一种打印机系统安全增强方法、装置及设备与流程

1.本发明涉及打印机数据安全技术领域，特别涉及一种打印机系统安全增强方法、装置及设备。


背景技术：

2.近年来，随着it行业的急剧发展，给各企事业单位的管理带来前所未有的挑战，其中对于日常行政管理、科研活动中涉及到的打印复印数量之大是非常惊人的。用户打印不受控制，任何人连接到网络上就可以打印，这样就造成机密信息的泄露，打印机作为企业/组织网络的重要联网终端，由于互联网具有开放性、互联性等特征，致使网络存在很多不安全因素，恶意软件的肆意攻击，黑客不轨的破坏行为都严重地威胁了网络安全问题，主要表现为以下三个方面：第一，直接暴露导致敏感信息泄露。平均每天有数以万计的打印机通过ipp端口，直接暴露在互联网上，公开获取打印机名称、位置、型号、固件版本、组织单位、连接wifi的ssid。
3.第二，漏洞频发易成网络攻击入口。众多打印机头部厂商生产的多款常用企业打印机中都存在漏洞，这导致打印机崩溃或拒绝服务、监视发送的每个打印作业以及将打印作业发送给未经授权方。
4.第三：管控不足，长期形成防御盲区。打印数据传输泄密、耗材泄密、存储器泄密、供应链泄密、电磁辐射泄密等。
5.中国专利文献cn100437502c、cn100489728c虽然都涉及计算机运行环境和系统安全技术，但并不适合应用于打印机。因此，需要改进现有技术以获得一种适于打印机的系统安全和数据安全的增强方法。


技术实现要素：

6.鉴于现有技术中的上述缺陷或不足，本发明提供了一种打印机系统安全增强方法、装置及设备，能够解决或部分解决上述技术问题。
7.本发明的一个方面提供了一种打印机系统安全增强方法，包括：检测系统程序文件的完整性，若系统程序被破坏则输出提示信息；响应外部输入的系统强制修复指令，执行系统自修复，包括：对基本输入输出系统bios进行完整性检查；利用主机保护存储区hpa中的系统程序文件，对基本输入输出系统bios中的主引导分区、分区信息和引导程序本身进行完整性修复；在系统内核启动前，对内存中的运行文件进行完整性检查，并从主机保护存储区hpa中读取不完整的运行文件的备份文件，以对不完整的运行文件进行修复；在系统自修复完成后，重启打印机进行自检，待自检通过后发出提示信息。
8.更进一步的，还包括：在接收到固件升级指令后，对比存放在主机保护存储区hpa中的数字证书和要升级的固件程序的数字证书是否一致，如果两个数字证书对比结果为一致，则加载最新的固件程序，执行固件升级；待固件升级完成后，打印机在重启过程中自检
固件的完整性，并通过打印机客户端程序读取最新固件的版本号。
9.更进一步的，还包括：接收用户设备发送的经加密的网络接入请求信息； 根据预先设置的决策规则，对该网络接入请求信息进行完整性验证；若网络接入请求信息验证通过，则网络接入请求正常进行；若上述验证未通过，则对网络接入请求进行防火墙隔离、完整性修复或再次判定。
10.更进一步的，上述网络接入请求信息包括用户id信息、用户设备ip地址信息、数字签名信息中的一种或多种。
11.更进一步的，决策规则包括验证用户设备ip地址信息、用户id信息、数字签名信息、加密密码以及防火墙设置信息中的一项或多项是否与预设规则匹配。
12.本发明的另一方面提供了一种打印机系统安全增强装置，包括：完整性检测模块，用于检测系统程序文件的完整性，若系统程序文件不完整，则表明系统程序被破坏，此时完整性监测模块输出提示信息；系统自修复模块，用于响应外部输入的系统强制修复指令，执行系统自修复，包括：第一修复单元，用于对基本输入输出系统bios进行完整性检查；第二修复单元，用于利用主机保护存储区hpa中的系统程序文件，对基本输入输出系统bios中的主引导分区、分区信息和引导程序本身进行完整性修复；第三修复单元，用于在系统内核启动前，对内存中的运行文件进行完整性检查，并从主机保护存储区hpa中读取不完整的运行文件的备份文件进行修复；自检模块，用于在系统自修复完成后，重启打印机进行自检，待自检通过后发出提示信息。
