隨著企業辦公不斷網絡化、數字化、信息化的發展，計算機網絡已經成為我們密不可分的工作環境。其中，網絡共享打印的辦公方式就在我們日常辦公中被廣泛的使用，網絡打印可以大大提供工作效率。雖然網絡打印在提供給我們方便的同時，但也帶來了不少安全隱患。所以安全網絡打印問題已成為企業辦公不得不面對與要解決的課題。

本論文結合多年打印行業開發工作經驗，基于本公司實際網絡打印環境，較深入的研究了網絡打印過程中可能存在的安全問題。

With the rapid development of IT industry,computer and network have become an indispensable element in our work environment.Among,network printing is popurlarly used in our daily working,it greatly improves the efficiency. Althrough,network printing is convient for our working,it bring us some the problem of security.So the security problem in network printing is the project which we need to face and solve.

This thesis summarizes years of work and experience in printing industry,based the printing environment,in-depth studiedthe security problem in network printing process.

近年來，網絡打印迅速普及，無論是中小型企業還是大型集團公司，大多采用在網絡環境下使用打印機。因為采用網絡打印可以在一定程度上減少打印機的數量，這樣不僅可以節省成本，方便管理，提供工作效率，而且還可以在一定程度上位節約環保做出貢獻。但是，網絡打印在帶給我們以上的好處外，由于網絡資源的共享特性，也帶來了不少安全隱患。常見的問題如下：

·網絡打印環境下，多人共享打印機，經常出現打印文檔沒有被及時取回的情況，容易造成文件查找困難、缺頁、誤拿等影響辦公效率問題。

·由于網絡打印機通常是放在相對開放、公共的位置空間，每個公司員工都可以接觸到打印機上的輸出文件，可能造成重要文件或機密文件的泄露，成為企業的安全隱患。

目前應用最為廣泛的兩種網絡打印結構如圖1.2(1)和圖1.2(2)所示：

圖1.2(1) TCP/IP直連的網絡打印機

1.2(2) 共享模式的網絡打印機

在網絡打印環境中,打印機作為網絡上的一個節點存在,而不是一個獨立的打印設備。網絡打印與傳統打印(一對一連接方式)的本質區別：一是有較高速打印速度和性能的網絡打印機；二是有網絡打印服務器；三是由網絡打印管理軟件。

目前在涉密企業較為普遍的使用情況是：成立專門負責監管打印設備的部門，打印設備被集中放在監管部門所規定的區域，打印機密文件全需要專人審批，然后才可以打印，打印時，需要監管人員在場，避免發生泄密問題出現。

但是，大多數非涉密企業，打印環境還處于無人監管的公共區域，打印機可被隨時使用，在企業費用結算時，打印費用不受控制，不利于企業管理。

所以，安全打印就應運而生，現有少數單位在使用安全管理系統及軟件對網絡打印機進行管理，防止泄密及亂用、過度使用的現象發生。

刷卡打印是實現安全打印的第一技術環節。實現刷卡打印后，打印作業保持在打印機的打印隊列中，直到用戶刷卡取出打印作業。這樣能夠保證只有真正的打印用戶才能拿到自己打印的作業，防止敏感或機密文件和信息的泄露。打印后一定時間內如果不刷卡取走打印紙，打印作業會被自動刪除，杜絕錯打印或非必要打印造成的資源浪費。

刷卡打印所使用的卡可為公司內的員工卡或根據需要特殊定制。不管是哪種卡，常見的卡有四種類型：磁條卡、接觸式IC卡、非接觸式IC卡和ID卡。較常用的就是非接觸式IC卡。下面簡單介紹一下非接觸式IC卡的工作原理：

非接觸式IC卡，又被稱為”無觸點IC卡”或”射頻卡”，是世界最近十幾年來發展起來的一項新技術。它的芯片全部封于卡基內，無暴露部分，不但如此，在卡體內還嵌有一個微型天線，是為了嵌入的芯片與讀卡器之間的相互通信，它通過電磁場的感應或無線電波來交換信息。它成功的將IC技術和射頻識別技術結合起來，解決了免接觸和無源這兩大難題。該技術的優勢是信息的交換不需要卡和讀卡器之間有任何接觸。該種卡的存儲容量一般在256b到72kb之間。

數據加密技術是網絡數據傳輸中最基本的安全技術，主要是通過對網絡中傳輸的信息進行數據加密來保障其安全性，這是一種主動安全防御策略，用很小的代價即可為信息提供相當大的安全保護。

