NL2029184B1 - Printer device, decryption device and access device - Google Patents

Printer device, decryption device and access device Download PDF

Info

Publication number
NL2029184B1
NL2029184B1 NL2029184A NL2029184A NL2029184B1 NL 2029184 B1 NL2029184 B1 NL 2029184B1 NL 2029184 A NL2029184 A NL 2029184A NL 2029184 A NL2029184 A NL 2029184A NL 2029184 B1 NL2029184 B1 NL 2029184B1
Authority
NL
Netherlands
Prior art keywords
access
decryption
printer
request
operating system
Prior art date
Application number
NL2029184A
Other languages
Dutch (nl)
Inventor
Van Den Berg Jelle
Franciscus Johannes Groen Hendrikus
Original Assignee
Inepro Group B V
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inepro Group B V filed Critical Inepro Group B V
Priority to NL2029184A priority Critical patent/NL2029184B1/en
Priority to PCT/IB2022/058656 priority patent/WO2023042089A1/en
Application granted granted Critical
Publication of NL2029184B1 publication Critical patent/NL2029184B1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1202Dedicated interfaces to print systems specifically adapted to achieve a particular effect
    • G06F3/1222Increasing security of the print job
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1237Print job management
    • G06F3/1238Secure printing, e.g. user identification, user rights for device usage, unallowed content, blanking portions or fields of a page, releasing held jobs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1237Print job management
    • G06F3/1239Restricting the usage of resources, e.g. usage or user levels, credit limit, consumables, special fonts
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1278Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
    • G06F3/1292Mobile client, e.g. wireless printing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)

Abstract

Printerinrichting, decryptie-inrichting en toegangsinrichting Een printerinrichting (10) een besturingssysteem (13) voor aansturing van een printerfunctie en toegangsmiddelen (15) die een gebruiker selectief toegang tot de printerfunctie verschaffen. De toegangsmiddelen ontvangen een toegangsverzoek (25) van een persoonlijk toegangsmiddel (20,22) van de gebruiker en leiden dit door aan het besturingssysteem (13). De toegangsmiddelen omvatten identificatiemiddelen (16,17) om een unieke verzoekidentificatie bij het toegangsverzoek te genereren en zijn in staat om het toegangsverzoek (25) tezamen met de unieke verzoekidentificatie (Z,!D) cryptografisch tot een cryptografisch versleuteld toegangsbericht (35) te coderen. Het besturingssysteem (13) is gekoppeld met decryptie- middelen (50,55) die in staat en ingericht zijn om het cryptografisch versleutelde toegangsbericht (35) te decoderen en daaruit de unieke verzoekidentificatie (Z,!D) af te leiden. De decryptie-middelen valideren het gedecodeerde toegangsverzoek (25) op basis van de unieke verzoekidentificatie (Z,!D) om een resultaat daarvan al of niet voorwaardelijk met het besturingssysteem (13) uit te wisselen.Printer device, decryption device and access device A printer device (10), an operating system (13) for controlling a printer function and access means (15) that provide a user with selective access to the printer function. The access means receives an access request (25) from a personal access means (20,22) of the user and forwards it to the operating system (13). The access means comprise identification means (16,17) to generate a unique request identifier with the access request and are capable of cryptographically encoding the access request (25) together with the unique request identifier (Z,!D) into a cryptographically encrypted access message (35). . The operating system (13) is coupled to decryption means (50,55) which are able and arranged to decrypt the cryptographically encrypted access message (35) and derive therefrom the unique request identifier (Z,!D). The decryption means validates the decrypted access request (25) on the basis of the unique request identifier (Z,!D) to conditionally or unconditionally exchange a result thereof with the operating system (13).

Description

Printerinrichting, decryptie-inrichting en toegangsinrichtingPrinter device, decryption device and access device

De onderhavige uitvinding heeft betrekking op een printerinrichting voor het uitvoeren van ten minste één printerfunctie, omvattende een besturingssysteem voor aansturing van de printerfunctie en toegangsmiddelen die een gebruiker selectief toegang tot de printerfunctie verschaffen, waarbij de toegangsmiddelen met het besturingssysteem zijn gekoppeld en communicatiemiddelen omvatten die in staat en ingericht zijn om een toegangsverzoek van een persoonlijk toegangsmiddel van de gebruiker te ontvangen en aan het besturingssysteem door te leiden.The present invention relates to a printer device for performing at least one printer function, comprising an operating system for controlling the printer function and access means that provide a user with selective access to the printer function, the access means being coupled to the operating system and comprising means of communication which be capable and arranged to receive an access request from a user's personal access device and forward it to the operating system.

Om onbevoegd gebruik van de printerinrichting en verbruik van printerbenodigdheden te vermijden, is de printerinrichting uitgerust met toegangsmiddelen voor authenticatie van de gebruiker, die een toegangsrecht eerst verifiëren vooraleer een printerfunctie van de printerinrichting vrij te geven. Authenticatie is de techniek waarmee een systeem kan vaststellen wie een gebruiker is en of de gebruiker bevoegd is. Het bekendste voorbeeld van authenticatie is inloggen met een gebruikersnaam en wachtwoord. Hiermee krijgt een gebruiker toegang tot gegevens en kan hij of zij werken op een systeem. Het in de printerinrichting opslaan van dergelijke gebruikersgegevens en wachtwoorden is echter omslachtig en bovendien is deze vorm van authenticatie vatbaar voor misbruik.In order to avoid unauthorized use of the printer device and consumption of printer supplies, the printer device is equipped with access means for user authentication, which first verify an access right before releasing a printer function of the printer device. Authentication is the technique by which a system can determine who a user is and whether the user is authorized. The best-known example of authentication is logging in with a username and password. It allows a user to access data and work on a system. However, storing such user data and passwords in the printer device is cumbersome and, moreover, this form of authentication is susceptible to misuse.

Bekende toegangsmiddelen voor gebruikers verificatie bij een printerinrichting omvatten een met het besturingssysteem van de printer gekoppelde kaartlezer die op, aan of bij de printer is aangebracht. Hierbij wordt gebruik gemaakt van een persoonsgebonden toegangsmiddel in de vorm van een smart card of magneetkaart die door de kaarlezer al of niet contactloos kan worden uitgelezen. Op de kaart ligt een kaartidentificatie opgeslagen die in cryptografisch versleutelde vorm aan de kaartlezer wordt afgegeven en door de kaartlezer met het besturingssysteem wordt uitgewisseld. Slechts indien de kaart door het besturingssysteem wordt geaccepteerd, worden één of meer printerfuncties door het systeem vrijgegeven. Aan de kaart kan eventueel een administratie zijn gekoppeld waarmee een mate van gebruik wordt geregistreerd dat dan eventueel aan de gebruiker kan worden doorbelast.Known access means for user authentication at a printer device include a card reader coupled to the operating system of the printer and mounted on, on or near the printer. Use is made here of a personal means of access in the form of a smart card or magnetic card that can be read by the card reader, whether or not contactless. A card identification is stored on the card, which is sent to the card reader in cryptographically encrypted form and is exchanged by the card reader with the operating system. Only if the card is accepted by the operating system will one or more printer functions be released by the system. Administration may be linked to the card with which a degree of use is registered, which can then be charged to the user if necessary.

Een bezwaar van deze bekende vorm van beveiliging van een printerinrichting tegen onbevoegd gebruik is dat de kaartidentificatie weliswaar in versleutelde vorm aan de kaartlezer wordt afgegeven, maar dat diezelfde kaartlezer het toegangsverzoek vervolgens onbeveiligd en nota bene over een standaard draad-gebonden USB verbinding met het besturingssysteem uitwisselt. Deze verbinding kan relatief eenvoudig worden afgeluisterd met vrij verkrijgbare ICT middelen, waardoor het nu onbeveiligde toegangsverzoek relatief eenvoudig kan worden onderschept en kan worden gedupliceerd. In verkeerde handen bestaat zo een gevaar voor onbevoegd hergebruik van het toegangsverzoek en de daarmee vrijgegeven printerfunctie(s).A drawback of this known form of protection of a printer device against unauthorized use is that the card identification is indeed issued to the card reader in encrypted form, but that same card reader then sends the access request unsecured, and notably over a standard wired USB connection to the operating system. exchanges. This connection can be eavesdropped relatively easily with freely available ICT resources, so that the now unsecured access request can be intercepted and duplicated relatively easily. In the wrong hands, there is thus a risk of unauthorized reuse of the access request and the printer function(s) released with it.

Met de onderhavige uitvinding wordt onder meer beoogd te voorzien in een printerinrichting die op een praktische wijze beter beveiligd is tegen onbevoegd gebruik.The present invention has for its object, inter alia, to provide a printer device which is better protected against unauthorized use in a practical manner.

