图像形成装置及方法、图像形成系统与流程

本发明涉及打印技术领域，尤其涉及一种图像形成装置及方法、图像形成系统。

背景技术：

随着电子科学技术的进步，图像形成装置(imageformingapparatus)的发展也越来越成熟，但是作为一种计算机周边设备，图像形成装置容易受到不法分子(例如黑客)的攻击，以带有扫描和/或传真功能的激光打印机(图像形成装置多种类型中的一种)为例，扫描或者传真的数据都可能携带有用户的机密数据，甚至连激光成像中核心零部件感光鼓上，也可能携带有用户待打印的机密数据；这些数据一旦泄露，就会给用户带来很多不必要的麻烦。

因此，对从一开始的打印作业产生到使用图像形成装置打印输出文件的每一步，进行安全管控都会显得非常重要，尤其是对保密要求较高的应用场合。但图像形成装置内部图像形成控制程序本身及运行过程也可能会被恶意程序攻击，现有技术中却对这类安全隐患缺少相应的技术保障，导致图像形成装置存在数据泄密的风险。

技术实现要素：

为了解决现有图像形成装置可能存在数据泄密的技术问题，本申请提出一种图像形成装置、图像形成方法及图像形成系统，能够通过图像形成装置中的可信计算监控模块来结合作业的保密等级，确定图像形成密级，并以图像形成密级确定图像形成装置的操作权限；从而更好保证图像形成装置中作业数据的安全性，而且可信计算监控模块本身是经过体验验证的、值得信任的，所以由可信计算监控模块来确定图像形成密级进一步增加图像形成装置数据处理的安全性。

本申请提供一种图像形成装置，包括：

作业接收模块，接收来自打印驱动下发的待打印文件，所述待打印文件关联有作业密级；

数据解析模块，解析所述待打印文件中的数据，得到所述待打印文件关联的作业密级；

可信计算监控模块，用于监控所述数据解析模块，根据所述数据解析模块解析后的待打印文件关联的作业密级匹配对应的图像形成密级；

其中，所述图像形成密级被用于确定当前图像形成装置的各成像处理模块的操作权限信息。

在一种实施方式中，所述图像形成密级包括多个装置安全等级，每个装置安全等级对应不同的安全功能，随着所述装置安全等级的升高，图像形成装置的安全功能增加。

在一种实施方式中，所述图像形成密级包括无限使用级、有限使用级及停止使用级。

在一种实施方式中，所述作业密级包括打印驱动密级及文件密级。

本申请还提供一种图像形成方法，应用于图像形成装置，所述方法包括：

接收来自打印驱动下发的待打印文件，所述待打印文件关联有作业密级；

解析所述待打印文件中的数据，得到所述待打印文件关联的作业密级；

根据解析后的待打印文件关联的作业密级匹配对应的图像形成密级；

其中，所述图像形成密级被用于确定当前图像形成装置的各成像处理模块的操作权限信息。

在一种实施方式中，所述图像形成密级包括多个装置安全等级，每个装置安全等级对应不同的安全功能，随着所述装置安全等级的升高，图像形成装置的安全功能增加。

在一种实施方式中，所述图像形成密级包括无限使用级、有限使用级及停止使用级。

在一种实施方式中，所述作业密级包括打印驱动密级及文件密级。

本申请还提供一种图像形成系统，包括上述任一实施例所述的图像形成装置。

在一种实施方式中，还包括打印驱动，所述打印驱动用于配置其打印驱动密级，并将所述打印驱动密级及所述文件密级添加到所述待打印文件的作业头信息中，以使所述待打印文件关联有作业密级。

本申请的图像形成装置及方法、图像形成系统，通过接收来自打印驱动下发的待打印文件，待打印文件关联有作业密级，解析待打印文件中的数据，得到待打印文件关联的作业密级，可信计算监控模块监控数据解析模块，根据数据解析模块解析后的待打印文件关联的作业密级匹配对应的图像形成密级，图像形成密级被用于确定当前图像形成装置的各成像处理模块的操作权限信息。可信计算监控模块能够根据待打印文件的作业密级确定图像形成密级，进而以图像形成密级确定图像形成装置的操作权限，从而能够对待打印文件的作业密级进行安全管控，保证图像形成装置中作业数据的安全性，而且可信计算监控模块本身是经过体验验证的、值得信任的，所以由可信计算监控模块来确定图像形成密级进一步增加图像形成装置数据处理的安全性。

附图说明

为了更清楚的说明本申请实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例中的图像形成装置的结构示意图；

