一种保护网络打印机缓存资源的方法和装置与流程

本申请涉及网络通信技术领域，特别涉及一种保护网络打印机缓存资源的方法和装置。

背景技术：

网络打印机是指通过打印服务器将打印机作为独立的设备接入局域网或者internet，从而使打印机摆脱一直以来作为电脑外设的附属地位，使之成为网络中的独立成员，成为一个可与其并驾齐驱的网络节点和信息管理与输出终端，其他成员可以直接访问使用该打印机。

如今供应商提供的网络打印机的种类多种多样，其中，部分网络打印机支持文件缓存和文件管理的功能，用户可以远程通过命令或者文件管理页面浏览、查看和下载网络打印机内的缓存文件。

然而，当非法用户非法获取网络打印机中缓存的资源时，会导致资源泄露的情况。

技术实现要素：

有鉴于此，本申请提供一种保护网络打印机缓存资源的方法和装置，应用于接入交换机，通过检测用户发送至网络打印机的报文是否合法，并在确定所述报文为非法报文时，将所述报文进行丢弃，从而来保护网络打印机中缓存的资源。

具体地，本申请是通过如下技术方案实现的：

一种保护网络打印机缓存资源的方法，应用于接入交换机，包括：

接收发送至网络打印机的报文；

通过预配置的非法报文检测规则，对所述报文进行检测；

当确定所述报文为非法报文时，丢弃所述报文。

一种保护网络打印机缓存资源的装置，应用于接入交换机，包括：

接收单元，用于接收发送至网络打印机的报文；

检测单元，用于通过预配置的非法报文检测规则，对所述报文进行检测；

丢弃单元，用于当确定所述报文为非法报文时，丢弃所述报文。

在本申请的技术方法中，接入交换机上预先配置了非法报文的检测规则，所述接入交换机可以通过所述检测规则对用户发送至网络打印机的报文进行检测，确定所述报文是否为非法报文。如果所述报文为非法报文，所述接入交换机可以将所述报文进行丢弃，从而可以保护网络打印机的缓存资源。

附图说明

图1为本申请实施例示例性示出的一种保护网络打印机缓存资源的方法流程图；

图2为本申请一种保护网络打印机缓存资源的装置所在接入交换机的一种硬件结构图；

图3为本申请实施例示例性示出的一种保护网络打印机缓存资源的装置。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在申请中，所述网络打印机是指通过打印服务器将打印机作为独立的设备接入局域网或者internet，从而使打印机摆脱一直以来作为电脑外设的附属地位，使之成为网络中的独立成员，成为一个可与其并驾齐驱的网络节点和信息管理与输出终端，其他成员可以直接访问使用该打印机。

当用户使用所述网络打印机进行打印时，用户可以将需要到打印的文件发送至所述网络打印机。当所述网络打印机接收到需要打印的文件时，所述网络打印机可以将所述文件进行打印。

其中，部分网络打印机支持文件缓存和文件管理功能。所述文件缓存是指网络打印机可以提供缓存空间对接收到的文件进行存储。所述文件管理是指所述网络打印机可以对缓存中文件进行组织、分配、回收、检索、共享等，实现对缓存中的文件进行统一的管理。

如果用户需要访问网络打印机的缓存文件，用户可以远程通过命令，或者与所述网络打印机对应的文件管理页面，浏览、查看和下载网络打印机的缓存文件等。

如果非法用户通过上述途径来获取网络打印机中的缓存文件时，会造成文件信息资源泄露的问题。

通常，用户获取网络打印机的缓存文件的途径主要包括以下四种情况：

1)、通过pjl(printerjoblanguage，打印机作业语言)中的fsupload命令获取

所述pjl中包括多种命令，其中fsupload命令用于所述网络打印机将全部或者部分文件上传至主机。当所述网络打印机接收到用户发送pjl报文，其中所述pjl报文中携带的执行命令为fsupload命令时，所述网络打印机可以将用户所需要的文件上传至用户。

2)、通过文件管理页面获取

所述网络打印机通过文件管理功能对缓存中的文件进行统一的组织与管理，为缓存中的文件创建了访问目录，构建了检索路径等。其中，file_property.html或filelist_main.html所对应的网页中包含了所述网络打印机缓存的文件。用户可以在文件管理页面进入file_property.html或filelist_main.html所对应的页面，查看、浏览和下载缓存文件等。具体实现时，用户可以向所述网络打印机发送携带超文本语言标记为file_property.html或filelist_main.html的报文，用户就可以访问到网络打印机中的缓存文件。

3)、通过ftp、telnet、http、https等远程服务获取

所述ftp、telnet、http、https均为远程服务的网络协议，用户可以通过ftp、telnet、http、https等网络协议访问到网络打印机，利用一些命令或者其他的操作从所述网络打印机中获取到缓存的文件。