Daartoe heeft een printerinrichting van de in de aanhef beschreven soort volgens de uitvinding als kenmerk dat de toegangsmiddelen identificatiemiddelen omvatten die in staat en ingericht zijn om een unieke verzoekidentificatie bij het toegangsverzoek te genereren, dat de toegangsmiddelen encryptie-middelen met een encryptie-sleutel omvatten die in staat en ingericht zijn om het toegangsverzoek tezamen met de unieke verzoekidentificatie cryptografisch tot een cryptografisch versleuteld toegangsbericht te coderen en aan het besturingssysteem af te geven, en dat het besturingssysteem is gekoppeld met decryptie-middelen die in staat en ingericht zijn om het cryptografisch versleutelde toegangsbericht te decoderen en daaruit de unieke verzoekidentificatie af te leiden, gebruikmaken van een decryptie-sleutel die met de encryptie-sleutel is geassocieerd, en dat de decryptie-middelen in staat en ingericht zijn om het gedecodeerde toegangsverzoek en de unieke verzoekidentificatie te valideren om een resultaat daarvan al of niet voorwaardelijk met het besturingssysteem te kunnen uitwisselen.To this end, a printer device of the type described in the preamble according to the invention is characterized in that the access means comprise identification means that are able and arranged to generate a unique request identification with the access request, that the access means comprise encryption means with an encryption key which be able and arranged to cryptographically encrypt the access request together with the unique request identifier into a cryptographically encrypted access message and deliver it to the operating system, and that the operating system is coupled with decryption means capable and arranged to encrypt the cryptographically encrypted access message to decrypt and derive the unique request identifier, use a decryption key associated with the encryption key, and that the decryption means are capable and arranged to validate the decrypted access request and the unique request identifier to produce a result to be able to exchange them conditionally or not with the operating system.

De unieke verzoekidentificatie die door de toegangsmiddelen wordt gegenereerd en aan het toegangsverzoek wordt gehecht vooraleer het toegangsverzoek in de vorm van een toegangsbericht aan het besturingssysteem door te leiden, zorgt ervoor dat het toegangsverzoek slechts eenmalig bruikbaar is. Zou het toegangsbericht wederechtelijk worden afgeluisterd en gedupliceerd, kan onbevoegd hergebruik van het toegangsbericht door de decryptie-middelen eenvoudig worden vastgesteld uit een herhaling van een reeds bekende unieke verzoekidentificatie. Het toegangsbericht zal dan niet nogmaals worden geaccepteerd.The unique request identifier generated by the access means and attached to the access request before forwarding the access request to the operating system in the form of an access message ensures that the access request can only be used once. Should the access message be illegally intercepted and duplicated, unauthorized reuse of the access message by the decryption means can simply be determined from a repetition of an already known unique request identification. The access message will then not be accepted again.

Doordat de unieke verzoekidentificatie, tezamen met het toegangsverzoek zelf, in het gecodeerde toegangsbericht is versleuteld, is het bovendien niet mogelijk de toegangsidentificatie aan te passen. Op deze wijze wordt een uitzonderlijke hoge graad van beveiliging gecreëerd hoewel de communicatie tussen de toegangsmiddelen en het besturingssysteem over een op zichzelf onbeveiligde (USB) verbinding mag lopen.Because the unique request identification, together with the access request itself, is encrypted in the coded access message, it is moreover not possible to adjust the access identification. In this way an exceptionally high degree of security is created, although the communication between the access means and the operating system is allowed to run over an insecure (USB) connection.

Een bijzondere uitvoeringsvorm van de printerinrichting heeft daarbij als kenmerk dat de identificatiemiddelen een teller omvatten die in staat en ingericht is om een zich steeds ophogende rangorde bij het toegangsverzoek te genereren, in het bijzonder een aritmetische teller welke een telkens ophogend volgnummer bij het toegangsverzoek genereert, en dat de unieke identificatie een combinatie van de rangorde en een toestelidentificatie van de toegangsmiddelen omvat. Daarbij onder een hogere rangorde een rangorde bedoeld die volgordelijk na de voorgaande rangorde komt, zodat in het bijzonder slechst de absolute waarde van bijvoorbeeld een teller van belang is en ook een lagere waarde in een dalende reeks een hogere rangorde kent. De verzoekidentificatie omvat hierbij steeds de vaste toestelidentificatie in combinatie met een wisselende rangorde die aan het verzoek wordt toegekend.A special embodiment of the printer device herein has the feature that the identification means comprise a counter which is able and arranged to generate an ever-increasing ranking order for the access request, in particular an arithmetic counter which generates an ever-increasing sequence number for the access request, and in that the unique identifier comprises a combination of the ranking and a device identifier of the access means. A higher rank here means a rank that comes sequentially after the previous rank, so that in particular only the absolute value of, for example, a counter is important and also a lower value in a descending series has a higher rank. The request identification always includes the fixed device identification in combination with a varying ranking that is assigned to the request.

Die rangorde kan bijvoorbeeld een opvolgende code in een daartoe in of bij de toegangsmiddelen opgeslagen reeks van codes zijn of een incrementele alfa-numerieke waarde. In het bijzonder kan daarbij worden uitgegaan van een aritmetische teller die een numerieke waarde genereert die steeds al of niet met een al of niet vaste fractie werd verhoogd ten opzichte van een vorige gegenereerde waarde. Ook kan daartoe bijvoorbeeld gebruik worden gemaakt van een tijd en datum stempel die wordt gegeneerd door daartoe in of bij de toegangsmiddelen voorziene klokmiddelen als unieke numerieke waarde die tezamen met de toestelidentificatie tot een unieke verzoekidentificatie wordt gevormd. Waar het op aankomt is dat de decryptie-middelen later in staat zullen zijn een illegaal verkregen duplicaat van een oorspronkelijke toegangsverzoek te onderscheiden om aldus een onbevoegd {her)gebruik van de printerfunctie te weerhouden; en dat zonder noodzakelijke terugkoppeling met het persoonlijke toegangsmiddel van de gebruiker.Said ranking order can for instance be a successive code in a series of codes stored for that purpose in or near the access means or an incremental alpha-numeric value. In particular, the starting point here is an arithmetic counter which generates a numerical value which was always increased by a fixed or not fixed fraction relative to a previously generated value. Use can also be made for this purpose, for example, of a time and date stamp which is generated by clock means provided for this purpose in or near the access means as a unique numerical value which, together with the device identification, is formed into a unique request identification. The bottom line is that the decryption means will later be able to distinguish an illegally obtained duplicate from an original access request, thus deterring unauthorized (re)use of the printer function; and that without necessary feedback to the user's personal means of access.

In een voorkeursuitvoeringsvorm is de printerinrichting volgens de uitvinding gekenmerkt doordat dat de decryptie-middelen een decryptie-inrichting omvatten die door tussenkomst van tweede communicatiemiddelen met het besturingssysteem is gekoppeld, althans verbindinbaar is, waarbij de decryptie-sleutel in de decryptie-inrichting beschikbaar is en de decryptie-inrichting in staat en ingericht is om het versleutelde toegangsbericht te decoderen.In a preferred embodiment, the printer device according to the invention is characterized in that the decryption means comprise a decryption device which is coupled to the operating system via second communication means, or is at least connectable, the decryption key being available in the decryption device and the decryption device is able and arranged to decrypt the encrypted access message.

A-A-

Aldus behoeft de decryptie-sleutel niet in het besturingssysteem van de printerinrichting bekend te zijn en in de printer te worden opgeslagen. In plaats daarvan beschikt een zelfstandige decryptie-inrichting over deze gevoelige informatie en wordt de decodering en validatie daaraan overgelaten. Het resultaat daarvan kan bijvoorbeeld een booleaanse vlag of waarde (true or false) zijn die al of niet gecodeerd aan het besturingssysteem wordt afgegeven of het oorspronkelijk toegangsverzoek. Maar ook kan de decryptie-inrichting slechts voorwaardelijk onder de voorwaarde van een gevalideerd toegangsbericht een communicatie met het besturingssysteem opzetten, in welk geval bij het uitblijven van communicatie met de decryptie-inrichting door het besturingssysteem van de printerinrichting geen printerfunctie zal worden vrijgegeven.Thus, the decryption key need not be known in the operating system of the printer device and must be stored in the printer. Instead, a stand-alone decryption device holds this sensitive information and decrypts and validates it. The result may be, for example, a boolean flag or value (true or false) that is passed to the operating system, encrypted or not, or the original access request. However, the decryption device can also only conditionally set up communication with the operating system under the condition of a validated access message, in which case no printer function will be released by the operating system of the printer device if communication with the decryption device fails.

