CN101795271B - 网络安全打印系统及打印方法 - Google Patents
网络安全打印系统及打印方法 Download PDFInfo
- Publication number
- CN101795271B CN101795271B CN2010100136253A CN201010013625A CN101795271B CN 101795271 B CN101795271 B CN 101795271B CN 2010100136253 A CN2010100136253 A CN 2010100136253A CN 201010013625 A CN201010013625 A CN 201010013625A CN 101795271 B CN101795271 B CN 101795271B
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- user
- module
- network printer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Accessory Devices And Overall Control Thereof (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种网络安全打印系统及打印方法,属于网络通信技术领域,用于解决现有网络打印机存在的安全隐患问题。本发明由普通的网络打印机,网络打印机驱动器,客户端驱动器和嵌入式防火墙平台组成;客户端驱动器包括用户身份认证模块,数据包捕获模块和数据包加密模块;嵌入式防火墙平台包括数据包捕获模块,防火墙模块和数据包解密模块;通过对用户进行身份认证保证了打印源头的安全性;通过数据包进行加密传输防止了线路监听和窃取;通过在网络打印机前端设置嵌入式防火墙平台保证了网络打印机和所处网络的安全性。本发明有效的提高了网络打印的安全性,结构简单灵活,使用方便且成本较低。
Description
技术领域
本发明属于网络通信技术领域,涉及网络打印安全系统的构建,用于网络打印。
背景技术
随着网络技术的不断发展,人们在通过网络打印机获得极大方便的同时,也面临着更为严峻的安全问题。传统的网络打印机作为独立成员接入网络有两种基本方式:一种是通过打印机内置的打印服务器,打印服务器上有网络接口,只需给网络打印机分配IP地址即可;另一种是打印机通过外置的打印服务器,将打印机与打印服务器连接,打印服务器再与网络连接。无论采用哪种连接方式,这种传统的打印方式存在很大的安全隐患,特别是对那些数据保密性敏感的单位,例如,航天系统、军事部门和高科技机构中,都拥有大量的极端重要的信息。在巨大利益的诱惑下,很可能有人被他们收买提供所在机构的机密信息。因为采用这种打印方式的数据未经加密就直接在局域网中传输,所以不法分子会在网络传输的过程中对数据进行恶意截取,这样就能窃取到用户想要打印的数据。由此引发的后果不堪设想,这就使研究人员面临严峻挑战,即如何保证网络打印机的打印数据在传输过程中保持安全性。
目前,对网络打印机的数据构成威胁的攻击方式主要有以下几种:
1.线路窃听:入侵者经常采用并且很难被发现的攻击手段,主要目的是非法窃取用户的打印数据,它是针对网络信息的保密性而采取的攻击手段。
2.非法截获:通过对在网络上传输的打印文件进行非法截获,来阻止通信数据的正常传输,达到破坏目的,它是针对网络信息的可用性而采取的攻击手段。
3.非法修改:这种攻击手段通过中断数据信号,达到修改数据的目的,然后再将数据重新发送到其原来信宿的过程,它是针对网络信息的完整性而采取的攻击手段。
4.伪造欺骗:不法分子通过伪造或更改打印数据包和IP地址,利用主机和网络打印机间的信任关系,假冒合法用户或系统的可信主机,达到欺骗目的。伪造欺骗主要是针对网络信息的真实性而采取的攻击手段。
5.重发攻击:不法分子截获某一次合法的打印数据包,通过数据包复制,再发送到原来的网络系统中,使得打印机耗费大量的资源来处理这些拷贝,而影响正常的工作。
以上这些攻击方式都会给网络打印机的使用带来很大的安全隐患,造成打印信息泄露、打印机响应速度变慢、无法处理打印数据等问题,严重时会造成网络打印机瘫痪而无法正常工作。
目前,国内外维护网络安全的机制主要有:访问控制机制、身份鉴别机制、加密机制和病毒防护机制。
针对以上各种机制的典型安全措施主要包括防火墙、入侵检测、加密技术、病毒防护、与外部的传输加密以及网络内部的信息安全控制等。
