打印机标识和安全的制作方法

本公开涉及一种用于在制造时为打印设备建立独特安全标识的方法和系统。

背景技术：

随着打印设备越来越依赖于与客户、其他打印设备和服务器的互连，这些打印设备变得更加易受未经授权的第三方的攻击或重新配置。对打印设备的未经授权的访问可能导致对私人客户数据的未经授权的访问和/或分发。此外，打印设备的未经授权的重新配置会导致对打印设备的损坏。

技术实现要素：

本申请涉及一种用于在制造时为打印设备建立独特安全标识的方法和系统。

例如，打印设备可以用于使诸如包括信用卡和借记卡在内的金融卡、标识卡、驾驶执照之类的塑料卡以及其他个性化塑料卡个性化。在一些实施例中，打印设备是卡打印机。

本文描述的实施例可以为任何类型的打印设备和打印设备的子组件生成独特安全标识。打印设备和打印设备的子组件(下文中简称为打印设备)的类型可以包括例如中央卡发布系统、台式卡打印机、台式压印机、护照系统、桌面层压机、智能卡读卡器、输入和/或输出卡料斗等。

每个独特安全标识可以包括一个或多个独特私钥，每个独特私钥与打印设备的不同操作(例如，认证到服务器的连接或加密有效载荷数据)相关联。每个独特私钥可以存储在打印设备的安全存储器部分中，或者由存储在打印设备的安全存储器部分中的存储根密钥保护。可以使用具有特定私钥的公钥基础设施(pki)来建立对打印设备的特定操作的授权，该特定私钥与打印设备要执行的特定操作和对应的公钥相关联。

在一些实施例中，安全存储器部分可以存储一个或多个公钥，每个公钥与打印设备的不同操作(例如，认证耗材、执行安全引导操作)相关联。每个独特公钥可以存储在打印设备的安全存储器部分中，或者由存储在打印设备的安全存储器部分中的存储根密钥保护。可以使用具有特定公钥的公钥基础设施(pki)来建立对打印设备的特定操作的授权，该特定公钥与打印设备要执行的特定操作和对应的私钥相关联。

可以在(例如，在工厂)制造时生成独特安全标识，以向用户提供打印设备未配置有未授权的固件、硬件和/或软件的保证。也就是说，本文描述的实施例在打印设备配置有未授权的固件、硬件和/或软件时，可以防止打印设备运行。本文描述的实施例还可以防止允许外部设备/软件监视客户个性化数据的网络攻击。

在制造时建立独特打印机标识为每个打印设备提供了可验证的标识，并且一旦将机器放入现场，就更难以破坏标识。它还创建了工厂基准，用于将认证固件与恶意软件和/或可能在现场添加的其他不需要的代码进行比较。

在一些实施例中，可以为以下操作中的每一个生成独特私钥：云服务器/服务对打印设备的认证；对供打印设备使用的耗材的认证；打印机客户端(例如，文档设计和/或发布和/或管理系统等)使用打印机协议对打印设备的认证；认证签名的固件以进行修改(例如，固件升级和/或固件降级)；认证打印管理器；认证模块化设备安全；认证打印设备的配置设置；认证打印作业的源、配置数据等；打印设备的安全和/或测量后的引导；安全套接层/传输层安全(ssl/tls)认证；认证模块化设备安全(多料斗、触摸屏等)；提供双重认证；认证私钥存储；认证文件系统加密(例如，整个文件系统加密、仅客户数据加密等)；有效载荷加密等。

在一些实施例中，可以在(例如，“在工厂处”)制造打印设备期间建立两个或更多个独特私钥。

此外，在一些实施例中，还可以在工厂之外制造之后(例如，由客户，或通过远程监视和管理(rmm)服务器组件(以下称为“客户标识”)来建立/加载一个或多个独特私钥。因此，客户可以用其自己的客户标识补充在厂标识或制造商标识。

在一个实施例中，提供了一种用于建立打印设备的独特安全标识的方法。方法包括：获得第一私钥以与打印设备的第一操作(例如，tls/ssl认证)一起使用。方法还包括：获得第二私钥以与打印设备的第二操作(例如，有效载荷加密)一起使用。此外，方法包括：在制造打印设备期间将第一私钥加载到打印设备的安全存储器部分中。此外，方法包括：在制造打印设备期间将第二私钥加载到打印设备的安全存储器部分中。

在另一实施例中，提供了一种打印设备。打印设备包括打印机功能组件、网络输入/输出、处理器和安全存储器部分。打印机功能组件对诸如金融卡或id的自定义个性化文档执行物理动作。网络输入/输出将数据发送到打印设备之外和从打印设备之外接收数据。处理器控制对打印机功能组件的操作。安全存储器部分存储打印设备的独特安全标识，独特安全标识包括与安全引导操作相关联的至少一个出厂密钥。在一些实施例中，独特安全标识可以包括多个出厂密钥。多个出厂密钥中的每一个可以与打印设备的不同操作相关联。在一些实施例中，当处理器接收将需要由打印设备执行操作的数据和用于授权操作的公钥时，在处理器处理数据以及打印设备执行操作之前，处理器可以基于公钥和与操作相关联的出厂私钥来确定操作是否被授权。在一些实施例中，当处理器接收将需要由打印设备执行操作的数据和用于授权操作的私钥时，在处理器处理数据以及打印设备执行操作之前，处理器可以基于私钥和与操作相关联的出厂公钥来确定操作是否被授权。在又一实施例中，提供了一种用于执行打印设备的操作的方法。方法包括：打印设备的处理器从外部辅助设备接收数据和验证对打印设备执行操作的授权的授权请求。方法还包括：存储在打印设备的安全存储器部分中的一个或多个密钥之中获取与操作相对应的密钥。此外，方法包括：处理器使用授权请求和所获取的密钥来确定操作是否被授权。此外，方法包括打印设备在操作被授权时执行操作，并且包括：打印设备对自定义个性化文档执行物理动作。

