本发明涉及工业打印机领域,该工业打印机例如为:“连续喷墨”(cij)打印机、例如“阀门喷射”型“按需喷墨”(dod)打印机、热转印打印机、激光打印机、热熔喷墨打印机或者“打印和应用”型打印机(在支撑件上打印,然后将经打印的支撑件应用到产品上)。与在纸张或纸板上打印的办公室型打印机相比,这些打印机符合“工业”标准。工业打印机尤其用于在需要追踪的产品上直接或间接地进行标记或者编码类型的打印输出。
本发明还涉及一种用于确保这种打印机的安全使用和/或用于确保备用部件(例如,这种打印机中所使用的过滤器或者泵或者耗材(例如,墨盒或者溶剂盒))的安全使用的设备及方法。
背景技术:
“连续喷墨”(cij)打印机在工业领域中公知用于对各种产品进行编码和标记,例如,用于在生产系统上直接高速地标记条形码、食品上的有效日期或者电缆或管道上的指示或者距离标记。这种类型的打印机还用于一些装饰领域,其中,可能使用了图形打印技术。
这些打印机具有如图1所示的几个典型的子组件。
首先,打印头1通过柔性控制带2连接至打印机,该打印头1通常与打印机的主体3相距一定距离,柔性控制带2包含操作打印头所需的所有液压连接和电连接,使其具有利于集成到生产线上的灵活性。
打印机的主体3(也称为桌面或者机柜)通常包括三个子组件:
-在控制台的下部(区域4’)中的打印回路,其首先向打印头提供处于稳定压力并且具有合适质量的墨水,然后对喷嘴中的没有用于打印的墨水进行处理,
-位于控制台顶部(区域5’)中控制器,其能够管理动作序列并且执行处理以激活墨水回路和打印头的不同功能。例如,控制器可以包括微型计算机或者微处理器和/或一个(或多个)电子板和/或至少一个板载软件,控制器的编程对墨水回路和打印头1进行控制。该控制器将打印指令发送给打印头1,并且还对系统的电动机和阀进行控制,以管理向回路的墨水和/或溶剂供应并且从打印头回收墨水和空气的混合物。进行编程的理由为:
-界面6,其向操作员提供一种装置,操作员可以使用该装置对打印机进行控制并且被告知打印机的操作状态。
换句话说,机柜包括2个子组件:上部和下部,上部有电子设备、电源以及操作员界面,下部有墨水回路,该墨水回路用于向打印头提供处于压力下并且具有标称质量的墨水以及在负压下回收未被头部使用的墨水。
图2示意性地示出了cij打印机的打印头1。该打印头1包括液滴生成器60,该液滴生成器60被供应以由墨水回路进行加压的导电墨水。
该生成器能够通过被称为喷嘴的小孔口来发射至少一个连续的喷射流。在喷嘴出口的上游的周期性刺激系统(未示出)的作用下该喷射流被转换成大小相同的液滴的规则序列。当液滴7将不用于打印时,液滴7会被引向檐槽62,该檐槽62回收液滴7,以使得未使用的墨水再循环并且将其返回至墨水回路。
当被命令时,沿着喷射流设置的设备61(充电电极和偏转电极)使液滴充电并且使得液滴在电场ed中偏转。然后,液滴会偏离其从液滴生成器喷出时的自然轨迹。用于打印的液滴9从檐槽逸出并且将被沉积在要被打印的支撑件8上。
该描述可以适用于被称为二进制或多偏转连续喷墨打印机的连续喷墨(cij)打印机。二进制cij打印机配有下述头部,该头部的墨水生成器具有多个喷射流,并且喷射流的每个液滴只能被定向成朝向下述2个轨迹之一:打印或者回收。在多偏转的连续喷墨打印机中,单个喷射流(或者多个隔开的喷射流)的每个液滴可以在与一个液滴到下一个液滴的不同充电命令相对应的多个轨迹上偏转,从而沿着作为偏转方向的方向对要打印的区域进行扫描,要打印的区域的另一扫描方向被打印头和要打印的支撑件8的相对位移所覆盖。通常,将这些元件布置成使得这两个方向大体上垂直。
连续喷墨打印机的墨水回路首先可以将可能的溶剂和在规定压力下的墨水提供给打印头1的液滴生成器,其次产生真空以对没有用于打印的流体进行回收,然后,流体从打印头返回。
连续喷墨打印机的墨水回路还可以用于管理耗材(分配液箱中的墨水和溶剂)以及检查并维护墨水质量(粘度/浓度)。
最后,其他功能与用户的舒适度和一些维护操作的自动控制有关,以确保无论使用条件如何都能够进行恒定的操作。这些功能包括通过预防性维护(例如,对具有有限寿命的部件(特别是过滤器和/或泵)进行更换)使用溶剂来冲洗打印头(液滴生成器、喷嘴、檐槽)。
这些不同的功能具有非常不同最终目的和技术要求。这些不同的功能通过打印机控制器来激活和排序,当功能的数量和复杂度增加时,打印机控制器会变得越来越复杂。
耗材基本上形式为盒子或者瓶子,该盒子或瓶子包含适于机器操作的墨水和溶剂。
存在用于识别这种盒子或者瓶子的各种装置。
已知基于识别装置的解决方案,例如,如us6738903中所描述的那样,但是该解决方案不能用于认证并且不能用于防止对特别是在未连接到网络的一些应用中使用的标签的克隆或者仿真。
已知如文献wo97/28001中所公开的其他解决方案。