图2为本申请一实施例中的图像形成系统的结构示意图；

图3为本申请一实施例中的图像形成方法的流程图。

具体实施方式

为了便于理解本申请，下面将参照相关附图对本申请进行更全面的描述。附图中给出了本申请的较佳实施方式。但是，本申请可以以许多不同的形式来实现，并不限于本文所描述的实施方式。相反地，提供这些实施方式的目的是使对本申请的公开内容理解的更加透彻全面。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中在本申请的说明书中所使用的术语只是为了描述具体的实施方式的目的，不是旨在于限制本申请。

下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特性可以相互组合。

请参考图1，本发明实施例提供一种图像形成装置100，图像形成装置100包括作业接收模块10、数据解析模块20及可信计算监控模块30。作业接收模块10接收来自打印驱动下发的待打印文件，待打印文件关联有作业密级。数据解析模块20解析待打印文件中的数据，得到待打印文件关联的作业密级。可信计算监控模块30用于监控数据解析模块20，并根据数据解析模块20解析后的待打印文件关联的作业密级匹配对应的图像形成密级。其中，图像形成密级被用于确定当前图像形成装置100的各成像处理模块的操作权限信息。

作业密级包括打印驱动密级及文件密级。

打印驱动安装于终端设备。图像形成装置100可以通过有线网络、无线网络或usb连接的方式与终端设备(例如pc(personalcomputer，个人计算机))连接。打印驱动将关联有作业密级的待打印文件发送至图像形成装置100。

不同的打印驱动密级对应不同的用户身份信息，不同的用户身份信息对应不同的用户权限等级。用户身份信息包括用户名和登录密码。

例如：可以将根据用户的身份信息将用户的权限划分为：普通员工权限、组长级别权限、经理级别权限，其中，普通员工权限的员工的待打印文件的文件安全等级为普通等级；组长级别权限的员工的待打印文件的文件安全等级为一级安全等级；经理级别权限的员工的文件安全等级为二级安全等级等等。

打印驱动获取终端设备的设备密级，并根据设备密级配置打印驱动的打印驱动密级。具体的，涉密终端设备中存储有配置文件，配置文件中存储有终端设备的设备密级，设备密级限制了使用该终端设备的用户权限，打印驱动通过获取终端设备的设备密级，配置自身的打印驱动密级。当图像形成装置100识别到待打印文件的打印驱动密级时，图像形成装置100即可获知待打印文件的用户权限等级。非涉密终端设备中没有存储配置文件，因此，打印驱动获取到的终端设备的设备密级为空白信息，打印驱动可以将自身的打印驱动密级配置为通用级，即终端设备的使用权限没有限制。

通过根据终端设备的设备密级配置打印驱动的打印驱动密级，从而打印驱动可以动态配置其自身的打印驱动密级，且终端设备的设备密级存储于配置文件中，稳定性较高，因此，打印驱动密级的配置更稳定、可靠。

待打印文件可以为电子档文件，待打印文件可以为用户预先存储于终端设备的原始文件，也可以是用户通过终端设备的应用程序将原始文件进行处理后的中间格式数据或者图象形成装置可以识别的可打印数据，该中间格式数据是介于原始文件和图象形成装置可以识别的可打印数据之间的一种格式文件，比如：原始文件是word格式，此时，中间格式数据可以是pdf格式文件或者xps格式文件，当然也可以是本领域技术人员可想到的其他格式文件，在此不再赘述。

用户根据待打印文件的机密程度，在终端设备的文件机密等级选择的显示界面上进行选择，点击相应的选项，打印驱动响应用户点击操作，通过驱动渲染，将所选的文件机密选项添加到待打印文件中，以配置待打印文件的文件密级。待打印文件的文件密级可例如为普通待打印文件、机密待打印文件和绝密待打印文件。

在配置待打印文件的文件密级前，用户在终端设备的显示界面上输入用户的身份信息，打印驱动通过终端设备获取用户的身份信息，从而获取打印驱动密级，在配置待打印文件的作业密级时，打印驱动将文件密级添加到待打印文件的作业头信息中以及将打印驱动密级添加到待打印文件的作业头信息中，以使待打印文件关联有作业密级。

将文件密级和打印驱动密级均添加待打印文件的作业头信息中，从而数据解析模块20通过解析待打印文件即可同时获取作业密级和打印驱动密级，而无需分别解析获取，简化了图像形成装置100的解析操作。

在将关联有作业密级的待打印文件发送至图像形成装置100之前，打印驱动还可以对待打印文件进行加密处理，或者采用预设网络协议将待打印文件发送至图像形成装置100。

终端设备与图像形成装置100之间可以预先约定待打印文件加密的密钥，在终端设备中，对待打印文件进行加密处理，图像形成装置100在接收到待打印文件后，根据约定的密钥对待打印文件进行解密处理，从而提高终端设备发送至图像形成装置100的待打印文件的安全性。