在又一实施例中，提供了一种打印设备。打印设备包括壳体、壳体中的卡输入端、卡行进路径、打印引擎和安全存储器部分。卡行进路径从卡输入端延伸穿过壳体。打印引擎沿着卡行进路径设置。安全存储器部分存储打印设备的独特安全标识，并且包括与由打印设备执行的操作相关联的至少一个出厂密钥。

在又一实施例中，提供了一种在制造打印设备期间生成打印设备的独特安全标识的方法。方法包括：读取与打印设备的组件相关联的独特打印设备序列号。方法还包括：将独特打印设备序列号发送给证书机构。此外，方法包括：从证书机构接收对于包含独特打印设备序列号的打印设备来说独特的证书。此外，方法包括：将证书加载到打印设备。在一些实施例中，独特打印设备序列号可以放置在证书的公共名称字段中。

附图说明

图1图示了根据一个实施例的打印设备的示例性架构的示意图；

图2图示了根据一个实施例的用于向打印设备提供标识和安全的方法的流程图。

图3图示了根据一个实施例的用于执行打印设备的操作的方法的流程图。

图4图示了根据一个实施例的用于在制造打印设备期间生成打印设备的独特安全标识的方法的流程图；

图5图示了可以与本文所述实施例一起使用的卡打印机的一个实施例。

具体实施方式

本申请涉及一种用于在制造时为打印设备建立独特安全标识的方法和系统。

具体地，本文描述的实施例可以为任何类型的打印设备或打印设备的子组件生成独特安全标识。每个独特安全标识可以包括一个或多个独特私钥，每个独特私钥与打印设备的不同操作相关联。每个独特私钥可以存储在打印设备的安全存储器部分中。可以使用具有特定私钥的pki来建立对打印设备的特定操作的授权，特定私钥与特定操作以及对应的公钥相关联。

如本文所公开的实施例中所述，打印设备包括：安全存储器部分，其存储在制造时定义的且可以远程验证的独特安全标识。在一些实施例中，客户可以用其自己的自定义(custom)打印机标识来补充独特安全标识，该自定义打印机标识由客户安装并存储在安全存储器部分中。例如，可以使用自定义打印机标识进行tls服务器认证。在一些实施例中，自定义打印机标识的部分可以与独特安全打印机标识的部分一起使用(例如，用于tls客户端认证)。在一些实施例中，自定义打印机标识的部分可以覆盖(override)独特安全打印机标识的部分。此外，在一些实施例中，独特安全打印机标识的由自定义(customer)打印机标识的部分覆盖的部分可以保持存储在安全存储器部分中。

在一些实施例中，与证书相关联的一个或多个私钥可以存储在打印设备的安全存储器部分中。这可以包括与独特安全打印机标识、自定义打印机标识和/或有效载荷保护证书相对应的私钥。存储在打印设备的安全存储器部分中的数据(例如，公钥、私钥、证书、存储根密钥、证明标识密钥等)可以包括完全加载/存储在安全存储器部分中的数据、和存储在安全存储器部分之外的数据(包括数据的各部分)，存储在安全存储器部分之外的数据由存储在安全存储器部分中的存储根密钥保护。

打印设备和打印设备的子组件(下文中简称为打印设备)的类型可以包括例如中央卡发布系统、台式卡打印机、台式压印机、护照系统、桌面层压机、智能卡读卡器、输入和/或输出卡料斗等。

如本文所定义的，打印设备的独特安全标识是指存储在打印设备的安全存储器部分内的一个或多个私钥。打印设备的独特安全标识还可以包括一个或多个证书、一个或多个公钥和/或一个或多个密钥对(例如，公钥和私钥)。在制造时生成独特安全标识，并且可以对其进行远程验证。在一些实施例中，客户可以能够利用他们自己的自定义打印机标识来补充独特安全标识。

如本文所定义的，私钥是指旨在仅为接收者所知的加密密钥，其可以用于例如解密用与私钥相关联的公钥所加密的数据。

如本文所定义的，公钥是指可以由任何人获得和使用的加密密钥，以例如加密旨在用于特定接收者的数据，该数据仅可以通过使用相关联的私钥来解密。

如本文所定义的，证书是指包含与打印设备相关联的属性的数字文档，该属性由属性机构(attributeauthority)发布并且用于表征和/或授权打印设备和/或辅助设备与打印设备一起操作或工作。证书可以将标识绑定到与证书相关联的特定密钥。例如，证书可以包括：在其之前密钥可以无效的证书发布日期、在其之后密钥可以变为无效的证书到期日期、包括对与证书相关联的密钥的限制在内的策略信息、打印设备的序列号、打印设备的一个或多个独特子组件的序列号(例如，可信平台模块(tpm)的序列号、现场可编程门阵列(fpga)的序列号等)、私钥、公钥等。

如本文所定义的，证书机构(certificateauthority)(ca)可以存储、生成、发布和签署一个或多个证书、私钥和/或公钥。制造商ca是指在工厂处和/或在制造打印设备期间向打印设备提供一个或多个证书、私钥和/或公钥的ca。第三方ca包括以下ca，客户可以使用该ca在制造打印设备之后向打印设备提供一个或多个证书、私钥和/或公钥。

如本文所定义的，安全存储器部分是指与打印设备相关联的隔离存储器部分，该隔离存储器部分在其中存储打印设备的独特安全标识。安全存储器部分可以存储例如存储根密钥、证明标识密钥、一个或多个证书、一个或多个私钥和/或一个或多个公钥。

如本文所定义的，证明标识密钥是指：以下标识密钥，其可以用于查找存储在安全存储器部分中的其他标识密钥并将其他标识密钥绑定到签注(endorsement)密钥，以便在例如签注密钥与存储在安全存储器部分中且与标识(例如，独特安全标识、一个或多个客户标识等)相关联的多个密钥(包括私钥)中的每一个之间完成信任链。证明标识密钥可以证明特定密钥存在于安全存储器部分中的事实，并且可以证明提交给安全存储器部分的测量以允许安全存储器部分签署测量以供稍后验证(例如，在下面讨论的测量后的引导期间)。

