一種基于智能密碼鑰匙的文件打印控制系統(tǒng)及其實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于文件打印控制領(lǐng)域,具體涉及一種基于智能密碼鑰匙的文件打印控制系統(tǒng)及其實(shí)現(xiàn)方法�����。
【背景技術(shù)】
[0002]近年來,隨著信息技術(shù)的飛速發(fā)展及保密形勢(shì)的日益嚴(yán)峻�����,絕大多數(shù)單位都對(duì)信息安全的建設(shè)十分重視�����,投入巨大�。但是對(duì)于日常行政控制、科研活動(dòng)中必然需要將很多電子信息文件打印成紙質(zhì)文件����,如果用戶的打印操作不受控制,任何人都可以直接連接打印機(jī)進(jìn)行打印的話�����,那么打印了多少文檔�,打印了什么內(nèi)容,都沒有審批和記錄�����,這種情況無疑是信息安全控制的極大漏洞���。
[0003]特別是在軍工�����、軍隊(duì)����、國(guó)防科研等涉密領(lǐng)域,對(duì)數(shù)據(jù)的導(dǎo)入���、導(dǎo)出�����、傳遞更需要有嚴(yán)格的控制制度和控制方法�����,即申請(qǐng)、審批����、輸出、回收的閉環(huán)控制��。針對(duì)紙介質(zhì)的監(jiān)控技術(shù)有“用于通用打印機(jī)的打印監(jiān)控系統(tǒng)及方法”(專利申請(qǐng)?zhí)?201310089232.4),該方法提供了一種虛擬打印技術(shù)���,來實(shí)現(xiàn)對(duì)打印的監(jiān)控過程���,其缺陷是缺乏回收的閉環(huán)控制過程;缺乏身份認(rèn)證系統(tǒng)����。即使目前已經(jīng)有的系統(tǒng)擁有身份認(rèn)證系統(tǒng),但是身份存在易偽造�����、易破解的風(fēng)險(xiǎn)����,急需得到改善。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供了一種基于智能密碼鑰匙的文件打印控制系統(tǒng)及其實(shí)現(xiàn)方法���,本發(fā)明解決了監(jiān)控過程中缺乏身份認(rèn)證和閉環(huán)的缺陷��,避免了文件打印過程中存在身份易偽造����、易破解的風(fēng)險(xiǎn),消除了可能存在的安全隱患�����,詳見下文描述:
[0005]一種基于智能密碼鑰匙的文件打印控制系統(tǒng)�,所述文件打印控制系統(tǒng)包括:打印機(jī)裝置,所述文件打印控制裝置還包括:第一智能密碼鑰匙����、第二智能密碼鑰匙、第三智能密碼鑰匙�����、打印控制客戶端����、打印監(jiān)控控制端、證書服務(wù)器����、與二維碼掃描裝置����;
[0006]所述打印控制客戶端與所述第一智能密碼鑰匙和所述打印機(jī)裝置相連�;所述打印監(jiān)控控制端與所述第二智能密碼鑰匙和所述二維碼掃描裝置相連��;
[0007]所述證書服務(wù)器與第三智能密碼鑰匙相連����;所述打印控制客戶端與所述打印監(jiān)控控制端和所述證書服務(wù)器通過網(wǎng)絡(luò)進(jìn)行通信。
[0008]所述第一智能密碼鑰匙包括:第一電源電路模塊�����、第一 USB通信電路模塊���、第一密碼芯片����、第一晶振電路和第一存儲(chǔ)電路模塊����;
[0009]所述第二智能密碼鑰匙包括:第二電源電路模塊、第二 USB通信電路模塊���、第二密碼芯片����、第二晶振電路和第二存儲(chǔ)電路模塊;
[0010]所述第三智能密碼鑰匙包括:第三電源電路模塊�����、第三USB通信電路模塊���、第三密碼芯片��、第三晶振電路和第三存儲(chǔ)電路模塊�。
[0011]其中���,所述打印控制客戶端包括:第一主控制器模塊��,
