基于分段加密和時效控制的QR碼物流隱私保護方案

劉亮，郭文博，楊昱威，郭懷宇

基于分段加密和時效控制的QR碼物流隱私保護方案

劉亮1，郭文博1，楊昱威2，郭懷宇1

（1. 四川大學網絡空間安全學院，四川 成都 610207；2. 四川大學電子信息學院，四川 成都 610065）

針對現有物流系統在用戶隱私保護上的一些弊端，提出了一種基于QR碼分段加密、分級授權和時效控制的隱私保護方案。該方案將收件人所有信息進行分段RSA加密、Base64編碼，整合之后嵌入QR碼中。在物流運輸及派件過程中，對于不同的網點或轉運中心授予不同級別的QR碼解密權限，查看指定內容。同時在用戶簽收后QR碼自動失效，以此達到保護用戶個人隱私的目的。方案的核心思想是盡可能減少收件人信息的接觸人群，降低用戶信息泄露的可能性。

QR碼；分段加密；時效控制；雙向認證；物流系統；隱私保護

1 引言

隨著互聯網技術的發展，電子商務所具有的眾多優點，使電子商務在生活中應用得更加廣泛，同時帶動傳統物流行業進一步發展，每年的包裹數保持著很高的增長率。2018年11月期間，全國累積發送的包裹數迎來了大幅度增長，達到58.6億件；而2017年同期為47.1億件[1]。同時，2018年全國快遞服務企業業務量累計完成507.1億件（如圖1所示）。隨著快遞行業的高速發展，在促進國家經濟的上升、便利人們生活的同時也帶來了不容小覷的威脅。近幾年來，因為快遞單信息泄露而造成的財產損失甚至威脅人身安全的事件屢見不鮮，用戶的個人信息裸露在公眾視線中，給不法分子提供了可乘之機。2017年6月，國家出臺了《中華人民共和國網絡安全法》，在法律層面上對個人的信息進行了保護，但推廣較慢且針對性不強。目前，國內外對于快遞信息的保護有很多方案。①快遞包裹標簽法，利用一種特殊的快遞標簽，在用戶收到包裹后直接拉住標簽一端即可輕松撕掉相關信息。②?匿名模型法，這種方法在快遞單上仍然保留著用戶的姓名、電話號碼，對個人信息沒有起到有效保護[2]。③基于二維碼的隱藏方法，該方法應用比較廣泛，但它直接將用戶的信息載入二維碼中，僅做了簡單的隱藏和加密，其存在著極大的隱患。首先是密碼泄露的問題，其次是快遞完成之后二維碼依然有效，這也對用戶的信息造成很大的威脅[3]。鑒于上述存在的問題，本文提出基于分段加密和時效控制的QR碼物流隱私系統，旨在實現個人信息的完全隱藏，讓用戶不再擔心快遞泄密事件的發生。

2 國內外研究現狀

由于物流行業在發展過程中暴露出的隱私泄露問題越來越多，目前國內外已有一些專家學者和企業在研究物流中的隱私保護問題，并取得了一定的成效。

圖1 2017年和2018年快遞業務變化

國外針對物流信息系統（LIS，logistics information systems）[4]的個人隱私信息保護主要通過政府、法律的形式對物流行業進行規范和監督。例如，英國郵政管理委員會規定，在物流運營商的許可證中必須明確關于郵政安全的相關條款，并以法律的形式強制執行；美國快遞員在就業時必須提供社會安全號。上述的法律法規或行業規范在一定程度上可以解決部分隱私泄露的問題，但用戶的個人隱私信息依然存在泄露的可能性。

國內物流行業對于用戶隱私泄露問題給予了一定程度的重視。一些快遞公司推出了隱私面單，將個人信息隱藏，但就目前看來并未有大規模的應用[5]。用戶隱私泄露問題依然嚴峻。一方面，小部分為了謀取利益，在行業內部存在隱私交易的可能性；另一方面，快遞單在簽收之后的隨意丟棄也容易泄露信息，威脅人身財產安全。另外，如果服務器的數據大規模泄露，更有可能對用戶的個人隱私產生無法挽回的損失。

針對上述情況，本文提出了基于分段加密和實效控制的QR碼的物流隱私系統，以期待更好地解決物流行業存在的用戶隱私安全問題。

3 物流隱私保護方案

3.1 隱私保護方案框架

在本文提出的基于分段加密和實效控制的QR碼[6]的物流隱私系統方案中，采用信息加密隱藏技術，將用戶的所有信息進行分段加密，然后將加密的信息整合嵌入快遞面單的QR碼中，系統自動生成對應的權限查看密鑰，分發給不同級別的物流集件中心管理人員，完成對不同角色訪問查看的控制。

