[发明专利]可离线验证安全二维码构造验证方法与装置

说明书

技术领域

本发明涉及信息技术和安全验证领域，特别是涉及一种可离线验证安全二维码构造验证方法与装置。

背景技术

二维码是用若干个与二进制相对应的符号按一定规律在二维平面上分布来记录数据信息的特定几何图形。二维码使用图形符号来表示文字数值信息，符号表示技术方面已研制出多种码制，常见的有QR Code、Data Matrix、Maxi Code、PDF417等等。二维码通过图象输入设备或光电扫描设备进行识别，可以处理符号尺寸大小比例变化、图形旋转、局部污损缺失等常见问题实现编码信息的自动识别，具有编码信息容量大，容错纠错能力强，译码可靠性高，制作成本低，简单易用等特点。随着智能手机、平板电脑、互联网、移动网络、物联网等技术的普及，二维码作为一种信息存储、传递、识别和交互技术，在电子媒体、报纸杂志、商品包装、仓储物流、个人名片、交通车票、证书单据、移动广告、社交APP、网购交易、网银支付、移动支付等各个方面已得到广泛应用。传统的互联网以IP地址或域名网址为访问入口，但冗长的文本数字信息难以记忆和输入，容易因输入错误而导致无法访问或错误访问等问题。二维码编码信息容量大，可对文字、图片、声音等各类数据信息进行编码，其中应用最广泛的包括文本TXT类型、网址URI类型等。各类信息存储识别交互等应用主要都是基于这两种编码类型，尤其网络资源统一定位URI已成为移动互联时代的重要网络入口媒介，大量的商业平台、社交软件、银行网站、移动支付系统等都提供了自己的二维码入口。这些二维码可方便地发布于报纸、杂志、电视、地铁、公交等等广告区域，用户无需记忆和输入网址信息，只需要用智能手机扫描二维码即可进入URI指向的地址，访问相关网站平台或执行指定的支付交易。

二维码制作简单，任何单位和个人都可以制作和识读二维码信息。在具有简单易用优点的同时，安全性也成为二维码普及应用的一个主要障碍。带有恶意软件和病毒链接的二维码往往伪装成赠品、折扣、优惠等推广二维码，人们难以识别真假。如果误扫描这些二维码，就会导致下载木马病毒程序等，严重危害用户系统安全，可能导致用户个人信息泄露和经济损失。例如一些诈骗网站将其网址制作成二维码仿冒银行网上交易网站, 用户如果误扫描此二维码并登录假冒网站，可能造成银行帐号和密码泄露。一些木马软件的下载网址被制作成二维码假冒成赠送礼品优惠等链接，如果误扫描下载可能导致用户隐私信息泄露，并对用户系统安全带来很大隐患。随着二维码的普及应用，其安全性也引起人们越来越多的关注。二维码的发布来源是否权威可信，是人们对扫码安全性的最大疑虑。二维码是明码编码，虽然具有信息容错性的冗余检验，但信息易被修改伪造，发布来源的验证比较困难。目前的验证方法包括两类：一是采用类似扫码卫士的应用系统，扫描识别出二维码信息后，通过网络连接应用系统的专用服务器，将二维码网址信息与服务器中数据库记录进行检索比对：如系统数据库中可检索到匹配记录，根据记录的属性可以给出此二维码来源是否安全；如果没有匹配的记录，则安全性无法判断。另一类则是对二维码信息进行加密，通过网络连接专用的服务器，读取其中的认证信息，与二维码中加密信息进行比对进行验证；此类应用为封闭式系统，加密密钥信息存储于专用服务器，二维码信息只能由内部专用系统输入解密，无法由大众用户自行读取和验证来源。

现有的二维码安全性验证方法存在以下主要问题：需要通过网络连接服务器进行验证，在没有网络连接或不便进行网络连接的环境下无法验证；基于网址检索对比的验证方法，只能验证已经扫描验证过的二维码的信息，新生成的二维码信息需要先加入数据库中才能进行验证。

为了解决现有二维码安全性验证问题，本发明提出一种可离线验证的安全二维码构造验证方法及装置，无需网络连接即可离线验证二维码的发布来源，可安全放心的应用二维码信息。

在本发明中用到的对称密钥密码系统和非对称公钥密码系统，其基本原理方法可以参考以下公开文献：

[1] Christof Paar and Jan Pelzl. 深入浅出密码学-常用加密技术原理与应用. 清华大学出版社, 2015

[2] Tom St Denis and Simon Johnson. 程序员密码学. 机械工业出版社，2007

其中，文献[1]主要涉及对称密钥以及非对称公钥密码系统的原理，文献[2]主要涉及对称密钥以及非对称公钥算法实现。

发明内容