但是,这些解决方案并没有解决下述问题:确保所安装的耗材的可信性质能够保证打印机的行为和打印性能(质量、抗力等)、用户数据的安全性以及关于打印机化学品的使用的安全性。
这个问题可以扩展到备用部件的认证,以及更一般地扩展到打印机的可拆卸元件、或者打印机可以使用的软件和/或打印机可以应用的操作模式的认证。
另一问题是要能够以各种方式配置工业打印机,而无需修改打印机本身。可以根据不同技术需求进行具有不同使用模式的不同配置。这会尤其导致需要利用单独的微控制器来首先对与打印有关的功能进行控制,其次对消耗性或者可拆卸元件进行认证和识别。
这些情况尤其出现在打印机通常没有连接到通信网络的情况。
此外,当打印机将通过多个诸如微控制器之类的数据传输元件与一个或多个消耗性元件和/或可拆卸元件通信时,目前还没有确保整个数据传输元件链的安全性的解决方案。
技术实现要素:
本发明的一个目的是公开一种适于工业打印机的解决方案,该工业打印机被设计成对至少一个消耗性或可拆卸元件进行认证,尤其被设计成确保至少一个第一打印机微控制器与第二打印机微控制器之间的安全数据传输,所述第二打印机控制器将与消耗性或可拆卸元件通信,或者形成该消耗性或可拆卸元件的组成部分。
为此,本发明特别地公开了一种用于工业打印机以对至少一个消耗性或可拆卸元件进行认证或者确保所述至少一个消耗性或可拆卸元件的安全的方法,打印机包括第一微控制器,该第一微控制器将与打印机的第二微控制器或者消耗性或可拆卸元件进行数据传送,该方法至少包括:
a)第一微控制器对第二微控制器进行认证;然后
b)微控制器之一向另一微控制器发送用于两个微控制器之间的数据传送的至少一个数据传送私有密钥sk1;然后
c)通过使用第一数据传送私有密钥sk1的对称加密来在所述两个微控制器之间进行数据传输。
在通过对称加密来在两个微控制器之间交换任何数据之前,根据本发明的方法包括第一微控制器对第二微控制器进行的至少一个认证阶段。因此,当第二微控制器形成打印机的一部分,并且与第一微控制器和消耗性或可拆卸元件分离时,将对与消耗性或可拆卸元件的通信进行处理的第二微控制器被认证,这使得第一微控制器能够通过该第二微控制器发送和接收信息。当第二微控制器形成消耗性或可拆卸元件的一部分时,这个过程不仅可以用于识别消耗性或可拆卸元件,而且可以用于认证该元件。
因此,该方法确保第一微控制器与第二微控制器之间安全地进行数据传输。
两个微控制器之间的数据交换步骤c)是通过对称加密来完成的这个事实减少了确保这两个微控制器之间安全地进行数据传输所需的资源,这是可能的,而不会降低安全性,因为步骤a)中已经进行了认证。
打印机使用2个不同的微控制器使得可以在打印机的实施不同打印机功能的元件之间产生区别,从而可以将用于对打印功能的控制进行管理的微控制器与形成和消耗性或可拆卸元件的通信接口的微控制器区分开。
此外,在对第二微控制器进行了认证之后才在两个微控制器之间传送用于数据传输的私有密钥这避免了需要将该密钥存储在与消耗性或可拆卸元件通信的第二微控制器中。这种在认证之后进行密钥传输提高了交换的安全性。
这种方法由工业打印机而不是办公自动化打印机使用,因为首先这种方法的成本对于办公打印机是不合适的,其次是因为办公打印机并不是独立地工作而是连接至计算机。
步骤a)可以至少包括以下步骤:
-将电子证书c和根据所述电子证书c生成的公开密钥pk2从所述第二微控制器发送至所述第一微控制器;
-使用公开密钥pk2来对包含在电子证书c中并且通过存储在第二微控制器中的私有密钥sk2进行了加密的签名进行解密;
-第一微控制器生成第一随机数据n0,并且将第一随机数据n0发送至第二微控制器;
-第二微控制器使用存储在第二微控制器中的私有密钥sk2来对第一随机数据n0加密,并且将第一加密随机数据n2发送至第一微控制器;
-第一微控制器使用公开密钥pk2对第一加密随机数据n2进行解密,并且将经解密的数据n20与第一微控制器所生成的第一随机数据n0进行比较。
在这种情况下,第一微控制器对第二微控制器的认证使用了非对称加密,从而保证了该认证的良好安全性。
当第二微控制器与消耗性或可拆卸元件分离时,所述步骤c)可以包括将用于第二微控制器和消耗性或可拆卸元件之间的数据传送的私有认证密钥k_auth从所述第一微控制器发送至所述第二微控制器。第二微控制器与消耗性或可拆卸元件之间的该私有认证密钥来源于第一微控制器。这避免了需要将该私有认证密钥永久地存储在第二微控制器中,从而减小了对该第二微控制器的安全性约束,第二微控制器可以比第一微控制器要简易。将私有认证密钥k_auth从第一微控制器传送至第二微控制器可以使用对称加密,例如,第一数据传送私有密钥sk1来进行加密。
可以在两个微控制器之间传送使用第一私有密钥进行加密的其他数据传送私有密钥,例如用于进行mac类型码计算以对所交换的数据进行认证的密钥。