如本文所定义的，存储根密钥是指用于保护存储在安全存储器部分之外的数据和/或其他密钥的密钥。

如本文所定义的，术语“加密散列”是指将任意大小的数据映射到固定大小的位串的数学算法，“加密散列”被设计为单向函数(即，不可逆的函数)。

如本文所定义的，硬件安全模块(hsm)是指保护和管理用于存储认证和提供加密处理的数字密钥的物理计算设备。

如本文所定义的，出厂密钥是指在制造打印设备期间同时存储在安全存储器部分中的密钥(例如，公共的、私人的等)。可以在工厂内或工厂之外获得和/或生成出厂密钥。

图1图示了可以在本文描述的实施例中使用的打印设备100的示例性架构的示意图。打印设备100一般包括一个或多个打印机功能组件105、处理器110、可选的用户输入/输出(i/o)115、网络i/o120、非安全存储器部分125、存储设备130、安全存储器部分135和互连150。打印设备100可以通过网络140与一个或多个辅助设备180通信。可选地，打印设备100还可以与一个或多个硬件安全模块(hsm)185通信。

打印设备100一般代表可以用于发布自定义个性化文档的各种打印设备和子组件的硬件方面。打印设备100的示例可以包括分布式发布打印机、中央卡发布系统、台式卡打印机、台式压印机、护照系统、桌面层压机、智能卡读卡器、输入和/或输出卡料斗等。应当理解，上面列出的打印设备100的示例是示例性的，并且还可以包括其他类型的打印设备。

打印机功能组件105可以执行打印设备100的一个或多个主要功能。例如，当打印设备100是台式卡打印机时，打印机功能组件105可以打印卡。在另一示例中，当打印设备100是台式压印机时，打印机功能组件105可以压印卡。在又一示例中，当打印设备100是台式层压机时，打印机功能组件105可以层压卡。打印机功能组件105可以包括可以读取磁条上的数据和/或将数据写入到磁条的磁条站。打印机功能组件105还可以包括可以读取芯片上的数据和/或将数据写入芯片的芯片编程站。

处理器110控制包括打印机功能组件105、网络i/o120和可选的用户i/o115在内的打印设备100的操作。处理器110可以获取并执行以下编程数据，该编程数据由网络i/o120和/或可选的用户i/o115获得并存储在非安全存储器部分125、安全存储器部分135和/或存储设备130中。处理器110还可以存储、识别和使用驻留在非安全存储器部分125中的应用数据。

互连150用于在处理器110、打印机功能组件105、可选的用户i/o115、网络i/o120、非安全存储器部分125、存储设备130和安全存储器部分135之间发送编程指令和/或应用数据。互连150可以是例如一个或多个总线等。处理器110可以是单个处理器、多个处理器或具有多个处理核的单个处理器。

根据一些实施例，可选的用户i/o115可以包括显示器116和/或输入117。应当理解，可选的用户i/o115可以是与打印设备100通信连接的一个或多个设备，其与打印设备100物理分离。例如，显示器116和输入117可以通信连接，但是与打印设备100物理分离。在一些实施例中，显示器116和输入117可以物理地包括于打印设备100。

显示器116可以包括适合于向用户显示信息的各种显示设备中的任何一种。适合于显示器116的设备的示例包括但不限于阴极射线管(crt)监视器、液晶显示器(lcd)监视器、发光二极管(led)监视器等。

输入117可以包括适合于接收来自用户的输入的各种输入设备或装置中的任何一种。适合于输入117的设备的示例包括但不限于键盘、鼠标、轨迹球、按钮、语音命令、接近传感器、用于基于眼睛运动(例如，基于眼睛运动的滚动)确定输入的眼睛感测设备等。应当理解，可以包括前述输入117的组合作为输入117。在一些实施例中，输入117可以与显示器116集成，使得输入和输出都由显示器116执行。

网络i/o120被配置为经由网络140向一个或多个辅助设备180以及可选地一个或多个硬件安全模块(hsm)185发送和接收数据。备选地，网络140可以称为通信网络140。网络140的示例可以包括但不限于局域网(lan)、广域网(wan)、因特网、有线通信链路等。在一些实施例中，网络i/o120可以使用wifi、蓝牙、zigbee或其他类似的无线通信协议经由网络140通过无线连接来发送和接收数据。在一些实施例中，打印设备100可以经由网络140通过蜂窝、3g、4g或其他无线协议来发送数据。在一些实施例中，网络i/o120可以经由有线线路、光纤线缆、通用串行总线“usb”线缆等发送和接收数据。应当理解，网络i/o120可以通过前面的有线和无线通信方法的适当组合通过网络140进行通信。

一般地，包括非安全存储器部分125以代表随机存取存储器，例如但不限于静态随机存取存储器(sram)、动态随机存取存储器(dram)或闪存。在一些实施例中，非安全存储器部分125可以是易失性存储器。在一些实施例中，非安全存储器部分125可以是非易失性存储器。在一些实施例中，存储器的至少一部分可以是虚拟存储器。

一般地，包括存储设备130以代表非易失性存储器，例如但不限于硬盘驱动器、固态设备、可移动存储卡、光存储设备、闪存设备、网络附加存储设备(nas)、或者与存储区域网络(san)设备或可以存储非易失性数据的其他类似设备的连接。在一些实施例中，存储设备130是计算机可读介质。在一些实施例中，存储设备130可以包括在打印设备100外部例如在云中的存储设备。

一般地，包括安全存储器部分135以代表与非安全存储器部分125和存储设备130不同和/或分离的存储器存储设备。在一些实施例中，安全存储器部分135包括处理器。安全存储器部分135可以包括例如安全加密处理器，例如tpm、java卡、存储器设备等。合适的tpm由infineontechnologiesag(德国慕尼黑)销售。在一些实施例中，安全存储器部分135包括用于安全生成加密密钥的能力。在一些实施例中，在安全存储器部分135中使用的私钥在总线或外部程序上不可访问，并且所有加密/解密在安全存储器部分135内完成。在一些实施例中，安全存储器部分135可以是与非安全存储器部分125和/或存储设备130相同的存储器设备的部分，但是与非安全存储器部分125和/或存储设备130隔离。