[0012]所述第一主控制器模塊連接第一 USB通信模塊����、打印控制模塊���、狀態(tài)監(jiān)控模塊�、第一日志控制模塊�����、第一網(wǎng)絡(luò)通信模塊和第一電源模塊���。
[0013]其中����,所述打印監(jiān)控控制端包括:第二主控制器模塊�����,
[0014]所述第二主控制器模塊連接第二 USB通信模塊�����、用戶控制模塊����、權(quán)限控制模塊、審批流程配置模塊�����、作業(yè)控制模塊��、第二日志控制模塊、第二網(wǎng)絡(luò)通信模塊和第二電源模塊�����。
[0015]其中����,所述證書服務(wù)器包括:第三主控制器模塊,
[0016]所述第三主控制器模塊連接第三USB通信模塊�����、證書控制模塊�����、身份認(rèn)證模塊�、第三日志控制模塊、第三網(wǎng)絡(luò)通信模塊和第三電源模塊����。
[0017]一種基于智能密碼鑰匙的文件打印控制系統(tǒng)的實(shí)現(xiàn)方法,所述方法包括:
[0018]1)第一智能密碼鑰匙����、第二智能密碼鑰匙的身份KEY證書下載的步驟�;
[0019]2)第一智能密碼鑰匙�����、第二智能密碼鑰匙與證書服務(wù)器之間的相互身份認(rèn)證的步驟�;
[0020]3)文件打印及回收的步驟�����。
[0021]所述第一智能密碼鑰匙����、第二智能密碼鑰匙的身份KEY證書下載的步驟具體為:
[0022]1)第一智能密碼鑰匙的身份KEY證書下載的步驟為:
[0023]當(dāng)身份認(rèn)證模塊驗(yàn)證用戶身份確認(rèn)信息正確時(shí),第三主控制器模塊從第三智能密碼鑰匙獲取一對(duì)生成的公私鑰對(duì)�;證書生成控制模塊生成數(shù)字證書;
[0024]第三智能密碼鑰匙用臨時(shí)公鑰��,對(duì)生成的公私鑰對(duì)和數(shù)字證書進(jìn)行加密�����;
[0025]第一主控制器模塊用第一智能密碼鑰匙將加密后的公私鑰對(duì)和數(shù)字證書解密����;第一智能密碼鑰匙將解密后公私鑰對(duì)覆蓋原有的臨時(shí)公私鑰對(duì),將數(shù)字證書存儲(chǔ);
[0026]2)第二智能密碼鑰匙的身份KEY證書下載的步驟為:
[0027]第二主控制器模塊通過用戶控制模塊獲取手動(dòng)輸入的管理員身份確認(rèn)信息����;當(dāng)身份認(rèn)證模塊驗(yàn)證管理員身份確認(rèn)信息正確時(shí),第三主控制器模塊從第三智能密碼鑰匙獲取一對(duì)生成的公私鑰對(duì)����;證書生成控制模塊生成數(shù)字證書;
[0028]第三智能密碼鑰匙用臨時(shí)公鑰����,對(duì)生成的公私鑰對(duì)和數(shù)字證書進(jìn)行加密;
[0029]第二主控制器模塊用第二智能密碼鑰匙將加密后的公私鑰對(duì)和數(shù)字證書解密�,第二智能密碼鑰匙將解密后公私鑰對(duì)覆蓋原有的臨時(shí)公私鑰對(duì),將數(shù)字證書存儲(chǔ)�����。
[0030]所述第一智能密碼鑰匙���、第二智能密碼鑰匙與證書服務(wù)器之間的相互身份認(rèn)證的步驟具體為:
[0031]1)第一智能密碼鑰匙或第二智能密碼鑰匙對(duì)證書服務(wù)器身份驗(yàn)證的實(shí)現(xiàn)方法具體包括以下步驟:
[0032]第一主控制器模塊或第二主控制器模塊�����,調(diào)用第一智能密碼鑰匙或第二智能密碼鑰匙生成8字節(jié)隨機(jī)數(shù)��,并利用數(shù)字證書中的服務(wù)器公鑰對(duì)生成的8字節(jié)隨機(jī)數(shù)進(jìn)行加密����;將加密后的8字節(jié)隨機(jī)數(shù)傳輸至第三主控制器模塊;
[0033]第三主控制器模塊調(diào)用第三智能密碼鑰匙中的私鑰進(jìn)行解密���,得到解密后的新8字節(jié)隨機(jī)數(shù)����;從第三智能密碼鑰匙中采用用戶公鑰對(duì)解密后的新8字節(jié)隨機(jī)數(shù)進(jìn)行加密�����;