Voor de cryptografische versleuteling kunnen op zichzelf bekende encryptie technieken worden toegepast. Encryptie of codering is gebaseerd op het concept van encryptie-algoritmes en "sleutels". Wanneer informatie wordt verstuurd, wordt het gecodeerd op basis van een algoritme. Daarna kan het alleen met de juiste sleutel worden gedecodeerd. Zo'n sleutel kan op het ontvangende systeem staan of met de gecodeerde gegevens worden meegestuurd. De versleutelde gegevens kunnen nadien weer gedecrypteerd (ontcijferd of gedecodeerd} worden zodat de originele informatie weer wordt verkregen. Dit proces wordt decryptie genoemd. De decryptie-inrichting is met name in staat een dergelijke decryptie uit te voeren.Encryption techniques known per se can be used for the cryptographic encryption. Encryption or encryption is based on the concept of encryption algorithms and "keys". When information is sent, it is encrypted based on an algorithm. After that, it can only be decrypted with the right key. Such a key can be on the receiving system or sent with the encrypted data. The encrypted data can subsequently be decrypted (deciphered or decrypted} again so that the original information is obtained again. This process is called decryption. The decryption device is in particular capable of performing such decryption.

Er zijn grofweg twee vormen van cryptografie: symmetrische en asymmetrische. Symmetrische cryptografie, ook wel geheime-sleutelalgoritme genoemd, decodeert de informatie met een sleutel die aan het ontvangende systeem moet worden geleverd voordat de informatie kan worden gedecodeerd. Coderen en decoderen gebeurt met dezelfde sleutel. Deze methode is met name geschikt voor een gesloten systeem, waarbij zowel de encryptie-middelen als decryptie-middelen van eenzelfde bron afkomstig zijn. Vertaald naar de printerinrichting volgens de uitvinding, ligt de betreffende sleutel dan bijvoorbeeld zowel in of bij de toegangsmiddelen als in of bij de decryptie-inrichting beveiligd ligt opgeslagen. Het voordeel is dat deze methode veel sneller is dan de asymmetrische methode.There are roughly two forms of cryptography: symmetric and asymmetric. Symmetric cryptography, also known as secret key algorithm, decrypts the information with a key that must be delivered to the receiving system before the information can be decrypted. Encryption and decryption are done with the same key. This method is particularly suitable for a closed system, in which both the encryption and decryption tools come from the same source. Translated to the printer device according to the invention, the relevant key is then, for instance, stored securely both in or near the means of access and in or near the decryption device. The advantage is that this method is much faster than the asymmetric method.

Asymmetrische cryptografie gebruikt twee verschillende sleutels: een openbare sleutel en een privé sleutel, die mathematisch met elkaar zijn verbonden. De sleutels zijn in wezen gewoon grote getallen die aan elkaar zijn gekoppeld maar niet identiek zijn, vandaar de naam asymmetrisch. De openbare sleutel wordt met iedereen gedeeld, maar de privé sleutel blijft geheim. Beide zijn nodig om een bericht te versleutelen. Een bericht wordt gedecodeerd met de privé sleutel die is gekoppeld aan de openbare sleutel die mede voor de codering werd gebruikt. Deze techniek is bij voorkeur in de printerinrichting volgens de uitvinding geïmplementeerd.Asymmetric cryptography uses two different keys: a public key and a private key, which are mathematically linked. The keys are essentially just big numbers linked together but not identical, hence the name asymmetric. The public key is shared with everyone, but the private key remains secret. Both are needed to encrypt a message. A message is decrypted with the private key associated with the public key that contributed to the encryption. This technique is preferably implemented in the printer device according to the invention.

Bij voorkeur is niet alleen de communicatie naar de decryptie-inrichting gecodeerd, maar vindt ook de communicatie van de decryptie-inrichting naar het besturingssysteem versleuteld plaats. Daartoe heeft een verdere bijzondere uitvoeringsvorm van de printerinrichting volgens de uitvinding als kenmerk dat de decryptie-inrichting tweede encryptie-middelen omvat die in staat en ingericht zijn om het toegangsverzoek cryptografisch met een tweede encryptie-sleutel te coderen en aldus in cryptografisch versleutelde vorm met het besturingssysteem uit te wisselen, waarbij het besturingssysteem is voorzien van tweede decryptie-middelen met een tweede decryptie-sleutel, welke tweede decryptie-sleutel met de tweede encryptie-sleutel is geassocieerd, die in staat zijn om het versleutelde toegangsverzoek te decoderen. Aldus wordt een extra beveiligslaag ingebouwd die misbruik beoogd tegen te gaan.Preferably, not only the communication to the decryption device is encrypted, but also the communication from the decryption device to the operating system is encrypted. To this end, a further special embodiment of the printer device according to the invention is characterized in that the decryption device comprises second encryption means which are able and arranged to encrypt the access request cryptographically with a second encryption key and thus in cryptographically encrypted form with the operating system, the operating system being provided with second decryption means having a second decryption key, the second decryption key associated with the second encryption key, capable of decrypting the encrypted access request. In this way, an extra layer of security is built in, which is intended to prevent abuse.

Een verdere bijzondere uitvoeringsvorm van de printerinrichting volgens de uitvinding heeft als kenmerk dat de communicatiemiddelen een kaartlezer omvatten voor uitlezing van een elektronische toegangskaart van de gebruiker, in het bijzonder een smart card, waarbij de kaartlezer de toegangsmiddelen omvat. Het begrip “kaart” dient daarbij ruim te worden opgevat als ieder vorm van handzame gegevensdrager die zich elektronisch laat uitlezen met een daarop afgestelde leesinrichting, zoals behalve magneetkaarten en chipkaarten bijvoorbeeld ook zogenaamde druppels, hangers en andere tokens. Met deze uitvoeringsvorm wordt onder meer aansluiting gezocht bij de vele bestaande printerinrichtingen in de markt die gebaseerd zijn op toegang door middel van een elektrisch uitleesbare kaart of anderszins token. Door de leesinrichting daarvan eenvoudigweg te vervangen door de kaartiezer met toegangsmiddelen volgens de uitvinding blijven deze persoonlijke tokens bruikbaar en behoeft minimaal te worden ingegrepen in de bestaande infrastructuur, met name aan de zijde van de gebruiker.A further particular embodiment of the printer device according to the invention is characterized in that the communication means comprise a card reader for reading an electronic access card of the user, in particular a smart card, the card reader comprising the access means. The term "card" should be interpreted broadly as any form of handy data carrier that can be read electronically with a reading device adapted to it, such as, in addition to magnetic cards and chip cards, also so-called drops, pendants and other tokens. With this embodiment, inter alia, a connection is sought with the many existing printer devices in the market that are based on access by means of an electrically readable card or other token. By simply replacing its reading device with the card reader with access means according to the invention, these personal tokens remain usable and minimal intervention is required in the existing infrastructure, in particular on the part of the user.

Uit oogpunt van gebruiksgemak heeft een bijzondere uitvoeringsvorm van de printerinrichting volgens de uitvinding als kenmerk dat de communicatiemiddelen in staat en ingericht zijn voor contactloze gegevensoverdracht met het persoonlijke toegangsmiddel van de gebruiker. Voor deze contactloze gegevensoverdracht kan desgewenst van een op zichzelf niet veilige verbinding gebruik worden gemaakt omdat de data uitwisseling gecodeerd zal zijn. In het bijzonder lenen zich daarvoor standaard protocollen voor draadloze gegevensoverdracht, zoalsFrom the point of view of ease of use, a special embodiment of the printer device according to the invention is characterized in that the communication means are capable of and adapted for contactless data transfer with the user's personal means of access. If desired, a connection that is not secure in itself can be used for this contactless data transfer because the data exchange will be encrypted. In particular, standard protocols for wireless data transfer, such as

Near Field Communicatie (NFC), Bluetooth en WiFi. De communicatiemiddelen omvatten daartoe een module voor draadloze gegevensoverdracht op basis van Near Field Communicatie (NFC), Wifi of Bluetooth of een vergelijkbaar standaard protocol voor draadloze communicatie.Near Field Communication (NFC), Bluetooth and WiFi. To this end, the means of communication comprise a module for wireless data transfer based on Near Field Communication (NFC), Wi-Fi or Bluetooth or a comparable standard protocol for wireless communication.

Een extra beveiliging en verificatie van de rechtmatige gebruiker kan daarbij worden geboden door een verdere bijzondere uitvoeringsvorm van de printerinrichting volgens de uitvinding welke is gekenmerkt doordat het persoonlijke toegangsmiddel een intelligente persoonlijke telecommunicatie-inrichting van de gebruiker omvat, in het bijzonder een smart phone, en dat de decryptie-middelen in staat en ingericht zijn om een multi-factor authenticatie met de persoonlijke telecommunicatie-inrichting van de gebruiker uit te voeren. Aldus wordt authenticatie afgedwongen door minimaal twee authenticatie-vormen gelijktijdig toe te passen.Additional security and verification of the legitimate user can be offered by a further special embodiment of the printer device according to the invention, which is characterized in that the personal means of access comprises an intelligent personal telecommunication device of the user, in particular a smart phone, and that the decryption means is capable and arranged to perform a multi-factor authentication with the user's personal telecommunication device. Thus, authentication is enforced by simultaneously applying at least two forms of authentication.

