第3章-物联网感知安全第4次

扫一扫二维码，回答问题：二维条形码一维条形码AB提交单选题10分3.6、二维码安全技术一、移动支付安全问题二、二维码基本原理身份验证三、手机二维码的安全检测四、二维码支付的应用一、移动支付中的主要安全问题在我们的生活中，使用二维码进行移动支付已经成为一种常态。

但二维码的广泛使用也给了攻击者可乘之机，一些攻击者利用用户的好奇心理，将含有钓鱼网站或者恶意链接的URL封装成二维码的形式，发布在广告和网站等地方。普通用户很难发现其中的安全隐患，因为二维码图片只是一个黑白相间的二维表格，其中的信息需要解码后才能显现出来。因此，其危害的隐蔽程度要远远超过直接给出URL地址。在移动支付过程中，手机终端存在的安全漏洞和问题主要包括以下几类。(1)移动终端数据拦截问题移动终端通过无线网络进行数据传输，网络流量存在被拦截的可能性。由于无线通信采用无线电技术、数据以电磁波的形式在各个移动终端和路由器之间传输，攻击者获取数据更加容易，他们可以通过拦截数据实现身份窃取、信息披露以及重放攻击等行为。目前，解决该问题的手段主要有利用可信平台模块(TPM)或者对数据进行加密。(2)恶意软件攻击手机问题手机用户再浏览网页时，不小心下载恶意软件，拦截支付过程的认证数据，从而盗取用户身份验证参数，进而盗取账户存款。目前解决该问题的方法有对移动端的软件进行数字签认证，此数字签名需要来自受信任的第三方，或者在移动端上安装反恶意软件、间谍软件、病毒防火墙等。(3)交易双方身份认证问题在基于移动设备的交易过程中，攻击者可以伪装成正常用户进行欺诈性交易，从而造成用户的财产受到损失。为了解决上述问题，在交易双方的用户身份认证方面，不仅可以采用动态口令进行移动支付，也可采用用户的生物特征(如面部识别、动作识别等)进行认证，还可采用基于随机数和用户指纹的双因素的认证手段。采用上述方法可以克服移动平台计算量的限制，抵御中间人攻击。(4)智能手机和互联网定位功能问题智能手机具有定位功能，一些恶意程序可以利用这些接口绕过并不完善的安全保护措施，获取用户的个人地理位置信息进行用户行为分析，从而攻破基于地理信息的用户支付保护措施。目前，解决该问题的手段主要是通过对访问地理信息实施用户控制的安全策略，Android操作系统已经实现了这一功能。此外，可以采用对用户的地理位置等隐私信息进行加密的方法。针对移动支付中的上述安全问题，目前的解决手段是建立恶意链接黑名单，针对扫描结果的URL地址进行验证，包括域名检查和URL地址恶意性判断等。二、二维码的基本原理二维条形码(简称二维码)的作用是将二进制数据以图形的方式表示来。与一维条形码不同的是，一维条形码只在宽度上面记录二进制数据，而长度上并有写入数据;而二维码在长度和宽度上均可以写入二进制数据，因此二维码的数据容量比一维条形码更大。另外，一维条形码不具备容错机制和定位点，在部分条形码被损坏的情况下，一维条形码不能还原出数据，具备容错机制的二维条形码可以完整地还原出其中的数据。二维码按照排列方式可以分为堆叠式二维码和矩阵式二维码。不同种类的二维码的编码和解码方式是不同的。下面主要介绍移动支付中广泛使用的QR二维码(简称QR码)。1、

QR码的编码（1）数据分析。在这个阶段需要明确进行编码的字符类型，按照规定将数据转换成符号字符、定义编码的纠错级别。纠错级别定义越高，写入的数据量越小。（2）数据编码。将步骤1中得到的符号字符位流分组，每8位表示1个字，得到一个码字序列。这个码字序列就完整地表示了二维码中写入数据的内容。（3）纠错编码。将之前得到的码字序列进行分块处理，根据第1步中定义的纠错级别和分块之后的码字序列得到纠错码字，将其添加到数据码字序列的尾部形成新的数据序列。（4）构造矩阵。将得到的分隔符、定位图形、校正图形和得到的新的数据序列放进矩阵中。（5）掩膜。利用掩膜图形平均分配到符号编码区域，使得二维码图形中的黑色和白色能够以最优的比例分布。（6）格式和版本信息。将编码过程中的编码格式和生成的版本等信息填入规定区域扫二维码，回答问题（）一班二班三班ABC提交投票最多可选1项属于二维码的特点的是（）在长度和宽度上均可以写入二进制数据具备容错机制和定位点条形码能还原出数据ABC提交多选题10分2、

