SBVLC: Secure barcode-based visible light communication for smartphones, TMC (IEEE Transactions on Mobile Computing), 2015年3月 [1]

http://ieeexplore.ieee.org/xpl/articleDetails.jsp?tp=&arnumber=7061506&queryText%3DSBVLC

1.1. 背景

纽约州立大学布法罗分校、密歇根州立大学、马萨诸塞大学卢维尔分校、香港城市大学的研究人员针对现有NFC(Near Field Communication)技术需要额外硬件支持、容易被监听和中间人攻击的安全问题，提出了一种安全的基于二维码的可见光通信系统，可用于移动支付、身份鉴别、加密数据传输、手机间便捷传输数据等场景。本文可作为手机间无需借助WIFI进行数据传输的新方法。

VLC(可见光通信，Visible Light Communication)是最近兴起的一种通信方法，其应用包括Li-Fi(可见光无线通信,Light Fidelity)等。本文是在学界首次对二维码可见光通信进行的研究。

1.2. 相关工作

在Cobra：一种基于彩色二维码的信息流传输[3]一文中，作者提出了一种同样是在手机间通过二维码高速传输信息的方案。本文(SBVLC)在展望中提到今后可以改用Cobra所使用的彩色二维码，来降低二维码生成时的性能开销，以及更高的信息吞吐量，但是Cobra这篇文章并未考虑到信息安全的问题。

在异步4D条形码[4]一文中，作者提出了一种通过4D的条形码传输信息的方案，这个方案的优点是具有很强的鲁棒性以及异步性，但是此方案并不实用：由于边缘检测和边缘矫正带来了很高的计算代价，使得它的信息传输速率低至100bit/s。

1.3. 业界调研

2014年3月13日，央行下发紧急文件《中国人民银行支付结算司关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》，暂停支付宝、腾讯的虚拟信用卡产品，同时叫停的还有条码(二维码)支付等面对面支付服务，并要求支付宝、财付通将有关产品详细介绍、管理制度、操作流程等情况上报。二维码支付的安全性问题引起了社会的极大关注。280天之后这一规定解禁，但是安全问题依然面临很大挑战[5]。

1.4. 技术细节

SBVLC方法首先分析了二维码通信的安全几何模型，进而提出了防范窃听攻击的物理安全增强方法，如采用隐私屏幕贴膜（privacy screen projector）降低屏幕大角度可见度，或者两部终端进行主动同角度旋转，为了阻止他人对屏幕图像的窃取。

SBVLC需要两部终端具有彩色屏幕和前置摄像头，在此基础上进行多帧的二维码通信，提出了消息传递协议、握手协议和流协议，保证只要不被监听所有帧的二维码，通信内容就是安全的。SBVLC还是一个双工的信息传输方案，可以令通信双方同时收发信息。

1）双工通信方案

SBVLC实现了一个轻量级的可以在智能手机间用二维码通信的双工架构。这个架构是轻量级的，不需要复杂的密码库。

2）智能终端间密钥交换方案

SBVLC实现了一个交替的密钥交换方案，在交换之后即进行加密。

3）All-Or-Nothing数据流传输安全方案

有时需要传输的字符串很短，若仍然加入密钥并不实用。这个方案通过迭代加密的加密方式，保证了，在没有密钥的情况下，依然可以提供足够的安全性。此方案可以使得想要进行攻击的第三方只要没有获取到某一帧图片（通过旋转等方法），就无法获得有效信息。

SBVLC在软件实现上部分利用了，支持IOS和Android的开源二维码Zxing库[2](http://code.google.com/p/zxing)，来生成和扫描二维码。

此种方法无需特定的硬件支持，几乎可以支持市面所有带有彩色屏幕、前置摄像头的智能手机，更可以扩展到笔记本等满足硬件需求的设备。

1.5. 测试

图1  在采用了隐私屏幕贴膜的终端进行信息窃取实验

图2  针对不同的二维码级别(QR Code Version)，编码、解码、吞吐量变化情况

为了使得相机捕捉图像的效率更高，处理图像所需要的CPU开销更少，本方案采用了自适应尺寸的缩略图来展示不同Version的QR Code。对于相同的文本信息，Version越高，容错性越高，信息量也越大，即二维码的图案更复杂。由上图可见，Galaxy S3会在QR Code Version为19时，达到速率的峰值，即70Kbps，图2所示。速度的瓶颈在Version>18之后从二维码刷新频率，变成了CPU的处理能力。如果双方同时传输信息，由于同时要进行编码和解码，CPU开销至少是原来的2倍，尽管如此信息传输速度也至少为8Kbps当Version为13时。

图3  使用激光进行干扰信息传输实验

经过测试，当其他人试图用激光束照射手机屏幕时，若角度>60°，传输完全不受影响；另外，激光照射的角度无法<30°，否则会被另一台手机挡住，如图3所示。

最后，在IPhone 4/4S/5和很多Android手机上的实验结果表明，97.5%的测试者可以学会SBVLC通信方法，并且该方法足够安全。此外此种方法无需特定的硬件支持，几乎可以支持市面所有带有彩色屏幕、前置摄像头的智能手机，更可以扩展到笔记本等满足硬件需求的设备。

1.6. 专家观点

目前在近距离通信领域，二维码的普及程度远远高于NFC。目前二维码的通信多数属于单向的，主要用于访问网站或金融支付等。而本文提出的SBVLC是双工的通信，此外目前学界还没有类似的采用成熟的二维码多帧加密方法。

本文提出的方案无需借助NFC模块，鉴于目前智能手机普遍带有前置摄像头的情况下，该成果可用于手机系统中，鉴于可以实现70kbps的传输速率，因此可以作为手机间的传输信息的工具，功能类似“快传”，免去了类似“快传”等应用还需要建立WIFI网络所带来的不佳的用户体验，也给仍然使用2G网络的用户一个免费且更快的数据传输体验。作为手机厂商，也可以加入本文中提到的隐私屏幕贴膜，以及控制屏幕的可视角度等，以更好地支持基于此方案的端到端安全短距通信。

1.7. 参考文献

[1] Zhang, B., Ren, K., Xing, G., Fu, X.,Wang, C., SBVLC: Secure barcode-based visible light communication forsmartphones, IEEE Transactions on Mobile Computing, vol.PP, Mar. 2015

[2] Zxing (open source qr library), 2012.http://code.google.com/p/zxing

[3] Tian Hao, Ruogu Zhou, and GuoliangXing. Cobra: color barcode streaming for smartphone systems. In MobiSys, 2012.

[4] Tobias Langlotz and Oliver Bimber.Unsynchronized 4d barcodes:coding and decoding time-multiplexed 2d colorcodes.In ISVC, 2007..

[5] 马化腾：银联已制定二维码支付标准. http://www.nandu.com/html/201503/04/1051829.html