安全存储器部分135被配置为存储在工厂处和/或在制造打印设备100期间生成的打印设备100的独特安全标识。具体地，安全存储器部分135可以存储多个私钥，所述多个私钥有助于形成打印设备100的独特安全标识。每个私钥可以与打印设备100的不同操作相关联。在一些实施例中，打印设备100可以由中央机构(ca)(例如，制造商ca)发布一个或多个证书，其中任何对应的私钥存储在安全存储器部分135中。

在一些实施例中，在制造打印设备100时，ca可以生成四个密钥对(例如，存储根密钥对、证明密钥对、打印机标识密钥对和有效载荷保护密钥对)和三个证书(例如，证明证书、打印机标识证书和有效载荷保护证书)。打印机标识证书和/或有效载荷保护证书可以包含对于打印机组件来说独特的序列号。

安全存储器部分135还可以存储在制造打印设备100之后由客户提供的一个或多个自定义打印机标识。每个自定义打印机标识可以包括：一个或多个自定义私钥，其可以补充和/或覆盖独特安全标识的一个或多个私钥。

在一些实施例中，将多个私钥存储在安全存储器部分中是指：使用存储在安全存储器部分135中的存储根密钥来保护私钥，例如通过加密，然后将该私钥存储在安全存储器部分135之外。可以通过将受存储根密钥保护的私钥传回安全存储器部分135对它们进行解密。因此，安全存储器部分135不需要完全地存储每个私钥，因而可以减少安全存储器部分135内的存储空间。

可以使用与特定操作相关联的特定私钥来建立对打印设备100的特定操作的授权。

为了说明，在一个示例中，安全存储器部分135可以包括公钥，以验证打印机功能组件105要使用的耗材(例如，打印机色带、打印机墨水等)。当将耗材添加到打印设备100时，处理器110可以检查耗材是否具有授权请求(例如，私钥证书、公钥证书等)。如果耗材具有授权请求，则处理器110可以使用与向打印设备100添加耗材相关联的特定公钥，并使用公钥以及授权请求以确保耗材被打印设备100授权。如果耗材不包括授权请求或者如果授权请求未被公钥授权，则处理器110可以指示：打印机功能组件105不进行操作，直到在耗材被替换和/或向用户提供通知/警报。

在一些实施例中，可以生成独特私钥，用于由云服务器/服务经由网络i/o120对打印设备100进行认证，例如在初始注册或将打印设备100登记到云服务器/服务期间。

在一些实施例中，可以生成独特私钥以用于认证耗材(例如，打印机色带、打印机墨水等)以供例如打印设备100的打印机功能组件105使用。

在一些实施例中，可以来生成独特私钥以用于由打印机客户端(例如，文档设计和/或发布和/或管理系统等)使用打印机协议对打印设备100进行认证。

在一些实施例中，可以生成独特私钥以由打印管理器对打印设备进行认证。

在一些实施例中，可以生成独特私钥以认证固件升级和/或降级。这可以包括对主要和次要版本和补丁的认证。

在一些实施例中，可以生成独特私钥以认证模块化设备安全。这可以包括对例如多料斗、触摸屏等的认证。

在一些实施例中，可以生成独特私钥以认证打印设备100的配置设置。这可以包括对例如打印机速度设置、打印机颜色参数设置等的认证。

在一些实施例中，可以生成独特私钥以认证打印作业源、配置数据等。这可以包括对例如向打印设备100发送打印作业的每个客户端的认证。

在一些实施例中，可以生成独特私钥以促进打印设备100的安全引导。这可以包括例如每次导通打印设备100时的认证。因此，可以防止打印设备100在例如被配置有未授权的软件时运行。因此，客户可以确信打印设备100正在运行安全可靠的软件(例如，制造商提供的软件)。

例如，在安全引导中，引导过程的每个步骤在进入到引导过程的下一步骤之前验证对安全引导的认证。

在一些实施例中，公钥的加密散列被编程到处理器110中，并且处理器110的内部引导加载器(例如，引导只读存储器(rom))可以拒绝将控制转移到外部引导加载器，除非它使用与公钥的加密散列相匹配的私钥进行签名。

在一些实施例中，可以将公钥(例如，安全引导公钥)的加密散列烧录到处理器110的一部分中。也就是说，可以将公钥的加密散列编程到处理器110的熔丝块(fuseblock)中，使得可以读取公钥的加密散列但不能对其重新编程。因此，由于公钥的加密散列占用比公钥少的存储空间，所以可以减少所需处理器中的存储空间量。例如，在一个实施例中，安全引导公钥可以具有大于2000位的存储空间大小，并且安全引导密钥的加密散列可以具有约160位到约256位的存储空间大小。在一些实施例中，处理器110的一部分可以是可从freescalesemiconductor，inc.获得的p1010安全熔丝处理器，freescalesemiconductor，inc.由nxp(荷兰艾恩德霍芬)收购。

在一些实施例中，私钥(例如，安全引导私钥)可以离线存储在打印设备100的外部(例如，在ca处)。

在一些实施例中，可以生成独特私钥以认证打印设备100的测量后的引导。在测量后的引导中，在允许引导过程进行到下一步骤之前，不必在引导过程的每个步骤处验证该认证。相反，在测量后的引导中，引导过程的每个步骤被测量并且被存储在安全存储器部分135中(在一些实施例中作为加密散列)以用于稍后的证明。即使在引导过程的一个或多个先前步骤中尚未验证适当的认证，测量后的引导也可以继续进行引导过程的每个步骤。

在测量后的引导的一个实施例中，在引导过程的每个步骤处，外部引导加载器可以初始化安全存储器部分135，测量外部引导加载器的引导过程(例如，固件映像)的当前状态和打印设备100的操作系统的引导过程(例如，固件映像)的当前状态，并将结果发送到安全存储器部分135以进行安全证明。证明标识密钥可以由安全存储器部分135使用，以证明发送到安全存储器部分135的结果供稍后验证。

