CN107395615A

CN107395615A - 一种打印机安全防护的方法和装置

Info

Publication number: CN107395615A
Application number: CN201710684056.7A
Authority: CN
Inventors: 尹纪飞
Original assignee: Hangzhou DPTech Technologies Co Ltd
Current assignee: Hangzhou DPTech Technologies Co Ltd
Priority date: 2017-08-11
Filing date: 2017-08-11
Publication date: 2017-11-24
Anticipated expiration: 2037-08-11
Also published as: CN107395615B

Abstract

本申请提供一种打印机安全防护的方法和装置，应用于接入交换机。所述方法包括：接收发送至打印机的报文；基于预设的检测报文合法性的ACL规则，判断所述报文是否为合法报文；如果所述报文为合法报文，转发所述报文至所述打印机。由于在接入交换机上预先配置了检测报文合法性的ACL规则，发送至打印机的报文均需要通过ACL规则检测，只有在检测成功后，接入交换机才会将报文转发至打印机，因此接入交换机拦截了发送至打印机的非法报文，从而提高了打印机的安全性。

Description

一种打印机安全防护的方法和装置

技术领域

本申请涉及网络通信技术领域，特别涉及一种打印机安全防护的方法和装置。

背景技术

打印机是计算机的输出设备之一，用于将计算机处理结果打印在相关介质上。随着科技的进步，打印机也在不断地更新换代，打印机从最初作为计算机的一个外接设备，仅供单台计算机进行打印，发展成通过PC服务器或者共享器与网络连接实现共享打印，到如今发展成为网络打印机，作为独立的网络节点，提供网络用户打印服务。

无论是通过PC服务器或者共享器与网络实现连接的打印机，还是作为独立的网络节点的网络打印机，都已经暴露在网络中，成为网络中其它计算机可访问的对象。

由于打印机暴露在网络中，会被非法用户作为攻击对象，从打印机中窃取资源，从而导致资源的泄露，因此，打印机的安全防护显得至关重要。

发明内容

有鉴于此，本申请提供一种打印机的安全防护的方法和装置，应用于接入交换机，用于提高打印机的安全性。

具体地，本申请是通过如下技术方案实现的：

一种打印机安全防护的方法，应用于接入交换机，包括：

接收发送至打印机的报文；

基于预设的检测报文合法性的ACL规则，判断所述报文是否为合法报文；

如果所述报文为合法报文，转发所述报文至所述打印机。

一种打印机安全防护的装置，应用于接入交换机，包括：

接收单元，用于接收发送至打印机的报文；

判断单元，用于基于预设的检测报文合法性的ACL规则，判断所述报文是否为合法报文；

转发单元，用于如果所述报文为合法报文，转发所述报文至所述打印机。

本申请提出的技术方法带来的有益效果：

在本申请中，无论是通过PC服务器或者共享器与接入交换机直连实现网络连接的打印机，还是作为独立的网络节点，与接入交换机直连的网络打印机，发送至打印机的报文均会经过接入交换机。由于在接入交换机上预先配置了检测报文合法性的ACL规则，发送至打印机的报文均需要通过ACL规则检测，只有在检测成功后，接入交换机才会将报文转发至打印机，因此接入交换机拦截了发送至打印机的非法报文，从而提高了打印机的安全性。

附图说明

图1为现有技术中打印机的组网架构示意图；

图2为现有技术中网络打印机的组网架构示意图；

图3为本申请实施例一示出的一种打印机安全防护的方法流程图；

图4为本申请实施例二示出的一种打印机安全防护的装置所在接入交换机的一种硬件结构图；

图5为本申请实施例二示出的一种打印机安全防护的装置。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

请参见图1，图1为现有技术中打印机的组网架构示意图。

现有技术中，打印机可以通过PC服务器或者共享器(图1中未示出)与接入交换机直连实现简单的网络连接。与接入交换机连接的其它PC可以访问所述打印机，实现打印服务和配置所述打印机。