數據加密類型可以簡單的分為兩種：公開密鑰加密技術(公鑰加密)和私用密鑰加密技術(私鑰加密)。區別是使用的秘鑰不同。

私鑰加密：加密密鑰只需要一個密鑰，數據的加密解密都使用相同的密鑰。這種加密技術的特點是加密速度快，數學運算量大，其弱點在于難以對密鑰進行合理的管理，而且一旦密鑰泄露，數據的安全性將會受到嚴重威脅。其中對稱密鑰解密技術是私鑰加密最具有代表性的算法，該算法是DES(Data Encryption Standard)算法。DES綜合運用了置換、袋鼠、代替多種密碼技術，把數據分成64位大小的數據塊，使用56位密鑰，迭代輪數為16輪的加密算法。它容易實現，設計精巧，使用方便。

公鑰加密：有一對密鑰，其中一個為公開的，另一個為私有的。發送數據時用對方的公開密鑰加密，收信方用自己的私有密鑰進行解密。公開密鑰加密算法的核心是運用單向陷門函數，它是一種特殊的數學函數，即從一個方向求值是容易的。但對其進行逆向計算在理論上是不可行的。公開密鑰加密技術不僅易于管理又保證了安全性。其不足之處是解密和加密的時間較長。

公開密鑰算法有很多，目前最具有代表性的就是RSA算法，其安全性是建立在”素性檢測和大數分解”這一已知的著名數論難題的基礎上。

針對網絡安全打印工作機制及以上的簡單分析，采用DES對數據進行加密較為適合，因為其數學運算量小，加密速度快，但DES的密鑰管理困難，這時RSA加密的作用就體現出來了，RSA算法的加密解密時間較長，但其密鑰管理方便，其公鑰是可以公開的。故采用RSA對DES的密鑰進行加密傳輸，這樣就解決了DES密鑰管理難的問題。

總體方案設計前，對市場的安全打印系統及軟件進行了簡單的調查，目前已有的安全打印系統都集合了用戶認證、日志記錄管理，打印審批，數據加密，統計查詢，打印計費，刷卡打印等功能。根據安全打印系統主要由客戶端、打印服務器和審核服務器組成，設計如下系統框架：

3.1 系統總體框架圖

打印客戶端：打印客戶端負責打印任務的發起和收集用戶打印信息，并將收集到的信息發往審核服務器進行記錄并審核，為保證打印數據的傳輸安全，打印客戶端還需負責對打印數據進行加密，打印客戶端完成的功能主要是依靠通用打印驅動來完成；通過HTTP協議向審核服務器發送打印作業請求；審核服務器接受請求并提示審核人。

打印客戶端與打印服務器和審核服務器間的通信都是由網絡通用打印驅動來完成的，采用PCL打印控制語言以保證對不同打印機的兼容性。

打印服務器：主要負責接收打印數據，解析打印數據并將打印數據發給實際的物理打印驅動完成打印工作。打印服務器是整個安全打印系統的核心部分，為確保打印服務器的安全和穩定，打印服務器最好采用Linux操作系統，并配有刷卡器監聽程序用來監聽刷卡器狀態。

打印服務器因打印作業繁多，所以將功能模塊化，然后建立一個調度程序來協調不同模塊之間的寫作。打印服務器主要由調度模塊、數據接收模塊、HTTP代理模塊、刷卡器監控模塊、打印作業解析模塊和打印作業生成模塊組成，通過linux消息管道進行通信，通信消息大致為

其中sender為消息發送模塊，message為消息類型，param1消息參數，param2為預留消息參數。

審核服務器：主要負責記錄打印作業、提供審批服務和查詢功能。審核服務器為WEB服務器，審核服務器完成的就是審核和記錄的功能，通過接受不同的審核請求，審核服務器會相應的返回請求結果。審核服務器的記錄是已日志的形式進行查詢的，目的是為了在發生安全事件的時候可以快速方便的找到造成泄密的原因，并提供有力證據。

審核服務器配有SQL數據庫，以便完成用戶審核、作業審核、作業日志存儲和日志查詢等功能。

客戶端、打印服務器和審核服務器共同構建了安全打印系統平臺，既確保了打印的安全性，又為打印系統的管理和監控提供了有效的解決方法。同時，從數據傳輸和打印服務器方面也提高了安全打印系統的抗攻擊能力，整個安全打印系統的結構設計具有較高的價值和一定的創新性。

3.3 打印過程流圖

本文通過分析現有網絡打印存在安全隱患問題，并結合當前已有的安全打印軟件，提出了網絡安全打印系統平臺。整合系統從打印客戶端，到打印數據的傳輸過程，再到打印服務器和審核服務器針對可能存在的安全隱患問題采取了相應的有效的保護措施，提供了安全的網絡打印服務的同時，也極大的降低了管理成本和困難。

由于時間原因，安全打印技術的研究和系統平臺設計存在許多不足的地方有待改善，有以下幾方面：