隱私保護方案中主要包含信息加密模塊、密鑰管理模塊、訂單管理模塊。

下面介紹隱私保護方案的業務流程。

①在用戶下單后，其收件地址、電話等相關信息被寄件方所知，寄件方根據所寄物品，使用物流App填寫相關的快遞面單，填寫完成后提交到系統服務器中保存并做進一步處理。

②服務器接收到客戶端提交的寄件面單后，自動根據事先設定好的加密算法對寄件單上的用戶信息進行分層RSA[7]加密，分層加密后整合生成對應嵌入信息的QR碼，同時將加密的公私密鑰保存在數據庫中，對于不同的密鑰授予不同級別的訪問權限，用于之后的各級獲取密鑰后授權解密。

③服務器生成QR碼后，將加密后的QR碼返回給快遞公司，快遞公司獲取QR碼，將其貼在包裹表面，用于保存與標識用戶的快遞信息。

④快遞公司運輸包裹到省級集件中心，省級集件中心分派人員從數據庫中獲取省級授權私鑰，對市級的網點信息進行解密并分派快件；市級收到分派來的快件后，通知相關分派人員從數據庫中獲取市級授權私鑰，對縣級網點信息進行解密，同時將快件運輸到對應的縣級網點；縣級網點采用同樣的方式從數據庫獲取縣級授權私鑰，解密收件人具體地址，通知快遞員派件。需要注意的是，高一級的私鑰只能對下一級的信息進行解密，即高一級的人員無法查看跨級的更具體的收件人信息。

⑤快遞員派件。快遞員知道用戶的收件地址和物品信息，用戶的電話信息是采用統一號碼加密的，只能通過App直接撥打或發短信，進一步提高安全性。

⑥用戶接到快遞到達短信后，對快遞進行現場簽收。在核對簽收完成后，手持終端機提交簽收成功信息到服務器中，服務器收到請求，立即銷毀先前創建的包含用戶隱私的QR碼，保證用戶的隱私信息不被泄露。

圖2 隱私保護方案框架

3.2 分段加密設計

分段加密設計是本文的核心，也是創新所在。根據該方案框架的設計，采用分段加密的方式對用戶的快遞信息進行保護。在快遞單上用戶的信息一般包括姓名、住址、郵編、電話以及寄件物品的種類[8]。在整個寄件的過程中，不同的轉運中心會查看不同的信息，針對這個特點采用分段加密的方式對用戶的訂單信息進行加密，如式(1)所示。

在信息加密模塊中，服務器端采取分級加密的方式保障用戶個人信息安全。以用戶購物下單為例，在接收到客戶端提交的訂單信息后，服務器端對信息內容進行分級加密處理，主要的快件信息包括寄件人姓名、聯系電話、訂單物品的信息以及地址信息。

1) 對訂單物品信息不加密，打印到快遞單中方便物流途中的運輸。

2) 對寄件人姓名、聯系電話進行一次RSA加密，為方便理解，命名為R1。

3) 對地址信息進行分層處理，如訂單地址為四川省成都市雙流區西航港xxx，服務器會將四川省設置為省級，單獨進行一次RSA加密（即為R2），以此類推成都市設置為市級（即為R3），雙流區設置為縣級（即為R4），西航港xxx（具體地址）為R5。

3.2.1 密鑰管理模塊

分段加密方案對快件采用隨機生成的密鑰。對于密鑰管理，本文提出兩種方案。方案一是數據量不大時所采用的。為了最大限度地保護用戶的隱私信息，本文對于每一個快件采用不同的密鑰加密。方案二是針對大規模數據量（“雙十一”等特殊時段）查詢的情況，采用分時更新密鑰方案，即每一級站點在某一時間段中所有的快件采用同樣的公私鑰。同時為了防止密鑰泄露，采用對密鑰進行定時更新。在這兩種方案中會產生很多密鑰，對密鑰的授權管理也是該項目的重中之重。該模塊設計主要采用分級授權管理方式，在生成快遞面單時，服務器將面單信息進行分段，然后對每一段分別采用RSA加密，同時將不同分段加密的密鑰保存在不同的數據庫中，對于不同的數據庫授予不同的訪問權限，分別對應省級、市級和縣級；當快件達到某一級時，某一級相關管理人員向服務器提出請求，服務器接受請求后根據其所屬訪問權限在數據庫中獲取相應的解密密鑰返回給請求端，相應級別的請求端根據收到的密鑰解析下一級的網點信息并分派快件。需要注意的是，各級所有密鑰均統一管理，每一級的解密密鑰只能解析出下一級的信息，每一級所獲取信息均十分有限，僅最后一級快遞派送員能獲取收件人具體地址，盡可能地保護收件方的隱私安全。