但是对于网络打印机安全性的研究大多是基于保护PC主机和网络系统的安全,而对于网络打印机来说,它作为局域网中的网络节点有其特殊性——抵御攻击的能力很弱,因而这些安全防护技术往往不能直接应用于网络打印机的安全系统中。
综上所述,网络打印机主要存在两种安全隐患,一是打印数据在网络传输过程中的数据泄漏;二是打印机作为网络节点在局域网中容易受到不法分子的恶意攻击。
发明内容
本发明的目的是针对网络打印机存在的问题,提出网络打印安全系统及打印方法,以防止打印数据在网络传输过程中的数据泄漏,避免不法分子的恶意攻击。
为实现上述目的,本发明提供的网络安全打印系统包括:
普通的网络打印机,作为一个普通的网络终端节点连接在局域网中,用于实现基本的网络打印功能;
网络打印机驱动器,安装在普通客户端系统中,用于驱动网络打印机实现基本网络打印功能;
客户端驱动器,安装在普通客户端系统中,用于对客户端用户身份进行认证,以及对用户发往网络打印机的数据包进行捕获和加密操作;
嵌入式防火墙平台,连接在局域网与网络打印机之间,用于捕获用户发往网络打印机的数据包和对数据包进行解密操作,转发到网络打印机进行打印,同时通过内设的防火墙规则抵御常见的网络攻击。
所述的客户端驱动器,包括:用户身份认证模块,数据包捕获模块和数据包加密模块,用户身份认证模块对网络打印机的访问权限进行限制,数据包捕获模块捕获用户发送到网络的所有数据包,并对数据包进行解析操作,将用户发往网络打印机的数据包发送到数据包加密模块进行加密,加密完成后,将加密后的数据包发送到网络上进行传输。
所述的嵌入式防火墙平台包括:数据包捕获模块,数据包解密模块和防火墙模块,该数据包捕获模块捕获网络上传输的所有数据包并进行解析操作,将用户发往网络打印机的数据包发送到防火墙模块进行数据包过滤,经防火墙模块过滤后,将过滤后的数据包发送到数据包解密模块进行解密,将解密后的数据包发送到网络打印机进行打印。
为实现上述目的,本发明提供的网络安全打印方法,包括如下步骤:
(1)用户登录客户端驱动器,在用户身份认证模块中输入用户名和用户密码;
(2)用户身份认证模块将用户输入的用户名和用户密码与用户身份认证模块存储的用户名和用户密码进行比对:如果比对结果相同,则认证成功,发送认证成功指令到客户端数据包捕获模块,执行步骤(3);如果比对结果不相同,则认证失败,提示用户重新输入用户名和用户密码;
(3)身份认证成功后,用户发送自定义打印密钥包到网络打印机;
(4)客户端数据包捕获模块收到认证成功指令后,捕获用户发往网络打印机的密钥包,将密钥包内容进行复制存储,作为客户端数据包加密模块的加密密钥,在密钥包包头添加密钥包标志并发送到网络上;
(5)嵌入式防火墙平台数据包捕获模块捕获带有密钥包标志的数据包,将该密钥包内容进行复制存储,作为数据包解密模块的解密密钥;
(6)用户发送普通打印数据包给网络打印机;
(7)客户端数据包捕获模块捕获用户发出的普通的打印数据包,对数据包进行解析,将发往网络打印机的数据包发送到客户端数据包加密模块;
(8)客户端数据包加密模块对用户发往网络打印机的数据包,采用数据包加密模块的加密密钥进行加密,将加密后的数据包发送给网络打印机;
(9)嵌入式防火墙平台的数据包捕获模块捕获网络上传输的网络数据包,并对数据包进行解析,将发往网络打印机的数据包发送到防火墙模块;
(10)防火墙模块对发往网络打印机的数据包进行防火墙过滤规则过滤,将过滤后的数据包发送到数据包解密模块;
(11)数据包解密模块对数据包进行解密操作,将解密后的数据包发送到网络打印机进行打印。
所述的防火墙规则,是指对常见的网络Dos攻击数据包进行过滤,包括:synflood洪水攻击,land攻击,icmp攻击,ping of death攻击,网络端口嗅探攻击以及网络打印机对局域网内部攻击。
与现有的网络打印安全方法比较,本发明具有如下优点:
1.本发明由于采用客户端驱动器,对用户访问网络打印机的权限进行限制,防止了非法用户对网络打印机的访问;并通过对用户发往网络打印机的数据包进行加密,保证了网络数据包以密文形式在网络上进行传输,防止了非法监听和窃取;
2.本发明由于采用嵌入式防火墙平台,弥补了网络打印机作为终端节点不能安装防火墙软件的缺陷,通过防火墙规则的设置有效的抵御了常见的网络攻击,对网络打印机进行了很好的保护;
3.本发明从网络打印源头,传输线路和打印终端分别采取了安全保措施,系统功能完善,并且无需改动现有的网络构架,不需要修改任何协议栈,使用方便,成本较低,可扩展性较强。
附图说明
图1是本发明系统整体结构示意图;
图2是本发明客户端驱动器的结构示意图;