4)、通过http、https漏洞攻击获取

所述http、https协议存在安全漏洞，黑客通常通过攻击http、https协议存在的安全漏洞，模拟合法用户窃取网络资源。

用户可以通过攻击http、https的漏洞，访问网络打印机，然后从所述网络打印机中获取缓存文件。

为了防止非法用户通过上述途径获取网络打印机中的缓存文件，本申请提出了一种保护网络打印机缓存资源的方法，应用于接入交换机，当然，所述方法也可以应用于网关设备、网络出口设备等。所述方法包括：接收发送至网络打印机的报文；通过预配置的非法报文检测规则，对所述报文进行检测；当确定所述报文为非法报文时，丢弃所述报文。

在本申请的技术方法中，接入交换机上预先配置了非法报文的检测规则，所述接入交换机可以通过所述检测规则对用户发送至网络打印机的报文进行检测，确定所述报文是否为非法报文。如果所述报文为非法报文，所述接入交换机可以将所述报文进行丢弃，从而可以保护网络打印机的缓存资源。

以下通过具体的实施例和示意图对本申请提出的技术方法进行描述。

请参见图1，图1为本申请实施例示例性示出的一种保护网络打印机缓存资源的方法流程图，应用于接入交换机，具体执行以下步骤：

步骤101：接收发送至网络打印机的报文；

步骤102：通过预配置的非法报文检测规则，对所述报文进行检测；

步骤103：当确定所述报文为非法报文时，丢弃所述报文。

在本申请中，所述接入交换机上预先配置了非法报文检测规则。当接入交换机接收到用户发送至网络打印机的报文时，所述接入交换机可以基于所述检测规则对所述报文进行检测，判断所述报文是否为非法报文，如果是，将所述报文进行丢弃。

其中，所述检测规则包括发送至所述网络打印机的pjl报文携带的执行命令为fsupload命令时，判定所述报文为非法报文(定义为检测规则1)。

当接入交换机接收到任何用户发送至所述网络打印机的报文时，所述接入交换机可以通过检测规则1对所述报文进行检测。具体实现时，所述接入交换机可以判断所述报文是否为pjl报文。如果所述报文为pjl报文，所述接入交换机可以进一步判断所述pjl报文中携带的执行命令是否为fsupload命令。如果是，所述接入交换机可以判定所述报文为非法报文。

当所述接入交换机确定所述报文为非法报文时，所述接入交换机可以将所述报文进行丢弃。

在本申请中，所述检测规则还包括发送至所述网络打印机的http、https报文所访问的url为file_property.html或filelist_main.html时，判定所述报文为非法报文(检测规则2)。

当接入交换机接收到任何用户发送至所述网络打印机的http、https报文时，所述接入交换机可以通过检测规则2对所述报文进行检测。具体实现时，所述接入交换机可以解析所述报文，判断所述报文的类型是否是http、https报文。如果是，所述接入交换机可以进一步判断所述报文所访问的url是否为file_property.html或filelist_main.html，如果是，所述接入交换机可以判定所述报文为非法报文。

当所述接入交换机确定所述报文为非法报文时，所述接入交换机可以将所述报文进行丢弃。

在本身请中，所述检测规则还包括发送至所述网络打印机的远程服务报文所采用的远程协议为ftp、telnet、http、https时，判定所述远程服务报文为非法报文(检测规则3)。

当接入交换机接收到任何用户发送至所述网络打印机的报文时，所述接入交换机可以通过检测规则3对所述报文进行检测。具体实现时，所述接入交换机可以判断所述报文所采用的远程协议是否为ftp、telnet、http、https。如果是，所述接入交换机可以判定所述报文为非法报文。

然而，所述网络打印机需要管理员进行管理，因此，管理员可以通过远程服务，向所述网络打印机发送远程服务报文；其中，所述远程服务报文所采用的远程协议为http。

在本申请中，所述检测规则还包括管理员发送至所述网络打印机的http、https报文所访问的url不是file_property.html或filelist_main.html时，判定所述报文为合法报文(检测规则4)。

当接入交换机接收到发送至所述网络打印机的报文时，所述接入交换机可以通过检测规则4对所述报文进行检测，具体实现时，所述接入交换机可以判断所述报文的源ip是否为管理员的ip，如果是，所述接入交换机可以进一步判断所述报文是否为http、https报文。如果是，所述接入交换机可以再进一步判断所述报文所访问的url是否是file_property.html或filelist_main.html。如果不是，所述接入交换机可以判定所述报文为合法报文。

当所述接入交换机确定所述报文为合法报文时，所述接入交换机可以将所述报文转发至所述网络打印机。

其中，由于检测规则的具体形式不一样，所述检测规则对所述报文检测时所得到的检测结果也不同。比如，所述检测规则的具体形式可以为acl规则，由于acl规则对所述报文进行匹配时，与acl规则所在的位置有关。因此，当所述检测规则对所述报文进行检测时，上述4条检测规则按照所述检测规则的先后顺序对所述报文进行匹配，当所述报文匹配中任意一条检测规则时，就按照匹配中的检测规则执行动作，不再与剩下的检测规则进行匹配。