3.2.2 物流模塊

對于整個方案來說，物流模塊也是極其重要的。之前所做的一切都是在為該模塊做鋪墊，在傳統的物流方案中[9]，用戶的信息泄露基本是出于該環節。在快件的運輸過程中，用戶的包裹經過很多網點，會接觸到很多內部人員。而這每一個網點都可能成為泄密的源頭（曾經出現快遞公司內部員工倒賣用戶數據的情況）。該方案采用分段加密、分級授權的方法減少這一環節的信息泄露。現有的物流系統都是分級運輸的方式，如一個由成都市寄往江蘇省揚州市寶應縣東門社區安宜東路6號的快遞，一般的流程是先將快件運輸到江蘇省集散中心，然后運送到揚州市的快件中心，接著下一站點是寶應縣，最后是派件的過程，派件員根據具體地址將用戶的快遞送達。在這個過程中，對于上一級的快遞網點，只需要知道下一級的目的地即可，而其他的信息無關緊要。本文方案就是基于這樣的原理，采用分級授權的機制。在信息加密的模塊將收件人的所有信息全部分段加密，分別生成密鑰，存儲在服務器端。當快件前往下一個站點時，掃描QR碼，服務器根據該站點的權限，下發對應的私鑰，然后解密查看下一級的地址，而其余的信息則仍處于加密狀態無法正常讀取，如圖3所示。

圖3 分級授權解密示意

這樣既防止了用戶信息的泄露，又可以讓該快件根據掃描的信息順利前往下一級網點。在整個過程的末端——派件的過程中，派件員根據其所具有的權限解密用戶的名字、電話和具體地址。這對于用戶的隱私存在極大的風險，所以在這一級不將QR碼掃描出的結果直接顯示給派件員。對于用戶的具體地址，后臺會根據掃描的結果直接智能地規劃派件路線并顯示在派件端。如果派件員需要短信通知或者電話聯系收件人，該方案提供了一鍵撥號和發送短信的功能。派件員單擊一鍵撥號，系統會給用戶直接撥打電話，同時采用雙向通信隱藏的方案。在這個過程中，用戶接收到的號碼是一個被標注的虛擬號碼，派件員看到的電話號碼也不是真正的用戶電話。這樣就實現了用戶號碼的保護。如果派件員需要發送短信，需要單擊發送短信的按鈕，服務器發送取件短信給用戶，然后將發送的結果返回給派件員，提示其短信是否發送成功。這樣派件員無法查看用戶的具體信息但派件工作又可順利完成。

3.3 雙向認證設計

在日常的生活中經常會發生這樣的事：你沒有在網上購買任何商品，但卻莫名奇妙地接收到取件的短信通知，最后不得不通過現場支付的方式接收快件。這其實是一種詐騙手段，非法分子通過偽造取件短信然后誘騙用戶為假快遞買單。這種問題存在的主要原因是快遞流程中缺乏末端的[10]雙向驗證，之前所有的快遞基本是單向認證的。用戶出示身份證或者取件碼，派件員核實之后將快遞交給用戶。但這個過程中，從來沒有對派件員的真實身份進行認證，以致出現上述的假冒問題。基于這樣的背景，本文創造性地引入了雙向認證機制（mutual authentication）[11]。在整個物流的末端，用戶出示快件的QR碼，派件員使用專用的手持機對其進行掃描，然后在后臺進行快件信息與掃描信息的匹配，如果信息匹配成功，則自動在后臺完成簽收，將簽收狀態信息發送給用戶。整個過程中，因為只有真正的快遞公司員工才擁有登錄手持機的權限，所以能很好地認證其身份的真實性。雙向認證機制可以很好地解決假冒的問題，在物流末端為用戶提供強有力的隱私保護。

3.4 時效控制設計

雖然目前市面上有采用QR碼進行加密的快遞，但普遍存在一個問題[12]。在快遞簽收之后，快遞單上的QR碼還是有效的，可以正常進行掃描訪問。如果用戶的密碼發生泄露，即使完成了簽收，不法分子還是可以通過掃描簽收過后的QR碼讀取用戶的個人隱私。這對用戶的信息會造成很大的威脅，這里提出了時效控制方案。通過對QR碼以及密鑰設置有效時間來限制其訪問。對密鑰的時間控制也是通過分級進行實現的。當每一級實現解密訪問之后，該級的密鑰就失效，以防止內部人員進行私自訪問。在整個物流周期結束之后，QR碼自動失效，這樣就能實現用戶隱私的全方位保護。