请参见图2，图2为现有技术中网络打印机的组网架构示意图。

现有技术中，网络打印机作为独立的设备接入局域网或者Internet，摆脱了一直以来作为计算机外设的附属地位，成为一个独立的网络节点和信息管理与输出终端，网络中其它成员可以直接访问使用该网络打印机，实现打印服务和配置所述网络打印机。

无论是通过PC服务器或者共享器与网络实现连接的打印机，还是作为独立的网络节点的网络打印机，与接入交换机相连的其它PC可以通过网络访问打印机进行打印和配置业务，比如文件打印或者更改打印机配置等。因此，打印机已经暴露在网络中，成为网络中其它计算机可访问的对象，同时也成为网络中非法用户的攻击对象。其中，非法用户攻击打印机的方式多种多样，以下为常见的三种攻击方式。

方式一：

本地PC可以通过点击“设备和打印机”查找到网络中的打印机，从而来对打印机的配置选项进行更改，比如修改打印格式、修改打印纸张份数等；或者通过查看打印状态终止或者取消所有打印任务。

方式二：

网络中与接入交换机相连的PC(非与打印机直连的PC服务器)，可以通过接入交换机远程访问与打印机直连的PC服务器。在开始菜单执行“spool”命令就可以看到在“PRINTERS”目录下的打印缓存文件，攻击者可以窃取所述缓存文件，从而造成文件泄露。

方式三：

针对网络打印机，与接入交换机连接的PC可以通过http/https协议直接访问网络打印机配置页面，攻击者可以通过修改网络打印机的配置，使得网络打印机无法进行正常的打印业务。

综上所述，无论是通过PC服务器或者共享器与接入交换机直连实现网络连接的打印机，还是网络打印机，均暴露在网络中，成为网络中其它PC可以访问的对象，同时也成为了网络中攻击者的攻击对象，从而威胁到打印机的安全。

实施例一

为了提高打印机的安全性，本申请实施例一提出了一种打印机安全防护的方法，应用于接入交换机，请参见图3，图3为本申请实施例一示出的一种打印机安全防护的方法流程图，具体执行以下步骤：

步骤301：接收发送至打印机的报文；

步骤302：基于预设的检测报文合法性的ACL规则，判断所述报文是否为合法报文；

步骤303：如果所述报文为合法报文，转发所述报文至所述打印机。

在本实施例中，在接入交换机上预先配置了用于检测发送至打印机的报文的合法性的ACL规则。当接入交换机接收到发送至打印机的报文时，基于预先配置的ACL规则检测所述报文是否合法。如果所述报文为合法报文，则将所述报文转发至所述交换机，如果所述报文为非法报文，则将所述报文丢弃。

为了保证用户的打印业务正常，任何用户可以使用打印机的打印业务，为了防止非法用户通过打印机的配置业务攻击打印机，打印机的配置业务只能被管理员使用，事实上，对于普通用户来说，只需要用到打印机的打印业务。因此在所述接入交换机上预先配置的ACL规则可以包括：

用于检测发送至所述打印机的报文的目的端口是否为9100的ACL规则(简称ACL规则1)；

用于检测管理员发送至所述打印机的报文的目的端口是否为161的ACL规则(简称ACL规则2)；

用于检测管理员发送至所述打印机的报文的目的端口是否为80的ACL规则(简称ACL规则3)；

用于检测管理员发送至所述打印机的报文的目的端口是否为443的ACL规则(简称ACL规则4)；

所述ACL规则1中的9100为基于RAW打印协议的打印机的端口；所述ACL规则2中的161为SNMP(Simple Network Management Protocol，简单网络管理协议)代理通信端口；所述ACL规则3中的80为HTTP端口；所述ACL规则4中的443为HTTPS端口。