Te denken valt aan het gebruik van het persoonsgebonden toegangsmiddel (token) met eenFor example, the use of the personal means of access (token) with a

PIN code. Een aanvaller dient nu niet alleen de encryptiesleutel te kraken, maar ook het token te bezitten. Een andere vorm is een eenmalig wachtwoord of eenmalige code die door de decryptie-inrichting naar het persoonsgebonden toegangsmiddel, in het bijzonder een smartphone, van de gebruiker wordt verzonden om te worden ingevoerd als onderdeel van diens autorisatie. De multi-factor authenticatie behelst dan bijvoorbeeld de afgifte van een tijdelijk wachtwoord of tijdelijke toegangscode door de decryptie-middelen of de toegangsmiddelen aan de gebruiker die in antwoord op een toegangsverzoek door de gebruiker dient te worden ingevoerd vooraleer het toegangsverzoek verder wordt verwerkt.Pin. An attacker now not only needs to crack the encryption key, but also possess the token. Another form is a one-time password or code that is sent by the decryption device to the user's personal access device, in particular a smartphone, to be entered as part of their authorization. The multi-factor authentication then comprises, for example, the issue of a temporary password or temporary access code by the decryption means or the access means to the user, which must be entered by the user in response to an access request before the access request is further processed.

In plaats van een PIN code of wachtwoord kan bovendien worden uitgegaan van biometrische herkenning van één of meer biometrische kenmerken van de gebruiker, in het bijzonder bij gebruik van een smartphone. Voorbeelden hiervan zijn een vingerafdruk, de stem, de iris en/of de retinale vasculatuur van de gebruiker of gezichtsherkenning.In addition, instead of a PIN code or password, it is possible to assume biometric recognition of one or more biometric characteristics of the user, in particular when using a smartphone. Examples include a fingerprint, the user's voice, iris and/or retinal vasculature, or facial recognition.

Doordat de gegevens in versleutelde vorm veilig kunnen worden uitgewisseld tussen het persoonsgebonden toegangsmiddel en de decryptie-inrichting is de al of niet veiligheid van het communicatiekanaal van ondergeschikte betekenis. Het communicatiekanaal kan daardoor met behoud van veiligheid een communicatiekanaal zijn waar ook derden toegang toe kunnen hebben, zoals het internet. De codering zorgt ervoor dat dergelijke derden de inhoud van de iy uitgewisselde berichten of gegevens desalniettemin niet kunnen lezen. Een bijzondere uitvoeringsvorm van de printerinrichting volgens de uitvinding heeft dan ook als kenmerk dat tweede communicatiemiddelen telecommunicatiemiddelen omvatten die in staat en ingericht zijn een telecommunicatieverbinding voor gegevensuitwisseling op te richten en althans tijdelijk te onderhouden, waarbij de decryptie-inrichting via de telecommunicatieverbinding met het besturingssysteem is gekoppeld, althans verbindbaar is, en waarbij de telecommunicatie- verbinding in het bijzonder althans ten dele deel via het Internet verloopt, bij voorkeur via een versleutelde virtuele pijplijn (VPN). Door daarbij gebruik te maken van het Internet voor de gegevens overdracht met de decryptie-inrichting kan de laatste als cloud oplossing worden geboden en is er geen speciale, toegesneden communicatie-infrastructuur vereist.Because the data can be safely exchanged in encrypted form between the personal access means and the decryption device, the security of the communication channel is of minor importance. The communication channel can therefore be a communication channel to which third parties, such as the internet, can also have access while maintaining security. The encryption ensures that such third parties can nevertheless not read the content of the messages or data exchanged. A special embodiment of the printer device according to the invention is therefore characterized in that second communication means comprise telecommunication means which are able and equipped to set up and at least temporarily maintain a telecommunication connection for data exchange, the decryption device being connected to the operating system via the telecommunication connection. coupled, at least connectable, and wherein the telecommunication connection in particular runs at least partly via the Internet, preferably via an encrypted virtual pipeline (VPN). By using the Internet for data transfer with the decryption device, the latter can be offered as a cloud solution and no special, tailored communication infrastructure is required.

De decryptie-inrichting kan op de beschreven wijze de authenticatie en autorisatie van grote aantallen gebruikers gelijktijdig althans gemeenschappelijk uitvoeren. De printerinrichting volgens de uitvinding leent zich dan ook bij uitstek voor grotere organisaties en instellingen. Een voorkeursuitvoeringsvorm van de printerinrichting volgens de uitvinding heeft in dat geval als kenmerk dat de printerinrichting deel uitmaakt van een groep printerinrichtingen die ieder voor zich met een gemeenschappelijke decryptie-server zijn gekoppeld, althans verbindbaar zijn, welke de decryptie-middelen verschaft. Een dergelijke gedeelde decryptie-server vereenvoudigt de uitgifte, administratie en het beheer van uitgegeven toegangsmiddelen en is naadloos schaalbaar naar meer gebruikers en naar een grotere groep printerinrichtingen.In the manner described, the decryption device can carry out the authentication and authorization of large numbers of users simultaneously, at least jointly. The printer device according to the invention is therefore eminently suitable for larger organizations and institutions. In that case, a preferred embodiment of the printer device according to the invention has the feature that the printer device forms part of a group of printer devices, each of which is coupled, at least connectable, to a common decryption server, which provides the decryption means. Such a shared decryption server simplifies the issuance, administration and management of issued access resources and is seamlessly scalable to more users and to a larger group of printer devices.

De uitvinding heeft tevens betrekking op een decryptie-inrichting die in staat en ingericht is om met één of meer printerinrichtingen volgens één of meer der voorgaande conclusies samen te werken om van een printerinrichting een met een encryptie-sleutel cryptografisch versleuteld toegangsbericht te ontvangen, omvattende decryptie-middelen met een decryptie-sleutel die met de encryptie-sleutel is geassocieerd, welke de decryptie-middelen in staat stelt om het versleutelde toegangsbericht te decoderen en daaruit een daarin versleutelde unieke verzoekidentificatie te extraheren, en dat de decryptie-middelen in staat en ingericht zijn om een toegangsverzoek in het toegangsbericht gebruikmakend van de unieke verzoekidentificatie te verifiëren en te valideren en al of niet voorwaardelijk een verificatieresuitaat aan de printerinrichting af te geven.The invention also relates to a decryption device which is able and arranged to cooperate with one or more printer devices according to one or more of the preceding claims in order to receive from a printer device an access message cryptographically encrypted with an encryption key, comprising decryption. means having a decryption key associated with the encryption key, which enables the decryption means to decrypt the encrypted access message and extract therefrom a unique request identifier encrypted therein, and that the decryption means enables and is arranged to verify and validate an access request in the access message using the unique request identifier and conditionally or unconditionally issue a verification result to the printer device.

Voort heeft de uitvinding betrekking op een toegangsinrichting voor een printerinrichting, omvattende communicatiemiddelen omvatten die in staat en ingericht zijn om een toegangsverzoek van een persoonlijk toegangsmiddel van de gebruiker te ontvangen, identificatiemiddelen die in staat en ingericht zijn om een unieke verzoekidentificatie bij het toegangsverzoek te genereren, encryptie-middelen met een encryptie-sleutel die in staat en ingericht zijn om het toegangsverzoek tezamen met de unieke verzoekidentificatie cryptografisch tot een cryptografisch versleuteld toegangsbericht te coderen, en omvattende een uitgang waaraan het cryptografisch versleutelde toegangsbericht afneembaar is. Een dergelijke toegangsinrichting laat zich als add-on met een bestaande printerinrichting, bijvoorbeeld ter vervanging van een daarin dusverre toegepaste kaartlezer, toepassen, maar kan ook reeds oorspronkelijk in een nieuw te fabriceren of leveren printerinrichting worden ingezet. Voor een naadloze integratie in een bestaande infra-structuur heeft een bijzondere uitvoeringsvorm van de toegangsinrichting daarbij als kenmerk dat de communicatiemiddelen een kaartlezer omvatten voor uitlezing van een elektronische toegangskaart of vergelijkbaar token van de gebruiker, in het bijzonder een smart card.Furthermore, the invention relates to an access device for a printer device, comprising communication means capable and arranged to receive an access request from a user's personal access means, identification means capable and arranged to generate a unique request identifier with the access request , encryption means with an encryption key capable of and adapted to cryptographically encode the access request together with the unique request identifier into a cryptographically encrypted access message, and comprising an output from which the cryptographically encrypted access message is detachable. Such an access device can be used as an add-on to an existing printer device, for instance to replace a card reader hitherto used therein, but can also be used originally in a new printer device to be manufactured or supplied. For seamless integration into an existing infrastructure, a special embodiment of the access device herein has the feature that the communication means comprise a card reader for reading an electronic access card or comparable token of the user, in particular a smart card.