4 實驗設計&結果分析

4.1 實驗設置

為了驗證本文的分段加密設計以及時效控制等方案，本文使用QR碼存儲快遞單的加密信息，然后使用測試程序進行驗證，同時和文獻[2]進行對比分析。

4.2 分段加密

分段加密思想是對快件信息進行分級加密。不同級別的地址采用不同的密鑰進行加密，同時每一個快件的密鑰都是不同的，這樣可以最大限度地保護用戶的個人隱私信息。這里首先對地址信息“甘肅省金昌市永昌縣四川大學江安校區”以及收件人信息“郭文博”（電話“13258280000”）進行加密。分段加密的過程如表1所示。

表1 分段加密過程

加密之后生成的QR碼如圖4所示。

圖4 個人信息集成后的QR碼

接下來進行掃描測試。首先使用普通的掃描工具進行掃描。該過程中沒有解密的密鑰，所以掃描的結果是已經加密的，如圖5所示。

圖5 常規掃描軟件掃描結果

然后使用授權的軟件進行掃描，這里測試的是市級密鑰，所以掃描的結果應該是下一級（即縣級單位）的信息，如圖6所示。

圖6 授權密鑰解密結果

4.3 時效控制

時效控制是通過在快件的地址信息后加入一個Time_Expire值設置超時時間來實現QR碼自動失效的。當生成QR碼時，服務器端在快件信息后加入Time_Expire值，再進行分段加密。當服務器端接收到查詢請求后，通過對Time_ Expire值進行判斷，決定是否返回明文信息。若QR碼的Time_Expire值未超時，則返回相應權限的明文信息；若超時，則返回QR碼失效提示。

仍以地址信息“甘肅省金昌市永昌縣四川大學江安校區”為例生成QR碼，時效控制過程如下。

使用授權的軟件進行掃描，此時QR碼還未失效，可以正常地得到明文信息掃描的結果，如圖6所示。

接下來，QR碼失效后，再次進行掃描，掃描后不會得到明文信息，而是彈出QR碼失效提示。掃描結果如圖7所示。

圖7 QR碼時效掃描結果

4.4 雙向認證

在雙向認證中，如果用戶簽收，需要對快遞員出示快件QR碼。而QR碼必須用戶登錄賬號后才可以查看。系統后臺自動匹配快件信息，如果匹配成功，則自動完成簽收（如圖8所示）；如果信息不匹配的話，就無法完成簽收。

圖8 雙向認證簽收效果

4.5 對比分析

本文參考“基于二維碼和信息隱藏的物流系統隱私保護方案”一文[2]。對其中的物流隱私方案進行了改進并對比分析，表2為本文方案與文獻[2]方案的對比結果。

從表2中可以看出，對于加密方案來說，分段加密采用RSA、Base64算法更加安全。對于用戶驗證方案來說，派件員掃描收件人出示的QR碼進行雙向驗證，在此過程中可以實現派件員以及收件人的互相認證，可以提供更好的身份驗證效果，而驗證碼存在偽冒風險且無法對派件員身份進行鑒別。對于時效控制來說，文獻[2]中無時效控制，用戶簽收之后QR碼繼續有效，這就增加了信息泄露的風險。對于用戶簽收來說，個性化的QR碼設計可以增加可辨識度，提高簽收效率。

5 結束語

針對目前物流信息系統中用戶個人隱私泄露以及市場上已存在物流系統保護用戶隱私方法的缺陷，本文提出了一種基于QR碼分段加密、分級授權和時效控制的方案，并且詳細介紹了該方案的系統架構和模塊設計以及實際應用流程。該方案根據實際快遞物流個人信息實現分段RSA、Base64加密，并且針對不同區域，從省到市再到縣級分別授予不同的權限，當前一級只能查看當前和下一級的網點信息，并且QR碼具有一定的時效性，包含用戶信息的QR碼在用戶簽收后立即失效，有效地提高了整個物流系統的安全性，很好地解決了傳統物流系統中個人隱私泄露的問題，在盡量保證便捷的同時，提升系統的安全性。

隨著互聯網時代的飛速發展，物流快遞的需求隨之增長，人們對于個人隱私保護的意識逐漸提高，希望本文方案的設計在不久的將來能得到進一步的改進與應用；同時，對于方案中加密算法的高效性以及實際應用安全性和便捷性的研究還有待進一步深入。

表2 2種方案對比分析

[1] 中華人民共和國國家郵政局. 中國快遞發展指數報告[R]. 2018.