其中，9100为访问打印机进行打印业务时需要使用的端口，161、80、443均为访问打印机进行配置业务时需要使用的端口。

另外，为了防止非法用户仿冒管理员使用打印机的配置业务，ACL规则2，ACL规则3，ACL规则4中，需要限定管理员的物理地址(MAC地址)。

需要说明的是，由于在报文匹配ACL规则过程中，当报文匹配中任意一条ACL规则时，该报文就会执行匹配中的ACL规则所指定的动作，该报文不会继续与剩下的其它ACL规则进行匹配。因此ACL规则的优先级(即该ACL规则在ACL列表中的先后位置)会影响报文的处理。

由于在本实施例中，ACL规则1、ACL规则2，ACL规则3、ACL规则4之间不存在包含关系，从而，在本实施例中，接入交换机接收到的报文不会存在同时匹配到这4条里面的多条ACL规则，因此ACL规则1、ACL规则2，ACL规则3、ACL规则4的优先级不会影响到报文的处理，如果该报文是合法报文，只会匹配中其中的一条ACL规则。

如果报文与ACL规则1、ACL规则2，ACL规则3、ACL规则4均不匹配，那么该报文即为非法报文，接入交换机需要将该报文丢弃，因此，在这4条ACL规则后面需要添加一条ACL规则5，用于将发送至打印机的报文进行丢弃。

具体实现时，如果接入交换机接收到发送至所述打印机的报文，接入交换机可以将该报文与ACL规则1进行匹配，判断该报文是否是合法报文。所述接入交换机可以提取所述报文中的目的端口，判断所述目的端口是否为9100。如果所述目的端口为9100，则可以确定所述报文为合法报文，所述接入交换机可以将所述报文转发至所述打印机。如果所述目的端口不为9100，所述接入交换机结束该报文与ACL规则1的匹配过程，将该报文与剩下的ACL规则继续匹配。

所述接入交换机将该报文与ACL规则2进行匹配，判断该报文是否是合法报文。所述接入交换机可以提取所述报文的源IP地址和源MAC地址，以及所述报文的目的端口。只有当所述源IP地址和源MAC地址为管理员的IP地址和MAC地址，且所述目的端口为161时，所述接入交换机可以确定该报文为合法报文，进行将该报文转发至所述打印机。否则结束该报文与ACL规则2的匹配过程，将该报文与剩下的ACL规则继续进行匹配。

所述接入交换机将该报文与ACL规则3、ACL规则4的匹配过程，与该报文与ACL规则2的匹配过程相似，只有当所述源IP地址和源MAC地址为管理员的IP地址和MAC地址，且所述目的端口为80或者443时，所述接入交换机可以确定该报文为合法报文，在此不再对该报文与ACL规则3、ACL规则4的匹配过程进行赘述。

如果该报文与ACL规则1、ACL规则2、ACL规则3、ACL规则4均不匹配，该报文会与ACL规则5进行匹配，由于ACL规则5用于将发送至所述打印机的报文均做丢弃处理，因此，当该报文匹配到ACL规则5时，该报文则被认为非法报文，会被所述接入交换机丢弃。

综上所述，由于在接入交换机上预先配置了检测报文合法性的ACL规则，发送至打印机的报文均需要通过ACL规则检测，只有在检测成功后，接入交换机才会将报文转发至打印机，因此接入交换机拦截了发送至打印机的非法报文，从而提高了打印机的安全性。

实施例二

与前述一种打印机安全防护的方法的实施例一相对应，本申请还提供了一种打印机安全防护的装置的实施例二。

本申请一种打印机安全防护的装置的实施例二可以应用在接入交换机上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在接入交换机的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本申请实施例二示出的一种打印机安全防护的装置所在接入交换机的一种硬件结构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的接入交换机通常根据该打印机安全防护的实际功能，还可以包括其他硬件，对此不再赘述。