该方法还可以包括使用私有认证密钥k_auth进行第二微控制器和消耗性或可拆卸元件的相互认证。由此提高了第二微控制器与消耗性或可拆卸元件之间的交换的安全性,首先是因为所进行的认证是相互的,其次是因为第二微控制器所使用的私有认证密钥来自第一微控制器。该相互认证可以使用消息认证码(mac码)来进行,该mac码是根据随机数以及之前由第一微控制器传送到第二微控制器的私有认证密钥k_auth而计算出。
除了用于第二微控制器与消耗性或可拆卸元件之间的认证之外,私有认证密钥k_auth还可以用于在第二微控制器和消耗性或可拆卸元件之间进行一个或多个数据传输,特别是用于对第二微控制器和消耗性或可拆卸元件之间所交换的数据进行对称加密。作为一种变型,为了提高交换的安全性,可以在第二微控制器与消耗性或可拆卸元件之间交换不同于私有认证密钥k_auth的第二数据传送密钥k_trf(例如,可以在消耗性或可拆卸元件与第二微控制器进行相互认证之后,由消耗性或可拆卸元件提供),并且使用该第二数据传送密钥k_trf来对第二微控制器与消耗性或可拆卸元件之间的数据交换进行加密。
在步骤a)之前,该方法还可以包括所述微控制器中的至少一者的固件认证步骤。该认证可以通过使用微控制器的电子证书来进行。
该方法还可以包括:
-第一微控制器将针对消耗性或可拆卸元件的回路的写入请求和/或读取请求发送至第二微控制器;
-第二微控制器对所述第一微控制器所发送的待写入的数据进行认证和/或所述第一微控制器对所述第二微控制器所发送的读取数据进行认证。
打印机还可以包括发送机/接收机(能够发送和接收)或用于与消耗性或可拆卸元件进行数据交换的装置,所述认证方法还包括第二微控制器对数据交换装置进行认证。
在这种方法中,与打印机进行数据交换的装置可以是rfid型或导线型数据交换装置,消耗性或可拆卸元件也包括rfid型或导线型数据交换装置。
消耗性或可拆卸元件可以例如是墨水盒或溶剂盒,或过滤器或泵或电磁阀或可移除模块,例如是打印机墨水回路或者打印机打印头,或者数据支撑件,或者计算机代码。
打印机可以是cij或dod型打印机或者热喷墨打印机、或者热转印打印机、激光打印机或者热熔喷墨打印机。
本发明还涉及一种工业打印机的能够对至少一个消耗性或可拆卸元件的可信性进行检查的控制设备,该控制设备包括第一微控制器和第二微控制器,所述第一微控制器和所述第二微控制器被编程以实施如上所述的认证方法。
本发明还涉及一种包括这种控制设备的工业打印机。
本发明还涉及一种工业打印机的消耗性或可拆卸元件,其包括实施如上所述的认证方法的装置。
本发明尤其涉及一种工业打印机的消耗性或可拆卸元件,消耗性或可拆卸元件包括实施认证方法的装置,在所述认证方法中:使用存储在微控制器和消耗性或可拆卸元件中的私有认证密钥k_auth来进行工业打印机的微控制器与消耗性或可拆卸元件之间的相互认证,换句话说,在进行相互认证之前,微控制器与消耗性或可拆卸元件之间并不交换数据。
本发明还涉及一种工业打印机的消耗性或可拆卸元件,包括:
-rfid型通信装置,
-装置,该装置向打印机的rfid读取器发送数据并且打印机对该数据进行认证,或者该装置向打印机的微控制器发送数据并且打印机对该数据进行认证,以对消耗性或可拆卸元件进行认证。
元件可以包括下述装置,该装置从所述打印机的所述rfid读取器接收数据并且所述打印机对该数据进行认证,或者该装置从所述打印机的微控制器接收数据并且所述打印机对该数据进行认证,以对所述打印机的所述rfid读取器或者所述微控制器进行认证。
最后,这种元件可以包括利用所述打印机的rfid读取器或微控制器来接收第二数据传送私有密钥k_trf的装置。
附图说明
-图1表示一种已知打印机结构;
-图2表示cij型打印机的打印头的已知结构;
-图3示意性地表示根据本发明的工业打印机的控制设备结构;
-图4表示根据本发明的一个方面的2个微控制器之间的认证方法中的步骤;
-图5a和图5b表示根据本发明的一个方面的写入请求和读取请求的认证中的步骤;
-图6表示根据本发明的一个方面的消耗性或可拆卸元件的标签以及控制设备的结构的制造细节;
-图7a和图7b表示根据本发明的一个方面的消耗性或可拆卸元件和控制器的认证中的步骤。
具体实施方式
在下面的描述中,术语“消耗性元件”用于指代下述元件,由于该元件的内容的减少或者该元件的耗尽而导致将对该元件进行更新,以执行打印机的功能。所述消耗性元件还可以是被授权在有限时段内使用的元件(例如,软件功能)。
可拆卸元件是必须临时地连接至打印机以实施打印机的功能的元件(例如,过滤器、泵、电磁阀、可以例如用于形成打印机的墨水回路或者打印头的一部分的可移除元件、或者数据支持)。