State Post bureau of the People's Republic of China. China Express Development Index Report [R]. 2018.

[2] 嚴文博, 姚遠志, 張衛明, 等. 基于二維碼和信息隱藏的物流系統隱私保護方案[J]. 網絡與信息安全學報, 2017, 3(11): 22-28.

YAN W B, YAO Y Z, ZHANG W M, et al. Privacy-preserving scheme for logistics systems based on 2D code and information hiding[J]. Chinese Journal of Network and Information Security, 2017, 3(11): 22-28.

[3] TAMM U. Possible applications of information theory in logistics[C]// Information Theory & Applications Workshop. 2011.

[4] ?MüR Y, SAAT?IO?LU, DEVECI D A, CERIT A G. Logistics and transportation information systems in turkey: e-government perspectives[J]. Transforming Government People Process & Policy, 2009, 3(2):144-162.

[5] BRYCE J, KLANG M. Young people, disclosure of personal information and online privacy: control, choice and consequences[J]. Information Security Technical Report, 2009, 14(3):160-166.

[6] ZHANG X, LI H, YANG Y, et al. LIPPS: logistics information privacy protection system based on encrypted QR code[C]//IEEE Trustcom/BigDataSE/ISPA. 2016: 96-100.

[7] THIRANANTN , LEE Y S , LEE H. Performance comparison between RSA and elliptic curve cryptography-based QR code authentication[C]//IEEE 29th International Conference on Advanced Information Networking and Applications Workshops (WAINA) 2015: 278-282.

[8] BOOKBINDER, JAMES H, DILTS D. Logistics information sys tems in a just-in-time environment[J]. Journal of Business Logistics, 1989, 10(1).

[9] BERGHEL H. Identity theft, social security numbers, and the Web[J]. Communications of the ACM, 2000,43(2).

[10] HUANG C T , ZHANG Y H , LIN L C , et al. Mutual authentications to parties with QR-code applications in mobile systems[J]. International Journal of Information Security, 2016.

[11] SAXENA S,SANYAL G AND SRIVASTAVA S. Mutual authentication protocol using identity-based shared secret key in cloud environments[C]//International Conference on Recent Advances and Innovations in Engineering (ICRAIE-2014). 2014: 1-6.

[12] KROMBHOLZK ,FRüHWIRT, PETER, KIESEBERG P, et al. QR code security: a survey of attacks and challenges for usable security[C]// International Conference on Human Aspects of Information Security. 2014.

Research on QR code logistics privacy based on segmented encryption and time-limited control

LIU Liang1, GUO Wenbo1, YANG Yuwei2, GUO Huaiyu1

1. College of Cybersecurity, Sichuan University, Chengdu 610207, China 2. College of Electronics and Information Engineering, Sichuan University, Chengdu 610065, China

In view of the disadvantages of the existing logistics system in the market in user privacy protection, a privacy protection scheme based on QR code segmentation encryption, hierarchical authorization and time-limited control was proposed. This scheme segments all the recipient information into RSA and Base64 encryption,after integration, it is embedded into the QR code. In the process of logistics transportation and delivery, different levels of QR code decryption permissions are granted to different branches or transfer centers to view the designated content. At the same time, the QR code automatically becomes invalid after the user signs for it, so as to protect the user's privacy. The core idea of the scheme is to minimize the contact group of recipient information and reduce the possibility of user information disclosure.

QR code, segment encryption, aging control, two-way authentication, logistics system, privacy protection

TP309.2

A

10.11959/j.issn.2096?109x.2019039

劉亮（1982? ），男，四川敘永人，博士，四川大學工程師，主要研究方向為惡意代碼檢測、漏洞挖掘、大數據安全。

郭文博（1998? ），男，甘肅鎮原人，主要研究方向為Web安全。

楊昱威（1999? ），男，陜西漢中人，主要研究方向為信息與通信工程。

郭懷宇（1998? ），男，四川自貢人，主要研究方向為網絡空間安全。

2019?04?15；

2019?06?03

郭文博，2338216055@qq.com

劉亮, 郭文博, 楊昱威, 等. 基于分段加密和時效控制的QR碼物流隱私保護方案[J]. 網絡與信息安全學報, 2019, 5(4): 63-70.

LIU L, GUO W B, YANG Y W, et al. Research on QR code logistics privacy based on segmented encryption and time-limited control[J]. Chinese Journal of Network and Information Security, 2019, 5(4): 63-70.