利用生物识别技术实现文件安全打印的方法及系统与流程

本发明涉及打印机领域，尤其涉及一种利用生物识别技术实现文件安全打印的方法及系统。

背景技术

日常办公中，打印机是常用的信息输出设备，具有重要的作用。对公司或企业来说，为每一台电脑都配置一台打印机是不现实的。这种情况下，将打印机与各电脑联网进行共享使用则在很大程度上解决了该问题。

然而，相关技术中至少存在如下问题：联网打印的打印机，在打印客户端以及网络传输过程中都存在安全隐患，另外，打印出来的文件公司内任何人都可以取走并看到，其保密性和安全性得不到保障，尤其涉及在保密项目和保密信息时重要资料的泄露会给企业带来严重问题。

目前，增强打印系统安全性的措施主要包括打印数据加密和身份认证等手段。为了保护打印文件的机密性，加密是一种常用手段。目前，大多产品使用非对称密码技术，也就是pki公钥基础设施来完成设备认证与密钥协商的过程，同时使用对称密码技术对打印文件进行加解密。打印系统中常用的身份认证手段包括口令密码、员工智能卡、生物认证等；口令密码存在容易遗忘、弱口令被暴力破解等问题，员工智能卡则无法真正验证用户身份，因为任何人都可以使用某个丢失的员工卡。基于人体生物特征进行身份认证可以避免上述问题，因此，越来越多的安全系统开始使用人体生物特征构建认证模块。

为了避免打印出来的文件公司内任何人都可以取走并看到，目前打印机端通常采用的安全性措施是，用户位于打印机端进行现场身份认证才能解锁打印机，开始打印。这种方法一方面需要用户等在打印机附近，耗费了用户时间，尤其当打印文件较大时时间成本很高，另一方面打印机附近的粉尘污染严重，不利于用户身体健康。

技术实现要素：

本发明提供一种利用生物识别技术实现文件安全打印的方法及系统，用以解决现有技术中打印方法和系统在打印客户端、网络传输以及打印机端全过程的保密性和安全性不高的问题。

第一方面，本发明提供了一种利用生物识别技术实现文件安全打印的方法，包括以下步骤：

s1，用户注册：用户在打印客户端提交注册请求，客户端提示用户录入自己的生物特征，用户录入完成后，客户端为用户生成加密认证数据dataauth，并发送到打印服务端存储；

s2，用户身份认证：用户在打印客户端提交打印任务时，客户端提示用户录入生物特征，待用户录入完毕后，打印客户端提取用户的生物特征向量，生成加密认证数据dataauth′并发送到打印服务端，进行用户身份认证，用户认证通过，服务端将对应用户的加密认证数据dataauth发送给客户端；

s3，打印数据加密：打印客户端接收加密认证数据dataauth，并结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，随后，客户端生成随机数r，并利用随机数r和用户主密钥keymaster生成对称密钥keysymm；随后，打印客户端使用对称加密密钥keysymm对打印文件进行对称加密，加密后的打印文件、随机数r、打印配置信息一并发送到打印服务端，在打印服务端按照对应的生物特征向量建立打印任务信息；

s4，打印数据解密：利用打印服务端存储的用户的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，利用随机数r和主密钥keymaster计算对称加密密钥keysym，解密打印文件，将解密后的打印文件发送给打印机设备的打印机进行打印；

s5，打印文件保存：取件箱和托筐以抽屉方式配合使用，空闲的托筐处于从取件箱中拉出的状态，将打印好的文件装订后放置于空闲的最上层的的托筐中，将存放了文件的托筐推入对应号码的取件箱中，打印服务端利用用户的加密认证数据dataauth结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，并使用keymaster为密钥对取件箱进行锁闭；

s6，打印文件取出：用户在打印服务端按提示录入生物特征，生成加密认证数据dataauth′，并在数据库中对存储的加密认证数据进行匹配检索，若有匹配结果，则用户认证通过，运行密钥生成算法生成用户主密钥keymaster；然后使用keymaster解锁取件箱；驱动器驱动打开对应号码的取件箱，用户取出文件。