在一些实施例中，外部引导加载器可以被配置为存储以下中的一个或多个：用于验证固件签名密钥的公钥、附加的可信固件签名密钥对的列表、以及不安全固件映像的黑名单。

在一些实施例中，可以生成独特私钥以用于打印设备100与一个或多个辅助设备180(例如，服务器)之间的ssl/tls认证。此外，在一些实施例中，在制造打印设备期间生成的用于ssl/tls认证的独特私钥可以用客户发起的用于ssl/tls认证的独特私钥替换。在其他实施例中，在制造打印设备期间生成的用于ssl/tls认证的独特私钥可以与客户发起的用于ssl/tls认证的独特私钥一起使用。在这些实施例中，tls服务器可以通过将所支持的信任根指定为tls服务器和打印设备100之间的tls握手的一部分来指示它想要哪个私钥。

在一些实施例中，当客户端(例如，打印驱动器、管理工具等)连接到打印设备100时，可以通过/使用tls执行连接，并且打印设备100可以使用打印机标识证书来确定客户端是否被授权连接到打印设备100。

在一些实施例中，由制造商ca在制造打印设备100期间发布的制造商打印机标识证书可以用于tls服务器认证、tls客户端认证以及打印设备100的其他目的。在这些实施例中，制造商打印机标识证书包括tls私钥，该tls私钥可以存储在安全存储器部分135中，而tls认证公钥可以由ca认证。客户可以另外配置单独的自定义打印机标识证书，该证书可以例如由打印设备100进行自签名或者由第三方ca生成。打印设备100可以被配置为使用自定义打印机标识证书而不是制造商打印机标识证书。在一些实施例中，即使使用自定义打印机标识证书而不是制造商打印机标识证书，制造商打印机标识证书也可以继续保存在安全存储器部分135中。

在一些实施例中，可以生成独特私钥以经由网络i/o120提供双重认证通信。这可以包括认证，例如，以允许用户登录打印设备100和/或访问打印设备100。

在一些实施例中，可以生成独特私钥以认证密钥和证书存储。这可以包括对例如一个或多个私钥的字段重写的认证(例如，对客户发起的私钥进行认证)。

在一些实施例中，可以生成独特私钥以认证文件系统加密(例如，整个文件系统加密、仅客户数据加密等)。这可以包括用于为例如日志文件、作业历史等提供文件系统加密的认证。

在一些实施例中，可以生成独特私钥以促进有效载荷加密。有效载荷加密可以允许数据在通过例如tls连接发送之前被加密。在一些实施例中，具有单独配置的信任根的单独证书可以用于发送到打印设备100的数据、和由打印设备100发送的数据。

在一些实施例中，可以向打印设备100发出有效载荷保护证书，该证书可以由例如一个或多个后端系统使用以对要发送到打印设备100的数据进行加密。在一些实施例中，有效载荷保护证书还可以由打印设备100用于对源自打印设备100的数据进行签名。有效载荷保护私钥可以存储在安全存储器部分135中，并且有效载荷保护公钥可以在制造打印设备100期间由制造商ca认证。客户可以另外配置单独的自定义有效载荷保护证书，该证书可以例如由打印设备100进行自签名或者由第三方ca生成。打印设备100可以被配置为使用自定义有效载荷保护证书而不是制造商打印机标识证书。在一些实施例中，即使使用自定义有效载荷保护证书而不是制造商有效载荷保护证书，制造商有效载荷保护证书也可以继续保存在安全存储器部分135中。

在一些实施例中，可以在仍然制造打印设备100的同时建立两个或更多个独特私钥(也称为“在厂标识(atfactoryidentity)”)。

此外，在一些实施例中，还可以在制造打印设备之后和/或在工厂之外(例如，由客户、传统打印设备(例如，没有安全存储器部分的打印设备))，或者由rmm服务器组件(也称为“客户标识”)建立一个或多个独特私钥。在工厂之外建立的私钥在此称为客户发起的私钥。在一些实施例中，在厂标识的两个或更多个独特私钥可以是一个信任根的一部分，而一个或多个客户发起的私钥可以是一个或多个不同信任根的一部分。因此，客户可以用安装在打印设备100中的其自己的客户标识来补充在厂标识。例如，打印设备100的加密和/或解密操作可以使用客户发起的私钥来保护被加密或解密的客户特定数据(例如，姓名信息、信用卡号信息、出生日期信息等)。在一些情况下，客户发起的私钥不能替换和/或覆盖出厂私钥，以便保护由打印设备100执行的特定操作(例如，维护操作)。例如，客户发起的私钥可以不用于例如固件升级和/或降级操作，不用于打印设备100的维护任务，不用于创建和/或替换在厂标识等。

在一些实施例中，打印设备100可以与一个或多个可选的hsm185通信。每个可选的hsm185可以包括例如安全加密处理器，如tpm、java卡、存储器设备等。每个hsm185可以被配置为存储与打印设备100相关联的一个或多个证书、一个或多个公钥、一个或多个私钥、证明标识密钥和/或存储根密钥。在一些实施例中，hsm185中的一个或多个可以与安全存储器部分135结合和/或代替安全存储器部分135工作。

图2图示了用于向图1所示的打印设备100提供标识和安全的方法200的一个实施例的流程图。在205处，在工厂处时，打印设备100的处理器110获得私钥以与打印设备100的第一操作一起使用。第一操作可以是上面关于图1讨论的任何操作。例如，在一个实施例中，第一操作可以是tls/ssl认证。在一些实施例中，私钥可以由属性机构向打印设备100发布。在210处，在制造打印设备100期间，处理器110将私钥加载到安全存储器部分135中。

在215处，在制造打印设备100期间，打印设备100的处理器110获得附加私钥以与打印设备100的附加操作一起使用。与第一操作类似，附加操作可以是上面关于图1讨论的任何操作。例如，在一个实施例中，第二操作可以是有效载荷加密。在一些实施例中，附加私钥也可以由属性机构向打印设备100发布。在220处，在制造打印设备100期间，处理器110将附加私钥加载到安全存储器部分135中。