In een voorkeursuitvoeringsvorm is de toegangsinrichting volgens de uitvinding daarbij gekenmerkt doordat de identificatiemiddelen een teller omvatten die in staat en ingericht is om een zich ophogende rangorde bij het toegangsverzoek te genereren, in het bijzonder een aritmetische teller welke een telkens ophogend volgnummer bij het toegangsverzoek genereert, en dat de unieke identificatie een combinatie van de rangorde en een unieke toestelidentificatie van de toegangsinrichting omvat. De unieke toestelidentificatie omvat bijvoorbeeld een MAC adres of andere unieke identificatie van een daarin toegepaste elektronische component en vormt in combinatie met de door de toegangsinrichting telkens te genereren rangorde een unieke combinatie die als zodanig in het toegangsbericht kan worden gecodeerd.In a preferred embodiment, the access device according to the invention is herein characterized in that the identification means comprise a counter which is able and arranged to generate an increasing ranking order with the access request, in particular an arithmetic counter which generates an increasing sequence number with the access request, and that the unique identifier comprises a combination of the ranking and a unique device identifier of the access device. The unique device identification comprises, for instance, a MAC address or other unique identification of an electronic component used therein and, in combination with the ranking to be generated each time by the access device, forms a unique combination which can be encoded as such in the access message.

De toegangsinrichting kan op zichzelf op uiteenlopende wijze zijn uitgerust met communicatiemiddelen voor uitlezing van het persoonlijke toegangsmiddel, zowel beveiligd als onbeveiligd en zowel draadgebonden als contactloos en/of draadloos. Een bijzonder praktische vorm heeft als kenmerk dat de communicatiemiddelen in staat en ingericht zijn voor contactloze gegevensoverdracht met het persoonlijke toegangsmiddel van de gebruiker. In het bijzonder kan daartoe worden uitgegaan van een module voor draadloze gegevensoverdracht op basis van Near Field Communicatie (NFC), Wifi of Bluetooth of een vergelijkbaar standaard protocol voor draadloze communicatie. In het bijzonder kan daarbij het persoonlijke toegangsmiddel een intelligente persoonlijke telecommunicatie-inrichting van de gebruiker omvatten, in het bijzonder een smart phone, waarbij de decryptie-middelen en/of de toegangsmiddelen in staat en ingericht kunnen zijn om een multi-factor authenticatie met de persoonlijke telecommunicatie-inrichting van de gebruiker uit te voeren.The access device itself can be equipped in various ways with communication means for reading the personal access means, both secured and unsecured and both wired and contactless and/or wireless. A particularly practical form is characterized in that the means of communication are capable of and arranged for contactless data transfer with the user's personal means of access. In particular, a module for wireless data transfer based on Near Field Communication (NFC), Wi-Fi or Bluetooth or a comparable standard protocol for wireless communication can be used for this purpose. In particular, the personal means of access can herein comprise an intelligent personal telecommunication device of the user, in particular a smart phone, whereby the decryption means and/or the means of access can be capable and adapted to carry out a multi-factor authentication with the personal telecommunication device of the user.

Navolgend zal de uitvinding nader worden toegelicht aan de hand van een uitvoeringsvoorbeeld en een bijbehorende tekening. In de tekening toont:The invention will be further elucidated below on the basis of an exemplary embodiment and an associated drawing. In the drawing shows:

Figuur 1 een schematische weergave van uitvoeringsvoorbeeld van de inrichting volgens uitvinding.Figure 1 shows a schematic representation of an exemplary embodiment of the device according to the invention.

Overigens zij daarbij opgemerkt dat de figuur zuiver schematisch en niet steeds op (eenzelfde) schaal zijn getekend. Met name kunnen terwille van de duidelijkheid sommige dimensies in meer of mindere mate overdreven zijn weergegeven. Overeenkomstige delen zijn in de figuur met eenzelfde verwijzingscijfer aangeduid.Incidentally, it should be noted that the figure is purely schematic and is not always drawn to (the same) scale. In particular, some dimensions may be exaggerated to a greater or lesser degree for clarity. Corresponding parts are indicated in the figure with the same reference numeral.

Figuur 1 toont een printerinrichting volgens de uitvinding. In dit voorbeeld gaat het om een multi-functionele printer of copier 10 die in staat en ingericht is om een aantal printerfuncties uit te voeren, zoals een afdruk al dan niet op afroep van drukwerk op verschillende formaten papier en een scan-functie door middel van een daartoe voorziene scanner aan de bovenkant van de inrichting. De printerinrichting 10 is uitgerust met een communicatiemodule 15 voor communicatie met een persoonsgebonden toegangsmiddel 20 van de gebruiker. Voor het toegangsmiddel wordt hier uitgegaan van een intelligent toestel (smartphone) dat beschikt over een bluetooth en/of near field communicatie (NFC) zender/ontvanger schakeling voor contactloze communicatie met de module 15, die eveneens over een dergelijke zender/ontvanger schakeling is voorzien zodat daartussen een draadloze communicatieverbinding tot stand kan worden gebracht en onderhouden. Over deze verbinding wisselt het toestel 20 een toegangsverzoek 25 met de communicatiemodule 15 uit.Figure 1 shows a printer device according to the invention. This example concerns a multi-functional printer or copier 10 that is able and equipped to perform a number of printer functions, such as a print, whether or not on demand, of printed matter on different formats of paper and a scanning function by means of a scanner provided for this purpose at the top of the device. The printer device 10 is equipped with a communication module 15 for communication with a personal access means 20 of the user. The means of access here is based on an intelligent device (smartphone) that has a Bluetooth and/or near field communication (NFC) transmitter/receiver circuit for contactless communication with the module 15, which is also provided with such a transmitter/receiver circuit. so that a wireless communication link can be established and maintained between them. The device 20 exchanges an access request 25 with the communication module 15 over this connection.

Ook omvat de module 15 een kaartlezer waarmee een smart card 22 al of niet contactloos kan worden uitgelezen. Als alternatief kan daarvoor ook een kaartlezer voor een magneetkaart of ander token van de gebruiker worden toegepast. Anders dan bij de smart phone 20 gaat het bij deze kaarten en tokens in het algemeen niet om bi-directionele communicatie maar slechts om één richtingsverkeer waarmee het toegangsverzoek 25 aan de printer wordt afgegeven.The module 15 also comprises a card reader with which a smart card 22 can be read contactlessly or otherwise. Alternatively, a card reader for a magnetic card or other token of the user can also be used. Unlike the smart phone 20, these cards and tokens generally do not involve bi-directional communication, but only one-way traffic with which the access request 25 is issued to the printer.

Uit oogpunt van veiligheid en databescherming is het toegangsverzoek 25 cryptografisch versleuteld. Het toegangsbericht 25 ligt bijvoorbeeld reeds in versleutelde vorm in de kaart 22 opgeslagen, waarbij de kaartlezer in de module over de vereiste decrytiesleutel en software beschikt om het toegangsbericht 25 te decoderen. Een adequate encryptie- en decryptie technologie is tevens onderdeel van de hiervoor genoemde en overige protocollen voor draadloze gegevensoverdracht zodat een veilige versleuteling van het bericht 25 daarin naadloos is geïmplementeerd.From a security and data protection point of view, the access request 25 is cryptographically encrypted. For example, the access message 25 is already stored in encrypted form in the card 22, the card reader in the module having the required decryption key and software to decrypt the access message 25 . An adequate encryption and decryption technology is also part of the aforementioned and other protocols for wireless data transfer, so that a secure encryption of the message is seamlessly implemented therein.

De communicatiemodule 15 is draadgebonden met een centraal besturingssysteem 13 van de printer 10 verbonden. In het algemeen gaat het hierbij om een standaard, vaak onbeveiligde seriële of TTL verbinding, zoals hier een USB-verbinding 11 met een standaard toetsenbord interface. Na door de communicatiemodule 15 te zijn gedecodeerd, zou het toegangsverzoek 25 slechts onveilig en vatbaar voor onderschepping over deze relatief onveilige verbinding aan het besturingssysteem 13 kunnen worden doorgegeven. Om niettemin een veilige overdracht te verzorgen, omvat de toegangsmodule 15 toegangsmiddelen 13 waarmee het toegangsverzoek 25 uniek wordt versleuteld. Daarbij wordt een eigen identificatie ID 16 van de toegangsmodule 15 aan het toegangsverzoek toegevoegd alsmede een unieke rangorde 17.The communication module 15 is wired to a central control system 13 of the printer 10. In general this concerns a standard, often unsecured serial or TTL connection, such as here a USB connection 11 with a standard keyboard interface. After being decrypted by the communication module 15, the access request 25 could be passed to the operating system 13 only insecurely and subject to interception over this relatively insecure connection. To nevertheless ensure a secure transfer, the access module 15 comprises access means 13 with which the access request 25 is uniquely encrypted. An own identification ID 16 of the access module 15 is added to the access request as well as a unique ranking 17.

