系就成功建立了。

4 结论

本方案利用每个用户微信号在公共号中可获取的特有open_id作为身份标识,这是一个加密后的28 位字符串,有较好的安全性,因为微信二维码参数只能为整型,所以方案中以注册用户记录的id号作为参数标识推荐的注册用户,实现了新用户和推荐用户之间的关系设定。

参考文献

[1]谢晓萍.微信思维.广东:羊城晚报出版社.

[2]微信公共平台开发者文档.http://mp.weixin.qq.c-om/-wiki/home/.

二维码的安全问题篇6

中国质量认证中心主任王克娇在致辞中指出, 评价认证体系是促进信息技术安全规范应用和行业健康发展的重要手段, 中国质量认证中心与中国电子商会合作建立的二维码应用评价体系, 将有力推动二维码产业健康发展。中国电子商会常务副会长王宁在讲话中表示, 国家高度重视战略性新兴产业的发展和信息安全, 二维码产业公共服务体系将为社会提供公共服务, 支持“互联网+”发展和产业结构调整。

据了解, 《二维码安全规范应用评价体系》是我国二维码行业第一个应用评价体系, 由中国电子商会、中国质量认证中心牵头组织相关单位共同编制, 旨在指导二维码应用组织实施规范化管理, 保证二维码生成、应用、管理和识读的完整性、准确性和安全性, 促进二维码行业规范化发展和社会诚信体系建设。该评价体系根据应用目的的不同, 分为产品追溯、市场营销、内控、电子票证四大评价项目, 依据应用管理要求、成熟度评价工具、注册规程、应用基本规范、数据质量保障规范、效果检验规范等一系列评价标准对应用组织二维码的能力进行评价。

浅谈二维码应用于公路工程安全管理篇7

1 二维码技术在公路安全管理中的应用

1.1 现场作业人员的安全管理

目前, 在现场作业人员安全管理中, 现场人员与证件、三级教育等信息处于分离状态。如果要核查比对, 其过程比较烦琐, 即使作业人员随身佩戴了个人信息牌, 其包含的信息量也较小。

将二维码应用到工程安全管理中, 可在很大程度上解决上述问题。将现场作业人员的姓名、性别、年龄、籍贯、照片、工种、所属班组、进场时间、三级教育和考核情况、交底情况、风险告知情况和责任书签订情况等内容均包含在静态二维码或活码 (活码是二维码的一种高级形态, 通过短网址指向保存在云端的信息。图案比普通二维码更简单、更易扫描, 且可随时更改云端内容, 做到同一个图案、不同的内容, 极大地方便了二维码的印刷管理, 甚至可先印刷图案、后设置内容) 中, 进而可使用手机随扫随查, 现场即可验证结果, 省去了到档案室查阅安全管理文件的过程。同时, 采用二维码作为信息载体的显示方式比随身佩戴证件更易于被现场作业人员所接受。

1.2 其他人员的安全管理

对于公路工程中其他人员的安全管理, 比如项目部管理人员、现场技术人员和试验检测人员等, 将人员照片、姓名、职称、毕业院校、学历、岗位、证书编号、进场时间、联系方式、持证情况、岗位职责、工作经历和业绩等详细信息生成二维码, 并将二维码粘贴在工作牌或安全帽上, 需要时, 可随时利用手机扫描查看信息, 便于人员的安全管理。人员安全管理二维码应用实例如图1所示 (图1来自沈海复线南塘至黄华段第二监理办) 。

2 二维码技术在机械设备管理中的应用

公路工程需要众多机械设备参与施工, 核查设备时的传统方法为:先到现场对设备进行逐一登记, 然后到档案室进行资料的调取核查, 既费时又费力。如果将机械设备的照片、进场日期、机械型号、使用性能、使用地点、设备来源、验收情况和操作规程等信息存储到二维码中, 并将生成的二维码图案贴在设备上, 则仅需要在现场用手机扫一下, 即可调出本设备的相关资料, 设备本身与相关资料一一对应, 可实现当场核查, 具有便利、快捷的特点。公路工程机械设备二维码应用实例如图2所示 (图2来自沈海复线南塘至黄华段第三标项目部) 。

