网络安全打印系统及打印方法.pdf

网络安全打印系统及打印方法
    【技术领域】

    本发明属于网络通信技术领域，涉及网络打印安全系统的构建，用于网络打印。

    背景技术

    随着网络技术的不断发展，人们在通过网络打印机获得极大方便的同时，也面临着更为严峻的安全问题。传统的网络打印机作为独立成员接入网络有两种基本方式：一种是通过打印机内置的打印服务器，打印服务器上有网络接口，只需给网络打印机分配IP地址即可；另一种是打印机通过外置的打印服务器，将打印机与打印服务器连接，打印服务器再与网络连接。无论采用哪种连接方式，这种传统的打印方式存在很大的安全隐患，特别是对那些数据保密性敏感的单位，例如，航天系统、军事部门和高科技机构中，都拥有大量的极端重要的信息。在巨大利益的诱惑下，很可能有人被他们收买提供所在机构的机密信息。因为采用这种打印方式的数据未经加密就直接在局域网中传输，所以不法分子会在网络传输的过程中对数据进行恶意截取，这样就能窃取到用户想要打印的数据。由此引发的后果不堪设想，这就使研究人员面临严峻挑战，即如何保证网络打印机的打印数据在传输过程中保持安全性。

    目前，对网络打印机的数据构成威胁的攻击方式主要有以下几种：

    1.线路窃听：入侵者经常采用并且很难被发现的攻击手段，主要目的是非法窃取用户的打印数据，它是针对网络信息的保密性而采取的攻击手段。

    2.非法截获：通过对在网络上传输的打印文件进行非法截获，来阻止通信数据的正常传输，达到破坏目的，它是针对网络信息的可用性而采取的攻击手段。

    3.非法修改：这种攻击手段通过中断数据信号，达到修改数据的目的，然后再将数据重新发送到其原来信宿的过程，它是针对网络信息的完整性而采取的攻击手段。

    4.伪造欺骗：不法分子通过伪造或更改打印数据包和IP地址，利用主机和网络打印机间的信任关系，假冒合法用户或系统的可信主机，达到欺骗目的。伪造欺骗主要是针对网络信息的真实性而采取的攻击手段。

    5.重发攻击：不法分子截获某一次合法的打印数据包，通过数据包复制，再发送到原来的网络系统中，使得打印机耗费大量的资源来处理这些拷贝，而影响正常的工作。

    以上这些攻击方式都会给网络打印机的使用带来很大的安全隐患，造成打印信息泄露、打印机响应速度变慢、无法处理打印数据等问题，严重时会造成网络打印机瘫痪而无法正常工作。

    目前，国内外维护网络安全的机制主要有：访问控制机制、身份鉴别机制、加密机制和病毒防护机制。

    针对以上各种机制的典型安全措施主要包括防火墙、入侵检测、加密技术、病毒防护、与外部的传输加密以及网络内部的信息安全控制等。

    但是对于网络打印机安全性的研究大多是基于保护PC主机和网络系统的安全，而对于网络打印机来说，它作为局域网中的网络节点有其特殊性——抵御攻击的能力很弱，因而这些安全防护技术往往不能直接应用于网络打印机的安全系统中。

    综上所述，网络打印机主要存在两种安全隐患，一是打印数据在网络传输过程中的数据泄漏；二是打印机作为网络节点在局域网中容易受到不法分子的恶意攻击。

    【发明内容】

    本发明的目的是针对网络打印机存在的问题，提出网络打印安全系统及打印方法，以防止打印数据在网络传输过程中地数据泄漏，避免不法分子的恶意攻击。

    为实现上述目的，本发明提供的网络安全打印系统包括：

    普通的网络打印机，作为一个普通的网络终端节点连接在局域网中，用于实现基本的网络打印功能；

    网络打印机驱动器，安装在普通客户端系统中，用于驱动网络打印机实现基本网络打印功能；

    客户端驱动器，安装在普通客户端系统中，用于对客户端用户身份进行认证，以及对用户发往网络打印机的数据包进行捕获和加密操作；

    嵌入式防火墙平台，连接在局域网与网络打印机之间，用于捕获用户发往网络打印机的数据包和对数据包进行解密操作，转发到网络打印机进行打印，同时通过内设的防火墙规则抵御常见的网络攻击。

