二维码信息安全标准化研究

近年来移动互联网智能终端的逐渐普及，带动了二维码产业的蓬勃发展，二维码的广泛应用给人们的日常生活带来了极大的便利，不论走到哪里只要轻轻一扫就能方便、快捷地解决衣食住行的各种问题。据调查，目前全球有90%以上的二维码用户分布在中国，中国已经是名副其实的二维码大国。随着二维码铺天盖地而来，一系列涉及信息安全、网络钓鱼诈骗等问题也随之出现，二维码的安全问题日益突出。

 

二维码

二维码是用某种特定的几何图形按一定规律在平面（二维方向上）分布的黑白相间的图形记录数据符号信息。与传统一维条码相比，二维码具有以下有点：存储量大，二维码可容纳多达1850个字符、2710个数字或1108个字节，或500多个汉字，比一维条码信息容量约高几十倍；具有较高的容错度，二维码识别纠错率能够达到30%左右，也就是说即使二维码损毁达到30%时仍然能够正确识读；成本低廉，生成方便，目前市场上二维码生成器众多，只要把内容输入应用，即可生成相应二维码；扫码识读方便，二维码图像大小形状尺寸均可灵活变化，利用智能手机，扫描终端都可快速识别。

 

二维码面临的主要安全问题

二维码虽然有诸多优点，但是用户在扫描之前却不能有效判断所扫的二维码是否安全、有效。不法分子正是抓住这一特点对二维码进行篡改、替换，使得一些用户在用手机等移动设备扫描时发生个人信息泄露、感染病毒、强制下载垃圾应用耗费流量等问题，表现有：

二维码被替换

不法分子将公共场所如公交车、汽车站、广告牌等地方的二维码，偷偷替换掉，这种方法简单、成本较低，一旦扫描会被强制下载一些恶意软件，盗取用户个人信息，还有一些骗子干脆偷偷将一些中小商铺的收款二维码覆盖掉，大多数顾客在扫码时并不会与商家核对信息，一旦付款想要追回难上加难，如广州某市场40多家商铺的二维码被覆盖掉，短短三小时就损失了将近3万多元，这个案子并不是孤例。

二维码被恶意篡改

二维码本身有黑白两种颜色的小格子组成，可能有一两个格子颜色互换，扫描出来的就是不同的内容，如下图第一个是eBay的网站，经过部分修改，直接变成gbay的网站链接，而消费者在扫描前是根本无法察觉的。黑客一旦入侵到金融证券公司，将二维码恶意篡改后，将造成不可估量的损失，如新闻报道上海某一家彩票代理网站，移动网络支付数据被黑客在后台篡改，造成160多万的损失，篡改二维码一般技术难度较高，但是造成的损失也很大。

二维码信息标准制定

我国二维码安全机制并不健全，目前只有2017年8月发布的由中国物品编码中心牵头起草的GB/T33993-2017《商品二维码》一项国家标准。该标准对商品二维码的数据结构、信息服务和符号印制质量等技术要求进行了规范，从其结构就可以看出此标准的制定是为了规范在技术层面上二维码的生成、发布、生成译码过程中的合规性，以及为相关的产业生产、设计二维码提供技术引导。《商品二维码》国家标准是我国自动识别和移动支付、电子商务、大数据等领域的重要标准。

为了从眼花缭乱的产品中选择满意的产品，消费者需要获得更完善的企业信息、产品信息和促销信息。制造商还需要在线和离线促销产品，以增加消费者的认可和产品销售。二维码已经成为联结企业和消费者之间的最好选择，要突破生产企业与消费者之间沟通的瓶颈，就要加强二维码技术标准体系的研制和推广应用，规范二维码在我国开放流通领域的应用，构建二维码良好的生态系统，以及商品的跨国流通。

二维码市场缺乏统一的规范管理，尤其是其承载的信息缺乏国家相关监管部门的审核、认证、监控和追溯，容易被黑客用来传播一些涉及人身安全、财产等不良信息。要改变当前二维码市场混乱的格局，首要任务是出台二维码制作、传播和使用的国家统一标准，完善针对移动互联网安全的法律法规。从法律角度严格管理涉及重要信息的二维码生成使用权，只对通过认证的集体或个人授权，加强对二维码所含的内容进行全面监管。鉴于发展和推广二维码的需要，最迫切的任务是建立和完善标准体系。制定相应的接口标准、数据流标准、统计标准、测试方法标准、安全标准、保密标准、完整性标准等，促进标准的实施。推荐使用具有自主知识产权的、保密能力强的二维码码制，同时加强支持我国自主知识产权的汉信码等二维码制标准化，将其上升为国家标准。政府、公众服务等重要部门以及涉及个人隐私信息、企业涉密信息等特殊领域优先使用自主创新的、保密性好的二维码体系并采用密文编码方式，防止信息泄露。

加强对用户网络隐私权的保护。大多数手机用户对智能手机的功能并不是很了解，比如,扫码后自动获取地理位置，扫描手机通讯录等。有时手机会自动后台打开，下载用户隐私信息。因此政府应出台针对用户网络隐私的相关法律法规，尤其是扫码条件下隐私支配权的保护。

 

二维码信息安全问题应对措施

利用密码学原理，将加密技术和二维码的编码技术相结合，实现二维码中信息的加密和传输。在生成图像时对图像数据进行加密，在图像处理的过程中进行解密。但是需要注意的是不能因加密而损坏了二维码图像本身的结构。

在二维码上可以做成颜色复杂并且具有鲜明特色的图案，使得用户在扫描时更容易识别这些二维码是否来自于正规途径。同时颜色复杂、带有企业或商家鲜明特色的二维码，使得不法分子在修改替换二维码时更困难，成本也更高。

切忌见码就扫，美国一项调查研究表明，驱使用户扫描二维码的最大原因是好奇心。遍布大街小巷的二维码内容目前还处在无人监管的阶段，因此用户尽量选择正规机构、商家、网站、媒体的二维码信息。对于来历不明的二维码，一定要保持警惕，核实后再扫描。特别对有诱惑性的二维码，如中奖或优惠券等，要控制住自己的好奇心，避免感染吸费木马，恶意扣取电话费用，或造成个人账户等隐私信息的泄漏。用户在保持良好的扫码习惯的同时，还应不断提高二维码安全意识，在通过扫码链接的网站填写个人敏感信息，或进行电子商务等活动时，一定要注意网站的域名，确保是安全正规的网址，不要被相近的域名所迷惑，从而走进钓鱼网站的陷阱。

随着二维码的广泛应用，网络安全形势也面临着更加严峻的挑战，使用二维码的网络钓鱼更是紧随技术发展的脚步越来越多样化。据推测，未来我国二维码产业有望达到万亿级，在扫描量飞速增长的同时，如何确保扫码安全，杜绝隐患，促进本土二维码产业健康有序发展，使其成为拉动经济发展的崭新力量，迫在眉睫。

唐顺利/文

                                   （作者单位：甘肃省标准化研究院） 

《中国自动识别技术》2019年第1期总第76期