终端设备与图像形成装置100之间还可以约定采用安全级别较高的网络协议进行相互通信，从而提高终端设备发送至图像形成装置100的待打印文件的安全性，避免待打印文件的信息泄露。

图像形成装置100可以将密钥存储于安全芯片中。

图像形成装置100为集打印、复印、扫描及传真等功能于一体的多功能打印机(mfp，multi-functionprinter)。图像形成装置100包括多个成像处理模块，成像处理模块用于控制图像形成装置100的成像处理操作。具体的，成像处理模块用于执行数据收发、命令收发、引擎控制相关的处理操作，例如，如何通过应用程序调用接口单元(包括但不限于usb端口、有线网络端口、无线网络端口等)来收发数据、命令、状态等，还可以通过应用程序获得接收的打印参数，并解析为控制引擎机构执行特定功能的命令，例如拾纸辊转动参数等；另外，对于有用户权限认证或者加密/解密处理功能的图像形成装置100，成像处理模块还设置成能够执行用户权限认证或者加密/解密处理功能；而图像形成装置100中的接口单元还能够接收来自驱动装置的打印作业数据和打印、扫描、传真命令，或者发送扫描、传真数据、打印、扫描、传真状态信息等。成像处理模块可以包括作业接收模块10、数据解析模块20、打印机构、复印机构、扫描机构和传真机构等。

图像形成装置100中安装有可信计算监控模块30。图像形成装置100中只写一次的区域存储有图像形成装置100的身份信息。只写一次的区域可以是图像形成装置100的一次性可编程(onetimeprogrammable，otp)存储器，也可以是与图像形成装置100捆绑的安全芯片的特定区域，当然，只写一次的区域还可以是图像形成装置100的其他安全存储介质。图像形成装置100的身份信息可以是图像形成装置100的唯一序列号，唯一序列号为图像形成装置100所独有的，用于与其他图像形成装置100进行区分。可信计算监控模块30通过获取图像形成装置100唯一序列号并识别唯一序列号中的特定字段，从而获知当前图像形成装置100采用什么等级的安全功能。

图像形成装置100的图像形成密级可以包括多个装置安全等级，多个装置安全等级可以是装置安全等级1、装置安全等级2、装置安全等级3、…、装置安全等级n，其中，n为大于或等于1的整数。每个装置安全等级对应不同的安全功能，随着装置安全等级的升高，图像形成装置100的安全功能增加，例如，最低级的装置安全等级对图像形成装置100的各功能无限制，图像形成装置100的所有安全功能无效，安全性最低；最高级的装置安全等级限制图像形成装置100的所有功能，图像形成装置100的所有安全功能有效，安全性最高。

图像形成装置100的图像形成密级可以包括三个装置安全等级，三个装置安全等级：装置安全等级1、装置安全等级2、装置安全等级3分别为无限使用级、有限使用级、停止使用级。当图像形成装置100的图像形成密级为无限使用级时，图像形成装置100的各成像处理模块均可用，图像形成装置100可以对待打印文件执行各种功能的处理作业。当图像形成装置100的图像形成密级为有限使用级时，图像形成装置100的部分成像处理模块可用，如，图像形成装置100的打印和传真功能可用，扫描功能禁止使用，图像形成装置100屏蔽非安全网络协议数据，禁止部分端口使用，图像形成装置100可以对待打印文件执行打印和传真作业。当图像形成装置100的图像形成密级为停止使用级时，图像形成装置100的各成像处理模块都被禁止使用，图像形成装置100的各成像处理模块不能对待打印文件执行任何的作业，甚至关闭端口，图像形成装置100不与外部设备发生数据交互。

当然的，图像形成装置100的图像形成密级并不限于上述举例说明，图像形成装置100的图像形成密级还可以根据具体的设计需求进行配置，具体的，可以使得不同的装置安全等级具有不同的安全功能，从而可以实现根据这些装置安全等级的不同完成不同的打印任务，有效地保证了信息的安全。