    所述的客户端驱动器，包括：用户身份认证模块，数据包捕获模块和数据包加密模块，用户身份认证模块对网络打印机的访问权限进行限制，数据包捕获模块捕获用户发送到网络的所有数据包，并对数据包进行解析操作，将用户发往网络打印机的数据包发送到数据包加密模块进行加密，加密完成后，将加密后的数据包发送到网络上进行传输。

    所述的嵌入式防火墙平台包括：数据包捕获模块，数据包解密模块和防火墙模块，该数据包捕获模块捕获网络上传输的所有数据包并进行解析操作，将用户发往网络打印机的数据包发送到防火墙模块进行数据包过滤，经防火墙模块过滤后，将过滤后的数据包发送到数据包解密模块进行解密，将解密后的数据包发送到网络打印机进行打印。

    为实现上述目的，本发明提供的网络安全打印方法，包括如下步骤：

    (1)用户登录客户端驱动器，在用户身份认证模块中输入用户名和用户密码；

    (2)用户身份认证模块将用户输入的用户名和用户密码与用户身份认证模块存储的用户名和用户密码进行比对：如果比对结果相同，则认证成功，发送认证成功指令到客户端数据包捕获模块，执行步骤(3)；如果比对结果不相同，则认证失败，提示用户重新输入用户名和用户密码；

    (3)身份认证成功后，用户发送自定义打印密钥包到网络打印机；

    (4)客户端数据包捕获模块收到认证成功指令后，捕获用户发往网络打印机的密钥包，将密钥包内容进行复制存储，作为客户端数据包加密模块的加密密钥，在密钥包包头添加密钥包标志并发送到网络上；

    (5)嵌入式防火墙平台数据包捕获模块捕获带有密钥包标志的数据包，将该密钥包内容进行复制存储，作为数据包解密模块的解密密钥；

    (6)用户发送普通打印数据包给网络打印机；

    (7)客户端数据包捕获模块捕获用户发出的普通的打印数据包，对数据包进行解析，将发往网络打印机的数据包发送到客户端数据包加密模块；

    (8)客户端数据包加密模块对用户发往网络打印机的数据包，采用数据包加密模块的加密密钥进行加密，将加密后的数据包发送给网络打印机；

    (9)嵌入式防火墙平台的数据包捕获模块捕获网络上传输的网络数据包，并对数据包进行解析，将发往网络打印机的数据包发送到防火墙模块；

    (10)防火墙模块对发往网络打印机的数据包进行防火墙过滤规则过滤，将过滤后的数据包发送到数据包解密模块；

    (11)数据包解密模块对数据包进行解密操作，将解密后的数据包发送到网络打印机进行打印。

    所述的防火墙规则，是指对常见的网络Dos攻击数据包进行过滤，包括：synflood洪水攻击，land攻击，icmp攻击，ping of death攻击，网络端口嗅探攻击以及网络打印机对局域网内部攻击。

    与现有的网络打印安全方法比较，本发明具有如下优点：

    1.本发明由于采用客户端驱动器，对用户访问网络打印机的权限进行限制，防止了非法用户对网络打印机的访问；并通过对用户发往网络打印机的数据包进行加密，保证了网络数据包以密文形式在网络上进行传输，防止了非法监听和窃取；

    2.本发明由于采用嵌入式防火墙平台，弥补了网络打印机作为终端节点不能安装防火墙软件的缺陷，通过防火墙规则的设置有效的抵御了常见的网络攻击，对网络打印机进行了很好的保护；

    3.本发明从网络打印源头，传输线路和打印终端分别采取了安全保措施，系统功能完善，并且无需改动现有的网络构架，不需要修改任何协议栈，使用方便，成本较低，可扩展性较强。