Deze laatste is steeds een opvolgende code of waarde als hogere rangorde in een gedefinieerde reeks van codes of waarden. In dit voorbeeld wordt daarvoor gebruik gemaakt van een aritmetische teller 17 die steeds een incrementele waarde afgeeft in de vorm van een zich steeds ophogende integer waarde. In plaats daarvan kan eventueel ook een code in een vooraf gedefinieerde en als zodanig in de module 15 opgeslagen reeks van codes, een tijd/datum stempel of anderszins een vooraf bepaalde sequentie worden toegepast die een rangorde van het toegangsverzoek 25 tijd-volgordelijk uniek definieert.The latter is always a consecutive code or value as a higher order in a defined series of codes or values. In this example use is made for this purpose of an arithmetic counter 17 which always outputs an incremental value in the form of a continuously increasing integer value. Alternatively, a code in a predefined series of codes stored as such in the module 15, a time/date stamp or otherwise a predetermined sequence may be used that uniquely defines a ranking of the access request 25 time-sequentially.

De aldus in de toegangsmodule 15 gegenereerde rangorde {2} 17 van het toegangsverzoek 25 wordt gecombineerd met de identificatie (ID) 16 van de module 15 waarmee met het persoonlijke toegangsmiddelen 20,22 werd gecommuniceerd. Tezamen vormen zij een unieke verzoekidentificatie die als zodanig tezamen met het toegangsverzoek 25 wordt cryptografisch gecodeerd tot een versleuteld toegangsbericht 35, gebruikmakend van een daartoe voor de module 15 beschikbare eerste algoritmische encryptie sleutel. De module 15 zend het versleutelde toegangsbericht 35 naar het besturingssysteem 13 van de printerinrichting 10.The ranking {2} 17 of the access request 25 thus generated in the access module 15 is combined with the identification (ID) 16 of the module 15 with which the personal access means 20,22 were communicated. Together they form a unique request identifier, which as such is cryptographically encoded together with the access request 25 into an encrypted access message 35, using a first algorithmic encryption key available to the module 15 for this purpose. The module 15 sends the encrypted access message 35 to the operating system 13 of the printer device 10.

Hoewel daarvoor de standaard en op zichzelf onbeveiligde USB communicatiepoort 11 van de printer 10 wordt gebruikt, biedt de cryptografische versleuteling van het toegangsverzoek 25 in het toegangsbericht 35 hierbij niettemin een adequate beveiliging tegen tampering of van het systeem of onderschepping van het bericht 35. Zonder kennis van de met de encryptie sleutel geassocieerde decryptie sleutel is het toegangsbericht 35 niet leesbaar of manipuleerbaar.Although the standard and in itself unsecured USB communication port 11 of the printer 10 is used, the cryptographic encryption of the access request 25 in the access message 35 nevertheless provides adequate protection against tampering or from the system or interception of the message 35. Without knowledge of the decryption key associated with the encryption key, the access message 35 is not readable or manipulated.

De besturingssoftware (print management software} van het besturingssysteem 13 heeft een voorziening die het besturingssysteem 13 in staat stelt het gecodeerde toegangsbericht 35 in versleutelde vorm door te leiden aan een decryptie-inrichting 50. In dit geval omvat de decryptie-inrichting een decryptie-server 50,55 op afstand die gemeenschappelijk fungeert voor een groep van dergelijke printerinrichtingen 10, al of niet eenzelfde geografisch locatie.The operating software (print management software) of the operating system 13 has a facility that enables the operating system 13 to forward the encrypted access message 35 in encrypted form to a decryption device 50. In this case, the decryption device comprises a decryption server 50,55 remote that functions in common for a group of such printer devices 10, whether or not the same geographical location.

Hierin is specifieke decryptie software 55 geladen op basis waarvan de decryptie-inrichting 50 in staat is om het versleutelde toegangsbericht 35 te decoderen en op echtheid te beproeven.Specific decryption software 55 is loaded herein on the basis of which the decryption device 50 is able to decrypt the encrypted access message 35 and to test it for authenticity.

Hiertoe beschikt de decryptie-server over een cryptografische decryptie sleutel die met d eerste encryptie sleutel is geassocieerd. Slechts bij een vastgestelde authenticiteit van het toegangsbericht 35, zendt de decryptie-inrichting 50 het gedecodeerde toegangsverzoek 25 naar het besturingssysteem 13 van de printer 10 die hierop op de gebruikelijke wijze reageert door één of meer printerfuncties al of niet aan de gebruiker vrij te geven, afhankelijk van zijn bevoegdheden. De authenticiteit van het toegangsbericht 35 wordt daarbij door de decryptie- server 50,55 uit de unieke toegangsidentificatie bij het toegangsverzoek vastgesteld. Slechts de eerste maal dat het toegangsverzoek 25 met de betreffende rangorde (2) 17 wordt aangeboden, wordt het toegangsbericht 35 als authentiek aanvaard. Hergebruik van het versleutelde toegangsbericht 35, bijvoorbeeld nadat het wederrechtelijk werd onderschept of gedupliceerd, is daarmee uitgesloten.To this end, the decryption server has a cryptographic decryption key associated with the first encryption key. Only when the access message 35 has been verified as authentic, does the decryption device 50 send the decrypted access request 25 to the operating system 13 of the printer 10, which responds in the usual way by releasing or not releasing one or more printer functions to the user, depending on his powers. The authenticity of the access message 35 is thereby determined by the decryption server 50,55 from the unique access identification in the access request. Only the first time that the access request 25 with the relevant rank (2) 17 is presented, the access message 35 is accepted as authentic. Reuse of the encrypted access message 35, for instance after it has been illegally intercepted or duplicated, is thus excluded.

Voor de communicatie tussen de decryptie-server 50 en het besturingssysteem 13 van de printer 10 wordt gebruik gemaakt van een beveiligde verbinding. De decryptie-inrichting 50 biedt aansluiting met een authenticatie dienst, zoals Microsoft Active Directory (LDAP) en AzureA secure connection is used for communication between the decryption server 50 and the operating system 13 of the printer 10. The decryption device 50 provides connectivity to an authentication service, such as Microsoft Active Directory (LDAP) and Azure

AD. Voor de communicatie tussen de printer en de decryptie-inrichting kan op zichzelf van verschillende protocollen en platformen worden uitgegaan, zoals bijvoorbeeld HTTPS, TLS1.2 enAD. For the communication between the printer and the decryption device, different protocols and platforms can be used, such as HTTPS, TLS1.2 and

TLS 1.3. Het gedecodeerde toegangsverzoek kan aldus reeds in leesbare, gedecodeerde vorm veilig door de server 50 met de printer 10 worden uitgewisseld. Eventueel kan hierbij overigens desgewenst andermaal een cryptografische codering worden toegepast, gebruikmakend van een tweede encryptie en decryptie sleutelpaar die tussen de server 50 en de printer 10 worden gedeeld. In beide gevallen is de decryptie-inrichting 50 met voordeel via het Internet 60 voor gegevensuitwisseling met de printer verbonden. De decryptie-server wordt hierbij als cloud oplossing geboden waarop eenvoudig extra printer 10 kunnen worden aangesloten zonder hoegenaamd in de bestaande ICT infrastructuur te behoeven ingrijpen.TLS 1.3. The decrypted access request can thus already be safely exchanged by the server 50 with the printer 10 in readable, decrypted form. Incidentally, if desired, a cryptographic encryption can be applied again here, using a second encryption and decryption key pair which are shared between the server 50 and the printer 10. In both cases, the decryption device 50 is advantageously connected to the printer via the Internet 60 for data exchange. The decryption server is hereby offered as a cloud solution to which additional printer 10 can be easily connected without having to intervene in the existing ICT infrastructure.

Desgewenst voegt de smartphone 20 extra veiligheid toe door zelf een toegangscode {wachtwoord of PIN] te vragen en/of een biometrische herkenning uit te voeren. Verder kan het systeem worden uitgebreid met een verdere vorm van multi-factor authenticatie doordat de decryptie-inrichting 50 uit het toegangsbericht 35 een daarin eveneens versleutelde SSID van het toestel 20 afleidt en daaraan een tijdelijk wachtwoord verzend.If desired, the smartphone 20 adds extra security by requesting an access code {password or PIN] and/or performing a biometric recognition. Furthermore, the system can be expanded with a further form of multi-factor authentication in that the decryption device 50 derives an SSID of the device 20 from the access message 35, also encrypted therein, and sends a temporary password to it.

Al met al schept de uitvinding daarmee een bijzonder gebruikersvriendelijke beveiligingslaag op het besturingssysteem en de hardware van een printerinrichting waarmee de authenticiteit en autorisatie van een gebruiker bijzonder betrouwbaar en beveiligd autonoom, dat wil zeggen louter stroomopwaarts zonder hand-shaking of ander terugkoppeling, kan worden vastgesteld.All in all, the invention thus creates a particularly user-friendly security layer on the operating system and the hardware of a printer device with which the authenticity and authorization of a user can be determined autonomously, i.e. purely upstream without hand-shaking or other feedback, in a highly reliable and secure manner. .