13.更进一步的，还包括：固件安全升级模块，用于在接收到固件升级指令后，对比存放在主机保护存储区hpa中的数字证书和要升级的固件程序的数字证书是否一致，若两个数字证书对比结果一致，则加载最新的固件程序，执行固件升级；待固件升级完成后，打印机在重启过程中自检固件的完整性，并通过打印机客户端程序读取最新固件的版本号。
14.更进一步的，还包括：网络接入请求安全检测模块，用于接收用户设备发送的经加密的网络接入请求信息；根据预先设置的决策规则，对网络接入请求信息进行完整性验证；若网络接入请求信息验证通过，则网络接入请求正常进行；若上述验证未通过，则对网络接入请求进行防火墙隔离、完整性修复或再次判定。
15.更进一步的，上述决策规则包括验证用户设备ip地址信息、用户id信息、数字签名信息、加密密码以及防火墙设置信息中的一项或多项是否与预设规则匹配。
16.本发明的另一方面还提供了一种打印机设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当上述一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现以上描述的打印机系统安全增强方法。
17.本发明的打印机系统安全增强方法、系统及设备，实现了打印机按键强制系统修复的功能；通过信源加密和信道加密的方式进行作业数据保护；开机时自动检测固件完整性和正确性，并对升级固件进行数字签名校验。通过上述几方面的措施，极大程度增强了打印机的数据安全性及系统安全性。
附图说明
18.通过阅读参照以下附图对非限制性实施例的详细描述，本发明的其它特征、目的和优点将会变得更明显：图1是本发明一个实施例提供的打印机系统安全增强方法的系统强制修复的流程图；图2是本发明一个实施例提供的打印机系统安全增强方法的固件安全升级的流程图；图3是本发明一个实施例提供的打印机系统安全增强方法的网络介入请求安全增强的流程图；图4是本发明一个实施例提供的打印机系统安全增强装置的结构示意图；图5是本发明一个实施例提供的打印机设备的结构示意图。
具体实施方式
19.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
21.应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述获取模块，但这些获取模块不应限于这些术语。这些术语仅用来将获取模块彼此区分开。
22.取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”或“响应于检测”。类似的，取决于语境，短语“如果确定”或“如果检测（陈述的条件或事件）”可以被解释成为“当确定时”或“响应于确定”或“当检测（陈述的条件或事件）时”或“响应于检测（陈述的条件或事件）”。
23.需要注意的是，本发明实施例所描述的“上”“下”“左”“右”等方位词是以附图所示的角度来进行描述的，不应理解为对本发明实施例的限定。此外在上下文中，还需要理解的是，当提到一个元件被形成在另一个元件“上”或“下”时，其不仅能够直接形成在另一个元件“上”或者“下”，也可以通过中间元件间接形成在另一元件“上”或者“下”。
24.本实施例提供了一种打印机系统安全增强方法，该方法从打印机系统的自修复、系统固件升级和网络接入请求等三个方面加入安全增强技术，使得打印机的系统安全和数据安全性得到极大的提升。
25.本实施例的打印机网络系统包括服务器端程序、配置管理软件和打印客户端。服务器端程序是安装在打印机中的安全主板中，随开机自启动。此外，服务器端的程序是在打印机生产过程中通过smd格式文件写入设备，直接写入到flash存储单元中，然后写入好的flash存储单元再贴片到安全增强主控制板上。配置管理软件是安装在it管理员等管理员电脑上，主要负责打印机的配置，如修改ip、时间、升级等操作。打印客户端是安装在每个用户的办公电脑上，开机自启动，对打印数据加密并发送到打印机端，可以查看打印机的状态
和打印作业队列。
26.安装于用户设备上的配置管理软件和安装于打印机的服务器端程序之间进行数据交互，用于验证一个网络访问请求者的平台身份和平台完整性验证。
27.安装于打印机的服务器端程序用于终端的完整性认证（授权），建立一个终端的可信等级，例如确保指令应用程序的表现、状态和软件版本、签名数据库的完整性、入侵检测和防御系统程序，以及用于认证终端操作系统和程序的补丁等级。
28.参见图1，本发明的打印机系统安全增强方法包括系统强制修复，具体步骤包括：步骤s101，检测系统程序文件的完整性，若系统程序被破坏则输出提示信息；具体的，打印机系统运行过程中，设备自身进行智能维护，通过文件截获引擎、程序运行文件等底层模块来截获系统文件的访问、修改行为，自动判断系统程序文件的完整性。如果发现系统程序被破坏，则自动通过例如蜂鸣器的形式预警给使用端，蜂鸣器预警模式参照以下表格1。
29.表格1
1嘀短促“嘀”的一声开机自检通过提示音2嘀嘀嘀
…
连续的短音静态度量失败提示音3嘀
…
嘀
…
嘀
…
有间隔的长音“嘀
…”
三次动态度量失败提示音4嘀
…
嘀
…
嘀
…
连续有间隔的长音复位键按下，提示音从固件系统恢复开始直到恢复完成结束，持续“嘀
…
嘀
…”
提示音5嘀
…
，嘀嘀一长两短的连续鸣叫，“嘀
…
，嘀嘀”循环三次打印机故障报警音，如卡纸，定着器故障等。
步骤s102，响应外部输入的系统强制修复指令，执行系统自修复，包括：对基本输入输出系统bios进行完整性检查；利用主机保护存储区hpa中的系统程序文件，对基本输入输出系统bios中的主引导分区、分区信息和引导程序本身进行完整性修复；在系统内核启动前，对内存中的运行文件进行完整性检查，并从主机保护存储区hpa中读取不完整的运行文件的备份文件进行修复。
30.具体的，用户接收到声音、闪烁灯等预警信号后，识别到系统被侵入破坏，或因其他不可预知原因被破坏，则强制触发系统自修复按键，当用户按下“系统自修复按键”3秒钟以上，系统自修复动作开启。
31.首先，打印机自修复系统会对基本输入输出系统bios进行完整性检查，主芯片soc会引导针对打印机的bios运行程序本身，以及存放在hpa中的自检模块的完整性进行检测。
32.然后，打印机自修复系统会对存储内存中的关联模块进行检测和修复，利用hpa中的系统程序文件对bios中的主引导分区、分区信息和引导程序本身进行完整性修复。
33.接下来，打印机自修复系统会对系统内核进行智能修复，系统内核启动前，通过程序文件的比对等手段，对内存中的运行文件进行完整性检查，并可从hpa中读取不完整的运行文件的备份并进行修复。
34.其中，主机保护存储区hpa（host protected area）中存储了芯片固件程序、主密匙和平台配置寄存器文件，此受保护存储区是隐藏的。
35.步骤s103，在系统自修复完成后，重启打印机进行自检，待自检通过后发出提示信息。
36.具体的，在系统自修复完成后，打印机设备自动重启并进行自检，自检通过后蜂鸣器会提示用户已经可以正常使用了。
37.参见图2，本发明的打印机系统安全增强方法还包括固件安全升级，具体步骤包括：步骤s201，在接收到固件升级指令后，对比存放在主机保护存储区hpa中的数字证书和要升级的固件程序的数字证书是否一致，是则加载最新的固件程序，执行固件升级；具体的，若有固件升级需求，打印机在开机自检通过后的待机状态会发出升级请求，用户利用计算机设备通过usb协议或者网络协议将要升级的固件传输给打印机。打印机接到固件升级指令，会针对传输的固件升级程序文件进行标识平台身份识别动作，识别的方法是比对存放在主机保护存储区hpa中的数字证书和将要升级的固件程序的数字证书是否一致，若不一致，则停止固件升级动作，若一致，则执行固件升级动作。
38.因升级过程中突然断电等动作导致升级失败，严重的话会造成flash等存储单元损坏，故升级过程中通过蜂鸣器或闪烁灯预警，提醒用户不要有断电动作，预警音和系统复位预警音一致，为连续有间隔的长音“滴
…
滴
…”
。
39.步骤s202，待固件升级完成后，打印机在重启过程中自检固件的完整性，并通过打印机客户端程序读取最新固件的版本号。
40.具体的，待固件升级完成后，打印机自动重新启动，重启过程中重新自检固件的完整性，并通过预警音提醒用户是否正常，如果正常升级，则打印机客户端程序读取最新固件的版本号。
41.参见图3，本发明的打印机系统安全增强方法还包括网络接入请求的安全增强过程。具体的，本发明的服务器端程序允许检验合格的终端能够接入网络，并且对检验不合格的终端，能够进行隔离修补。通过配置管理软件和打印机客户端认证程序对用户以及平台的认证，来确保用户使用平台的合法性，具体步骤包括：步骤s301，接收用户设备发送的经加密的网络接入请求信息。
42.具体的，用户设备通常为pc设备，通过打印机客户端程序发起网络接入请求，用户设备通过平台完整性度量信息收集器的功能模块收集和整理网络接入请求信息，在整理过程会进行信源加密。网络接入请求信息包括但不局限于：用户id信息、用户设备ip地址信息、数字签名信息等握手信息。其中，用户id信息包括：用户名、密码、权限设置，权限设置指的是，例如此用户只能打印、或只能扫描、或只能通过有线连接，只能打印不带密级的文件等。用户设备ip地址信息包括：ip地址（终端设备通常可修改）和mac地址（终端设备通常唯一且不可变的信息）。用户设备中的打印机配置管理软件将整理完毕的网络接入请求信息发送至服务器终端程序。
43.步骤s302，根据预先设置的决策规则，对上述网络接入请求信息进行完整性验证。
44.具体的，服务器端终端设备的决策规则制定要在决策实施节点前完成，决策规则制定可以有两种途径，一种途径是以固件的形式提前写入到安全增强控制板芯片中，一种是通过用户设备安装的配置软件来约定，约定的内容包括但是不局限于ip地址、用户id、数字签名、信号密码以及防火墙设置等信息。打印机设备会把用户设备发送的整理完成的网络接入信息结合提前制定好的决策规则进行逻辑判定，判定过程通过完整性度量层收集、度量、分析设备完整性信息，把分析结果提供给完整性评价层，作为评价终端安全状态的依据。例如数字签名是否完整、正确，平台证书认证，完整性检验握手等内容。
45.步骤s303，若网络接入请求信息验证通过，则网络接入请求正常进行，否则对网络
接入请求进行防火墙隔离、完整性修复或再次判定。
46.具体的，当逻辑判定为“是”的话，网络接入请求任务正常进行；若逻辑判定为“非”，对该任务进行隔离或修补，或再授权再判定，或隔离到防火墙外，作为非法请求处理。
47.进一步的，网络接入请求信息包括用户id信息、用户设备ip地址信息、数字签名信息中的一种或多种。
48.进一步的，决策规则包括验证用户设备ip地址信息、用户id信息、数字签名信息、加密密码以及防火墙设置信息中的一项或多项是否与预设规则匹配。
49.进一步的，网络接入请求还包括网络扫描接入请求，网络扫描任务可以是pc端设备发起，也可以由一体机设备发起。通过与上述网络接入请求相同的步骤，能够避免非法扫描机密信息，此处不再赘述。
50.参见图4，本发明实施例的另一方面还提供了一种打印机系统安全增强装置400，该系统可用于执行图1-3所示的打印机系统安全增强方法，该装置包括：完整性检测模块401、系统自修复模块402、自检模块403，其中，系统自修复模块402包括第一修复单元4021、第二修复单元4022、第三修复单元4023。
51.完整性检测模块401，被配置为检测系统程序文件的完整性，若系统程序被破坏则输出提示信息；系统自修复模块402，被配置为响应外部输入的系统强制修复指令，执行系统自修复，包括：第一修复单元4021，用于对基本输入输出系统bios进行完整性检查；第二修复单元4022，用于利用主机保护存储区hpa中的系统程序文件，对基本输入输出系统bios中的主引导分区、分区信息和引导程序本身进行完整性修复；第三修复单元4023，用于在系统内核启动前，对内存中的运行文件进行完整性检查，并从主机保护存储区hpa中读取不完整的运行文件的备份文件进行修复；自检模块403，被配置为在系统自修复完成后，重启打印机进行自检，待自检通过后发出提示信息。
52.优选的，打印机系统安全增强装置400还包括固件安全升级模块，被配置为在接收到固件升级指令后，对比存放在主机保护存储区hpa中的数字证书和要升级的固件程序的数字证书是否一致，是则加载最新的固件程序，执行固件升级；待固件升级完成后，打印机在重启过程中自检固件的完整性，并通过打印信息页或者打印机客户端程序读取最新固件的版本号。
53.优选的，打印机系统安全增强装置400还包括网络接入请求安全检测模块，被配置为接收用户设备发送的经加密的网络接入请求信息；根据预先设置的决策规则，对网络接入请求信息进行完整性验证；若网络接入请求信息验证通过，则网络接入请求正常进行，否则对网络接入请求进行防火墙隔离、完整性修复或再次判定。
54.需要说明的是，本发明实施例提供的打印机系统安全增强装置400对应的可用于执行各方法实施例的技术方案，其实现原理和技术效果与方法类似，此处不再赘述。
55.进一步的，图5为本发明实施例提供的一种打印机设备500的结构示意图。打印机设备500可以包括处理装置（例如中央处理器、图形处理器等）501，其可以根据存储在只读存储器（rom）502中的程序或者从存储装置508加载到随机访问存储器（ram）503中的程序而
执行各种适当的动作和处理以实现如本发明所述的实施例的方法。在ram 503中，还存储有电子设备500操作所需的各种程序和数据。处理装置501、rom 502以及ram 503通过总线504彼此相连。输入/输出（i/o）接口505也连接至总线504。
56.通常，以下装置可以连接至i/o接口505，i/o接口包括通过usb或者网络接口连接的计算机设备、手机设备、扫描仪设备、键盘鼠标设备等的输入装置506；包括例如激光发射单元模块，定影单元模块，显影单元模块，驱动单元模块，用户操作面板模块，电源及高压模块，引擎走纸模块、蜂鸣器等的输出装置507；包括例如sd闪存卡（存储内容为打印、扫描业务等内容文件）、eeprom存储模块（存储内容为耗材信息、整机序列号、耗材寿命、打印页数等需要打印机连续计数保存的信息，通常的打印机配置页信息、打印机耗材信息页信息等内容都存储在eeprom中）、hdd硬盘（通常的存储内容为打印、扫描等内容文件）、flash存储模块（通常的存储运行系统文件，通常的hpa存储单元在此存储模块中）、ddr运行存储模块在内的存储装置508；以及通信装置509。通信装置509可以允许电子设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的电子设备500，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
57.特别的，根据本发明的实施例，上述图1至图3的各流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在非暂态计算机可读介质上的计算机程序，该计算机程序包含用于执行上述流程图所示的方法的程序代码，从而实现如上所述的打印机系统安全增强方法。在这样的实施例中，该计算机程序可以通过通信装置509从网络上被下载和安装，或者从存储装置508被安装，或者从rom 502被安装。在该计算机程序被处理装置501执行时，执行本发明实施例的方法中限定的上述功能。
58.以上描述仅为本发明的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本发明中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明中公开的（但不限于）具有类似功能的技术特征进行互相替换而形成的技术方案。