3 二维码技术在台账管理中的应用

安全管理应为公开化的管理, 在工程实践中, 常会有组织到优秀的安全管理单位参观、学习, 获得的相关信息一般均为现场现状和表面情况, 参观现场后进行安全内业的交流学习有很大的必要性, 而在内业交流时, 由于人员较多, 翻看台账记录时易将台账弄乱甚至遗失, 且台账一般仅有1套, 需要参观人员轮流翻看, 效率低下。如果将各类台账文件分别经扫描仪存储为PDF文件后生成二维码, 并将二维码图案粘贴到相应档案盒背脊上, 则可通过手机扫描查看, 可明显提高浏览效率。由于安全管理台账的填写需要及时更新, 属于动态的过程, 所以, 台账的二维码应采用活码形式, 且定期对活码后台信息进行更新。安全台账二维码应用实例如图3所示 (图3来自沈海复线南塘至黄华段第二监理办) 。

4 二维码技术在现场宣传中的应用

在公路工程安全管理中, 施工现场需要设置工程概况牌、质量安全目标牌等标牌, 由于标牌的内容较多, 要伫足较长的时间观看, 加之受标牌面积的限制, 往往标牌内容不丰富。如果将二维码与安全标牌结合起来使用, 则可解决以上问题, 将细节信息生成二维码后张贴于标牌或出入口等明显位置, 标牌展示主要信息, 利用二维码存储补充信息或全部详细信息, 可使信息量大大提高。此外, 二维码具有较强的容错能力, 即使部分被污染或损毁, 仍可正确识读, 适合用于施工现场。现场宣传二维码应用实例如图4所示 (图4来自沈海复线南塘至黄华段第四标项目部) 。

5 结束语

目前, 二维码已具备应用到公路工程安全管理中的条件, 但具体应用还处于探索和尝试阶段。相信在不久的将来, 通过安全管理者的不懈努力, 使二维码与公路工程现代安全管理充分结合, 在施工现场和相关资料的管理中充分应用, 在丰富安全管理形式和手段的同时, 也能为安全管理提供诸多便捷。

参考文献

[1]蔵成刚, 王永青.浅谈二维码技术在声像档案开放过程中的应用[J].山东档案, 2012 (05) .

二维码的安全问题篇8

中国互联网协会日前发布的《2015 中国互联网产业综述与2016 发展趋势报告》显示,截至2015 年11 月,我国手机上网用户数量再创新高,已超9.05 亿,月户均移动互联网接入流量突破366.5 兆。为了在移动互联网上为用户提供安全的业务内容,运营商在内容接入环节采用各种安全监控技术对接入内容进行监测。本文介绍二维码的一种检测技术。

1 二维码安全隐患分析

二维码应用渐趋广泛,已经覆盖人们日常生活。但由于二维码的保密性、信息量大,往往成为信息安全的盲点,使二维码技术成为手机病毒、钓鱼网站的传播新渠道。

一般情况下,二维码通过诱导用户扫描链接下载有病毒的软件,所以二维码涵盖内容信息监管,主要体现在二维码识别及信息提取和二维码链接内容分析。

2 二维码信息监测方法

通过二维码图片分析从流量中发现非法二维码的传播,主要功能包括:

(1)图片去重;

(2)从待审计图片中,根据二维码图片特征,识别出二维码图片;

(3)对二维码图片进行分析,从中提取相关信息;

(4)对提取到的文字内容进行文本内容分析,从中识别违规文本内容;

(5)对提取到的URL通过网络爬虫模块,下载相应的内容进行审计处理,包括,图片、文本、二进制内容等;

(6)对识别出来的非法二维码,将其相关信息进行入库处理,以便后续进行人工审计。

3 二维码识别及信息提取技术

二维码类型较多,手机终端常用二维码类型为QR Code,本文介绍QR Code二维码的识别。

3.1 QR码图形结构

QR码符号由正方形模块组成的一个正方形阵列构成,由编码区域和功能区域(包括寻像图形、分割符、定位图形和校正图形)组成,功能区域不用于数据编码,符号的周围为空白区。下图为以QR码版本7 符号为例的结构图。

3.2 QR码图像识别

对于条码的检测,学者们己经进行了很多研究。其中边缘检测是简单有效的条码识别技术,本文根据QR码图形结构的特点提出了一种基于边缘检测和QR码图形特征的快速检测算法。主要包括图像预处理,二维码定位和二维码图像提取转换。