较佳地，打印机设备与打印服务端可以是一体化系统。

较佳地，所述生物特征包括但不限于指纹、人脸、虹膜、指静脉、声纹。

较佳地，在步骤s2中还包括s21，将加密认证数据dataauth′与打印服务端中的加密认证数据dataauth进行一一匹配，若找到匹配认证数据，则用户认证通过，否则删除当前加密认证数据dataauth′，结束任务。

较佳地，在步骤s5还包括s51，在将打印好的文件装订完成后发送信号给打印服务端，打印服务端发送启动信号给设置于打印设备中的机械手，机械手将文件抓取后放置于空闲的最上层的托筐的托板上，托板上的传感器感知到文件被放置后，将信号传输给打印服务端，打印服务端控制促动器向前推动托筐，使其插入进对应的取件箱中；其中，打印机设备包括设备壳体、打印机、机械手、包括托底和背板的托筐以及取件箱，打印机、机械手、托筐和取件箱都设置于设备壳体内。

较佳地，在步骤s51还包括s511，抓取文件后的机械手根据打印服务端中记录的当前空闲的最上层的托筐的位置信息移动到对应的位置，将文件释放，机械手回复原位。

较佳地，在步骤s6还包括s61，用户取出文件关上取件箱门后，促动器拖动托筐回到原位。

第二方面，本发明提供了一种利用生物识别技术实现文件安全打印的控制系统，包括：

打印客户端装置和打印服务端装置；其中，

打印客户端装置包括：

用户注册模块：向用户提出注册请求，当用户接受该请求时，提示用户录入自己的生物特征，用户录入完成后，为用户生成加密认证数据dataauth，并发送到打印服务端装置存储；

身份认证数据生成模块：在用户提交打印任务时，提示用户录入生物特征，待用户录入完毕后，提取用户的生物特征向量，生成加密认证数据dataauth′并发送到打印服务端装置进行身份认证；

打印文件加密模块：在用户的身份认证通过后，接收打印服务端装置发送的用户的加密认证数据dataauth；并结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，生成随机数r，并利用随机数r和用户主密钥keymaster生成对称密钥keysymm；随后，使用对称加密密钥keysymm对打印文件进行对称加密，加密后的打印文件、随机数r、打印配置信息一并发送到打印服务端装置；

打印服务端装置包括：

接收认证数据模块：接收打印客户端为用户生成的加密认证数据dataauth；

用户身份认证模块：接收打印客户端生成的加密认证数据dataauth′，进行用户身份认证，用户认证通过，将对应用户的加密认证数据dataauth发送给客户端；

打印文件解密模块：接收打印客户端发送的加密后的打印文件、随机数r、打印配置信息，按照对应的生物特征向量建立打印任务信息，利用存储的用户的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，利用随机数r和主密钥keymaster计算对称加密密钥keysym，解密打印文件，将解密后的打印文件发送给打印机设备的打印机进行打印；

打印文件存放模块，用于接收到将打印好的文件装订完成的信号后，发送启动信号给设置于打印设备中的机械手，机械手将文件抓取后放置于空闲的最上层的托筐的托板上，托板上的传感器感知到文件被放置后，将信号传输给打印文件存放模块，打印文件存放模块控制促动器向前推动托筐，使其插入进对应的取件箱中；

取件箱加锁模块：利用用户的加密认证数据dataauth，并结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，并使用keymaster作为密钥对存放了打印装订好的文件的取件箱进行锁闭；

取件箱解锁模块：提示取件用户录入生物特征，生成加密认证数据dataauth′，并在数据库中对存储的加密认证数据进行匹配检索，若有匹配结果，则用户认证通过，运行密钥生成算法生成用户主密钥keymaster，解锁取件箱，驱动器驱动打开对应号码的取件箱。

较佳地，所述生物特征包括但不限于指纹、人脸、虹膜、指静脉、声纹。

较佳地，打印服务端装置的用户身份认证模块还用于，将加密认证数据dataauth′与打印服务端装置中的加密认证数据dataauth进行一一匹配，若找到匹配认证数据，则用户认证通过，否则删除当前加密认证数据dataauth′，结束任务。

