《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 一種新型安全共享打印管理方法的設計研究
一種新型安全共享打印管理方法的設計研究
2018智能電網增刊
裴 翾1,俞睿默1,劉逸逸1,李 姝1,陳 興1,秦 峰2
1. 國網上海市電力公司信息通信公司,上海 200122; 2. 上海安言信息技術有限公司,上海 200050
摘要: 針對企事業(yè)內部和保密單位的信息安全問題和打印控制管理問題,本文在分析現(xiàn)有技術及實現(xiàn)的基礎上,設計和實現(xiàn)了適用于保密單位和企事業(yè)內部的安全打印與審批系統(tǒng)。文章重點研究了系統(tǒng)中的身份認證技術、傳輸加密技術、二維碼相關技術、多級審批技術和打印機監(jiān)控和控制技術等。在身份認證方面,系統(tǒng)在打印客戶端采用刷卡和口令結合的雙重身份認證方式,并實現(xiàn)了非接觸式IC卡的注冊和讀取模塊。系統(tǒng)采用靜態(tài)審批方式設計和實現(xiàn)了文件的多級審批模塊。利用Windows服務實現(xiàn)了打印客戶端的開機自啟動。使用API Hook技術和多線程技術實現(xiàn)了打印機的監(jiān)控和控制。此外,針對文件在傳輸過程在存在的安全問題,利用3-DES和DiffieHeilman密鑰交換協(xié)議建立了安全的通信通道,實現(xiàn)了文件的安全傳輸。
關鍵詞: 打印 監(jiān)控 審批
中圖分類號: TP309
文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.019
Abstract:
Key words :

0  引言

    如今,信息化時代隨著信息交流、共享信息的需求的促使下,計算機網絡隨著快速發(fā)展,網絡的安全問題越來越明顯。人們喜歡上網享受便利,但被網絡帶來的安全問題所困擾。網絡保安通常是指網絡信息的機密性?!?confidentiality)、優(yōu)勢(possession)、實用性(utility)、真實性(authenticity)”為了解決網絡安全問題,安保網絡構筑越來越多,越來越多的用戶受到關注。

    有預言“有紙時代即將過去”,打印機的末日已經來臨。但是,世界上的紙張消費每年都以加倍的速度增長,打印機的銷量也達到了平均8%的速度。這一切都不會失去打印機,發(fā)展越來越快,應用領域越來越廣闊。1885年,在世界上首次出現(xiàn)打印機的時候,都是用激光打印機、墨印機打印機和針式打印機,但在兩大的年代,都是每個人都能進行的,但并沒有出現(xiàn)安全問題。因為這一重視對策的重要性,很多人都忽視了很多“it周邊的服務設備”,這是設備的安全問題。共享共享資源的利用率,同時共享資源的共享特性,造成了許多危害。

1  關鍵技術的研究

1.1  防火墻技術

    防火墻是本地網絡和外部網絡之間的防御系統(tǒng)。用戶表示在實施后必須采取安全政策。通過數(shù)據來決定是否過濾、屏蔽內部網;使得內部網在一個統(tǒng)一的安全安裝控制點,就過濾與保護范圍內。

    防火墻在不安全的網絡中構建了相對安全的網絡的想法是邊境控制技術。因此,一個合理的結論,它是一個有限“人士”,也是一個“分析員”,在邏輯上,分析安全戰(zhàn)略所獲取的所有數(shù)據,并在邏輯上分割了內部和外部網絡。防火墻可以是硬件,它們可以是軟件,硬硬件和兼容,但它們只接受一個簡單軟件的檢查。

    防火墻有三種基本模型:經過濾器(防火墻)、回路、回路圈和硬件等在該過程中所起作用的主要技術是過濾、特工、地點和類似的。

    (1)包過濾防火墻

    在諸如internet的tcp/ip網絡上,所有往來的數(shù)據都被劃分成不同長度的分組,并且每個分組包括發(fā)送者和接收者的ip地址信息。這些數(shù)據分組傳送到internet,路由器,收視者的ip地址信息進行分析,適當?shù)奈锢砭€路傳輸,因此,一個數(shù)據包的內容通過不同途徑到達目的地,收件人抵達后,所有的數(shù)據包可以重新組建。分組濾波式防火墻根據一定過濾的規(guī)則,檢查所有經過的分組中的ip地址并進行濾波。如果防火墻限制了某個ip地址的訪問,則該地址的所有數(shù)據與該地址的信息在防火墻中被破壞。

