物联网分析：二维码的安全与隐私机制

2008年北京奥运会以后，二维码在我国开始普及，电影票、登机牌、火车票等都开始出现二维码。特别是随着支付宝和微信支付的普及，扫码付款已经成为日常生活的一部分。

二维码的安全保护一直是一个研究热点。由于二维码的数据内容与制作来源难以监管，编码、译码过程完全开放，识读软件质量参差不齐，因此在缺乏统一管理规范的前提下，易造成二维码信息泄露和信息涂改等安全威胁。

针对二维码的攻击方式呈现出了多样性的特点，主要包括以下4类。

(1)诱导登录恶意网站：攻击者只需将伪造、诈骗或钓鱼等恶意网站的网址链接制作成二维码图形，即可在诱导用户扫码登录其网站后，获取用户输入的个人敏感信息、金融账号等。

(2)木马植入：攻击者将自动下载恶意软件的命令编入二维码，当用户在缺少防护措施的情况下扫描该类二维码时，用户系统就会被悄悄植入木马、蠕虫或隐匿软件，攻击者在后台就可以肆意破坏用户文件、偷窃用户信息，甚至远程控制用户、群发收费短信等。

(3)信息劫持：很多商家都提供扫码支付等在线支付手段，因此网络支付平台会根据用户订单生成二维码，以方便用户扫描支付。若攻击者劫持了商家与用户之间的通信信息，并恶意修改订单，那么将对用户和商家造成直接的经济损失。

(4)网页(Web)攻击：随着手机浏览器功能的日趋成熟，用户能够通过手机输入网站域名或提交Web表单。攻击者利用Web页面的漏洞，将非法SQL语句编入二维码，当用户使用手机扫描二维码登录Web页面时，恶意SQL语句就会自动执行(SQL注入)。若数据库防范机制脆弱，则会造成数据库被侵入，进而导致更严重的危害。

除了基于密码的安全二维码方法外，还有基于信息隐藏的二维码保护算法。该算法通过在二维码中嵌入一些秘密信息，改变二维码的形态，从而使攻击者无法获知其内容。嵌入的信息可以被正常提取以无损地恢复二维码。

基于信息隐藏的二维码保护算法将二维码图像分成若干小块，将每个小块扫描成一维序列后嵌入1 bit信息。二维码图像是一种二值图像，连续像素具有同种颜色的概率很高。因此，针对每一行，不再直接对每个位置具有的像素进行编码，而是对颜色变化的位置和从该位置开始的连续同种颜色的个数进行编码。图1所示的编码结果为：

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!