较佳地，其中打印机设备包括设备壳体、打印机、机械手、包括托底和背板的托筐以及取件箱，打印机、机械手、托筐和取件箱都设置于设备壳体内；取件箱在竖直方向摞放，托筐能够以抽屉方式插入或退出取件箱。

较佳地，打印文件存放模块还用于，控制机械手移动到当前空闲的最上层的托筐的位置，将打印文件释放，之后控制机械手回复原位。

较佳地，打印文件存放模块还用于，在用户取出文件关上取件箱门后，控制促动器拖动托筐回到原位。

本发明的有益效果

本发明提供的打印方法及系统，通过识别访问用户上传的生物特征信息，确定该用户的生物特征信息是否属于已注册用户，以此来确定是否允许该用户向打印服务端上发送打印任务，确保了打印客户端的安全性。

基于生物特征的密钥生成的功能，能够保护用户生物特征模板的安全性，也能做到用户主密钥通过生物特征即时生成、即时使用、即时销毁、无需存储的目的，相对于公钥密码手段减少了密钥泄露风险。

另外，该方法及系统对保存打印文件的取件箱号码利用生物特征信息进行加密，只有符合该生物特征信息的用户才能取走文件，限制了能够取走打印文件的用户，同时，该方法和系统不需要用户等在打印机附近，节省了用户时间，避免了打印机附近的粉尘污染，有利于用户身体健康，而且该方法和系统将打印文件分别存储于不同的取件箱中，即使通过暴力破坏取件箱的方式也无法准确判断意图得到的打印文件存储的具体取件箱的位置，本发明提供的方法及系统阻止非授权用户得到打印文件的方式更彻底、工作效率更高，更加保证了打印用户要打印的文件的安全性和保密性。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作一简单的介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例的打印方法的流程图；

图2是本发明一实施例的打印系统的组成图；

图3是本发明一实施例的打印控制系统的结构示意图；

图4是本发明一实施例的打印机设备的结构图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施方式及实施方式中的特征可以相互组合。

本发明可用于众多通用或专用的计算系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络pc、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

本发明中由计算机执行的计算机可执行指令在一般上下文中描述为，例如模块。一般地，模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序可以位于包括存储设备在内的本地和远程计算机中。

最后，还需要说明的是，在本文中，诸如术语“包括”、“包含”，不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

图1是本发明一实施例的打印方法的流程图。如图1所示，该方法包括：

s1，用户注册：用户在打印客户端提交注册请求，客户端提示用户录入自己的生物特征，用户录入完成后，客户端为用户生成加密认证数据dataauth，并发送到打印服务端存储；

s2，用户身份认证：用户在打印客户端提交打印任务时，客户端提示用户录入生物特征，待用户录入完毕后，打印客户端提取用户的生物特征向量，生成加密认证数据dataauth′并发送到打印服务端，进行用户身份认证，用户认证通过，服务端将对应用户的加密认证数据dataauth发送给客户端；

s3，打印数据加密：打印客户端接收加密认证数据dataauth，并结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，随后，客户端生成随机数r，并利用随机数r和用户主密钥keymaster生成对称密钥keysymm；随后，打印客户端使用对称加密密钥keysymm对打印文件进行对称加密，加密后的打印文件、随机数r、打印配置信息一并发送到打印服务端，在打印服务端按照对应的生物特征向量建立打印任务信息；

s4，打印数据解密：利用打印服务端存储的用户的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，利用随机数r和主密钥keymaster计算对称加密密钥keysym，解密打印文件，将解密后的打印文件发送给打印机设备3的打印机32进行打印；

s5，打印文件保存：取件箱37和托筐34以抽屉方式配合使用，空闲的托筐34处于从取件箱37中拉出的状态，将打印好的文件装订后放置于空闲的最上层的托筐34中，将存放了文件的托筐34置于对应号码的取件箱37中，打印服务端利用用户的加密认证数据dataauth，并结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，随后，使用keymaster为密钥对取件箱37进行锁闭；

s6，打印文件取出：用户在打印服务端按提示录入生物特征，生成加密认证数据dataauth′，并在数据库中对存储的加密认证数据进行匹配检索，若有匹配结果，则用户认证通过，运行密钥生成算法生成用户主密钥keymaster；然后使用keymaster解锁取件箱37；驱动器驱动打开对应的取件箱37，用户取出文件。