图3是本发明嵌入式防火墙平台结构示意图;
图4是本发明的安全打印流程图;
图5是本发明的测试环境图。
具体实施方式
以下结合附图,对本发明作进一步详细描述。
参照图1,本发明的网络安全打印系统,主要由一台普通的网络打印机,网络打印机驱动器,客户端驱动器和嵌入式防火墙平台组成;普通的网络打印机作为一个普通的网络终端节点连接在局域网中,用于实现基本的网络打印功能;网络打印机驱动器,安装在客户端系统中,用于驱动网络打印机,实现基本网络打印功能;客户端驱动器安装在客户端系统中,用于对用户身份进行认证,以及对用户发往网络打印机的数据包进行捕获和加密操作,该客户端驱动器的结构如图2所示,它包括用户身份认证模块,数据包捕获模块和数据包解密模块。其中,用户身份认证模块对网络打印机的访问权限进行限制;数据包捕获模块捕获用户发送的数据包,并对数据包进行解析操作;数据包加密模块将用户发往网络打印机的数据包进行加密并将加密后的数据包发送到网络上进行传输;嵌入式防火墙平台,连接在局域网与网络打印机之间,捕获用户发往网络打印机的数据包并对数据包进行解密操作,同时通过防火墙规则过滤常见的网络攻击数据包,该嵌入式防火墙平台结构如图3所示,它包括数据包捕获模块,防火墙模块和数据包解密模块,数据包捕获模块对用户发往网络打印机的数据包进行捕获并解析;防火墙模块过滤常见的网络攻击数据包;解密模块对防火墙模块过滤后的数据包进行解密操作,将解密后的数据包发送到网络打印机进行打印。
参照图4,本发明的打印流程是,用户登录客户端驱动器,在用户身份认证模块中输入用户名和用户密码,用户身份认证模块将用户输入的用户名和用户密码与用户身份认证模块存储的用户名和用户密码进行比对:如果比对结果相同,则认证成功,发送认证成功指令到客户端数据包捕获模块;如果比对结果不相同,则认证失败,提示用户重新输入用户名和用户密码;身份认证成功后,用户向网络打印机发送自定义打印密钥包,客户端捕获用户发往网络打印机的密钥包,将密钥包内容进行复制存储,作为客户端数据包加密模块的加密密钥,在密钥包包头添加密钥包标志并发送到网络上,嵌入式防火墙平台捕获带有密钥包标志的数据包,将密钥包内容进行复制存储,作为数据包解密模块的解密密钥;用户发送普通打印数据包给网络打印机,客户端驱动器捕获用户发送的普通打印数据包,将发往网络打印机的数据包发送到数据包加密模块,数据包加密模块对普通打印数据包进行加密操作,将加密的数据包发送到网络上;嵌入式防火墙平台捕获网络上传输的网络数据包并对数据包进行解析,将发往网络打印机的数据包发送到防火墙模块,防火墙模块对发往网络打印机的数据包进行防火墙规则过滤,将过滤后的数据包发送到数据包解密模块:数据包解密模块对数据包进行解密操作,将解密后的数据包发送给网络打印机进行打印。
本发明的效果可通过以下测试进一步说明:
1)测试环境
本发明在实验室局域网测试的环境如图5所示,网络中各部件包括:普通用户PC机A,普通用户PC机B,监听PC机C,攻击方PC机,网络打印机,嵌入式防火墙平台,集线器。这些部件通过集线器进行连接,其中普通用户PC机A和普通用户PC机B上安装网络打印机驱动器和客户端驱动器。
2)测试方法是,普通用户PC机A和普通用户PC机B发送打印数据包给网络打印机,同时攻击方PC机发送网络攻击数据包给网络打印机,监听PC机C对网络上的数据包进行监听,嵌入式防火墙平台对攻击方PC机发送的网络攻击数据包进行过滤。
3)测试结果如表1
表1嵌入式防火墙平台抵御网络攻击能力
从表1可见,本发明嵌入式防火墙平台防火墙规则的设置有效的抵御了常见的网络攻击,对网络打印机进行了很好的保护效果。
Claims (6)
1.一种网络安全打印系统,包括:
普通的网络打印机,作为一个普通的网络终端节点连接在局域网中,用于实现基本的网络打印功能;
网络打印机驱动器,安装在普通客户端系统中,用于驱动网络打印机实现基本网络打印功能;
客户端驱动器,安装在普通客户端系统中,用于对客户端用户身份进行认证,以及对用户发往网络打印机的数据包进行捕获和加密操作;
嵌入式防火墙平台,连接在局域网与网络打印机之间,用于捕获用户发往网络打印机的数据包和对数据包进行解密操作,转发到网络打印机进行打印,同时通过内设的防火墙规则抵御网络攻击;
所述的客户端驱动器,包括:用户身份认证模块,数据包捕获模块和数据包加密模块,用户身份认证模块对网络打印机的访问权限进行限制,数据包捕获模块捕获用户发送到网络上的所有数据包,并对数据包进行解析操作,将用户发往网络打印机的数据
包发送到数据包加密模块进行加密,加密完成后,将加密后的数据包发送到网络上进行传输;