当上述检测规则中的检测规则3在检测规则4之前时，所述接入交换机接收到管理员发送至所述网络打印机的http、https报文；其中所述报文所访问的url不是file_property.html或filelist_main.html时，判定所述报文为合法报文。由于所述报文与检测规则3和检测规则4均匹配，那么所述报文将会匹配到的检测规则3，不再与检测规则4进行匹配。所述接入交换机将判定所述报文为非法报文，并将所述报文进行丢弃。

然而，在申请中，所述报文为合法报文，因此，在申请中的检测规则需要进一步处理。

在可选的一种实施方式中，当所述检测规则不是acl规则时，为所述检测规则设置优先级。其中，在本申请中，检测规则4的优先级高于检测规则3的优先级。检测规则1和检测规则2的优先级可以根据需要进行设置。

当所述接入交换机接收到发送至所述网络打印机的报文时，所述接入交换机可以将所述报文与检测规则1、检测规则2、检测规则3、检测规则4分别进行匹配。当所述报文匹配中多条检测规则时，按照优先级高的检测规则执行相应的动作。

由于检测规则4的优先级高于检测规则3，因此，所述接入交换机接收到管理员发送至所述网络打印机的报文；其中所述报文所采用的远程协议为http时，所述报文可以匹配到检测规则3和检测规则4，所述接入交换机按照检测规则4判定所述报文为合法报文，然后将所述报文转发至所述网络打印机。

在另一种可选的实施方式中，所述检测规则可以为acl规则，在该实施例中，可以将acl规则加载于acl芯片，通过所述acl芯片对接收到的报文进行检测。如果没有acl芯片，所述acl规则可以加载于cpu中，通过cpu对接收到的报文进行检测。其中，检测规则1、检测规则2、检测规则3、检测规则4所对应的acl规则如表1所示，表1为本申请示例性示出的acl列表。

表1

其中，检测规则1对应于acl1，检测规则2对应于acl2，检测规则3对应于acl4，检测规则4对应于acl3。所述acl表项除了包含acl名称、源ip、目的ip、条件、动作外，还可以包含其他信息，比如出接口。在本申请中，对所述acl表项的内容不进行限定。

当所述接入交换机接收到报文时，可以将所述报文与acl列表中的acl表项进行匹配，其中，所述报文与acl表项匹配时，按照acl表项在所述acl列表中的先后顺序进行匹配，即按照acl1→acl2→acl3→acl4的顺序进行匹配，当匹配中任一acl表项，所述接入交换机将所述报文按照匹配中的acl表项中的动作进行处理。

由于，acl3在acl4之前，因此，当所述接入交换机接收到管理员发送至所述网络打印机的http、https报文先匹配中acl3，所述报文不再与acl4进行匹配，因此，所述接入交换机可以判定所述报文为合法板文，并将所述报文转发至所述网络打印机。

由上述本申请提供的技术方法可见，所述技术方法应用于接入交换机，所述接入交换机上预先配置了非法报文的检测规则，所述接入交换机可以通过所述检测规则对用户发送至网络打印机的报文进行检测，确定所述报文是否为非法报文。如果所述报文为非法报文，所述接入交换机可以将所述报文进行丢弃，从而可以保护网络打印机的缓存资源。当然，所述技术方法也可以应用于网关设备、网络出口设备等。

与前述一种保护网络打印机缓存资源的方法的实施例相对应，本申请还提供了一种保护网络打印机缓存资源的装置的实施例。

本申请一种保护网络打印机缓存资源的装置的实施例可以应用在接入交换机上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在接入交换机的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图2所示，为本申请一种保护网络打印机缓存资源的装置所在接入交换机的一种硬件结构图，除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的接入交换机通常根据该保护网络打印机缓存资源的实际功能，还可以包括其他硬件，对此不再赘述。

请参见图3，图3为本申请实施例示例性示出的一种保护网络打印机缓存资源的装置，应用于接入交换机，所述装置包括：接收单元310、检测单元320、丢弃单元330。

其中，所述接收单元310，用于接收发送至网络打印机的报文；

所述检测单元320，用于通过预配置的非法报文检测规则，对所述报文进行检测；

所述丢弃单元330，用于当确定所述报文为非法报文时，丢弃所述报文。

在本申请的装置中，所述检测规则包括：

发送至所述网络打印机的pjl报文中携带的执行命令为fsupload命令时，判定所述pjl报文为非法报文。

发送至所述网络打印机的http、https报文所访问的url为file_property.html或filelist_main.html时，判定所述报文为非法报文。

发送至所述网络打印机的报文所采用的协议为ftp、telnet、http、https时，判定所述报文为非法报文。

管理员发送至所述网络打印机的http、https报文所访问的url不是file_property.html或filelist_main.html时，判定所述报文为合法报文。

其中，各检测规则配置了优先级，检测规则为管理员发送至所述网络打印机的http、https报文所访问的url不是file_property.html或filelist_main.html时，判定所述报文为合法报文时所对应的优先级，高于检测规则为发送至所述网络打印机的报文所采用的协议为ftp、telnet、http、https时，判定所述报文为非法报文时所对应的优先级。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。