其中，打印机设备3与打印服务端为一体化系统。

其中，所述生物特征包括但不限于指纹、人脸、虹膜、指静脉、声纹。

其中，在步骤s2中还包括s21，将加密认证数据dataauth′与打印服务端中的加密认证数据dataauth进行一一匹配，若找到匹配认证数据，则用户认证通过，否则删除当前加密认证数据dataauth′，结束任务。

其中，在步骤s5还包括s51，在将打印好的文件装订完成后发送信号给打印服务端，打印服务端发送启动信号给设置于打印机设备3中的机械手33，机械手33将文件抓取后放置于空闲的最上层的托筐34的托板35上，托板35上的传感器感知到文件被放置后，将信号传输给打印服务端，打印服务端控制促动器向前推动托筐34，使其插入进对应的取件箱37中。

其中，在步骤s51还包括s511，抓取文件后的机械手33根据打印服务端中记录的当前空闲的最上层的托筐34的位置信息移动到对应的位置，将文件释放，之后机械手33回复原位。

其中，在步骤s6还包括s61，用户取出文件关上取件箱37门后，促动器拖动托筐34回到原位。

本实施例中，打印服务端是对执行本发明方法实施例中的步骤的设备的一种说明，以便于理解本发明实施例，并非用于限制本发明。当打印机的数量为一个时，打印服务端可以通过例如局域网等连接方式与该打印机连接，打印服务端也可以直接集成在该打印机中，作为打印机的一部分实施上述步骤。当打印机的数量为多个时，打印服务端与多台打印机可以是例如，通过局域网、无线网络等进行连接。

图2是本发明一实施例的打印系统的组成图。打印系统1其包括：打印控制系统2和打印机设备3，打印控制系统2包括打印客户端装置4和打印服务端装置5。

图3是本发明一实施例的打印控制系统2的结构示意图。其包括：

打印客户端装置4和打印服务端装置5；其中，

打印客户端装置4包括：

用户注册模块6：向用户提出注册请求，当用户接受该请求时，提示用户录入自己的生物特征，用户录入完成后，为用户生成加密认证数据dataauth，并发送到打印服务端装置5存储；

身份认证数据生成模块7：在用户提交打印任务时，提示用户录入生物特征，待用户录入完毕后，提取用户的生物特征向量，生成加密认证数据dataauth′并发送到打印服务端装置5进行身份认证；

打印文件加密模块8：在用户的身份认证通过后，接收打印服务端装置5发送的用户的加密认证数据dataauth并结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，生成随机数r，并利用随机数r和用户主密钥keymaster生成对称密钥keysymm；随后，使用对称加密密钥keysymm对打印文件进行对称加密，加密后的打印文件、随机数r、打印配置信息一并发送到打印服务端装置5；

打印服务端装置5包括：

接收认证数据模块9：接收打印客户端装置4为用户生成的加密认证数据dataauth；

用户身份认证模块10：接收打印客户端装置4生成的加密认证数据dataauth′，并行用户身份认证，用户认证通过，将对应用户的加密认证数据dataauth发送给打印客户端装置；

打印文件解密模块11：接收打印客户端发送的加密后的打印文件、随机数r、打印配置信息，按照对应的生物特征向量建立打印任务信息，利用存储的用户的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，利用随机数r和主密钥keymaster计算对称加密密钥keysym，解密打印文件，将解密后的打印文件发送给打印机设备3的打印机32进行打印；