在225处，处理器110确定是否要在制造打印设备100期间发布任何其他私钥以建立打印设备100的独特安全标识。如果在制造期间要发布另一私钥，则方法200返回到215。如果在制造期间不发布其他私钥，则方法200进行到230。

在230处，在制造打印设备100和/或打印设备100在工厂之外之后，处理器110等待客户补充打印设备100的独特安全标识。在235处，处理器110获得客户发起的私钥以与打印设备100的操作一起使用。该操作可以是上面关于图1讨论的任何操作。在一些实施例中，客户发起的私钥由属性机构向打印设备100发布。

在一些实施例中，属性权限可以是发布第一私钥和附加私钥的相同的属性机构。在其他实施例中，属性机构可以是不同的属性机构。此外，在一些实施例中，客户发起的私钥可以是与第一私钥和附加私钥的信任根不同的信任根的部分。客户发起的私钥是与制造期间加载到安全存储器部分135中的私钥相比不同的信任根的部分，从而允许客户保护和控制客户特定数据。

在240处，处理器110将客户发起的私钥加载到安全存储器部分135中。在一些实施例中，当客户发起的私钥用于安全存储器部分135已经存储了私钥的操作时，处理器110用客户发起的私钥替换先前存储的私钥。在其他实施例中，处理器110将先前存储的私钥与客户发起的私钥一起存储在安全存储器部分135中。然后，过程200返回到230。

图3图示了用于执行图1所示的打印设备100的操作的方法300的一个实施例的流程图。该操作可以是上面关于图1讨论的任何操作。在305处，打印设备等待接收要求打印设备100执行操作的数据、和用于操作的授权请求(例如，公钥证书、私钥证书等)。可以经由网络i/o120和/或可选的用户i/o115来接收数据和授权请求。一旦接收到需要打印设备100执行操作和授权请求的数据，方法300就进行到310。

在310处，根据存储在安全存储器部分135中的一个或多个密钥来识别与要执行的操作相关联的密钥(例如，私钥、公钥等)。在一些实施例中，处理器110可以识别要使用的密钥。在其他实施例中，安全存储器部分135内的处理器可以识别要使用的密钥。应当理解，在其他实施例中，打印设备100外部或内部的任何其他处理器也可以识别要使用的密钥。然后，方法300进行到315。

在315处，使用授权请求和所识别的密钥来验证授权请求，以确定操作是否被授权。在一些实施例中，处理器110可以验证授权请求。在其他实施例中，安全存储器部分135内的处理器可以验证授权请求。应当理解，在其他实施例中，打印设备100外部或内部的任何其他处理器也可以验证授权请求。在320处，如果基于授权请求和所识别的密钥确定了操作被授权，则方法300进行到325。否则，方法300进行到330。

在325处，打印设备100执行操作，并且方法300返回到305。在330处，处理器110取消操作，并且可以可选地向用户提供通知/警报。然后，方法300返回到305。

图4图示了用于在制造打印设备期间生成打印设备的独特安全标识的方法400的流程图。该方法开始于405，借以读取来自正在制造的打印设备的独特打印设备序列号。独特打印设备序列号可以包括，例如，整个打印设备的序列号、打印设备的一个或多个子组件的序列号(例如，tpm的序列号、fpga的序列号等)等。在一些实施例中，客户端从正在制造的打印设备读取独特打印设备序列号。

在410处，将独特打印设备序列号发送到ca。在一些实施例中，客户端将独特打印设备序列号发送到ca。

在415处，ca生成对于打印设备独特的证书，该证书基于并包括独特打印设备序列号。私钥可以与打印设备的多个不同操作中的任何一个相关联。通过使用独特打印设备序列号来生成证书，为正在制造的打印设备生成既独特又安全的标识。

在一些实施例中，可以为以下操作中的每一个生成证书：云服务器/服务对打印设备的认证；对供打印设备使用的耗材的认证；打印机客户端(例如，文档设计和/或发布和/或管理系统等)使用打印机协议对打印设备的认证；认证已签名的固件以进行升级和/或降级；认证打印管理器；认证模块化设备安全；认证打印设备的配置设置；认证打印作业的源、配置数据等；认证打印设备的安全和/或测量后的引导；安全套接层/传输层安全(ssl/tls)认证；认证模块化设备安全(多料斗、触摸屏等)；提供双重认证；认证密钥和证书存储；认证文件系统加密(例如，整个文件系统加密、仅客户数据加密等)；认证有效载荷加密等。

在420处，ca将证书发送到打印设备。在一些实施例中，ca可以将证书直接发送到打印设备。在其他实施例中，ca可以将证书发送到客户端，然后客户端将证书转发到打印设备。

在425处，在制造打印设备的同时，打印设备将与证书相关联的私钥存储到打印设备的安全存储器部分中。这为用户提供了打印设备未配置有未授权的固件、硬件和/或软件的保证。此外，如果打印设备配置有未授权的固件、硬件和/或软件，这可以防止打印设备运行。这还可以防止允许外部设备/软件监视客户个性化数据的网络攻击。

图5图示了可以与本文所述实施例一起使用的卡打印机5的一个实施例。卡打印机包括：模块化打印引擎10，其可拆卸地且可移除地安装在下部模块12的顶部上。例如，卡打印机5被配置为使诸如包括信用卡和借记卡在内的金融卡、标识卡、驾驶执照之类的塑料卡、以及其他个性化塑料卡个性化。

模块化印刷引擎10包括壳体50，壳体50具有前端52、后端54、顶部56和底部58。主卡输入端60位于壳体50的前端52处，要由模块化打印引擎10和/或由下部模块12处理(即，由卡打印机5处理)的塑料卡通过主卡输入端60输入。在一些实施例中，卡输入端60还可以形成卡输出端，处理后的卡可以通过卡输出端从模块化打印引擎10输出。在其他实施例中，可以设置与卡输入端60分离但也像卡输入端60一样位于前端52处的卡输出端，处理后的卡可以通过卡输出端从模块化打印引擎10输出。卡输入料斗62可以安装在壳体50的前端52处，卡输入料斗62与卡输入端60连通。在卡输出端也位于前端52处的实施例中，卡输出料斗66也可以安装在壳体50的前端52处，卡输出料斗66与卡输出端连通以接收完成的处理后的卡。