De toegang kan eventueel worden aangevuld met administratieve functies die bijvoorbeeld een gebruik en verbruik van de gebruiker vastleggen.The access can possibly be supplemented with administrative functions that, for example, record the use and consumption of the user.

Hoewel de uitvinding hiervoor aan de hand van louter een enkele uitvoeringsvoorbeeld nader werd toegelicht, moge het duidelijk zijn dat de uitvinding daartoe geenszins is beperkt.Although the invention has been further elucidated above with reference to only a single exemplary embodiment, it will be clear that the invention is by no means limited thereto.

Integendeel zijn binnen het kader van de uitvinding voor een gemiddelde vakman nog vele variaties en verschijningsvormen mogelijk.On the contrary, many variations and embodiments are still possible for an average skilled person within the scope of the invention.

Claims (17)

Conclusies:Conclusions: 1. Printerinrichting voor het uitvoeren van ten minste één printerfunctie, omvattende een besturingssysteem voor aansturing van de printerfunctie en toegangsmiddelen die een gebruiker selectief toegang tot de printerfunctie verschaffen, waarbij de toegangsmiddelen met het besturingssysteem zijn gekoppeld en communicatiemiddelen omvatten die in staat en ingericht zijn om een toegangsverzoek van een persoonlijk toegangsmiddel van de gebruiker te ontvangen en aan het besturingssysteem door te leiden, met het kenmerk dat de toegangsmiddelen identificatiemiddelen omvatten die in staat en ingericht zijn om een unieke verzoekidentificatie bij het toegangsverzoek te genereren, dat de toegangsmiddelen encryptie- middelen met een encryptie-sleutel omvatten die in staat en ingericht zijn om het toegangsverzoek tezamen met de unieke verzoekidentificatie cryptografisch tot een cryptografisch versleuteld toegangsbericht te coderen en aan het besturingssysteem af te geven, en dat het besturingssysteem is gekoppeld met decryptie-middelen díe in staat en ingericht zijn om het cryptografisch versleutelde toegangsbericht te decoderen en daaruit de unieke verzoekidentificatie af te leiden, gebruikmaken van een decryptie-sleutel die met de encryptie-sleutel is geassocieerd, en dat de decryptie-middelen in staat en ingericht zijn om het gedecodeerde toegangsverzoek en de unieke verzoekidentificatie te valideren om een resultaat daarvan al of niet voorwaardelijk met het besturingssysteem te kunnen uitwisselen.CLAIMS 1. Printer device for performing at least one printer function, comprising an operating system for controlling the printer function and access means that selectively provide a user with access to the printer function, wherein the access means are coupled to the operating system and comprise means of communication that are able and arranged to receive an access request from a personal access means of the user and pass it on to the operating system, characterized in that the means of access comprise means of identification capable and arranged to generate a unique request identification with the access request, that the means of access contain encryption means with include an encryption key capable of and arranged to cryptographically encrypt the access request together with the unique request identifier into a cryptographically encrypted access message and deliver it to the operating system, and that the operating system is coupled with decryption means capable of and arranged be able to decrypt the cryptographically encrypted access message and derive the unique request identification from it, use a decryption key associated with the encryption key, and that the decryption means are capable and arranged to decrypt the decrypted access request and the unique to validate request identification in order to be able to exchange a result thereof conditionally or not with the operating system. 2. Printerinrichting volgens conclusie 1, met het kenmerk dat de identificatiemiddelen een teller omvatten die in staat en ingericht is om een zich ophogende rangorde bij het toegangsverzoek te genereren, in het bijzonder een aritmetische teller welke een telkens ophogend volgnummer bij het toegangsverzoek genereert, en dat de unieke identificatie een combinatie van de rangorde en een toestelidentificatie van de toegangsmiddelen omvat.A printer device according to claim 1, characterized in that the identification means comprise a counter which is able and arranged to generate an increasing ranking order with the access request, in particular an arithmetic counter which generates an increasing sequence number with the access request, and that the unique identification comprises a combination of the ranking and a device identification of the means of access. 3. Printerinrichting volgens conclusie 1 of 2, met het kenmerk dat de decryptie-middelen een decryptie-inrichting omvatten die door tussenkomst van tweede communicatiemiddelen met het besturingssysteem is gekoppeld, althans verbindinbaar is, waarbij de decryptie-sleutel in de decryptie-inrichting beschikbaar is en de decryptie-inrichting in staat en ingericht is om het versleutelde toegangsbericht te decoderen.3. Printer device as claimed in claim 1 or 2, characterized in that the decryption means comprise a decryption device which is coupled, at least connectable, to the operating system via second communication means, wherein the decryption key is available in the decryption device and the decryption device is capable and arranged to decrypt the encrypted access message. 4. Printerinrichting volgens één of meer der voorgaande conclusies, met het kenmerk dat tweede communicatiemiddelen telecommunicatiemiddelen omvatten die in staat en ingericht zijn een telecommunicatieverbinding voor gegevensuitwisseling op te richten en althans tijdelijk te onderhouden, waarbij de decryptie-inrichting via de telecommunicatieverbinding met het besturingssysteem is gekoppeld, althans verbindbaar is, en waarbij de telecommunicatieverbinding in het bijzonder althans ten dele deel via het Internet verloopt, bij voorkeur via een versleutelde virtuele pijplijn (VPN).4. Printer device as claimed in one or more of the foregoing claims, characterized in that second communication means comprise telecommunication means that are able and equipped to set up and at least temporarily maintain a telecommunication connection for data exchange, the decryption device being connected to the operating system via the telecommunication connection. coupled, or at least connectable, and wherein the telecommunication connection in particular runs at least partly via the Internet, preferably via an encrypted virtual pipeline (VPN). 5. Printerinrichting volgens conclusie 3 of 4, met het kenmerk dat de decryptie-inrichting tweede encryptie-middelen omvat die in staat en ingericht zijn om het toegangsverzoek cryptografisch met een tweede encryptie-sleutel te coderen en aldus in cryptografisch versleutelde vorm met het besturingssysteem uit te wisselen, waarbij het besturingssysteem is voorzien van tweede decryptie-middelen met een tweede decryptie-sleutel, welke tweede decryptie-sleutel met de tweede encryptie-sleutel is geassocieerd, die in staat zijn om het versleutelde toegangsverzoek te decoderen.A printer device according to claim 3 or 4, characterized in that the decryption device comprises second encryption means which are able and arranged to encrypt the access request cryptographically with a second encryption key and thus in cryptographically encrypted form with the operating system. wherein the operating system is provided with second decryption means having a second decryption key, the second decryption key associated with the second encryption key, capable of decrypting the encrypted access request. 6. Printerinrichting volgens één of meer der voorgaande conclusies, met het kenmerk dat de communicatiemiddelen in staat en ingericht zijn voor contactloze gegevensoverdracht met het persoonlijke toegangsmiddel van de gebruiker.6. Printer device as claimed in one or more of the foregoing claims, characterized in that the communication means are capable of and arranged for contactless data transfer with the user's personal access means. 7. Printerinrichting volgens één of meer der voorgaande conclusies, met het kenmerk dat de communicatiemiddelen een kaartlezer omvatten voor uitlezing van een elektronische toegangskaart van de gebruiker, in het bijzonder een smart card.7. Printer device as claimed in one or more of the foregoing claims, characterized in that the communication means comprise a card reader for reading an electronic access card of the user, in particular a smart card. 8. Printerinrichting volgens één of meer der voorgaande conclusies, met het kenmerk dat de communicatiemiddelen een module voor draadloze gegevensoverdracht omvatten op basis van Near Field Communicatie (NFC), Wifi of Bluetooth of een vergelijkbaar standaard protocol voor draadioze communicatie.8. Printer device as claimed in one or more of the foregoing claims, characterized in that the communication means comprise a module for wireless data transfer based on Near Field Communication (NFC), Wifi or Bluetooth or a comparable standard protocol for wireless communication. 9. Printerinrichting volgens conclusie 8, met het kenmerk dat het persoonlijke toegangsmiddel een intelligente persoonlijke telecommunicatie-inrichting van de gebruiker omvat, in het bijzonder een smart phone, en dat de decryptie-middelen in staat en ingericht zijn om een multi-factor authenticatie met de persoonlijke telecommunicatie-inrichting van de gebruiker uit te voeren.9. Printer device according to claim 8, characterized in that the personal access means comprises an intelligent personal telecommunication device of the user, in particular a smart phone, and that the decryption means are able and arranged to perform a multi-factor authentication with to run the user's personal telecommunication device. 10. Printerinrichting volgens één of meer der voorgaande conclusies, met het kenmerk dat de printerinrichting deel uitmaakt van een groep printerinrichtingen die ieder voor zich met een gemeenschappelijke decryptie-server zijn gekoppeld, althans verbindbaar zijn, welke de decryptie-middelen verschaft.10. Printer device as claimed in one or more of the foregoing claims, characterized in that the printer device forms part of a group of printer devices, each of which is coupled, at least connectable, to a common decryption server, which provides the decryption means. 11. Decryptie-inrichting die in staat en ingericht is om met één of meer printerinrichtingen volgens één of meer der voorgaande conclusies samen te werken om van een printerinrichting een met een encryptie-sleutel cryptografisch versleuteld toegangsbericht te ontvangen, omvattende decryptie-middelen met een decryptie-sleutel die met de encryptie-sleutel is geassocieerd, welke de decryptie-middelen in staat stelt om het versleutelde toegangsbericht te decoderen en daaruit een daarin versleutelde unieke verzoekidentificatie te extraheren, en dat de decryptie-middelen in staat en ingericht zijn om een toegangsverzoek in het toegangsbericht gebruikmakend van de unieke verzoekidentificatie te verifiëren en te valideren en al of niet voorwaardelijk een verificatieresultaat aan de printerinrichting af te geven.11. Decryption device capable of and arranged to cooperate with one or more printer devices according to one or more of the preceding claims in order to receive from a printer device an access message cryptographically encrypted with an encryption key, comprising decryption means with a decryption key. key associated with the encryption key, which enables the decryption means to decrypt the encrypted access message and extract therefrom a unique request identifier encrypted therein, and that the decryption means is able and arranged to process an access request in to verify and validate the access message using the unique request identification and to conditionally or not issue a verification result to the printer device. 12. Toegangsinrichting voor een printerinrichting, omvattende communicatiemiddelen omvatten die in staat en ingericht zijn om een toegangsverzoek van een persoonlijk toegangsmiddel van de gebruiker te ontvangen, identificatiemiddelen die in staat en ingericht zijn om een unieke verzoekidentificatie bij het toegangsverzoek te genereren, encryptie- middelen met een encryptie-sleutel die in staat en ingericht zijn om het toegangsverzoek tezamen met de unieke verzoekidentificatie cryptografisch tot een cryptografisch versleuteld toegangsbericht te coderen, en omvattende een uitgang waaraan het cryptografisch versleutelde toegangsbericht afneembaar is.12. Access device for a printer device, comprising communication means capable and arranged to receive an access request from a user's personal access means, identifiers capable and arranged to generate a unique request identifier with the access request, encryption means having an encryption key capable of and adapted to cryptographically encode the access request together with the unique request identifier into a cryptographically encrypted access message, and comprising an output from which the cryptographically encrypted access message is detachable. 13. Toegangsinrichting volgens conclusie 12, met het kenmerk dat de identificatiemiddelen een teller omvatten die in staat en ingericht is om een zich ophogende rangorde bij het toegangsverzoek te genereren, in het bijzonder een aritmetische teller welke een telkens ophogend volgnummer bij het toegangsverzoek genereert, en dat de unieke identificatie een combinatie van de rangorde en een unieke toestelidentificatie van de toegangsinrichting omvat.13. Access device as claimed in claim 12, characterized in that the identification means comprise a counter which is able and arranged to generate an increasing ranking order for the access request, in particular an arithmetic counter which generates an increasing sequence number for the access request, and that the unique identifier comprises a combination of the ranking and a unique device identifier of the access device. 14. Toegangsinrichting volgens conclusie 12 of 13, met het kenmerk dat de communicatiemiddelen in staat en ingericht zijn voor contactloze gegevensoverdracht met het persoonlijke toegangsmiddel van de gebruiker. 14. Access device as claimed in claim 12 or 13, characterized in that the communication means are capable of and arranged for contactless data transfer with the user's personal access means. 15, Toegangsinrichting volgens conclusie 12, 13 of 14, met het kenmerk dat de communicatiemiddelen een kaartlezer omvatten voor uitlezing van een elektronische toegangskaart van de gebruiker, in het bijzonder een smart card.Access device as claimed in claim 12, 13 or 14, characterized in that the communication means comprise a card reader for reading an electronic access card of the user, in particular a smart card. 16. Toegangsinrichting volgens conclusie 12, 13, 14 of 15 met het kenmerk dat de communicatiemiddelen een module voor draadloze gegevensoverdracht omvatten op basis van Near Field Transmissie (NFT}, Wifi of Bluetooth of een vergelijkbaar standaard protocol voor draadloze communicatie.16. Access device as claimed in claim 12, 13, 14 or 15, characterized in that the communication means comprise a module for wireless data transfer based on Near Field Transmission (NFT}, Wifi or Bluetooth or a comparable standard protocol for wireless communication. 17. Toegangsinrichting volgens conclusie 16, met het kenmerk dat het persoonlijke toegangsmiddel een intelligente persoonlijke telecommunicatie-inrichting van de gebruiker omvat, in het bijzonder een smart phone.17. Access device as claimed in claim 16, characterized in that the personal access means comprises an intelligent personal telecommunication device of the user, in particular a smart phone.
NL2029184A 2021-09-14 2021-09-14 Printer device, decryption device and access device NL2029184B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
NL2029184A NL2029184B1 (en) 2021-09-14 2021-09-14 Printer device, decryption device and access device
PCT/IB2022/058656 WO2023042089A1 (en) 2021-09-14 2022-09-14 Printer device, decryption device and access device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
NL2029184A NL2029184B1 (en) 2021-09-14 2021-09-14 Printer device, decryption device and access device