打印文件存放模块，用于接收到将打印好的文件装订完成的信号后，发送启动信号给设置于打印设备中的机械手，机械手将文件抓取后放置于空闲的最上层的托筐的托板上，托板上的传感器感知到文件被放置后，将信号传输给打印文件存放模块，打印文件存放模块控制促动器向前推动托筐，使其插入进对应的取件箱中；

取件箱加锁模块12：利用用户的加密认证数据dataauth，并结合之前提取的生物特征向量，运行密钥生成算法生成用户主密钥keymaster，使用keymaster作为密钥，对存放了打印装订好的文件的取件箱37进行锁闭；

取件箱解锁模块13：提示取件用户录入生物特征，生成加密认证数据dataauth′，并在数据库中对存储的加密认证数据进行匹配检索，若有匹配结果，则用户认证通过，并运行密钥生成算法生成用户主密钥keymaster；解锁取件箱37，驱动器驱动打开对应号码的取件箱37。

其中，所述生物特征包括但不限于指纹、人脸、虹膜、指静脉、声纹。

其中，打印服务端装置5的用户身份认证模块10还用于，将加密认证数据dataauth′与打印服务端装置5中的加密认证数据dataauth进行一一匹配，若找到匹配认证数据，则用户认证通过，否则删除当前加密认证数据dataauth′，结束任务。

其中，打印文件存放模块还用于，控制抓取了文件的机械手33移动到当前空闲的最上层的托筐36的位置，将文件释放，之后控制机械手33回复原位。

其中，打印文件存放模块还用于，在用户取出文件关上取件箱38门后，控制促动器拖动托筐36回到原位。

图4是本发明一实施例的打印机设备3的结构图。

打印机设备3包括设备壳体31、打印机32、机械手33、包括托底35和背板36的托筐34以及取件箱37，打印机32、机械手33、托筐34和取件箱37都设置于设备壳体内，取件箱37在竖直方向摞放，取件箱37为缺少背板的中空的箱体，托筐34能够以抽屉方式插入或退出取件箱37，托筐从缺少背板的一侧进出取件箱37，取件箱37的前板38即为取件箱门38，取件箱门38暴露于设备壳体31之外，在托筐34处于空闲状态时，其退出取件箱37，当放置了打印装订好的文件后，托筐34被推动插入取件箱37中。

打印机设备3将发送来的解密后的打印文件进行打印，打印完成后进行装订，之后将装订完毕信号发送给打印服务端装置5，打印服务端装置5发送启动信号给设置于打印机设备中的机械手33，根据打印服务端装置5中记录的当前空闲的最上层的托筐34的位置信息移动到对应的位置，该位置即空闲的最上层的托筐34的托板35的位置，将打印文件释放，机械手33回复原位，托板35上的传感器感知到文件被放置后，将信号传输给打印服务端装置5，打印服务端装置5控制促动器(未示出)向前推动托筐34，使其插入进对应的取件箱38中。当用户要取出打印文件时，首先进行身份认证，并解密取件箱38号码后，驱动器(未示出)驱动打开对应号码的取件箱37，用户取出文件，关上取件箱门38，促动器拖动托筐34回到原位。

其中抽屉式的托筐34和取件箱37可以采用其他方式来实现，例如，取消托筐34，由机械手33直接将打印装订好的文件放置于缺少背板的取件箱37中，或者，取消托筐34和机械手33，由打印机托放打印好的文件的搁板上下移动到空闲的取件箱的位置，再通过推动器直接将文件推放进取件箱里；以及任何可以实现将打印好的文件放置于取件箱的方式都可以作为本申请的操作方式。

本实施例中，打印服务端是对执行本发明方法实施例中的步骤的设备的一种说明，以便于理解本发明实施例，并非用于限制本发明。当打印机的数量为一个时，打印服务端可以通过例如局域网等连接方式与该打印机连接，打印服务端也可以直接集成在该打印机中，作为打印机的一部分实施上述步骤。当打印机的数量为多个时，打印服务端与多台打印机可以是例如，通过局域网、无线网络等进行连接。

通过以上的实施例的描述，本领域的技术人员可以清楚地了解到各实施例可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。