主或第一卡行进路径68从输入端60延伸穿过壳体50。在所示的示例中，卡行进路径68与底部58基本平行地、基本水平地延伸穿过壳体50。卡通过诸如辊70的组的卡传送机构沿卡行进路径68传送。打印引擎74沿着卡行进路径68设置，打印引擎74被配置为在设置在卡行进路径68上的卡上进行打印。打印引擎74可以被配置为执行再转印、直接卡打印、喷墨打印、激光标记、激光雕刻以及对卡执行的任何其他类型的打印。

继续参考图5，第二卡行进路径76可以从卡重定向机构72向上延伸。在一个实施例中，第二卡行进路径76从卡重定向机构72基本竖直向上延伸。卡通过诸如辊78的组的卡传送机构沿卡行进路径76传送。

可移除选项模块80沿着第二卡行进路径76且在第一卡行进路径68上方设置。可移除选项模块80包括：至少一个卡处理机构，其被配置为对塑料卡执行处理操作。可移除选项模块80是多个可移除选项模块80中的一个，每次可以在模块化打印引擎10中安装其中一个，以允许改变模块化打印引擎10的功能。每个选项模块80被配置为沿着第二卡行进路径76且在第一卡行进路径68上方独立地且单独可移除地安装在壳体50中，并且每个选项模块80被配置为对由此接收到的塑料卡执行不同的处理操作。可以移除一个选项模块80，并且用不同的选项模块80替换该选项模块80以改变模块化打印引擎10的功能。在一个实施例中，选项模块80可以是磁条站，其可以读取卡的磁条上的数据和/或将数据写入磁条上。在另一实施例中，选项模块80可以是芯片编程站，其可以读取卡的芯片上的数据和/或将数据写入芯片。

下部模块12一般包括以虚线示出的下部模块壳体14，其具有前端16、与前端16相对的后端18、顶部20和与顶部20相对的底部22。主卡传送路径24限定在壳体14中，塑料卡沿着主卡传送路径24大体上以水平方向或大体上平行于顶部20和底部22传送。狭槽26限定在壳体14的顶部20中，卡可以通过该狭槽26从模块化打印引擎10输入到壳体14中，并且在一些实施例中，从壳体14输出回到模块化打印引擎10中。副卡传送路径28从狭槽26通向卡重定向机构30，卡重定向机构30邻近壳体14的后端18设置。在一个实施例中，副卡传送路径28可以大体上竖直于或垂直于大体上可以是水平的主卡传送路径24。

在下部模块12的操作中，卡通过狭槽26从模块化打印引擎10进入下部模块12。卡沿着副卡传送路径28传送并进入卡重定向机构30中，然后卡重定向机构30旋转以使卡与主卡传送路径24对准。然后，卡沿着主卡传送路径24被引导到一个或多个卡处理机构36，该一个或多个卡处理机构36对卡执行一个或多个处理操作。可以使用的卡处理机构36的示例包括但不限于卡压印机或卡层压机。下部模块12还可以包括在传送路径24的末端处的输出端38，在由处理机构36进行处理之后，卡可以通过该输出端38从下部模块12输出。在一些实施例中，下部模块12还可以包括卡去弓形(de-bowing)机构(未示出)，其用于消除由于处理机构36的处理而可能在卡上发生的弓形。

卡打印机的进一步细节在u.s.2016/0300128中描述，其全部内容通过引用并入本文。再转印的一个示例在美国专利6,894,710中描述，其全部内容通过引用并入本文。合适的卡重定向机构的示例在u.s.2007/0220984和美国专利7,398,972中描述，其全部内容均通过引用并入本文。可以使用的合适的去弓形机构的示例在us2014/0345787中描述，其全部内容通过引用并入本文。

本文描述的方面可以体现为系统、方法或计算机可读介质。在一些实施例中，所描述的方面可以用硬件、软件(包括固件等)或其组合来实现。一些方面可以在包括用于由处理器执行的计算机可读指令在内的计算机可读介质中实现。可以使用一个或多个计算机可读存储介质的任何组合。

计算机可读介质可以包括计算机可读信号介质和/或计算机可读存储介质。计算机可读存储介质可以包括能够存储计算机程序的任何有形介质，该计算机程序供可编程处理器使用以通过对输入数据进行操作并生成输出来执行本文所述的功能。计算机程序是一组指令，其可以直接或间接地用于计算机系统中，以执行某种功能或确定某种结果。计算机可读存储介质的示例包括但不限于：软盘；硬盘；随机存取存储器(ram)；只读存储器(rom)；半导体存储设备，例如但不限于可擦除可编程只读存储器(eprom)、电可擦除可编程只读存储器(eeprom)、闪存等；便携式紧凑盘只读存储器(cd-rom)；光存储设备；磁存储设备；其他类似设备；或以上的合适组合。计算机可读信号介质可以包括具有计算机可读指令的传播数据信号。传播信号的示例包括但不限于光传播信号、电磁传播信号等。计算机可读信号介质可以包括不是计算机可读存储介质的任何计算机可读介质，该计算机可读存储介质可以传播计算机程序以供可编程处理器使用，以通过对输入数据进行操作并生成输出来执行本文所述的功能。

