摘 要

本文涉及动态二维码的编码解码技术，即一种动态二维码生成及验证方法，通过在终端把本地数据进行加密生成并显示动态二维码图像，利用移动终端扫码该动态二维码并将得到某帧二维码数据，发送服务器后通过数据解密、时效验证、标识校验等进行合法验证。

【关键词】动态 二维码 编码 解码 加密 验证

二维码作为一种先进的应用，随着移动互联网和智能终端的普及，在媒体、商业、制造、物流等多个领域快速推广，很好地充当了数据传输的桥梁，尤其是微信、支付宝的二维码扫码支付的广泛应用，二维码已经被大众普遍接受和使用。

1 二维码

二维码是在平面上使用若干个与二进制相对应图形的来表示记录数据信息的几何形体。二维条码具有信息容量大、密度高、纠错能力强、安全性好、编码范围广的优点，同时还可以引入校驗纠错码，具有检测错误和恢复删除错误的能力。二维码除了表示基本的英文、汉字、数字、网址等信息外，还可以存储声音、指纹、照片及图像等多种信息。

2 动态二维码

在传统的二维码中，静态数据的重复使用增加了其丢失、泄露以及被破解的风险，降低了信息系统的安全系数，而动态二维码是在传统二维码的基础上在一段时间内多帧二维码图像交替显示，其中每一帧二维码图像数据分别采用不同的密钥动态加密生成，不易伪造不易破解，每一帧二维码都有时效性，这样更能保证数据的安全。

3 动态二维码生成原理

本文所述动态二维码是在QR Code码的基础上生成，一段时间内多张不同的二维码图像不断的切换，每一帧二维码图像分别用不同的密钥动态加密生成，其内容是通过符合标准的安全算法加密，一般的二维码扫码器扫描不出其真实内容，同时，添加了时间验证机制，确保每一帧二维码图像所包含的信息只在一段时间内有效。基于以上两点，即使二维码图像被恶意获取，也可以很好地保证其信息安全性。

4 动态二维码验证原理

在某些特定应用场景下，需要终端硬件信息和移动端用户信息分别组织，然后再合并进行合法性验证，根据验证结果终端或者移动端进行响应（例如某些行业设备通过手机进行的近距离非接触检查操控），验证原理如下：

（1）终端（可以是多种具备计算和显示功能的硬件设备）加密本地数据生成动态二维码图像并显示。

（2）移动端扫描终端上的动态二维码，得到某帧二维码数据转发给服务器。

（3）服务器进行时间验证和数据解密后进行数据合法验证，验证结果信息返回给终端和移动端。

（4）终端和移动端收到服务器返回信息并进行相应的显示或者动作。

5 动态二维码的生成和验证过程

5.1 动态二维码生成步骤

（1）客户端和服务器交换加密密钥A（每次值不同）和动态二维码每帧图像数据的有效时间I。客户端把当前自身系统时间CT1记为客户端起始时间，服务器把当前自身系统时间ST1记为服务器起始时间。

（2）客户端收集本地硬件信息等关键信息拼成一个字符串，将该字符串经过MD5运算得出另一个字符串（用于服务器确认关键信息字符串信息的完整性），将两个字符串合并组成一个新的字符串D。

（3）将字符串D用密钥A和随机数B以DES加密得到密文E。

（4）在密文字符串E的前面，插入当前系统时间与CT1的差（简称Cintv）和随机数B最后得到字符串F。

（5）将F按照QR码的标准生成二维码图像并显示。

（6）客户端每隔一段时间（比如2秒）重复上述第2至5步骤，从而形成二维码的动态更替显示。

5.2 动态二维码数据传输步骤

（1）移动端连接服务器后使用登录名口令等方式通过使用者身份验证

（2）移动端扫描客户端的动态二维码，获得某帧二维码数据转发给服务器

5.3 动态二维码时效验证

（1）服务器接收到移动端发来的二维码数据并解析。

（2）服务器在数据中得到Cintv（此二维码的生成时间与起始时间的时间差）和随机数B。

（3）服务器用当前系统时间减去起始时间ST1获得时间差Sintv。

（4）Sintv减Cintv的差值小于等于二维码有效时间I，则时效验证通过并进行二维码内容验证，否则此帧二维码信息失效，验证失败信息返回给移动端显示。

5.4 动态二维码内容验证

（1）服务器用密钥A和随机数B解密二维码数据获得终端硬件等关键信息

（2）服务器验证这些信息是否合法，不合法则把验证结果返回给移动端显示，合法则终端和移动端执行相应的显示或者动作。

参考文献

[1]郭婧.二维码技术在移动电子商务中的应用研究[J].通讯世界，2015（13）.

[2]郑君，李海霞.基于动态二维码的安全身份认证方案的研究[J].湖北理工学院学报，2015（02）.

[3]中国银联二维码支付安全规范[S].Q/CUP 067-2016.

作者简介

乔良树（1969-），男，天津市人。硕士学位。研究方向为轨道交通信息技术、移动互联网技术。

作者单位

天津凯发电气股份有限公司 天津市 300392endprint