[0034]第一主控制器模塊或第二主控制器模塊�����,調(diào)用第一智能密碼鑰匙或第二智能密碼鑰匙對(duì)新8字節(jié)隨機(jī)數(shù)進(jìn)行解密��,得到解密后的新8字節(jié)隨機(jī)數(shù)�����;當(dāng)生成的8字節(jié)隨機(jī)數(shù)和解密后的新8字節(jié)隨機(jī)數(shù)一致時(shí)�,證書服務(wù)器身份合法;
[0035]2)證書服務(wù)器對(duì)第一智能密碼鑰匙或第二智能密碼鑰匙身份驗(yàn)證的實(shí)現(xiàn)方法具體包括以下步驟:
[0036]第一主控制器模塊或第二主控制器模塊����,調(diào)用第一智能密碼鑰匙或第二智能密碼鑰匙對(duì)用戶數(shù)字證書進(jìn)行簽名;將用戶數(shù)字證書明文和簽名后的用戶數(shù)字證書傳輸至第三主控制器模塊�����;
[0037]第三主控制器模塊調(diào)用第三智能密碼鑰匙利用用戶數(shù)字證書查找到用戶的公鑰���,并利用用戶的公鑰解密簽名的用戶數(shù)字證書���;當(dāng)解密后的用戶數(shù)字證書與明文用戶證書一致時(shí),第一智能密碼鑰匙或第二智能密碼鑰匙身份合法��。
[0038]所述文件打印及回收的步驟具體為:
[0039]第一主控制器模塊將打印申請(qǐng)傳輸至第二主控制器模塊�����;第二主控制器模塊完成對(duì)打印申請(qǐng)的二維碼控制和審批操作��,并將打印審批結(jié)果傳輸至第一主控制器模塊����;
[0040]第一主控制器模塊通過打印機(jī)裝置進(jìn)行打印輸出�;第二主控制器模塊通過調(diào)用二維碼掃描裝置完成二維碼掃描���;第二主控制器模塊完成打印的回收操作��。
[0041]本發(fā)明提供的技術(shù)方案的有益效果是:本發(fā)明通過對(duì)打印進(jìn)行從申請(qǐng)�����、審批�����、輸出到回收的全生命周期的統(tǒng)一控制�;采用基于智能密碼鑰匙的證書身份認(rèn)證體系和國(guó)密算法進(jìn)行加解密操作�����。采用的智能密碼鑰匙內(nèi)嵌國(guó)家密碼管理局指定SM1����、SM2和SM3加密算法的密碼模塊����,具有較高的商密安全等級(jí)�,徹底解決現(xiàn)有文件打印控制系統(tǒng)中在身份認(rèn)證方面的安全隱患����,可以有效保證重要機(jī)關(guān)部門的打印安全;在登錄文件打印控制系統(tǒng)身份認(rèn)證階段采用了用戶身份與服務(wù)器身份的雙向認(rèn)證安全機(jī)制�,避免用戶身份偽造和服務(wù)器身份偽造,提高了系統(tǒng)的安全性�;打印作業(yè)上傳采用SSL(安全套接層)安全信道上傳,加密存儲(chǔ)�����;用戶身份采用雙因子認(rèn)證機(jī)制�����;打印內(nèi)容采用加密技術(shù)���,確保打印內(nèi)容的安全性�����,解決了監(jiān)控過程中缺乏身份認(rèn)證和閉環(huán)的缺陷��,避免了文件打印過程中存在身份易偽造���、易破解的風(fēng)險(xiǎn)�����,消除了可能存在的安全隱患��。
【附圖說明】
[0042]圖1為基于智能密碼鑰匙的文件打印控制系統(tǒng)的工作狀態(tài)示意圖�����;
[0043]圖2a)為第一智能密碼鑰匙的結(jié)構(gòu)示意圖�����;
[0044]圖2b)為第二智能密碼鑰匙的結(jié)構(gòu)示意圖�����;
[0045]圖2c)為第三智能密碼鑰匙的結(jié)構(gòu)示意圖;
[0046]圖3為打印控制客戶端的結(jié)構(gòu)示意圖����;
[0047]圖4為打印監(jiān)控控制端的結(jié)構(gòu)示意圖;
[0048]圖5為證書服務(wù)器的結(jié)構(gòu)示意圖���;
[0049]圖6為第一智能密碼