可信计算监控模块30中的可信计算(trustedcomputing)，是为行为安全而生，广泛使用在计算机和通信系统中，以提高系统整体的安全性。信息安全包含四个方面：设备安全、数据安全、内容安全与行为安全。为进一步提升图像形成装置的行为安全特性，本实施例引入了可信计算功能；本实施例提及的可信计算监控模块30可以包括但不限于以下功能：程序(或模块)启动/运行监控功能(例如白名单策略)、注册功能、访问控制功能、恶意代码防护功能、自保护功能、终端升级功能、审计功能、监控功能等。可信计算监控模块30的具体实现方式可以是硬件(例如安全芯片)，也可以是软件(例如带有上述功能的程序代码)，还可以是软硬件结合的方式(例如安全芯片结合安全代码)。以程序代码实现方式为例：可信计算监控模块30包括驱动层监管程序和应用层监管程序；其中，驱动层监管程序负责监管图像形成装置操作系统(例如linux系统)的驱动层模块，应用层监管程序负责监管图像形成装置的应用层程序，可信计算监管程序只允许运行白名单范围内的驱动和程序；非白名单范围内的驱动和程序不允许运行；可信计算监管程序会记录或上报图像形成装置上发生的安全事件行为；这样可信计算监管程序对图像形成装置的驱动层和应用层进行全面监管，可以有效阻止应用程序和设备驱动的不安全行为。由于可信计算监控模块本身是经过体验验证的、值得信任的，所以由可信计算监控模块来确定图像形成密级，进一步增加图像形成装置数据处理的安全性。

可信计算监控模块30可以实时获取图像形成装置100的动态信息。数据解析模块20解析待打印文件中的数据，得到待打印文件关联的作业密级，可信计算监控模块30根据待打印文件关联的作业密级，从而将待打印文件分为不同的安全等级，待打印文件可以为一级文件安全等级、二级文件安全等级、三级文件安全等级、…、n级文件安全等级中的任意一种，其中，n为大于或等于1的整数。每个文件安全等级与一个图像形成密级一一对应。可信计算监控模块30根据待打印文件的安全等级匹配对应的图像形成密级，以使得图像形成装置100对所述待打印文件执行打印作业管控。例如，当待打印文件为一级文件安全等级时，对应的图像形成密级为装置安全等级1，当待打印文件为二级文件安全等级时，对应的图像形成密级为装置安全等级2，当待打印文件为三级文件安全等级时，对应的图像形成密级为装置安全等级3，依此类推，当待打印文件为n级文件安全等级时，对应的图像形成密级为装置安全等级n。可信计算监控模块30根据图像形成密级对应的安全功能对待打印文件执行相应的安全打印管控。

当待打印文件为一级文件安全等级时，可信计算监控模块30匹配一级文件安全等级对应的图像形成密级为装置安全等级1，且装置安全等级1为无限使用级，可信计算监控模块30控制图像形成装置100的各成像处理模块均可用，图像形成装置100的所有安全功能无效，图像形成装置100的各成像处理模块可以对待打印文件执行各种功能的处理作业。当待打印文件为二级文件安全等级时，可信计算监控模块30匹配二级文件安全等级对应的图像形成密级为装置安全等级2，且装置安全等级2为有限使用级，可信计算监控模块30控制图像形成装置100的部分成像处理模块可用，如，图像形成装置100的打印和传真功能可用，扫描功能禁止使用，图像形成装置100屏蔽非安全网络协议数据，禁止部分端口使用，图像形成装置100可以对待打印文件执行打印和传真作业。当待打印文件为三级文件安全等级时，可信计算监控模块30匹配三级文件安全等级对应的图像形成密级为装置安全等级3，且装置安全等级3为停止使用级，可信计算监控模块30控制图像形成装置100的各成像处理模块均禁止使用，图像形成装置100的各成像处理模块不能对待打印文件执行任何的作业，甚至关闭端口，图像形成装置100不与外部设备发生数据交互。

本申请实施例的图像形成装置100，通过作业接收模块10接收来自打印驱动下发的待打印文件，待打印文件关联有作业密级，数据解析模块20解析待打印文件中的数据，得到待打印文件关联的作业密级，可信计算监控模块30监控数据解析模块20，根据数据解析模块20解析后的待打印文件关联的作业密级匹配对应的图像形成密级，图像形成密级被用于确定当前图像形成装置100的各成像处理模块的操作权限信息。可信计算监控模块能够根据待打印文件的作业密级确定图像形成密级，进而以图像形成密级确定图像形成装置100的操作权限，从而能够对待打印文件的作业密级进行安全管控，保证图像形成装置100中作业数据的安全性，而且可信计算监控模块本身是经过体验验证的、值得信任的，所以由可信计算监控模块来确定图像形成密级进一步增加图像形成装置100数据处理的安全性。

请参考图2，本申请实施例还提供一种图像形成系统，图像形成系统包括上述的图像形成装置100及打印驱动200。

请参考图3，本申请实施例还提供一种图像形成方法，该方法应用于图像形成装置，该方法包括以下步骤。

步骤s01，接收来自打印驱动下发的待打印文件，待打印文件关联有作业密级。

步骤s02，解析待打印文件中的数据，得到待打印文件关联的作业密级。

步骤s03，根据解析后的待打印文件关联的作业密级匹配对应的图像形成密级；其中，图像形成密级被用于确定当前图像形成装置的各成像处理模块的操作权限信息。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。