所述的嵌入式防火墙平台,包括:数据包捕获模块,数据包解密模块和防火墙模块,该数据包捕获模块捕获网络上传输的所有数据包并进行解析操作,将用户发往网络打印
机的数据包发送到防火墙模块进行数据包过滤,经防火墙模块过滤后,将过滤后的数据包发送到数据包解密模块进行解密,将解密后的数据包发送到网络打印机进行打印。
2.一种网络安全打印方法,包括如下步骤:
(1)用户登录客户端驱动器,在用户身份认证模块中输入用户名和用户密码;
(2)用户身份认证模块将用户输入的用户名和用户密码与用户身份认证模块存储的用户名和用户密码进行比对:如果比对结果相同,则认证成功,发送认证成功指令到客户端数据包捕获模块,执行步骤(3);如果比对结果不相同,则认证失败,提示用户重新输入用户名和用户密码;
(3)身份认证成功后,用户发送自定义打印密钥包到网络打印机;
(4)客户端数据包捕获模块收到认证成功指令后,捕获用户发往网络打印机的密钥包,将密钥包内容进行复制存储,作为客户端数据包加密模块的加密密钥,在密钥包包头添加密钥包标志并发送到网络上;
(5)嵌入式防火墙平台数据包捕获模块捕获带有密钥包标志的数据包,将该密钥包内容进行复制存储,作为数据包解密模块的解密密钥;
(6)用户发送普通打印数据包给网络打印机;
(7)客户端数据包捕获模块捕获用户发出的普通的打印数据包,对数据包进行解析,将发往网络打印机的数据包发送到客户端数据包加密模块;
(8)客户端数据包加密模块对用户发往网络打印机的数据包,采用数据包加密模块的加密密钥进行加密,将加密后的数据包发送给网络打印机;
(9)嵌入式防火墙平台的数据包捕获模块捕获网络上传输的网络数据包并对数据包进行解析,将发往网络打印机的数据包发送到防火墙模块;
(10)防火墙模块根据防火墙过滤规则对发往网络打印机的数据包进行过滤,将过滤后的数据包发送到数据包解密模块;
(11)数据包解密模块对数据包进行解密操作,将解密后的数据包发送到网络打印机进行打印。
3.根据权利要求2所述的网络安全打印方法,其中所述步骤(10)中的防火墙过滤规则,是指对常见的网络Dos攻击数据包进行过滤,包括:synflood洪水攻击,land攻击,icmp攻击,ping of death攻击,网络端口嗅探攻击以及网络打印机对局域网内部攻击。
4.根据权利要求2所述的网络安全打印方法,其中步骤(4)中所述的客户端数据包捕获模块收到认证成功指令后,捕获用户发往网络打印机的密钥包,是在windows操作系统的基础上,采用Windows NDIS中间层驱动数据包捕获方式实现对网络数据包的捕获。
5.根据权利要求2所述的网络安全打印方法,其中步骤(8)中所述的采用数据包加密模块的加密密钥进行加密,是采用对称型流式加密算法RC4进行数据包加密。
6.根据权利要求2所述的网络安全打印方法,其中步骤(9)中所述的嵌入式防火墙平台的数据包捕获模块捕获网络上传输的网络数据包,是在Linux操作系统下,采用Netfilter数据包捕获方式实现对网络数据包的捕获。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100136253A CN101795271B (zh) | 2010-01-20 | 2010-01-20 | 网络安全打印系统及打印方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100136253A CN101795271B (zh) | 2010-01-20 | 2010-01-20 | 网络安全打印系统及打印方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101795271A CN101795271A (zh) | 2010-08-04 |
| CN101795271B true CN101795271B (zh) | 2012-10-31 |
Family
ID=42587696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010100136253A Active CN101795271B (zh) | 2010-01-20 | 2010-01-20 | 网络安全打印系统及打印方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101795271B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102402812A (zh) * | 2010-09-10 | 2012-04-04 | 广州市智益信息技术有限公司 | 一种自动打印彩票方法及系统 |