墨盒的示例通常参见下文,墨盒可以连接至打印机以向打印机供应墨水。墨盒既是消耗性的又是可拆卸的。但是,本发明还可适用于备用部件,例如,过滤器、或者泵、或者电磁阀、或者打印机的任意其他模块或子组件(例如,类似于文献wo2014/154830中所描述的可移除模块)。这些元件中的每一个都具有有限寿命,并且在这个寿命的结束时必须对该元件进行更换以确保打印机的良好操作。
图3非常示意性地示出了打印机的控制器3,根据本发明,控制器3可以包括第一微处理器和第二微处理器,第一微处理器优选为微控制器30的形式,第二微处理器优选为微控制器32的形式。下文描述了具有2个微控制器的实施例,但是该实施例可以变换成具有2个微处理器(或者1个微处理器和1个微控制器)的实施例,所述微处理器具有适应性外围元件(一个或多个微处理器设置有至少一个存储器,以及与至少一个另一打印机回路、尤其是与另一微处理器或微控制器通信的装置)。每个微控制器包括处理器、一个或多个存储区、至少一个输入/输出接口,以及数据加密/解密装置。
优选地,对于非对称算法而言,上述不同密钥加密/解密密钥的大小至少等于约1024位,以及对于对称算法而言,上述不同密钥加密/解密密钥的大小至少等于约128位。
第一微控制器30被特别地编程以控制打印机的打印操作,并且在cij打印机的情况下(图1)用于对向主贮存器和/或打印头1供应的流体(墨水或者溶剂)进行管理。
第二微控制器32将使得能够与至少一个备用部件(换句话说,可拆卸元件或者消耗性元件)交换信息。
第一微控制器30存储有私有密钥sk1,该密钥sk1在制造或者制备第一微控制器30期间被存储。第一微控制器30还存储有私有认证密钥k_auth,在第一微控制器30对第二微控制器32进行认证之后,该认证密钥k_auth将用于在消耗性或可拆卸元件与第二微控制器32之间进行认证。
在将私有密钥sk1从第一微控制器30传送到第二微控制器32之前,第一微控制器30对第二微控制器32进行认证。图4中示出了用于该认证的步骤。
第二微控制器32存储有电子证书c,以及根据该电子证书c生成的私有密钥sk2和公开密钥pk2。
第二微控制器32将第二微控制器32的电子证书c和公开密钥pk2发送至第一微控制器30(步骤s302),因此,第一微控制器30可以对电子证书c的可信性进行核查(步骤s303)。
例如,在步骤s303期间进行的对电子证书c的可信性的验证可以对应于对包括在电子证书c中的签名进行验证。当产生该电子证书c时,会使用私有密钥sk2对所述签名进行加密。通过使用公开密钥pk2对该签名进行解密,第一微控制器30可以因此将所获得的加密签名与所预期的加密签名进行比较,并且确保该第二微控制器32实际上与该第一微控制器30本应当与其交换数据的第二微控制器32相对应。
如果电子证书c的可信性没有得到证实,则处理停止,并且不对两个微控制器30、32之间的数据交换进行授权(s304)。
如果电子证书c的可信性得到证实,则对用于验证电子证书c的可信性的公开密钥pk2的可信性进行验证,以确认第二微控制器32的可信性。为了实现这一点,第一微控制器30可以生成随机数n0(s306),该随机数n0被发送至第二微控制器32,第二微控制器32将使用其私有密钥对该随机数n0进行加密(s308)。然后,将由此获得的加密数n2发送至第一微控制器30(s310),第一微控制器30使用第二微控制器32之前所发送的公开密钥pk2来对加密数n2进行解密,并且将解密结果n20与最初生成的随机数n0进行比较(s312)。
如果上面的这两个数n0和n20不相等(或者,更一般地,如果他们之间的关系不满足要求),则第一微控制器30不将第二微控制器32识别为可信,并且不能在两者之间交换数据(s304)。
如果这两个数相等(或者,更一般地,如果两者之间的关系满足要求以使得可以推断出这两者一致或者相对应),则第一微控制器30将第二微控制器32识别为是可信的。可以在两个微控制器30、32之间交换数据(例如,私有密钥sk1)(s314)。
为了安全地将私有密钥sk1从第一微控制器30传送到第二微控制器32,可以使用对于第一微控制器30可用的公开密钥pk2来对私有密钥sk1进行加密。然后,第二微控制器32使用私有密钥sk2对经加密的私有密钥sk1进行解密。
然后,不同于先前的密钥,私有密钥k_mac可以由微控制器30、32之一生成,并且在例如使用密钥sk1进行加密后发送至另一微控制器。例如,该密钥k_mac可以从第二微控制器32发送至第一微控制器30。接收该密钥的微控制器使用其自身的密钥sk1对该密钥k_mac解密。随后,该密钥k_mac将用于在两个微控制器之间进行交换。私有密钥sk1和k_mac的值可以定期地修改,例如,在生成私有密钥sk1和k_mac的微控制器每次启动时进行修改,从而提高了在两个微控制器30、32之间的数据传输的安全性。在本文所描述的示例中,只有私有认证密钥k_auth具有不会改变的值,并且在对第一微控制器30进行编程时该值被存储在第一微控制器30中。
最后,当第二微控制器32形成打印机的一部分并且试图通过第二微控制器32来完成对消耗性或可拆卸元件的认证时,第一微控制器30将通过密钥sk1加密了的私有认证密钥发送至第二微控制器32,该私有认证密钥与先前的密钥不同。随后,该密钥k_auth将用于第二微控制器与消耗性或可拆卸元件(或者与该消耗性或可拆卸元件相关联的回路)之间的认证,该私有认证密钥k_auth还存储在消耗性或可拆卸元件中。为了安全起见,并不将该私有密钥k_auth存储到第二微控制器32的固件中。将该密钥从第一微控制器30传送到第二微控制器32使得可以将该密钥存储到安全存储器中(不能从外部读取)或者临时地存储到第二微控制器32的ram中。可以认为该密钥k_auth是“主密钥”,消耗性或可拆卸元件具有可以从该主密钥推导出的密钥,以提高与这些元件进行的交换的安全性。
然后,2个微控制器之间的所有通信可以使用对称加密算法和密钥k_mac来进行,尤其是例如在与消耗性或可拆卸元件相关联的回路中交换技术使用数据(该技术使用数据可以应用于机器的技术方面或者功能和/或机器的技术操作方面)和/或读取请求和/或写入请求。
当第二微控制器32自身是分离部件或者消耗性元件的一部分时,由于上文所述的对第二微控制器32的认证,因此确保了第一微控制器30与该分离部件或该元件之间的安全数据交换。
此外,由微控制器30、32进行的上述认证可以是相互的,也就是说,第二微控制器32可以确保第一微控制器30是可信的,以及第一微控制器30可以确保第二微控制器32是可信的。
可以在这些认证操作之前在微控制器30、32之一或者两者中使用“哈希”函数并且利用存在于每个微控制器30、32中的电子证书来对这些微控制器30、32的固件进行验证。对于第二微控制器32而言,用于该验证的电子证书与先前用于第二微控制器32的认证的电子证书不同。
签名存储在微控制器30、32之一的存储器中,以验证该微控制器的固件。当制造微控制器时,通过将哈希函数应用于微控制器的可信固件来计算该签名,然后使用根据证书生成的并且存储在微控制器中的私有密钥来对所获得的哈希值进行加密。当微控制器启动时,将与制造微控制器的过程中所使用的哈希函数相似的哈希函数应用于存在于微控制器的存储器中的待验证的固件。同时,使用由存储在微控制器中的证书生成的公开密钥对同样存在于微控制器的存储器中的经加密的哈希值进行解密。然后,将经解密的哈希值与从存在于微控制器的存储器中的固件获得的哈希值进行比较,以确定存在于微控制器的存储器中的固件是否可信。
图5a和图5b分别表示了例如在与消耗性或可拆卸元件相关联的回路中进行的写入请求和读取请求。该请求由第一微控制器30发送至第二微控制器32。
更准确地,写入请求可以包括(图5a):
-将写入请求从第一微控制器30发送至第二微控制器32(s510);
-第二微控制器32生成随机数n,该随机数n随后被发送至第一微控制器30(s512);
-第一微控制器30根据待写入的数据、所接收的随机数n以及对于第一微控制器30可用的私有密钥k_mac来计算消息认证码(mac)(s513)。例如,使用将随机数n用作初始向量的cbc-mac型算法来计算这种mac;
-将待写入的数据(可能例如使用私有密钥sk1进行加密)和所计算的mac发送至第二微控制器32(s514);
-第二微控制器32根据所接收的待写入的数据、所生成的随机数n以及对于第二微控制器32可用的私有密钥k_mac来计算mac(s515);
-第二微控制器32将第一微控制器30所发送的mac与第二微控制器32所生成的mac进行比较(s516);
-如果第二微控制器32所比较的两个mac相同,则第二微控制器32可以认为所接收的数据是可信的,并且可以将该数据(在这些数据已经被加密的情况下对这些数据进行解密之后)写入到与消耗性或可拆卸元件相关联的回路中(s517)。否则,不会授权写入这些数据(s518)。
除了由第二微控制器32进行的该数据验证以外,第二微控制器32可以生成接收确认,以及根据该接收确认中的数据、所生成的随机数n以及对于第二微控制器32可用的私有密钥k_mac而计算出的另一mac,并且将此mac发送至第一微控制器30。第一微控制器30可以进行与上述验证类似的验证,其中,第一微控制器30使用所接收的接收确认中的数据、所接收的随机数n以及对于第一微控制器30可用的私有密钥k_mac来生成另一mac,并且第一微控制器30将这两个mac进行比较。
在待写入的数据和接收确认的交换期间使用mac使得可以实施“防重放”功能,从而使得两个微控制器30、32之间的数据交换是安全的,因为由于所使用的随机数而使得所发送的mac每次都不同。
读取请求可以包括(图5b):
-第一微控制器30生成随机数n’(s520);
-第一微控制器30将读取请求和随机数n’发送至第二微控制器32(s522);
-第二微控制器32使用适当的读取装置来读取例如与消耗性或可拆卸元件相关联的回路中的数据(s524);
-第二微控制器32根据所读取的数据、所接收到的随机数n’以及对于第二微控制器32可用的私有密钥k_mac来计算mac(s525);
-将所读取的(加密的或未加密的)数据和所计算的mac从第二微控制器32发送至第一微控制器30(s526);
-第一微控制器30根据所接收到的读取数据、所生成的随机数n’以及对于第一微控制器30可用的私有密钥k_mac来计算mac(s527);
-第一微控制器30将第一微控制器30所生成的mac与第二微控制器32所发送的mac进行比较(s528);
-如果第一微控制器30所比较的两个mac相同,则第一微控制器30会认为所读取的数据是可信的(s529)。否则,将不会认为所读取的数据是可信的(s530)。
除了由第一微控制器30进行的该数据验证以外,第一微控制器30可以生成接收确认,以及根据该接收确认中的数据、所生成的随机数n’以及对于第一微控制器30可用的私有密钥k_mac而计算出的另一mac,并且可以将此mac发送至第二微控制器32。第二微控制器32可以进行与上述验证类似的验证,其中,第二微控制器32使用所接收的接收确认中的数据、所接收的随机数n’以及对于第二微控制器32可用的私有密钥k_mac来生成另一mac,并且第二微控制器32将这两个mac进行比较。
第二微控制器32可以配备有例如rfid型的通信装置320(之后其被称为“rfid读取器”),并且该通信装置320用于与耗材或备用部件进行对话。通信装置320可以与微控制器32分离,在这种情况下,与消耗性或可拆卸元件的回路(或“标签”)进行的交换将发生在该消耗性或可拆卸元件和rfid读取器320之间。在这种情况下,读取器320配备有回路,例如,微处理器,该回路将被用于与第二微控制器32以及与自身设置有rfid通信装置的消耗性或可拆卸元件的回路进行对话。
作为一种变型,打印机的第二微控制器32与消耗性或可拆卸元件之间的通信可以是接触型的。在这种情况下,在这些元件的每个回路上都设置有触点,以在这些元件之间传输数据。根据另一变型,该通信可以是有线的。
图6非常示意地表示如上文所说明的具有2个微控制器30、32的打印机控制器3以及消耗性或可拆卸元件20(例如,备用部件、或者墨水盒、或者溶剂盒)。
如上所述,第二微控制器32与例如rfid型通信装置320(或者rfid接口)处于通信,该rfid型通信装置320将用于与消耗性或可拆卸元件20对话。消耗性或可拆卸元件20配备有回路200(之后被称为“标签”),该回路200将实施下文所描述的步骤。例如,该标签200可以以微处理器的处理器或fpga的形式制成。例如,该标签200可以被适用于与消耗性或可拆卸元件20的壁接触,以利于通过装置320来与第二微控制器32进行对话(或数据交换)。作为一种变型,第二微控制器32可以对应于这些装置320,或者这些装置320可以形成第二微控制器32的一部分。
该标签200可以被编程以实施根据本发明的方法。还提供了通信装置或者例如rfid型的接口201,并且其将用于与装置320对话。
根据一个示例性实施例,附图标记210表示例如以微处理器或fpga的形式制成的标签回路200,该标签回路200被编程以执行根据本发明的方法中的一些功能或步骤。例如,该回路210设置有统一表示为附图标记215并且具有私有密钥k_auth的认证装置,该认证装置将用于耗材与微控制器32之间的相互认证。认证装置215包括装置213、装置212以及加密装置211,装置213用于生成一个或多个信息项(例如,随机数),装置212用于实施认证方法。该回路可以设置有存储装置214,以存储数据,特别是存储用于实施根据本发明的方法的数据,例如,私有认证密钥k_auth或从该私有认证密钥k_auth推导出的诸如数据交换密钥k_trf之类的密钥。
该回路210将待发送给rfid接口320或者使得对于该接口可用(例如使其能够读取这些数据)的数据提供给装置201,和/或该回路210将通过装置320接收要由装置320写入的数据。
附图标记35表示控制器3与消耗性或可拆卸元件20的标签200之间的数据交换。如上所述,这是通过rfid模式进行数据交换的示例。
在这2种情况下(通过rfid交换或通过接触交换),事件将触发第一对话步骤,用于认证或数据交换的情况。当必须使用消耗性或可拆卸元件20时的情况就是如此,例如:
-当正在进行打印机启动检查时,打印机检测消耗性或可拆卸元件20的存在,该检测形成上述事件;
-或者当消耗性或可拆卸元件20已连接时,使得控制器3进行检测,然后控制器3会触发根据本发明的方法;
-或者当对于消耗性或可拆卸元件的需求变得清楚时,例如当检测到主贮存器中的油墨水平,使得必须供应墨盒时。