Publications (1)

Publication Number Publication Date
NL2029184B1 true NL2029184B1 (en) 2023-03-23

Family

ID=77911105

Family Applications (1)

Application Number Title Priority Date Filing Date
NL2029184A NL2029184B1 (en) 2021-09-14 2021-09-14 Printer device, decryption device and access device

Country Status (2)

Country Link
NL (1) NL2029184B1 (en)
WO (1) WO2023042089A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140168687A1 (en) * 2012-12-18 2014-06-19 Samsung Electronics Co., Ltd Image forming apparatus supporting near field communication (nfc) function and method of performing authentication of nfc device thereof
US20150212761A1 (en) * 2014-01-29 2015-07-30 Ricoh Company, Ltd. Output system, output method, and program
US20200272377A1 (en) * 2017-09-11 2020-08-27 Videojet Technologies Inc. Method and apparatus for securing peripheral devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140168687A1 (en) * 2012-12-18 2014-06-19 Samsung Electronics Co., Ltd Image forming apparatus supporting near field communication (nfc) function and method of performing authentication of nfc device thereof
US20150212761A1 (en) * 2014-01-29 2015-07-30 Ricoh Company, Ltd. Output system, output method, and program
US20200272377A1 (en) * 2017-09-11 2020-08-27 Videojet Technologies Inc. Method and apparatus for securing peripheral devices

Also Published As

Publication number Publication date
WO2023042089A1 (en) 2023-03-23

Similar Documents

Publication Publication Date Title
US10516538B2 (en) System and method for digitally signing documents using biometric data in a blockchain or PKI
ES2456815T3 (en) User authentication procedures in data processing systems
US9338163B2 (en) Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method
CN1689297B (en) Method of preventing unauthorized distribution and use of electronic keys using a key seed
TWI497336B (en) Data security devices and computer program
US7502467B2 (en) System and method for authentication seed distribution
KR102177848B1 (en) Method and system for verifying an access request
KR20180129027A (en) Authentification methods and system based on programmable blockchain and one-id
CN107925581A (en) 1:N organism authentications, encryption, signature system
US20060195402A1 (en) Secure data transmission using undiscoverable or black data
EP4046325B1 (en) Digital signature generation using a cold wallet
US20070101410A1 (en) Method and system using one-time pad data to evidence the possession of a particular attribute
CN101103358A (en) Security code production method and methods of using the same, and programmable device therefor
JP2009510644A (en) Method and configuration for secure authentication
CN101860528A (en) Authenticating device, authentication method and program
US8050411B2 (en) Method of managing one-time pad data and device implementing this method
CN109600296A (en) A kind of certificate chain instant communicating system and its application method
CN101652782A (en) Communication terminal device, communication device, electronic card, method for a communication terminal device and method for a communication device for providing a verification
US7587051B2 (en) System and method for securing information, including a system and method for setting up a correspondent pairing
GB2430850A (en) Using One-Time Pad (OTP) data to evidence the possession of a particular attribute
CN107682156A (en) A kind of encryption communication method and device based on SM9 algorithms
NL2029184B1 (en) Printer device, decryption device and access device
CN107409043B (en) Distributed processing of products based on centrally encrypted stored data
NL2029185B1 (en) Issuing device, decryption device and access device
US8953804B2 (en) Method for establishing a secure communication channel