    防火墻的處理數(shù)據的速度快,構造容易,并且對于用戶來說是透明的,用戶可以不改變任何服務器的任何應用,也不需要學習新東西。但是破壞一個包對黑客來說是可能的。“同步風暴”和“ip地址欺騙”通常是攻擊分組的補丁的方式。另外,包過濾防火墻只工作在osi的第三層(網絡層)和第四層(傳輸層),包過濾防火墻的一個明顯的優(yōu)勢是速度,數(shù)據報的內容,無法對核查一次過濾或審查數(shù)據報的內容也細描寫事件的日志系統(tǒng)無法提供。

    (2)電路級網關

    電路網關是為了具體的應用可以執(zhí)行具體功能的網絡關口。電路網關的特點之一是有更多的應用程序。用戶在得到身份認證后,允許有線網絡用戶上網,在此過程中,簡單的轉播服務器和用戶之間的連接。電路級網關的代表性例子是socks服務器和代理服務器。電路網關的工作方式是在受到信賴的網絡上不受信任的tcp連接。在中轉過程中,把連接到網絡的ip地址轉移到網上,輸入自己的地址,即連接使用者和服務器。

    電路網關的優(yōu)點是,由于地址變更,所以有利于保護。其缺點在于不檢查數(shù)據包,因此會出現(xiàn)漏洞。在不公開端口的情況下,錯誤使用端口的可能性也會提高。

    (3)狀態(tài)檢測防火墻

    該防火墻的安全性非常高,并且該模塊布置用于執(zhí)行特定環(huán)境策略的監(jiān)視引擎模塊。網絡監(jiān)視以正常動作為前提,利用數(shù)據提取的方法,對網絡通信的各階層進行監(jiān)視,對數(shù)據分組的狀態(tài)信息進行分析,此后,安全地儲存到作為參照實行動態(tài)的主線。監(jiān)控引擎可以支持多種應用和協(xié)議,并且可以容易地實現(xiàn)服務和應用的擴充。與前兩個防火墻不同,用戶接入要求達到網關的操作系統(tǒng)前,狀態(tài)監(jiān)視器會對相關數(shù)據進行分析,安全規(guī)定及有關網絡組成,拒絕許可、通報、身份認證或通信進行加密等的處理動作。

    這種防火墻的優(yōu)點在于,當一次訪問時,如果沒有合法性,則可以拒絕訪問,并記錄進行狀況。另一個優(yōu)點是監(jiān)視用戶數(shù)據(udp)以及遠程過程啟動(rpc)等監(jiān)視無連接狀態(tài)的端口信息,而另一個防火墻不支持這樣的應用。這種防火墻確實很堅固。但是配置也非常復雜,會影響到網絡的速度。

1.2  身份認證技術

    認證是一種確保信息有效性和完整性的技術,同時也可以避免他人的主動攻擊。它可以識別出雙向通信之間身份的真實性,同時也可以驗證是否在傳輸?shù)倪^程中信息被假冒偽造或否認。一般來說實體和消息認證是常見的認證式。實體認證是驗證信息發(fā)送者的真實性,確保不是冒充的。主要是對信源、信宿等信息的認證和識別;消息認證是對傳輸或儲存過程中消息的完整性和正確性進行驗證,避免信息被惡意更改、替代。靜態(tài)口令認證、動態(tài)密碼、IC卡證、生物識別技術和PKI等都是常見的身份認證的方法。

    最常見的一種認證是“用戶名+靜態(tài)密碼”,這也是一種安全系數(shù)相對低的、傳統(tǒng)的認證形式。盡管它傳輸過程信息量少,使用簡單方便,對服務器的響應速率快,成本實現(xiàn)低;但在保存確認用戶信息、密碼強度方面有很多不足。一些合法用戶的身份往往會通過窮舉攻擊、線路竊聽、木馬攻擊、字典攻擊等手段或外部泄漏等原因被偽造。從安全角度來看,靜態(tài)口令認證方式屬于單因子方式,在物聯(lián)網時代,已經無法滿足對認證安全的要求。

    動態(tài)口令技術包括短信密碼和動態(tài)口令牌方式(U 盾)。在用戶登錄之前首先通過系統(tǒng)頒布的令牌口令啟動令牌,而后令牌產生隨機密碼作為用戶的登錄認證密碼。由于這種方式使用方便,不受平臺的限制,同時較靜態(tài)口令相比,具有更高的安全性,在企業(yè)、金融、網絡等領域有廣泛的應用。但其在身份辨別上存在不足,不能確保用戶身份的真實性,并且在消息傳遞中沒有限制,容易造成數(shù)據信息的丟失。