| CN102693597B (zh) * | 2011-03-25 | 2014-10-22 | 航天信息股份有限公司 | 基于远程票据信息的本地打印方法和装置 |
| CN103218181A (zh) * | 2012-01-19 | 2013-07-24 | 郑州鼎昌计算机科技有限公司 | 基于虚拟打印机技术的数据安全打印控制方法 |
| US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
| CN104283686A (zh) * | 2014-05-27 | 2015-01-14 | 深圳市天朗时代科技有限公司 | 一种数字版权保护方法及其系统 |
| CN105787303B (zh) * | 2016-03-22 | 2019-10-11 | 深圳森格瑞通信有限公司 | 一种嵌入式系统软件知识产权保护方法及保护系统 |
| CN107395615B (zh) * | 2017-08-11 | 2020-10-09 | 杭州迪普科技股份有限公司 | 一种打印机安全防护的方法和装置 |
| CN109426461A (zh) * | 2017-09-05 | 2019-03-05 | 北京立思辰计算机技术有限公司 | 一种打印机安全控制芯片 |
| CN109426462A (zh) * | 2017-09-05 | 2019-03-05 | 北京立思辰计算机技术有限公司 | 一种用于网络打印的用户权限管理方法 |
| CN107911567B (zh) * | 2017-11-10 | 2019-05-21 | 西安电子科技大学 | 一种抵抗打印机物理攻击的系统和方法 |
| CN108076051A (zh) * | 2017-11-16 | 2018-05-25 | 北京润信恒达科技有限公司 | 一种物联网设备防护方法及装置 |
| CN109120628B (zh) * | 2018-08-30 | 2021-07-27 | 深圳市汉森软件有限公司 | 打印系统千兆网通信方法、终端及系统 |
| CN109460195A (zh) * | 2018-09-29 | 2019-03-12 | 先临三维科技股份有限公司 | 一种基于局域网通信的3d打印系统、控制方法和3d打印机 |
| CN110532210B (zh) * | 2019-08-07 | 2021-10-22 | 北京数衍科技有限公司 | 安全获取操作系统任意输出设备数据的桥接方法 |
| CN113221147B (zh) * | 2021-05-27 | 2023-05-23 | 安天科技集团股份有限公司 | 数据包处理方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237424A (zh) * | 2006-12-29 | 2008-08-06 | 三星电子株式会社 | 网络打印系统、网络通信方法、主机以及图像形成设备 |
| CN101403960A (zh) * | 2007-10-03 | 2009-04-08 | 株式会社理光 | 打印装置和打印系统 |
| CN101431511A (zh) * | 2007-11-09 | 2009-05-13 | 友讯科技股份有限公司 | 一种穿透防火墙在网络终端装置间建立联机信道的方法 |
-
2010
- 2010-01-20 CN CN2010100136253A patent/CN101795271B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237424A (zh) * | 2006-12-29 | 2008-08-06 | 三星电子株式会社 | 网络打印系统、网络通信方法、主机以及图像形成设备 |
| CN101403960A (zh) * | 2007-10-03 | 2009-04-08 | 株式会社理光 | 打印装置和打印系统 |
| CN101431511A (zh) * | 2007-11-09 | 2009-05-13 | 友讯科技股份有限公司 | 一种穿透防火墙在网络终端装置间建立联机信道的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101795271A (zh) | 2010-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101795271B (zh) | 网络安全打印系统及打印方法 | |
