在网络打印机中使用鉴别协议的数据安全打印方法和系统 该申请要求于2004年1月2日在韩国知识产权局公开的韩国专利申请No.2004-54的优先权,在这里全文引用该申请公开的内容。
【技术领域】
本发明的总体发明构思涉及在网络打印机中生成随机端口和发送数据的方法和系统,尤其是涉及数据安全打印方法和数据安全打印系统,其在网络环境下可以通过使用一种鉴别协议随机指定在打印驱动器和固件之间发送打印数据的一个端口来阻止单向密码破解(强力攻击)并发送打印机数据。
背景技术
图1是说明传统的安全打印系统的框图,其中系统包括终端100和网络打印机110。终端100包括数据处理单元101、控制单元102,及发送和接收单元103,并且网络打印机110包括鉴别处理单元及ID和密码存储单元111、控制单元112、发送和接收单元113,以及打印单元114。
参考图1,发送和接收单元103将与图2所示相同的、包括鉴别内容的数据发送到网络打印机110。
数据处理单元101处理打印机数据和鉴别内容,从而生成发送数据。
控制单元102允许数据处理单元101处理通过终端100的应用程序准备的文件,并且允许将该文件发送给发送和接收单元103。
另一方面,在网络打印机110中,发送和接收单元113从终端100接收包括鉴别内容的发送数据。
鉴别处理单元及ID和密码存储单元111从自终端100接收的发送数据中提取鉴别内容,将该鉴别内容与存储的ID和密码进行比较,并将鉴别的结果发送给控制单元112。
控制单元112从鉴别处理单元及ID和密码存储单元111接收鉴别结果,确定是否应当执行发送数据的打印,并将待打印的数据发送给打印单元114或者依照鉴别结果废除发送数据。
打印单元114从控制单元112中接收待打印的数据,将该数据转换为二进制数据,并打印该数据。
图2是说明传统的安全打印数据格式的图表,其中数据格式包括含有目的IP的IP头部分和打印机数据。同时,打印机数据具有包括经打印机作业语言(PJL)处理的用户ID和密码的头部分以及包括待打印数据的主体部分。
网络打印机110从图2所示地打印机数据的头部分中提取用户ID和密码,将来自于头部分的用户ID和密码与存储在网络打印机110的鉴别处理单元及ID和密码存储单元111中的用户ID和密码进行比较,并确定两者是否相一致。
在如上所述的传统安全打印系统中,用户ID和密码可以经由单向密码破解(强力攻击)而被盗取,并且也会受到拒绝服务攻击。
【发明内容】
本发明的总体构思提供了一种数据安全打印方法和数据安全打印系统,其可以仅在使用打印机时通过使用一种鉴别协议随机指定在打印驱动器和固件之间发送打印数据的一个端口来阻止单向密码破解(强力攻击)并发送打印机数据。
本发明总体构思的附加方面和优点将在后续的描述中部分地阐明,在某种程度上,通过描述其将是显而易见的,或者可以通过该发明构思的实施来进行了解。
通过提供使用鉴别协议的数据安全打印系统来实现本发明总体构思的前述和/或其它的方面和优点,该系统包含用于通过使用鉴别协议形成的临时数据通道将待打印的数据发送给网络打印机的终端以及网络打印机,其中该终端将用于用户鉴别的协议帧发送给网络打印机,并将数据通过因用户鉴别而形成的临时数据通道发送给网络打印机;并且其中网络打印机从该终端接收协议帧,执行用户鉴别,通过因用户鉴别而形成的临时数据通道从终端接收数据,并且打印接收的数据。
该终端可以包括:加密处理单元,其为用户鉴别生成通过使用预定的方法对用户ID和密码进行加密而获得的加密码;鉴别协议处理单元,其将包括加密码的协议帧发送给网络打印机;数据发送单元,其将数据通过因用户鉴别而形成的临时数据通道发送给网络打印机;以及控制单元,其控制所有的单元。
控制单元可以允许加密处理单元生成用于用户鉴别的加密码,允许鉴别协议处理单元将包括生成的加密码的协议帧发送给网络打印机,并允许数据发送单元将待打印的数据通过因用户鉴别而形成的临时数据通道发送给网络打印机。
网络打印机可以包括:ID和密码存储单元,其存储用户ID和密码;加密处理单元,其生成通过使用预定的方法对存储的用户ID和密码进行加密而获得的加密码,通过将生成的加密码与从自终端发送来的协议帧中提取的加密码进行比较来执行用户鉴别,并加密网络端口以发送数据;鉴别协议处理单元,其为用户鉴别从终端中接收协议帧,发送该协议帧到加密处理单元,从加密处理单元接收该加密的网络端口,并发送该加密的网络端口给该终端;数据接收单元,其通过因用户鉴别而形成的临时数据通道接收数据;打印单元,其将接收的数据转换为可打印的数据并打印该转换后的数据;以及控制单元,其控制所有的单元。
控制单元可以允许加密处理单元从由鉴别协议处理单元接收的协议帧中提取加密码以及执行用户鉴别,允许加密处理单元使用作为加密密钥的加密码来加密网络端口以便当完成用户鉴别时形成临时数据通道,并且允许鉴别协议处理单元将加密的网络端口发送给终端。
通过提供经使用鉴别协议形成的临时数据通道从终端接收数据并打印接收的数据的网络打印机,也可能实现本发明总体构思的前述和/或其它方面和优点,该网络打印机包括:ID和密码存储单元,其存储用户ID和密码;加密处理单元,其生成通过使用预定的方法对存储的用户ID和密码进行加密而获得的加密码,通过将生成的加密码与从自终端发送来的协议帧中提取的加密码来执行用户鉴别,并加密网络端口以发送数据;鉴别协议处理单元,其为用户鉴别从终端接收协议帧,发送该协议帧到加密处理单元,从加密处理单元接收该加密的网络端口,并发送该加密的网络端口给该终端;数据接收单元,其通过因用户鉴别而形成的临时数据通道接收数据;打印单元,其将接收的数据转换为可打印的数据并打印该转换后的数据;以及控制单元,其控制所有的单元。
控制单元可以允许加密处理单元从由鉴别协议处理单元接收的协议帧中提取加密码以及执行用户鉴别,允许加密处理单元使用作为加密密钥的加密码加密网络端口以便当完成用户鉴别时形成临时数据通道,并且允许鉴别协议处理单元将加密的网络端口发送给终端。
通过提供使用鉴别协议的数据安全打印系统的数据安全打印方法也可以实现本发明总体构思的前述和/或其它方面和优点,该系统包含用于通过使用鉴别协议形成的临时数据通道将待打印的数据发送给网络打印机的终端以及网络打印机,该方法包括:使用鉴别协议请求通往网络打印机的网络端口并执行用户鉴别以形成临时数据通道;以及通过所形成的临时数据通道将待打印的数据发送给网络打印机。
请求操作可以包括以下操作:确定用户是否被识别;以及确定加密码是否被识别。
确定操作可以包括以下操作:发送包括用户ID的第一协议帧给网络打印机;通过将存储在网络打印机中的用户ID与包括在发送给网络打印机的第一协议帧中的用户ID进行比较来确定用户是否被识别;以及当在发送第二协议帧的操作中确定用户被识别时,将第二协议帧发送给终端以便请求第一加密码。
确定是否识别加密码的操作可以包括以下操作:将包括第一加密码的第三协议帧发送给网络打印机;并且发送包括通过加密网络端口而获得的第二加密码的第四协议帧。
可以通过对用MD5算法处理用户ID而获得的128比特码和用MD5算法处理密码而获得的128比特码执行XOR运算而生成第一加密码。
发送第四协议帧的操作可以包括以下操作:从第三协议帧中提取第一加密码;确定使用存储在网络打印机中的用户ID和密码生成的第二加密码是否与第一加密码一致;并当确定第二加密码与第一加密码一致时,将包括对网络端口进行加密而获得的第三加密码的第四协议帧发送给终端。
可以通过对用MD5算法处理存储在网络打印机中的用户ID而获得的128比特码和用MD5算法处理存储在网络打印机中的密码而获得的128比特码执行XOR运算而生成第二加密码。
在通过形成的临时数据通道将待打印的数据发送给网络打印机的操作中,数据可以包括打印机数据且其中打印机数据可以在其头部分包括第三加密码。
可以通过使用第一加密码或者第二加密码作为加密密钥对网络端口进行加密来生成第三加密码。
如上所述,通过使用鉴别协议随机地指定一个在打印机驱动器和使用鉴别协议的固件之间发送打印机数据的端口,并且然后发送打印数据进行,可能防止单向密码破解(强力攻击)。
【附图说明】
从下面结合附图实施例的描述,本发明总体构思的这些和/或其它的方面将变得明显和更加容易理解。图中:
图1是说明传统的安全打印系统的框图;
图2是说明传统的安全打印数据格式的图表;
图3是说明根据本发明总体构思的实施例的安全打印系统的框图;
图4是说明根据本发明总体构思的实施例的鉴别协议程序的图表;
图5是说明根据本发明总体构思的实施例的协议类型的表格;
图6是说明根据本发明总体构思的实施例的协议帧的基本格式的图表;
图7是说明根据本发明总体构思的实施例的网络端口请求协议帧(第一协议帧)的图表;
图8是说明根据本发明总体构思的实施例的加密码请求协议(第二协议帧)的图表;
图9是说明根据本发明总体构思的实施例的加密码发送协议帧(第三协议帧)的图表;
图10是说明根据本发明总体构思的实施例的网络端口发送协议帧(第四协议帧)的图表;
图11是说明根据本发明总体构思的实施例的生成加密的128比特码的方法的图表;
图12是说明根据本发明总体构思的实施例的加密和解密网络端口的方法的图表;
图13是说明根据本发明总体构思的实施例的发送给网络打印机的数据的格式图表;
图14是说明根据本发明总体构思的实施例的鉴别程序的图表;
图15是详细说明图14的操作S100的图表;
图16是详细说明图15的操作S200的图表;以及
图17是详细说明图15的操作S210的图表。
【具体实施方式】
下面,将参考附图详细描述根据本发明总体构思的数据安全打印方法和数据安全打印系统的示例性的实施例。附图中相同的参考数字表示相同的元素,并将因此将省略关于它们的描述。但是,本发明总体构思可以以不同的形式实施,且对其的解释不应局限于在此提出的实施例中;相反地,提供这些实施例以便公开得更为透彻和完整,且将充分地为本领域技术人员传达本发明的总体构思。
图3是说明根据本发明构思的实施例的安全打印系统的框图,其中系统包括终端300和网络打印机310。终端300包括加密处理单元301、控制单元302、鉴别协议处理单元303和数据发送单元304。网络打印机310包括加密处理单元311、控制单元312、鉴别协议处理单元313、数据接收单元314、ID和密码存储单元315以及打印单元316。通道320总是连接在终端300和网络打印机310之间,且为用户鉴别指示一条交换鉴别协议帧的永久路径。通道330指示在用户鉴别完成之后、发送待打印的数据之时形成的临时数据通道(TDP),且当数据发送完成时关闭该通道330。
参考图3,在终端300中,通过使用与图11所示相同的方法(将在后面详细描述),为了用户鉴别的目的,加密处理单元301在控制单元302的控制之下将用户ID和密码转换为128比特的加密码。
控制单元302为了用户鉴别的目的,允许加密处理单元301生成通过对用户ID和密码进行加密而获得的加密码,允许鉴别协议处理单元303将包括生成的加密码的协议帧发送给网络打印机310,并且允许数据发送单元304将该待打印的数据通过因用户鉴别而形成的临时数据通道330发送给网络打印机310。
鉴别协议处理单元303与网络打印机310的鉴别协议处理单元313进行通信,并且形成将待打印的数据发送给网络打印机310的临时数据通道330。
数据发送单元304将待被实际打印的数据通过符合用户鉴别的临时数据通道330发送给网络打印机310。
然后,在网络打印机310中,加密处理单元311读出存储在加密处理单元311中的用户ID和密码,使用与图11所示相同的方法对该用户ID和密码进行加密,并且由此生成加密码。以这种方式生成的加密码被用于鉴别。也就是,将加密码与由终端300使用类似方法加密的加密码进行比较,以此执行用户鉴别。
控制单元312允许加密处理单元311从由鉴别协议处理单元313接收的协议帧中提取加密码,并执行用户鉴别,且当完成用户鉴别时,允许鉴别协议处理单元313使用加密码作为加密密钥来对网络端口进行加密,以此生成临时数据通道330,并将加密的网络端口发送给终端300。
鉴别协议处理单元313与终端300的鉴别协议处理单元303进行通信,并生成临时数据通道330以接收待打印的数据。
数据接收单元314通过临时数据通道330从终端300接收待被实际打印的数据。
ID和密码存储单元315存储用户ID和密码。
打印单元316在控制单元312的控制之下将接收的数据转换为二进制数据,从而加打机引擎(未示出)打印经转换处理的数据。
图4是说明根据本发明构思的实施例的鉴别协议程序的图表,其中当待打印的数据存在于终端300中时执行图4所示的鉴别程序。
图5是说明根据本发明构思的实施例的协议类型的表格,图6是说明根据本发明构思的实施例的协议帧的基本格式的图表,图7是说明根据本发明构思的实施例的网络端口请求协议帧(第一协议帧)的图表,图8是说明根据本发明构思的实施例的加密码请求协议(第二协议帧)的图表,图9是说明根据本发明构思的实施例的加密码发送协议帧(第三协议帧)的图表,图10是说明根据本发明构思的实施例的网络端口发送协议帧(第四协议帧)的图表。
首先,为了用户鉴别而待交换的协议帧的基本格式是与图6所示相同的,并且其包括协议类型、用户ID、128比特加密码以及有效载荷。这里,有效载荷指的是将被实际发送的数据。
参考图4至10,鉴别协议处理单元303请求网络端口,通过该网络端口数据可以被发送给网络打印机310(操作400)。
在该情况下,待被发送给网络打印机310的协议帧的格式与图7所示的是相同的,并且其包括指示发送端口请求的ID 0x101和用户ID。
也就是,参考图5的表格,控制单元302填充协议类型和用户ID,并且允许鉴别协议处理单元303将协议帧发送给网络打印机310。
当网络打印机310接收与图7所示相同的协议帧时,在第一鉴别步骤,加密处理单元311确定在ID和密码存储单元315中是否存在用户ID。当确定存在用户ID时,将请求与图8所示相同的加密码的协议帧发送给终端300(操作401)。根据5所示的图表,通过对作为Ack类型的0x1000和作为加密码请求ID的0x102执行OR运算来生成图8所示的协议类型。当确定在ID和密码存储单元315中不存在用户ID时,网络打印机不开放网络端口。
当终端300接收图8所示的加密码请求协议帧时,加密处理单元301在控制单元302的控制之下,使用与图11所示相同的方法来对用户ID和密码进行加密。填充了128比特加密码的协议帧在图9中示出。图9中示出的协议类型是根据图5所示的图表、通过对作为Ack类型的0x1000和作为加密码的0x104执行OR运算而生成的,且用户ID和128比特加密码被加入进去并且随后被发送。
当网络打印机310接收图9中示出的协议帧时,加密处理单元311在控制单元312的控制之下,使用与图11所示相同的方法从存储在ID和密码存储单元315的用户ID和密码中生成128比特的加密码。将生成的128比特的加密码与由终端300发送来的128比特加密码进行比较,并执行用户鉴别。
由于用户鉴别,当两个加密码相互不一致时,关闭并初始化协议会话。但是,当这两个相互一致并且通过用户鉴别时,随机生成一个端口(UDP端口或者TCP端口),对所形成的网络端口进行加密,并且将与图10所示相同的协议帧发送给终端300。
当终端300接收图10所示的协议帧时,如图12所示,解密网络端口,并将图13所示的数据通过解密的网络端口发送给网络打印机310。
图11是说明根据本发明构思的实施例为用户鉴别生成加密的128比特加密码的方法的图表,其中通过使用消息摘要5(MD5)的方法处理用户ID和密码来生成用于用户鉴别的128比特加密码,以此生成128比特码,并且继而对该128比特码执行XOR运算。
图12是说明根据本发明构思的实施例的加密和解密网络端口的方法的图表,其意味着将作为网络端口的原始数据加密为加密数据或者反过来解密。这里,在图11中获得的经过加密的128比特加密码被用作加密密钥。
图13是说明根据本发明构思的实施例的待发送给网络打印机的数据的格式图表,其中数据格式包括头部,诸如目的IP、源IP、TCP或者UDP、目的端口以及源端口和打印机数据。在打印机数据中,在其头部分以打印机作业语言描述加密的用户ID和密码,并且在其主体部分中包括将要实际打印的数据。根据本发明构思的一个实施例,在打印机数据的头部分中包括使用图11所示的方法加密的128比特加密码。
图14是说明根据本发明构思的实施例的鉴别程序的图表,其中的鉴别程序包括鉴别操作S100和数据发送操作S110。参考图14,在鉴别操作S100中,在终端300和网络打印机310之间交换协议帧以便用户鉴别,以及在数据发送操作S110中,将图13所示的发送数据从终端300经由在鉴别操作S100中用户鉴别通过时所形成的临时数据通道发送给网络打印机310,并将其打印在打印纸上。
图15是详细说明图14的操作S100的图表,其中的操作S100包括第一鉴别操作S200和第二鉴别操作S210。
在第一鉴别操作S200中,执行使用用户ID的第一鉴别。图16是详细说明图15的操作S200的图表,其中操作S200包括第一协议帧发送操作S300、用户响应确定操作S310,和第二协议帧发送操作S320。
参考附图16将说明第一鉴别操作S200。
在第一协议帧发送操作S300中,通过永久通道(PP)320,将图7所示的包括用户ID的协议帧发送给网络打印机310。
在用户响应确定操作S310中,通过搜索ID和密码存储单元315和确定用户ID是否包括在图7所示的协议帧中来执行第一鉴别程序。
在第二协议帧发送操作S320中,当在步骤S310中通过了用户鉴别,Z则将图8示出的请求加密码的协议帧发送给终端300。
在第二鉴别操作S210中,执行使用用户ID和密码的第二鉴别。图17是详细说明图15的操作S210的图表,其中操作S210包括第三协议帧发送操作S400,第一加密码提取和比较操作S410,以及第四协议发送操作S420。
在第三协议帧发送操作S400中,将图9所示的协议帧通过永久通道(PP)320发送给网络打印机310。
在第一加密码提取和比较操作S410中,从第三协议帧中提取第一加密码,即加密的128比特码。进一步,使用图11所示的方法对存储在ID和密码存储单元315中的用户ID和密码进行加密,并从而生成128比特码。通过比较这两个码执行第二鉴别程序。
在第四协议发送操作S420中,当在步骤S410中通过第二鉴别时,如图12所示对网络端口进行加密,并将加密的网络端口与加密的128比特码一起发送给终端300。
已经接收第四协议帧的终端300使用如图12所示的作为加密密钥的128比特加密码来对该加密的网络端口进行解密,并通过网络端口发送图13所示的数据。
将由网络打印机310接收的数据通过打印单元316转换为二进制数据,并且随后通过打印机引擎将其打印在打印纸上。
虽然已经示出并描述了本发明总体构思的一些实施例,本领域的技术人员将会理解不脱离本发明总体构思的原则和精髓条件下的改变是可以的,本发明总体构思的范围将在附加的权利要求以及它们的等价物中限定。