一些实施例可以通过云计算基础设施来提供。云计算一般包括通过网络(例如，因特网等)提供可伸缩计算资源作为服务。

尽管本文描述了许多方法和系统，但是可以预期单个系统或方法可以包括一个以上的上述主题。因此，上述系统和方法中的多个可以在单个系统或方法中一起使用。

方面：

应当理解，可以组合方面1至5、6至11、12至19、20至22和23至25中的任何一个。

方面1.一种打印设备，包括：

壳体；

壳体中的卡输入端；

卡行进路径，其从卡输入端延伸穿过壳体；

打印引擎，沿卡行进路径设置；以及

安全存储器部分，其存储打印设备的独特安全标识，独特安全标识包括与由打印设备执行的操作相关联的至少一个出厂密钥。

方面2.根据方面1所述的打印设备，其中，至少一个出厂密钥是私钥。

方面3.根据方面1或2中任一项所述的打印设备，还包括以下项中的至少一个：

磁条站，其读取卡的磁条上的数据和/或将数据写入卡的磁条上；以及

芯片编程站，其读取卡的芯片上的数据和/或将数据写入卡的芯片上。

方面4.根据方面1至3中任一项所述的打印设备，其中，至少一个出厂密钥是用于保护存储在安全存储器部分之外的数据的存储根密钥。

方面5.根据方面1至4中任一项所述的打印设备，其中，打印引擎被配置为对卡执行再转印、直接卡打印、喷墨打印、激光标记和激光雕刻中的至少一种。

方面6.一种打印设备，包括：

打印机功能组件，其对自定义个性化文档执行物理动作；

网络输入/输出，其将数据发送到打印设备之外和从打印设备之外接收数据；

处理器，其控制打印机功能组件的操作；以及

安全存储器部分，其存储打印设备的独特安全标识，独特安全标识包括与安全引导操作相关联的至少一个出厂密钥。

方面7.根据方面6所述的打印设备，还包括：第二打印机功能组件，其对自定义个性化文档执行第二物理动作，其中，第二物理动作不同于第一物理动作。

方面8.根据方面6或7中任一项所述的打印设备，其中，至少一个出厂密钥是与安全引导操作相关联的公钥。

方面9.根据方面6至8中任一项所述的打印设备，其中，自定义个性化文档是金融卡或标识卡，并且打印机功能组件包括适于将自定义特定信息打印到金融卡或标识卡上的打印引擎。

方面10.根据方面6至9中任一项所述的打印设备，其中，安全存储器部分存储与固件修改操作和耗材认证操作中的至少一个相关联的公钥。

方面11.根据方面6至10中任一项所述的打印设备，其中，处理器包括烧录到处理器的存储器部分中的公钥。

方面12.一种用于建立打印设备的独特安全标识的方法，方法包括：

获得第一私钥以与打印设备的第一操作一起使用；

获得第二私钥以与打印设备的第二操作一起使用；

在制造打印设备期间，将第一私钥加载到打印设备的安全存储器部分中；以及

在制造打印设备期间，将第二私钥加载到打印设备的安全存储器部分中。

方面13.根据方面12所述的方法，还包括：在制造打印设备期间，将第三公钥的散列烧录到打印设备的处理器中。

方面14.根据方面12或13中任一项所述的方法，还包括：在制造打印设备期间，将存储根密钥存储到打印设备的安全存储器部分中。

方面15.根据方面14所述的方法，其中，将第一私钥加载到安全存储器部分中包括：

将第一私钥的至少一部分存储在安全存储器部分中；

使用存储根密钥加密第一私钥；以及

发送所加密的第一私钥以用于存储在安全存储器部分之外，并且

其中，将第二私钥加载到安全存储器部分中包括：

将第二私钥的至少一部分存储在安全存储器部分中；

使用存储根密钥加密第二私钥；以及

发送所加密的第二私钥以用于存储在安全存储器部分之外。

方面16.根据方面12至15中任一项所述的方法，其中，将第一私钥加载到安全存储器部分中包括：将第一私钥的整个部分存储到安全存储器部分中，并且

其中，将第二私钥加载到安全存储器部分中包括：将第二私钥的整个部分存储到安全存储器部分中。

方面17.根据方面12至16中任一项所述的方法，还包括：生成证明标识密钥，并且将证明密钥存储到打印设备的安全存储器部分中。

方面18.根据方面12至17中任一项所述的方法，其中，打印设备是卡打印机。

方面19.根据方面12至18中任一项所述的方法，还包括：生成证明标识密钥，并且将证明密钥存储到打印设备的安全存储器部分中。

方面20.一种在制造打印设备期间生成打印设备的独特安全标识的方法，方法包括：

读取与打印设备的组件相关联的独特打印设备序列号；

将独特打印设备序列号发送给证书机构；

从证书机构接收对于包含独特打印设备序列号的打印设备来说独特的证书；以及

将证书加载到打印设备。

方面21.根据方面20所述的方法，其中，独特打印设备序列号被放置在证书的公共名称字段中。

方面22.根据方面20或21中任一项所述的方法，还包括：在制造所述打印设备的同时，将与所述证书相关联的密钥存储到打印设备的安全存储器部分中。

方面23.一种用于执行打印设备的操作的方法，方法包括：

打印设备的处理器从外部辅助设备接收数据和验证对打印设备执行操作的授权的授权请求；

获取存储在打印设备的安全存储器部分中的与操作相对应的密钥；

处理器使用授权请求和所获取的密钥来确定操作是否被授权；

打印设备在操作被授权时执行操作；以及

打印设备对自定义个性化文档执行物理动作。

方面24.根据方面23所述的方法，其中，操作是打印设备认证操作、耗材认证操作、认证与服务器操作的连接、加密有效载荷数据操作、固件修改操作；打印管理器认证操作；模块化设备安全认证操作；打印设备配置设置认证操作；打印作业源认证操作；配置数据源认证操作；安全引导操作；安全套接层/传输层安全(ssl/tls)认证操作；双重认证操作；私钥存储认证操作；以及文件系统加密认证操作中的至少一个。

方面25.根据方面23或24所述的方法，其中，授权请求是公钥，并且密钥是私钥。

本发明可以表现为其他形式，而不脱离本公开的精神或本质特征。在本实施例中公开的示例在所有方面被认为是说明性的而不是限制性的。本发明的范围由所附权利要求书而不是前面的描述来指示；并且落入权利要求的等同物的含义和范围内的所有变化旨在被包括在其中。