    【附图说明】

    图1是本发明系统整体结构示意图；

    图2是本发明客户端驱动器的结构示意图；

    图3是本发明嵌入式防火墙平台结构示意图；

    图4是本发明的安全打印流程图；

    图5是本发明的测试环境图。

    【具体实施方式】

    以下结合附图，对本发明作进一步详细描述。

    参照图1，本发明的网络安全打印系统，主要由一台普通的网络打印机，网络打印机驱动器，客户端驱动器和嵌入式防火墙平台组成；普通的网络打印机作为一个普通的网络终端节点连接在局域网中，用于实现基本的网络打印功能；网络打印机驱动器，安装在客户端系统中，用于驱动网络打印机，实现基本网络打印功能；客户端驱动器安装在客户端系统中，用于对用户身份进行认证，以及对用户发往网络打印机的数据包进行捕获和加密操作，该客户端驱动器的结构如图2所示，它包括用户身份认证模块，数据包捕获模块和数据包解密模块。其中，用户身份认证模块对网络打印机的访问权限进行限制；数据包捕获模块捕获用户发送的数据包，并对数据包进行解析操作；数据包加密模块将用户发往网络打印机的数据包进行加密并将加密后的数据包发送到网络上进行传输；嵌入式防火墙平台，连接在局域网与网络打印机之间，捕获用户发往网络打印机的数据包并对数据包进行解密操作，同时通过防火墙规则过滤常见的网络攻击数据包，该嵌入式防火墙平台结构如图3所示，它包括数据包捕获模块，防火墙模块和数据包解密模块，数据包捕获模块对用户发往网络打印机的数据包进行捕获并解析；防火墙模块过滤常见的网络攻击数据包；解密模块对防火墙模块过滤后的数据包进行解密操作，将解密后的数据包发送到网络打印机进行打印。

    参照图4，本发明的打印流程是，用户登录客户端驱动器，在用户身份认证模块中输入用户名和用户密码，用户身份认证模块将用户输入的用户名和用户密码与用户身份认证模块存储的用户名和用户密码进行比对：如果比对结果相同，则认证成功，发送认证成功指令到客户端数据包捕获模块；如果比对结果不相同，则认证失败，提示用户重新输入用户名和用户密码；身份认证成功后，用户向网络打印机发送自定义打印密钥包，客户端捕获用户发往网络打印机的密钥包，将密钥包内容进行复制存储，作为客户端数据包加密模块的加密密钥，在密钥包包头添加密钥包标志并发送到网络上，嵌入式防火墙平台捕获带有密钥包标志的数据包，将密钥包内容进行复制存储，作为数据包解密模块的解密密钥；用户发送普通打印数据包给网络打印机，客户端驱动器捕获用户发送的普通打印数据包，将发往网络打印机的数据包发送到数据包加密模块，数据包加密模块对普通打印数据包进行加密操作，将加密的数据包发送到网络上；嵌入式防火墙平台捕获网络上传输的网络数据包并对数据包进行解析，将发往网络打印机的数据包发送到防火墙模块，防火墙模块对发往网络打印机的数据包进行防火墙规则过滤，将过滤后的数据包发送到数据包解密模块：数据包解密模块对数据包进行解密操作，将解密后的数据包发送给网络打印机进行打印。

    本发明的效果可通过以下测试进一步说明：

    1)测试环境

    本发明在实验室局域网测试的环境如图5所示，网络中各部件包括：普通用户PC机A，普通用户PC机B，监听PC机C，攻击方PC机，网络打印机，嵌入式防火墙平台，集线器。这些部件通过集线器进行连接，其中普通用户PC机A和普通用户PC机B上安装网络打印机驱动器和客户端驱动器。

    2)测试方法是，普通用户PC机A和普通用户PC机B发送打印数据包给网络打印机，同时攻击方PC机发送网络攻击数据包给网络打印机，监听PC机C对网络上的数据包进行监听，嵌入式防火墙平台对攻击方PC机发送的网络攻击数据包进行过滤。

    3)测试结果如表1

    表1嵌入式防火墙平台抵御网络攻击能力

    从表1可见，本发明嵌入式防火墙平台防火墙规则的设置有效的抵御了常见的网络攻击，对网络打印机进行了很好的保护效果。