| Chao-Yang | DOS attack analysis and study of new measures to prevent | |
| KR100695827B1 (ko) | 통합형 보안 장치 및 그 동작 방법 | |
| CN101141244B (zh) | 网络加密数据病毒检测和消除系统和代理服务器及方法 | |
| Iqbal et al. | Security issues in software defined networking (SDN): risks, challenges and potential solutions | |
| US7516485B1 (en) | Method and apparatus for securely transmitting encrypted data through a firewall and for monitoring user traffic | |
| CN205670253U (zh) | 一种工业控制系统的可信网关系统 | |
| Yan et al. | Computer network security and technology research | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及系统 | |
| CN115150208B (zh) | 一种基于零信任的物联网终端安全接入方法及系统 | |
| Rodrigues et al. | Scada security device: design and implementation | |
| Rahman et al. | Security attacks on wireless networks and their detection techniques | |
| Singh | A Study on Cooperative Defense Against Network Attacks | |
| Khosroshahi et al. | Security technology by using firewall for smart grid | |
| CN102882859B (zh) | 一种基于公网数据传输信息系统的安全防护方法 | |
| Kumar et al. | Cyber security threats in synchrophasor system in WAMS | |
| Yue et al. | The research of firewall technology in computer network security | |
| Li et al. | Research on sensor-gateway-terminal security mechanism of smart home based on IOT | |
| Zhang et al. | VOIP voice network technology security strategies | |
| Habibi Gharakheili et al. | Cyber‐Securing IoT Infrastructure by Modeling Network Traffic | |
| Kleberger et al. | Securing vehicle diagnostics in repair shops | |
| Tsunoda et al. | Security by simple network traffic monitoring | |
| Parekh et al. | Approach for intrusion detection system using data mining | |
| Taib et al. | Security mechanisms for the IPv4 to IPv6 transition | |
| Kumar et al. | Cyber Security Threats in Synchrophasor System in Wide Area Monitoring System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |