专利名称:基于虚拟打印机技术的数据安全打印控制方法
技术领域:
本发明涉及计算机软件系统、地理信息系统(GIS)、计算机辅助设计(CAD)、计算机地图制图(CAC),信息安全、打印安全等领域,特别涉及对打印机进行安全打印控制的方法。
背景技术:
目前,在传统打印安全控制技术领域中,主要从系统应用层监听打印数据流信息。但是,打印监听模块只负责监听,而不参与任何的打印控制过程,传统的打印安全控制无法确保数据在整个生命周期内始终处于安全保护状态之下。为解决上述问题,需要一种新的方法,能够实现与打印文档格式无关、打印机品牌、型号、连接方式无关的打印任务实时监控方法,并具有随时阻止打印操作的功能。名称为“一种打印监控的方法及系统”,申请号CN201010106945.3,公开号CN101826048A的中国专利,公开了一种打印监控方法,该方法包括以下步骤:在待监控的打印机执行打印业务之前,确定所述待监控的打印机的属性信息;将确定的所述待监控的打印机的属性信息与预先设定的打印机策略列表中的属性信息进行比较;根据比较结果允许打印机启动所述打印业务,或者,禁止打印机启动所述打印业务。名称为“多点文件打印管控系统及方法”,申请号为CN200510032985.7,公开号为CN1808415的中国专利,公开了一种安全打印监控方法,该方法主要包含了一种多点文件打印管控系统,其包括一个服务器及多个与服务器相连的打印机,该多点文件打印管控系统还包括:资安管控中心、与资安管控中心及服务器相连的资安控制台,其中:资安管控中心用于收集资安控制台发送的监控信息,该资安管控中心储存有打印策略,用于判断上述收集到的监控信息是否合法并将判断结果传送至资安控制台;资安控制台作为资安管控中心与服务器交流信息的平台;服务器用于执行打印监控作业。上述两个专利中的打印管控系统过分依赖Windows应用程序,与打印驱动层没有互锁安全机制,即不参与中间的打印过程控制,即使后台监听程序截获到非法打印操作,也只能在打印事件发生之后强行终止打印工作,无法实现打印过程监听或监控,这样容易造成数据泄密。
发明内容
为了实现从操作系统内核底层保证打印数据的安全控制,借鉴虚拟打印机技术,提出了打印缓冲池监控、打印缓冲池文件解析、打印缓冲池文件转换、打印缓冲池文件控制的解决思路,进而提出了一种基于虚拟打印机技术的数据安全打印控制的方法。为实现上述目的,本发明包括如下步骤:
步骤(I):采用虚拟打印机技术,实时监控打印池目录,实现监控所述虚拟打印机发起的打印任务,并截获该打印任务生成的打印池文件;
步骤(2):对获取的打印池文件进行解析; 步骤(3):对解析后的打印池文件进行自定义文件格式转换;
步骤(4):控制打印池中文件启动真实打印操作。在所述步骤(I)监控打印池目录时,在发起打印操作之前,强制生成预定的打印池文件格式。在步骤(3)之后,还包括:对转换后的自定义格式文件进行加密处理,并保留至存储位置,作为后续真实打印和追踪查看的数据参照。在步骤(4)之前,还包括:对转换后的自定义格式文件解密处理,并转发送至真实的打印机设备,实现真实打印任务启动,开始进行打印输出。所述文件格式解析、文件格式转换、文件加密和文件格式解密均在所保护的内存区域中进行,对第三方应用程序具有阻止访问功能。采用上述技术方案的本发明,采用系统内核驱动层开发技术,在系统内核层嵌入虚拟驱动程序,确保任何经过操作系统响应的打印工作必须首先经过虚拟驱动程序,虚拟驱动程序监控打印池目录,对打印池中文件进行解析、转换、加密、备份之后方可转入与打印机硬件相关的打印驱动程序,打印驱动程序对数据解密然后进入打印机打印队列。这样在打印过程中,任何一个环节受到非法攻击,数据即不能被打印,也不会导致数据泄密。因此,本发明大大提高了打印的安全控制性能,也解决了从应用层进行打印信息和数据监控易受到非法攻击的问题。
图1是本发明的监控机理示意图。图2是本发明的实现架构图。图3是本发明的数据安全打印控制方法的作业流程图。图4是本发明打印池中文件解析示意图。
具体实施例方式本发明采用操作系统内核底层开发技术,在打印缓冲池监控、打印缓冲池文件解析、打印缓冲池文件转换、打印缓冲池文件控制的思想下,实现了任何格式文件输出的安全打印控制。具体实施时,技术人员可以根据具体需要进行设定自定义的打印文件保存格式,在对文件进行打印过程中,可以采用自定义的加密算法,可大大增强系统的灵活性和安全性。安全打印平台采用系统内核驱动层开发技术,图1所示,为本发明安全打印监控机理图,在系统内核层嵌入安全打印监控驱动程序,确保任何经过操作系统响应的打印工作必须首先经过安全打印监控驱动程序,数据进行相应的加密、备份之后方可转入与打印机硬件相关的打印驱动程序,然后方可进入打印机打印队列,图2所示,为本发明的实现架构图。图3所示,为本发明的数据安全打印控制方法的作业流程图,具体地说,为该方法包括以下几个步骤:
步骤1:采用虚拟打印机技术,当打印客户端发起打印任务时,虚拟打印驱动获取客户端打印动作,这样可以保证任何经过操作系统响应的打印工作必须首先经过安全打印监控驱动程序,打印缓冲池文件由打印驱动中的打印假脱机组件生成,安全打印监控驱动程序实时监控打印池目录,很容易获得打印缓冲池文件的生成时机,并截获该打印任务生成的打印池文件,实现对打印过程的监控。需要说明的是,Windows的假脱机打印在Windows/System32/spool/PRINERS目录下生成.spl和.shd文件,打印缓冲池SPL文件是由多个EMF组成的,同时它也包含着一些其他的信息,通过读取缓冲池文件指定的区域,可以得到I个或数个EMF文件,即强制生成的预定打印池文件格式。以打印123.txt为例,用户发起打印,安全打印平台通过打印驱动层立即获得打印池文件。步骤2:根据生成的打印缓冲池SPL文件,SPL文件是一大堆EMF文件的合集,在了解了 SPL文件结构基础上,安全监控驱动程序进行解析,解析的方法为:读取SPL文件特定位置区域后,这些区域内容写入后缀为.emf格式的文件中,通过这样的方法来剥离出EMF文件,在剥离时注意要去除其无用的文件头。这些都为本领域普通技术人员所熟知的技术,解析后转换为EMF、RAW和TXT等格式文件,图4所示,为本发明打印池中文件解析示意图。EMF为图形增强型图元文件,它为矢量文件,它能够无损地保持文件的原始效果,放大/缩小后并不失真,例如,123.txt的打印池文件是00075.shd、00075.spl,对其进行解析生成 Vdh326.emfο步骤3:安全监控驱动程序采用自定义的加密算法对EMF文件进行加密处理,然后将它们依次写入一个以”.dc”为后缀的文件中,从而完成对打印池文件的自定义文件格式转换,得到自定义的加密文件,上述的自定义加密算法可以为现有的通用加密算法,例如RSA加密算法、DES加密算法、IDEA加密算法、DSA加密算法、AES加密算法等等;最后将其发送到数据服务器,保留至一定的存储位置进行备份,备份矢量作为后续打印和追踪查看的数据参照。数据在传输和存储过程使用的是加密过的自定义文件,即便被第三方恶意获取,如果没有使用本发明的技术平台也是无法查看的。例如,对步骤2生成的Vdh326.emf,采用自定义的DES加密算法生成自定义文件00018.dc,这样只有通过本发明的技术平台才可以打开浏览。步骤4:控制打印池文件启动真实打印操作。任何发起的打印必须经过数据备份、提取信息之后方能开始打印。数据服务器完成数据备份之后,把打印信息和打印数据再转发给打印服务器,打印服务端接收到数据后进行数据解包和解密,并转发送至真实的打印机设备,实现真实打印任务启动,开始进行打印输出。对步骤3生成的00018.dc,备份之后发送打印服务端,对数据解包和解密之后打印输出。123.txt至此打印过程完成,通过上述流程可以看出整个打印过程保证了数据的安全。需要指出的是,上述文件格式解析、文件格式转换、文件加密和文件格式解密均在所保护的内存区域中进行,对第三方应用程序具有阻止访问功能。
权利要求
1.一种基于虚拟打印机技术的数据安全打印控制方法,其特征在于,它包括如下步骤: 步骤(I):采用虚拟打印机技术,实时监控打印池目录,实现监控所述虚拟打印机发起的打印任务,并截获该打印任务生成的打印池文件; 步骤(2):对获取的打印池文件进行解析; 步骤(3):对解析后的打印池文件进行自定义文件格式转换; 步骤(4):控制打印池中文件启动真实打印操作。
2.根据权利要求1所述的基于虚拟打印机技术的数据安全打印控制方法,其特征在于:在所述步骤(1)监控打印池目录时,在发起打印操作之前,强制生成预定的打印池文件格式。
3.根据权利要求1所述的基于虚拟打印机技术的数据安全打印控制方法,其特征在于,在步骤(3)之后,还包括:对转换后的自定义格式文件进行加密处理,并保留至存储位置,作为后续真实打印和追踪查看的数据参照。
4.根据权利要求3所述的基于虚拟打印机技术的数据安全打印控制方法,其特征在于,在步骤(4)之前,还包括:对转换后的自定义格式文件解密处理,并转发送至真实的打印机设备,实现真实打印任务启动,开始进行打印输出。
5.根据权利要求4所述的基于虚拟打印机技术的数据安全打印控制方法,其特征在于:所述文件格式解析、文件格式转换、文件加密和文件格式解密均在所保护的内存区域中进行,对第三方应用程序具有阻止访问功能。
全文摘要
一种基于虚拟打印机技术的数据安全打印控制方法,它包括如下步骤步骤(1)采用虚拟打印机技术,实时监控打印池目录,实现监控所述虚拟打印机发起的打印任务,并截获该打印任务生成的打印池文件;步骤(2)对获取的打印池文件进行解析;步骤(3)对解析后的打印池文件进行自定义文件格式转换;步骤(4)控制打印池中文件启动真实打印操作。这样在打印过程中,任何一个环节受到非法攻击,数据即不能被打印,也不会导致数据泄密。因此,本发明大大提高了打印的安全控制性能,也解决了从应用层进行打印信息和数据监控易受到非法攻击的问题。
文档编号G06F3/12GK103218181SQ20121001652
公开日2013年7月24日 申请日期2012年1月19日 优先权日2012年1月19日
发明者张富, 曹擎宇, 吕本科, 杨广东, 吕广闯 申请人:郑州鼎昌计算机科技有限公司, 张富, 张丽娟