QR码的识读目前、市面上使用的许多APP均支持二维码扫描，通过移动设备的摄像头对二维条形码进行扫描可以解析出其中写入的数据。识读过程包括三个步骤。（1）条形码定位。条形码定位包括预处理、定位、角度纠正、特征值提取等步骤。首先需要找到二维条形码的区域，相当于使用APP扫描二维码。然后，不同的条形码具有不同的结构特征，需要根据特征对条形码符号进行下一步处理。（2）条形码分割。二维码在经过边缘检测之后，边界并不是完整的，只有经过进一步修正才可以读出其中的数据。在读取数据之前，需要分割出一个完整的条形码区域。它的基本步骤就是从符号的小区域开始，这个小区域可以称为种子，为了修正条形码的边界，需要加大这个区域的范围，使得该范围能够包含二维条形码中的所有点。之后可以使用凸壳计算出结果，再准确分割得到整个数据。（3）译码。译码时一般采用激光进行识别或者通过手机摄像头进行识别。针对一个完整的二维码，对二维码上每一个网格交点的图像进行识别，在完成网络采样之后根据设置的阈值来分配黑色和白色区域。1代表深色，0代表浅色，从而得知二进制的序列值。对得到的序列值进行纠错和译码整理之后，按照条形码的逻辑编码规则将原始二进制序列值转换为数据码字，再根据数据码字得到ASCII码，这个过程恰好是数据编码过程的逆过程。3、

QR码的主要功能与应用QR维码的主要功能和应用包括获取数据、地址链接、提供验证、进行通信等。(1)通过QR码识读获取的数据信息

获取二维码编码数据信息是指通过手机的摄像头作为二维码识别接口，通过解析软件获取二维码编码的数据信息。常见的应用包括电子名片、商品介绍等。

以电子名片为例：(2)通过QR码识读获取URL链接

二维码扫描的数据信息如果是一个URL链接，用户就可以直接通过链接进行访问操作，通过系统配置的默认浏览器或者下载软件进行网上冲浪或者数据下载。现在，很多电商会在纸质广告上打出其网站的链接信息，让用户可以方便地登录商家指定的网站。该种方式可以方便、有效地起到宣传作用。(3)通过解析二维码内容完成验证功能在一些电子劵交易中，当用户完成支付后，商家可以通过短信给用户发送一个二维码商品凭证。当用户使用电子券时，只需要提供二维码凭证，服务人员就可以通过扫描二维码来确认客户是否已经支付。例如，在购买电影票或者在团购网站购买餐券的时候都可以应用该项服务。(4)解析二维码通信解析二维码得到的结果可能是电话号码、短信、电子邮箱等，用户可将这些信息用于短信投票、收发Email、打电话等业务。三、基于二维码的移动身份验证移动验证模块的业务实现主要涉及移动端、浏览器客户端、Web服务器、存储服务以及一个统一信息中心。整个移动验证模块业务方案的设计流程如下：1、获取二维码当用户访问某一资源网站时，在未经过认证的情况下用户被重定向至统一认证登录页面，服务器会自动为该页面分配一个会话并用SessionID唯一标识该会话，同时生成与之对应的QR二维码图片。该二维码图片与SessionID是一一对应的关系并且两者都是唯一存在的。2、扫描二维码在第1步中已经获取了该页面唯一的二维码信息，即该页面的SessionID标识，用户通过移动设备对页面中显示的二维码进行扫描。3、通知浏览器完成登录

实时更新浏览器端的页面状态，具体实现方法是采用LongPooling来保持一个长链接，在服务器接收到数据之后会给Web客户端发送信息，通知页面完成了身份验证，提示用户进行进一步操作。4、本地浏览器绑定Cookie认证通过之后，浏览器会收到认证成功的消息以及登录凭证，本地浏览器需要将该凭证写入浏览器Cookie中。四、手机二维码安全检测钓鱼网站和恶意链接每天都在更新，威胁着用户的支付安全。对于这些安全隐患，一般采取两种策略进行防护。第一种策略是通过分析钓鱼网站和恶意链接的域名信息判断一个链接地址URL的安全性。该方法通过获得最近的钓鱼网站和恶意链接的域名信息，建立黑名单，通过域名匹配的方式进行检查。同时，对常见的通过利用用户的不良使用习惯实施攻击的两种钓鱼网站进行防护。第二种策略是通过统计各种钓鱼网站和恶意链接的样本特征并进行提取，训练出两类URL分类器，从而判断一个链接的安全性。只有通过了两种安全策略的检查才能认为它是一个正常的URL地址。