图6表示该体系结构的示例,通过以使用rfid类型通信装置的版本更加详细地示出了该体系结构。
附图标记32表示被编程以执行方法中的一些功能或者一些步骤的第二微控制器。例如,该回路32设置有装置322,该装置322用于生成一个或多个信息项(例如,随机数)。该回路可以设置有存储装置37,以存储数据、特别是存储用于实施根据本发明的方法的数据,例如如上文所说明的关于不同私有密钥的数据。
第二微控制器32将待发送给消耗性或可拆卸元件20(实际上是发送给与消耗性或可拆卸元件20相关联的回路(下文所描述的))的数据提供给装置320,和/或第二微控制器32通过装置320接收同一消耗性或可拆卸元件20(实际上是与消耗性或可拆卸元件20相关联的回路(下文所描述的))所发送的数据。
将参照图7a对该系统可以使用的方法的示例进行描述。这是在标签200与rfid接口320之间进行数据交换之前,或者更一般地在标签200与第二微控制器32之间进行数据交换之前所使用的认证算法或方法。在下面的描述中,rfid接口320实施该认证中的不同步骤。
根据该示例,rfid接口320和消耗性或可拆卸元件20的标签200都存储有并且使用私有认证密钥k_auth;加密算法使用该密钥,用于该算法的数据首先存储在rfid接口320中,其次存储在标签200中。
当事件发生时,例如,当上述事件之一发生时,装置320生成例如48位的第一随机数(更一般地,信息项)a(步骤701),装置320将该第一随机数发送至消耗性或可拆卸元件20的标签200(步骤702);标签200使用其加密算法和存储在消耗性或可拆卸元件20的标签200中的k_auth密钥来以mac形式对该第一随机数加密(步骤703),并将经加密的例如包含64位的数字c(a,k_auth)发送至打印机(在步骤704中)。
rfid接口320执行相同的操作,其使用其加密算法和存储在第二微控制器32中的密钥k_auth来对同一随机数a进行加密(步骤706),从而形成macc’(a,k_auth)。
rfid接口320将通过其内部计算所获得的结果c’(a,k_auth)与标签200所返回的结果c(a,k_auth)进行比较(步骤707)。
如果c’(a,k_auth)=c(a,k_auth)(或更一般地,如果c(a,k_auth)和c’(a,k_auth)之间的关系满足能证明他们是相同的或者他们是对应的要求),则标签(和相关联的耗材)是可信的(步骤708),并且可以在该标签200与rfid接口320之间交换数据(例如,包含在标签200中的机密数据)。这些数据符合技术使用数据的标准(这些数据将应用于机器的技术方面或者功能和/或机器的技术操作方面)。否则,标签200和与其相关联的消耗性或可拆卸元件20被识别为不可信(步骤709),并且不能在该标签与rfid接口320之间交换这些数据。
更通常地,当安装备用部件时或在将盒子或瓶子中的耗材(例如,诸如墨水或溶剂之类的流体)排掉之前,可以进行如上所述的认证。
当使用该认证方法时,使用密钥k_auth来计算mac,该mac将对从“标签”200到控制器3(实际上是到rfid接口320)的信息传输进行授权或者不授权,反之,该mac将对从控制器3(实际上是到rfid接口320)到“标签”200的信息传输进行授权或不授权。
为了提供对标签200的数据的更好保护,认证可以是相互的,并且标签200可以进而使用图7b中的方法来生成该标签200提交给打印机的随机数:
-标签200生成例如有48位的随机数(更一般地,信息项)b(步骤701’),标签200将该随机数发送至rfid接口320(步骤702’),rfid接口320使用其加密算法和存储在第二微控制器32中的私有密钥k_auth来以mac形式对所述随机数进行加密(步骤703’),并且将例如包含64位的经加密的随机数c(a,k_auth)发送至标签200(步骤704’);
-标签200执行相同的操作:该标签200使用其加密算法和存储在标签200中的私有密钥k_auth来对同一随机数b进行加密(步骤706’),从而形成macc’(b,k_auth);
-标签200将通过其内部计算获得的结果c’(b,k_auth)与由rfid接口320返回的结果c(b,k_auth)进行比较(步骤707’)。
如果c’(b,k_auth)=c(b,k_auth)(或更一般地,如果c(b,k_auth)和c’(b,k_auth)之间的关系满足使得可以得出他们一致或者相对应的结论的要求时),则标签200可以与控制器3交换数据(步骤708’)。否则,认为控制器3是不可信的,或者更一般地,不授权与控制器3进行交换数据(步骤709’)。可以以相反的顺序进行操作:首先是上文参照图7b描述的方法,然后是上文使用图7a描述的方法。