    IC卡是由特定的廠商根據特定的需求生產出的一種不可復制的硬件產品,是一種封裝在塑料基片中的集成芯片。在IC卡芯片能夠寫入并存儲數(shù)據,IC卡的信息存儲和處理方式可分為接觸式卡、感應式卡。接觸式卡信息的讀寫是由讀寫器接觸片上的觸點相接觸之后進行的;感應卡則是由非接觸式進行的。在IC卡芯片上儲存了與用戶相關的身份信息,在合法用戶進行登陸時,將IC卡插入專門的讀卡器讀取信息來驗證用戶的身份。由于卡片自身的不可復制性,用戶的身份信息不會被仿造或替換。但是信息在IC卡中是靜態(tài)的,可能被不法分子通過監(jiān)聽或掃描等技術所截獲。

    生物識別是利用人體所固有的生物特征,通過計算機、生物傳感器等先進技術進行身份認證的一種技術。該技術以人體很多唯一生理特征作為判斷標準,包括人臉識別、指紋識別、眼虹膜識別等,具有難以仿冒、篡改、方便使用等優(yōu)點。但是這種技術實現(xiàn)很復雜,運行成本很高,并且在數(shù)據傳輸過程中,消息的機密性和完整性有可能被截獲和替代,也會造成一定的安全風險。所以生物識別認證只是在一些安全性很高的場合才會應用,并沒有得到大面積的推廣。

    PKI是一種基于數(shù)字證書的認證方式,其使用了公鑰算法的原理和技術,是適應安全需求的一種解決措施。PKI體系包括了證書注冊機構RA、認證機構CA、證書和證書庫以及密鑰管理等方面。隨著PKI技術的日趨完善,數(shù)字證書技術被廣泛地應用在涉密程序中進行身份識別以及數(shù)據信息加解密,數(shù)字證書是由CA頒發(fā)的。CA為某一用戶頒發(fā)證書時,首先計算證書中除簽名部分以外剩余信息的Hash值,然后用自己的私鑰對證書進行加密,將加密后的證書作為簽名,其他的用戶利用CA的公鑰對前面信息解密得到另一個Hash值,對兩個Hash值進行對比,從而確認用戶是否是合法的用戶。在傳輸過程中以數(shù)字證書技術為加密技術對消息進行簽名和認證,保證了消息持有者在網絡中的真實性,消息在傳輸過程中的完整和保密性,從而保證網絡交易安全。數(shù)字證書是應用較多的一種身份認證方法。

1.3  打印機刷卡控制技術

1.3.1  刷卡打印的基礎介紹

    卡打印是實現(xiàn)打印安全管理的第一步。在實施例之后,打印作業(yè)是用戶在打印機前使用該卡,并且用戶的打印工作已被打印。這樣,只有真正的打印用戶能夠接收可打印的紙張,從而能夠防止敏感信息的泄露。在打印之后,如果不在一定時間內使用卡,則直接刪除打印作業(yè),從而能夠防止由于錯誤的操作或者不必要的打印導致的資源浪費。

    打印使用的卡是會員卡,普通的員工卡有4種類型:磁鐵卡、接觸式ic卡、非接觸ic卡、id卡。最普通的非接觸ic卡。

    磁條(magnetic card)是一種信息介質,它是諸如液磁性材料或磁條等的信息介質,并且將磁性材料(例如存折)或寬度約6 ~ 14mm的磁條貼在卡片上(例如,一般的銀聯(lián)卡)。磁卡作為卡用一般使用,寫入、保存、重寫信息的內容、特征是可靠性、記錄數(shù)據密度大、誤讀率低、信息輸入、讀出速度快。信用卡信息的讀寫相對容易,很容易使用,低成本,快速發(fā)展,ic卡發(fā)售前,從世界范圍看,卡技術的普及的基礎很好,被廣泛地應用,與后來發(fā)展ic卡相比,有以下的不足:信息存儲量小、磁條易讀出和偽造、保密性差。

    ic卡(集成電路)ic卡(integrated cuit card)是開發(fā)超大型集成電路技術、計算機技術、信息安全技術等的發(fā)展結果。集成電路芯片嵌入在塑料基板的指定位置處,利用集成電路的保存特性對芯片上的信息進行歸檔、讀取和修正。ic卡有接觸式和非接觸式。