请参见图5，图5为本申请实施例二示出的一种打印机安全防护的装置，应用于接入交换机。所述装置包括：接收单元510、判断单元520、转发单元530。

所述接收单元510，用于接收发送至所述打印机的报文；

所述判断单元520，用于基于预设的检测报文合法性的ACL规则，判断所述报文是否为合法报文；

所述转发单元530，用于如果所述报文为合法报文，转发所述报文至所述打印机。

其中，当所述预设的检测报文合法性的ACL规则包括用于检测发送至所述打印机的报文的目的端口是否为9100的ACL规则时，所述判断单元520，具体用于：

判断发送至所述打印机的报文的目的端口是否为9100；

如果所述报文的目的端口为9100，确定所述报文为合法报文。

当所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为161的ACL规则时，所述判断单元520，还用于：

判断发送至所述打印机的报文的源IP地址和源MAC地址是否为管理员的IP地址和MAC地址；

如果是，进一步判断所述报文的目的端口是否为161；

如果所述目的端口为161，确定所述报文为合法报文。

当所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为80的ACL规则时，所述判断单元520，还用于：

如果是，进一步判断所述报文的目的端口是否为80；

如果所述目的端口为80，确定所述报文为合法报文。

当所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为443的ACL规则时，所述判断单元520，还用于：

如果是，进一步判断所述报文的目的端口是否为443；

如果所述目的端口为443，确定所述报文为合法报文。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

1.一种打印机安全防护的方法，应用于接入交换机，其特征在于，包括：

接收发送至打印机的报文；

如果所述报文为合法报文，转发所述报文至所述打印机。

2.根据权利要求1所述的方法，其特征在于，所述预设的检测报文合法性的ACL规则包括用于检测发送至所述打印机的报文的目的端口是否为9100的ACL规则；

所述判断所述报文是否为合法报文，包括：

判断发送至所述打印机的报文的目的端口是否为9100；

如果所述报文的目的端口为9100，确定所述报文为合法报文。

3.根据权利要求2所述的方法，其特征在于，所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为161的ACL规则；

所述判断所述报文是否为合法报文，包括：

如果是，进一步判断所述报文的目的端口是否为161；

如果所述目的端口为161，确定所述报文为合法报文。

4.根据权利要求3所述的方法，其特征在于，所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为80的ACL规则；

所述判断所述报文是否为合法报文，包括：

如果是，进一步判断所述报文的目的端口是否为80；

如果所述目的端口为80，确定所述报文为合法报文。

5.根据权利要求4所述的方法，其特征在于，所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为443的ACL规则；

所述判断所述报文是否为合法报文，包括：

如果是，进一步判断所述报文的目的端口是否为443；

如果所述目的端口为443，确定所述报文为合法报文。

6.一种打印机安全防护的装置，应用于接入交换机，其特征在于，包括：

接收单元，用于接收发送至打印机的报文；

7.根据权利要求6所述的装置，其特征在于，所述预设的检测报文合法性的ACL规则包括用于检测发送至所述打印机的报文的目的端口是否为9100的ACL规则；

所述判断单元，具体用于：

判断发送至所述打印机的报文的目的端口是否为9100；

如果所述报文的目的端口为9100，确定所述报文为合法报文。

8.根据权利要求7所述的装置，其特征在于，所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为161的ACL规则；

所述判断单元，还用于：

如果是，进一步判断所述报文的目的端口是否为161；

如果所述目的端口为161，确定所述报文为合法报文。

9.根据权利要求8所述的装置，其特征在于，所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为80的ACL规则；

所述判断单元，还用于：

如果是，进一步判断所述报文的目的端口是否为80；

如果所述目的端口为80，确定所述报文为合法报文。

10.根据权利要求9所述的装置，其特征在于，所述预设的检测报文合法性的ACL规则还包括用于检测管理员发送至所述打印机的报文的目的端口是否为443的ACL规则；

所述判断单元，还用于：

如果是，进一步判断所述报文的目的端口是否为443；

如果所述目的端口为443，确定所述报文为合法报文。