隨著企業(yè)辦公不斷網(wǎng)絡(luò)化、數(shù)字化、信息化的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為我們密不可分的工作環(huán)境。其中，網(wǎng)絡(luò)共享打印的辦公方式就在我們?nèi)粘＾k公中被廣泛的使用，網(wǎng)絡(luò)打印可以大大提供工作效率。雖然網(wǎng)絡(luò)打印在提供給我們方便的同時(shí)，但也帶來(lái)了不少安全隱患。所以安全網(wǎng)絡(luò)打印問(wèn)題已成為企業(yè)辦公不得不面對(duì)與要解決的課題。

本論文結(jié)合多年打印行業(yè)開(kāi)發(fā)工作經(jīng)驗(yàn)，基于本公司實(shí)際網(wǎng)絡(luò)打印環(huán)境，較深入的研究了網(wǎng)絡(luò)打印過(guò)程中可能存在的安全問(wèn)題。

With the rapid development of IT industry,computer and network have become an indispensable element in our work environment.Among,network printing is popurlarly used in our daily working,it greatly improves the efficiency. Althrough,network printing is convient for our working,it bring us some the problem of security.So the security problem in network printing is the project which we need to face and solve.

This thesis summarizes years of work and experience in printing industry,based the printing environment,in-depth studiedthe security problem in network printing process.

近年來(lái)，網(wǎng)絡(luò)打印迅速普及，無(wú)論是中小型企業(yè)還是大型集團(tuán)公司，大多采用在網(wǎng)絡(luò)環(huán)境下使用打印機(jī)。因?yàn)椴捎镁W(wǎng)絡(luò)打印可以在一定程度上減少打印機(jī)的數(shù)量，這樣不僅可以節(jié)省成本，方便管理，提供工作效率，而且還可以在一定程度上位節(jié)約環(huán)保做出貢獻(xiàn)。但是，網(wǎng)絡(luò)打印在帶給我們以上的好處外，由于網(wǎng)絡(luò)資源的共享特性，也帶來(lái)了不少安全隱患。常見(jiàn)的問(wèn)題如下：

·網(wǎng)絡(luò)打印環(huán)境下，多人共享打印機(jī)，經(jīng)常出現(xiàn)打印文檔沒(méi)有被及時(shí)取回的情況，容易造成文件查找困難、缺頁(yè)、誤拿等影響辦公效率問(wèn)題。

·由于網(wǎng)絡(luò)打印機(jī)通常是放在相對(duì)開(kāi)放、公共的位置空間，每個(gè)公司員工都可以接觸到打印機(jī)上的輸出文件，可能造成重要文件或機(jī)密文件的泄露，成為企業(yè)的安全隱患。

目前應(yīng)用最為廣泛的兩種網(wǎng)絡(luò)打印結(jié)構(gòu)如圖1.2(1)和圖1.2(2)所示：

圖1.2(1) TCP/IP直連的網(wǎng)絡(luò)打印機(jī)

1.2(2) 共享模式的網(wǎng)絡(luò)打印機(jī)

在網(wǎng)絡(luò)打印環(huán)境中,打印機(jī)作為網(wǎng)絡(luò)上的一個(gè)節(jié)點(diǎn)存在,而不是一個(gè)獨(dú)立的打印設(shè)備。網(wǎng)絡(luò)打印與傳統(tǒng)打印(一對(duì)一連接方式)的本質(zhì)區(qū)別：一是有較高速打印速度和性能的網(wǎng)絡(luò)打印機(jī)；二是有網(wǎng)絡(luò)打印服務(wù)器；三是由網(wǎng)絡(luò)打印管理軟件。

目前在涉密企業(yè)較為普遍的使用情況是：成立專(zhuān)門(mén)負(fù)責(zé)監(jiān)管打印設(shè)備的部門(mén)，打印設(shè)備被集中放在監(jiān)管部門(mén)所規(guī)定的區(qū)域，打印機(jī)密文件全需要專(zhuān)人審批，然后才可以打印，打印時(shí)，需要監(jiān)管人員在場(chǎng)，避免發(fā)生泄密問(wèn)題出現(xiàn)。

但是，大多數(shù)非涉密企業(yè)，打印環(huán)境還處于無(wú)人監(jiān)管的公共區(qū)域，打印機(jī)可被隨時(shí)使用，在企業(yè)費(fèi)用結(jié)算時(shí)，打印費(fèi)用不受控制，不利于企業(yè)管理。

所以，安全打印就應(yīng)運(yùn)而生，現(xiàn)有少數(shù)單位在使用安全管理系統(tǒng)及軟件對(duì)網(wǎng)絡(luò)打印機(jī)進(jìn)行管理，防止泄密及亂用、過(guò)度使用的現(xiàn)象發(fā)生。

刷卡打印是實(shí)現(xiàn)安全打印的第一技術(shù)環(huán)節(jié)。實(shí)現(xiàn)刷卡打印后，打印作業(yè)保持在打印機(jī)的打印隊(duì)列中，直到用戶(hù)刷卡取出打印作業(yè)。這樣能夠保證只有真正的打印用戶(hù)才能拿到自己打印的作業(yè)，防止敏感或機(jī)密文件和信息的泄露。打印后一定時(shí)間內(nèi)如果不刷卡取走打印紙，打印作業(yè)會(huì)被自動(dòng)刪除，杜絕錯(cuò)打印或非必要打印造成的資源浪費(fèi)。

刷卡打印所使用的卡可為公司內(nèi)的員工卡或根據(jù)需要特殊定制。不管是哪種卡，常見(jiàn)的卡有四種類(lèi)型：磁條卡、接觸式IC卡、非接觸式IC卡和ID卡。較常用的就是非接觸式IC卡。下面簡(jiǎn)單介紹一下非接觸式IC卡的工作原理：

非接觸式IC卡，又被稱(chēng)為”無(wú)觸點(diǎn)IC卡”或”射頻卡”，是世界最近十幾年來(lái)發(fā)展起來(lái)的一項(xiàng)新技術(shù)。它的芯片全部封于卡基內(nèi)，無(wú)暴露部分，不但如此，在卡體內(nèi)還嵌有一個(gè)微型天線，是為了嵌入的芯片與讀卡器之間的相互通信，它通過(guò)電磁場(chǎng)的感應(yīng)或無(wú)線電波來(lái)交換信息。它成功的將IC技術(shù)和射頻識(shí)別技術(shù)結(jié)合起來(lái)，解決了免接觸和無(wú)源這兩大難題。該技術(shù)的優(yōu)勢(shì)是信息的交換不需要卡和讀卡器之間有任何接觸。該種卡的存儲(chǔ)容量一般在256b到72kb之間。

數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)數(shù)據(jù)傳輸中最基本的安全技術(shù)，主要是通過(guò)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來(lái)保障其安全性，這是一種主動(dòng)安全防御策略，用很小的代價(jià)即可為信息提供相當(dāng)大的安全保護(hù)。

數(shù)據(jù)加密類(lèi)型可以簡(jiǎn)單的分為兩種：公開(kāi)密鑰加密技術(shù)(公鑰加密)和私用密鑰加密技術(shù)(私鑰加密)。區(qū)別是使用的秘鑰不同。

私鑰加密：加密密鑰只需要一個(gè)密鑰，數(shù)據(jù)的加密解密都使用相同的密鑰。這種加密技術(shù)的特點(diǎn)是加密速度快，數(shù)學(xué)運(yùn)算量大，其弱點(diǎn)在于難以對(duì)密鑰進(jìn)行合理的管理，而且一旦密鑰泄露，數(shù)據(jù)的安全性將會(huì)受到嚴(yán)重威脅。其中對(duì)稱(chēng)密鑰解密技術(shù)是私鑰加密最具有代表性的算法，該算法是DES(Data Encryption Standard)算法。DES綜合運(yùn)用了置換、袋鼠、代替多種密碼技術(shù)，把數(shù)據(jù)分成64位大小的數(shù)據(jù)塊，使用56位密鑰，迭代輪數(shù)為16輪的加密算法。它容易實(shí)現(xiàn)，設(shè)計(jì)精巧，使用方便。

公鑰加密：有一對(duì)密鑰，其中一個(gè)為公開(kāi)的，另一個(gè)為私有的。發(fā)送數(shù)據(jù)時(shí)用對(duì)方的公開(kāi)密鑰加密，收信方用自己的私有密鑰進(jìn)行解密。公開(kāi)密鑰加密算法的核心是運(yùn)用單向陷門(mén)函數(shù)，它是一種特殊的數(shù)學(xué)函數(shù)，即從一個(gè)方向求值是容易的。但對(duì)其進(jìn)行逆向計(jì)算在理論上是不可行的。公開(kāi)密鑰加密技術(shù)不僅易于管理又保證了安全性。其不足之處是解密和加密的時(shí)間較長(zhǎng)。

公開(kāi)密鑰算法有很多，目前最具有代表性的就是RSA算法，其安全性是建立在”素性檢測(cè)和大數(shù)分解”這一已知的著名數(shù)論難題的基礎(chǔ)上。

針對(duì)網(wǎng)絡(luò)安全打印工作機(jī)制及以上的簡(jiǎn)單分析，采用DES對(duì)數(shù)據(jù)進(jìn)行加密較為適合，因?yàn)槠鋽?shù)學(xué)運(yùn)算量小，加密速度快，但DES的密鑰管理困難，這時(shí)RSA加密的作用就體現(xiàn)出來(lái)了，RSA算法的加密解密時(shí)間較長(zhǎng)，但其密鑰管理方便，其公鑰是可以公開(kāi)的。故采用RSA對(duì)DES的密鑰進(jìn)行加密傳輸，這樣就解決了DES密鑰管理難的問(wèn)題。

總體方案設(shè)計(jì)前，對(duì)市場(chǎng)的安全打印系統(tǒng)及軟件進(jìn)行了簡(jiǎn)單的調(diào)查，目前已有的安全打印系統(tǒng)都集合了用戶(hù)認(rèn)證、日志記錄管理，打印審批，數(shù)據(jù)加密，統(tǒng)計(jì)查詢(xún)，打印計(jì)費(fèi)，刷卡打印等功能。根據(jù)安全打印系統(tǒng)主要由客戶(hù)端、打印服務(wù)器和審核服務(wù)器組成，設(shè)計(jì)如下系統(tǒng)框架：

3.1 系統(tǒng)總體框架圖

打印客戶(hù)端：打印客戶(hù)端負(fù)責(zé)打印任務(wù)的發(fā)起和收集用戶(hù)打印信息，并將收集到的信息發(fā)往審核服務(wù)器進(jìn)行記錄并審核，為保證打印數(shù)據(jù)的傳輸安全，打印客戶(hù)端還需負(fù)責(zé)對(duì)打印數(shù)據(jù)進(jìn)行加密，打印客戶(hù)端完成的功能主要是依靠通用打印驅(qū)動(dòng)來(lái)完成；通過(guò)HTTP協(xié)議向?qū)徍朔��?wù)器發(fā)送打印作業(yè)請(qǐng)求；審核服務(wù)器接受請(qǐng)求并提示審核人。

打印客戶(hù)端與打印服務(wù)器和審核服務(wù)器間的通信都是由網(wǎng)絡(luò)通用打印驅(qū)動(dòng)來(lái)完成的，采用PCL打印控制語(yǔ)言以保證對(duì)不同打印機(jī)的兼容性。

打印服務(wù)器：主要負(fù)責(zé)接收打印數(shù)據(jù)，解析打印數(shù)據(jù)并將打印數(shù)據(jù)發(fā)給實(shí)際的物理打印驅(qū)動(dòng)完成打印工作。打印服務(wù)器是整個(gè)安全打印系統(tǒng)的核心部分，為確保打印服務(wù)器的安全和穩(wěn)定，打印服務(wù)器最好采用Linux操作系統(tǒng)，并配有刷卡器監(jiān)聽(tīng)程序用來(lái)監(jiān)聽(tīng)刷卡器狀態(tài)。

打印服務(wù)器因打印作業(yè)繁多，所以將功能模塊化，然后建立一個(gè)調(diào)度程序來(lái)協(xié)調(diào)不同模塊之間的寫(xiě)作。打印服務(wù)器主要由調(diào)度模塊、數(shù)據(jù)接收模塊、HTTP代理模塊、刷卡器監(jiān)控模塊、打印作業(yè)解析模塊和打印作業(yè)生成模塊組成，通過(guò)linux消息管道進(jìn)行通信，通信消息大致為

其中sender為消息發(fā)送模塊，message為消息類(lèi)型，param1消息參數(shù)，param2為預(yù)留消息參數(shù)。

審核服務(wù)器：主要負(fù)責(zé)記錄打印作業(yè)、提供審批服務(wù)和查詢(xún)功能。審核服務(wù)器為WEB服務(wù)器，審核服務(wù)器完成的就是審核和記錄的功能，通過(guò)接受不同的審核請(qǐng)求，審核服務(wù)器會(huì)相應(yīng)的返回請(qǐng)求結(jié)果。審核服務(wù)器的記錄是已日志的形式進(jìn)行查詢(xún)的，目的是為了在發(fā)生安全事件的時(shí)候可以快速方便的找到造成泄密的原因，并提供有力證據(jù)。

審核服務(wù)器配有SQL數(shù)據(jù)庫(kù)，以便完成用戶(hù)審核、作業(yè)審核、作業(yè)日志存儲(chǔ)和日志查詢(xún)等功能。

客戶(hù)端、打印服務(wù)器和審核服務(wù)器共同構(gòu)建了安全打印系統(tǒng)平臺(tái)，既確保了打印的安全性，又為打印系統(tǒng)的管理和監(jiān)控提供了有效的解決方法。同時(shí)，從數(shù)據(jù)傳輸和打印服務(wù)器方面也提高了安全打印系統(tǒng)的抗攻擊能力，整個(gè)安全打印系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)具有較高的價(jià)值和一定的創(chuàng)新性。

3.3 打印過(guò)程流圖

本文通過(guò)分析現(xiàn)有網(wǎng)絡(luò)打印存在安全隱患問(wèn)題，并結(jié)合當(dāng)前已有的安全打印軟件，提出了網(wǎng)絡(luò)安全打印系統(tǒng)平臺(tái)。整合系統(tǒng)從打印客戶(hù)端，到打印數(shù)據(jù)的傳輸過(guò)程，再到打印服務(wù)器和審核服務(wù)器針對(duì)可能存在的安全隱患問(wèn)題采取了相應(yīng)的有效的保護(hù)措施，提供了安全的網(wǎng)絡(luò)打印服務(wù)的同時(shí)，也極大的降低了管理成本和困難。

由于時(shí)間原因，安全打印技術(shù)的研究和系統(tǒng)平臺(tái)設(shè)計(jì)存在許多不足的地方有待改善，有以下幾方面：