通常,在相互认证的情况下,优选地(分别通过控制器3或者通过消耗性或可拆卸元件20)对上述2个认证进行验证,以得出是否可以在消耗性或可拆卸元件20与打印机之间进行数据交换,并且授权这样的交换,然后使用消耗性或可拆卸的元件20。此外,在相互认证的情况下,可以使用以下步骤:
-装置320生成第一随机数a,装置320将该第一随机数a发送至消耗性或可拆卸元件20的标签200;
-消耗性或可拆卸元件20的标签200生成第二随机数b,标签200将该第二随机数b发送至装置320;
-装置320根据随机数a和随机数b以及存储在第二微控制器32中的私有密钥k_auth来生成mac,并且将该mac发送至标签200;
-标签200根据随机数a和随机数b以及存储在标签200中的私有密钥k_auth来生成mac,并将该mac与装置320所发送的mac进行比较。标签200使用该比较结果来认证装置320或者不认证装置320。标签200所生成的mac也被发送至装置320;
-装置320将所生成的mac与标签200所发送的mac进行比较。装置320使用该比较结果来认证标签200或者不认证标签200。
上述方法确保了耗材和/或备用部件的可信方面以及存储在该标签中的数据的不可侵犯性。因此,消耗性或可拆卸元件的这种认证确保了该消耗性或可拆卸元件20所发送的标识符或任何其他信息是可信的。
上述用于消耗性或可拆卸元件20和打印机控制器3之间的认证的算法对应于多种可能的算法之一。还有其他可能的相互认证算法,例如,使用几个随机变量或函数。
此外,使用随机数来生成mac以确保mac被更新,从而提高系统内的安全性。
使其控制器为此目的而进行编程的打印机以及为此目的而进行编程的标签可以使用上述算法或方法。
可以在第二微控制器32和rfid接口320之间使用与上述算法或方法相同或类似的算法或方法。换句话说,rfid接口320可以由第二微控制器32进行认证。并且这种认证可以是相互的,例如使用与上文参照图7a和7b所述的相同方案。
在打印机(控制器)与标签200之间的数据交换过程中,可以将数据从打印机(或控制器)发送至标签200,这些数据已经使用密钥k_auth或者使用共享密钥k_trf进行了加密。控制器3也可以使用共享密钥来读取(解密)标签200向控制器3发送的数据。还可以在标签200中使用共享密钥k_trf以向控制器3发送数据,或者以读取或写入由控制器3发送的数据。
根据一个有利的实施例,共享密钥或者数据传送密钥k_trf与私有认证密钥k_auth不同。在这种情况下,与认证密钥k_auth相比,该共享密钥k_trf会更容易被解码。共享密钥k_trf主要地或唯一地用于对存储在存储器中的信息进行加密。认证密钥k_auth主要地或唯一地用于打印机控制器对消耗性或可拆卸元件进行认证,或者用于消耗性或可拆卸元件与控制器的相互认证或者反之亦然。这可以对盗取包含在标签和相关联的消耗性或可拆卸元件中的数据的风险进行限制。
例如,共享密钥k_trf可以是:
-由控制器3的制造商例如在制造控制器期间确定或选择的,该共享密钥可能随时间变化,例如周期性地,然后控制器能够具有密钥列表和可用于在任何所需时刻找到要使用的共享密钥的算法;
-由消耗性或可拆卸元件提供给控制器的,但仅在他们之间的认证已经被验证之后;
-从私有认证密钥k_auth推导出的密钥。
在上述示例性实施例中,对由至少下述3个元件形成的传输元件链中的信息传输进行识别和认证:第一微控制器30、第二微控制器32以及消耗性或可拆卸元件20。
作为一种变型,当第二微控制器32形成消耗性或可拆卸元件20的一部分时,该识别和认证方法可以用在由以下2个元件组成的链中:第一微控制器30和由第二微控制器32和消耗性或可拆卸元件20形成的组件。在这种情况下,上述在2个微控制器之间的识别和认证使得能够实现第一微控制器30与消耗性或可拆卸元件20之间的识别和认证。
例如在文献wo2014/154830或wo2009/047510中描述了喷墨打印机的墨水回路及其墨水盒和溶剂墨盒(当存在时)。
请记住,喷墨回路执行以下主要功能:
*向打印头1的液滴生成器供应压力下的适当质量的墨水;
*回收和再循环没有用于打印、从打印头1的檐槽返回的流体;
*进行抽吸以排放打印头1中的液滴发生器;
*在打印头维护操作期间向打印头1供应用于漂洗的溶剂。
该回路中的盒子之一或者两个盒子可以设置有根据本发明的标签。打印机控制器可以是上述类型的打印机控制器。
本发明可以用于与参照图1和图2描述的打印机类似的连续喷墨(cij)打印机。特别地,打印机包括打印头1,该打印头1通常与打印机3的主体相距一定距离并且通过例如柔性控制带2形式的装置连接至打印机,该柔性控制带2组装用于操作打印头所需的液压连接和电连接。
本发明可以有利地应用于未连接到诸如互联网之类的通信网络的打印机。