二维码安全检测功能，该功能能够自动扫描二维码的安全性，让二维码中暗藏的危险网站、木马病毒还未开启便被拒之门外。

但面对金钱的诱惑，制度者可谓无孔不入，一些二维码指向的网站或许是安全的，但前往这些网站进行下载，也有可能不慎下载到含有病毒的APP。

手机在安装未知的支付、金融类APP时，会自动开启对这些APP的检测，并以提示的形式来告诉我们这款APP的安全与否，一旦这款APP是虚假的或植入了木马，手机便会停止安装这款APP。1、

精确匹配区域安全区域检查阶段包括3个步骤：将用户扫描二维码解析出来的一个字符串进行黑名单匹配，采用键树数据结构，这在进行黑名单匹配的时候，匹配的次数不依赖于黑名单中URL地址的个数，仅依赖目标串的长度。键树的逻辑结构有两种常见形式:二叉树和多重链表。使用二叉树来表示键树可以降低黑名单字符串对内存的消耗，而逻辑结构为多重链表形式的键树则在查找上具有性能优势。两者的区别在于寻找模式串中的下一个字符的实现方式为顺序查找还是随机查找。2、

检查多级域名顺序3、

计算域名相似度用户在使用移动终端进行扫码后会得到URL地址，但很多用户并不理解其格式含义。攻击者通过修改正常的URL地址，使其与真正的URL地址相似，但是指向了一个恶意的链接。待检测的URL是否在区域黑名单中区域名顺序是否正常区域名相似度是否超过阈值否否否钓鱼网站或恶意连接是是URL通过安全检测是五、二维码支付的应用1、

二维码支付的分类及业务流程使用支付宝和微信支付已经成为日常生活中不可或缺的重要组成部分。在实际应用中，根据用户使用的是扫码支付还是出示二维码支付，可以将二维码支付分为主动式扫码支付与被动式扫码支付。根据交易对象不同，可以分为用户与商户交互模式、用户与用户间的交互模式。(1)用户主动扫码支付模式用户主动扫码支付模式指的是付款时，消费者扫描商户提供的二维码，二维码信息通常显示在商户的POS终端或者直接打印在纸上。2、

医疗系统的二维码支付流程(2)用户出示二维码支付模式用户出示二维码支付模式也称为用户被动式扫码支付模式，是线下商家通过扫码枪或其他条形码读取设备扫描用户手机APP上的二维码的支付模式。不管是用户扫码还是出示二维码支付，两种模式的扫码支付均能在十几秒甚至几秒内完成支付过程，在大大简化收费、试算、找零等过程的同时，既减少患者排队时间，又降低医院收到假币以及找零出错等风险，为收费管理提供了创新解决方案。介绍从生成支付二维码到用户进行扫码再到支付完成异步通知的整个流程。(1)支付二维码生成支付二维码生成过程主要分以下几个步骤:1)医院收费终端系统根据患者ID号等就医凭证信息到HIS中获取相关费用信息，若为医保用户，则向医保中心系统发送试算请求并得到结果。2)如果用户需要使用扫码支付进行结算，则终端收费系统开启SOCKET服务侦听并将患者信息、本机IP地址、SOCKET侦听端口号及患者应收费用等信息打包成终端支付要素信息包提交至支付网关服务器。3)支付网关服务器一方面保存终端支付要素信息以备支付完成后通知终端收费系统完成结算，另一方面根据支付宝/微信支付系统API调用规则，得到订单号与交易链接，并返回给终端收费系统。4)终端收费系统在得到订单号与交易链接(code_url)后，把交易链接内容生成二维码图片展示给用户。在支付二维码生成这个流程中，原来的收费终端程序只需要新增SOCKET服务侦听与提交终端支付要素信息包的HTTP请求操作，并在收到交易链接(code_url)后将其转化为二维码的功能，实现过程并不复杂。(2)支付完成的异步通知

在用户扫描完支付二维码并完成支付授权后，支付宝/微信支付系统服务器将发起异步通知，告知交易发起方，交易已成功支付。一旦用户成功支付，支付宝/微信支付系统服务器将发起异步通知，通知地址notify_url)为调用下单API时定义的参数，如支付网关服务地址。支付网关服务器得到用户支付成功消息后，会先去验证该支付消息真实性。确认该支付成功消息真实存在后，支付网关会查找保存的终端支付要素信息，解析后与终端收费系统建立SOCKET连接，发送支付完成消息。终端收费系统得到支付完成消息，将支付费用信息提交至HIS，完成收费系统接下来的步骤，打印相关凭证，完成整个收费支付过程。