3.2.1 图像预处理阶段

(1)图像的灰度处理

一般情况下采集到的图像都是彩色图像,为使处理简化,必须将彩色信息投影到灰度空间上,所以首先要对OR码图像进行灰度化。

灰度化计算公式如下:

I = 0.3R + 0.59G + 0.11 B(I为主观色彩效果,R、G、B分别为红、绿、蓝三分量)。

(2)图像中值滤波

直接采集的原始QR码图像不能准确地反映条码符号,其图像主要存在着边沿毛刺、孤立点噪音等变形,因此必须首先去除这些干扰,对条码图像进行整形,从而提高译码的正确率。通过反复实验比较,选择了中值滤波器对QR码图像进行滤波,不仅可以减少噪声的干扰,而且能较好地保留图像的边缘和尖锐的细节。由于QR码图像的基本模块均是正方形,因此在中值滤波时采用正方形窗口会取得较好的效果。实验表明,窗口越大,其处理后的图像越模糊,通过反复比较,选择中值滤波模板为3×3 的正方形窗口。此中值滤波的公式可表示为如下形式:

其中,A为窗口3×3 的模板,f ij为二维条码符号图像数据序列。

(3)图像二值化

二值化是图像分割中的一种重要方法。二值化阈值的选取是图像二值化中至关重要的过程,直接决定了二值化后图像的效果。同一图像,不同的应用需求,选取阈值的方法也不尽相同。可以根据灰度直方图选择阈值,也可以利用最大类间方差法选择阈值。经过大量的实验比较,选用最大类间法来选取二值化图像。

3.2.2 二维码定位

QR码符号的特征是由一个个小方块构成的四边形,这一特征将它与其他图形区别开来。对整幅图像使用Sobel算子进行边缘检测可以发现,QR码符号的边缘特征非常复杂和曲折,与其他仅具有简单边缘的图形大不相同。

Sobel算子有两个,其中水平算子为,垂直算子为

先分别用水平算子和垂直算子对图像中的每个点进行卷积,得到两个矩阵M1 和M2,然后以2 为模计算幅度矩阵G,即把M1 和M2 对应位置的两个数平方相加,最后通过阈值处理后得到边缘图像,总的过程可表示为:

将得到的边缘图像在水平和垂直方向上投影,分别统计第i行(i < Height,Height为图像高度)和第j列(j < Width,Width为图像的宽度)上的黑色像素,设统计值为V i和V j。由于QR码图像复杂的边缘曲线在一定坐标范围内(i1 < i < i2,j1 < j < j2)表现出较大的投影值,而水平与垂直方向上的区域结合(区域[(i1,j1),(i1,j2),(i2,j1),(i2,j2)])起来,便可以初步确定QR Code图像在整个图像中的大致位置,为了避免计算误差,可以考虑在区域两端留出一定的余量,对得到的区域进行几何裁剪,将QR Code图像提取出来。

3.2.3 二维码图像提取转换

(1)二维码的提取

QR Code图像具有三个位置探测图形,分别位于条码的左上、左下角,其图形特征是黑白条。比例为:黑:白:黑:白:黑=1:1:3:1:1,如图2 所示:

由于位置探测图形具有特殊的比例,同时在掩模作用下,在QR Code条码的其他位置不可能出现这样比例的图形,所以可以通过找到三个位置探测图形来精确定位条码。而且可以通过三个位置探测图形的中心坐标来确定条码是否需要旋转以及旋转的角度 α。如果图像需要旋转,则旋转图像至标准位置,如图3 所示:

在进行图像旋转之前首先要确定图像旋转的角度,如图5所示,设A、B两点在图像中的坐标分别为A(Xa,Ya)和B(Xb,Yb),则即可求出 α 的值。

在图像旋转时,为避免旋转带来的锯齿形边界对识别的影响,采用双线性插值方法。

(1)数据提取

QR Code图形具有多个校正图形和定位图形,可以根据定位图形和校正图形的中心坐标建立取样网格。采样数据,把图像转换为数据矩阵。

(2)QR Code码的解码

由于在QR Code码符号中可能存在污损,导致数据读取错误,因此在译码前,对得到的数据需进行纠错,有了纠错,大大提高了QR Code码的可识读性。

QR码解码基本流程大致有以下几个步骤:

(1)识读格式