    由于顯示了接觸式ic卡的芯片芯片,所以該數(shù)據集成在卡中的集成電路(ic)中,可以與可讀到芯片上的8個接點的可讀取設備接觸并交換信息。非接觸ic卡、“無觸點ic卡”和“無線頻率卡”是世界近年來發(fā)展的新技術。其芯片都是卡其色內被封鎖,裸露部分,不僅如此,卡中還為小型天線,嵌入的芯片和讀取卡之間的相互通信,電磁場的誘導和無線電波中信息交換。結合ic技術和射頻識別技術,解決了無接觸和無源(信用卡中的無電源)這兩個難題,是電子設備領域的一大突破。這個技術的優(yōu)點是,信息交換,不需要卡和讀取器之間的接觸。這張卡的保存容量通常為256 B ~ 72 kB之間,目前最受歡迎的技術legic、mifare、desfireicode、hidiclass等非接觸ic卡使用的芯片數(shù)量最多,達到飛利浦制造的mifare (mifare one)和s70芯片,達到80%。

    id卡是通常的無線頻率卡。最簡單的是,最常見的無線頻率卡是低125 kHz的id卡(厚角卡、薄卡的點)。由于id卡一度使用瑞士EM4100/4102碼片,也被稱為“em卡”。id卡具有閱讀專用功能,含有唯一的64 B被加密密碼。這張卡在發(fā)貨時被固定,保證了世界的唯一性,永遠無法改變。

1.3.2  刷卡打印的實現(xiàn)研究

    目前大多數(shù)公司使用的員工卡是非接觸ic卡,這種非接觸ic卡具有與其他信用卡相比較的優(yōu)勢。非接觸ic卡具有以下優(yōu)點:

    (1)高信賴性的:那是,領導人之間沒有機械接觸,寫讀而產生的各種故障,接觸不良,芯片的剝離,或被破壞,被掀翻或等是不可避免的。

    (2)操作方便快捷,在非接觸通信中,讀取器可以在10 cm范圍內進行卡操作,在使用時沒有方向,用戶的使用非常方便,可以提高效率。

    (3)沖突:由于在非接觸卡中具有迅速的碰撞機制,可以防止卡之間的數(shù)據干擾,因此可以在“同時”并行處理多個卡,提高系統(tǒng)的工作速度。

    (4)適合各種各樣的用途,這張卡的存儲結構的特征可以用那張卡,通過密碼和訪問條件的設定而應用于不同的系統(tǒng)。

    (5)加密性能較好的:非接觸ic卡的號碼是唯一的,制造商不能固化而改變。在卡片內每個扇區(qū)都具有自己的口令和訪問條件,在卡和讀取器之間采用雙向驗證機制,在通信過程中所有數(shù)據都被加密。

    非接觸ic卡的巨大優(yōu)勢和市場占有率,本研究項目必須采用非接觸ic卡。但是,非接觸ic卡的市場占有率較高,一些企業(yè)將磁卡和接觸式ic卡用作公司職員卡。系統(tǒng)的使用,為了提高性本明細書領導人裝置監(jiān)視程序,復數(shù)的信用卡不能匹配,非接觸ic卡,接觸式ic卡,磁卡,具備多種信用卡的閱讀可能同時有必要識別。

1.4  打印內容監(jiān)控、審計與統(tǒng)計技術的研究

1.4.1  打印監(jiān)控技術的研究

    打印機是計算機的重要輸出裝置,是為了保護輸出信息的秘密,進行了打印機的印刷內容的監(jiān)視和監(jiān)察的人們的研究的重點之一。但是,現(xiàn)在對打印機的打印內容的監(jiān)控和審計技術無法滿足實際環(huán)境的要求,監(jiān)視對印刷內容的監(jiān)控的遺漏和缺陷,成為監(jiān)視審計的困難之一。

    當前,主要印刷監(jiān)視技術有api漏洞、driverhook、虛擬打印機和打印隊列技術等。api hook技術監(jiān)視使用winsp001。drv層:driver hook是printprovider下層的驅動程序層。虛擬打印機被構造成printprovider下面的打印處理器(iocalspl、d11)的層。另外,打印隊列技術的監(jiān)聽在應用層進行。4種技術的打印內容監(jiān)視數(shù)據取得由winsp001 .drv層生成的打印工作部spl文件。此次研究將以虛擬打印機為主使用的方式來實現(xiàn)監(jiān)控效果。

    一臺打印機的打印任務的必須經過系統(tǒng)的一臺虛擬打印機中,添加對切斷了所有的應用程序虛擬打印機以外的所有打印機,印刷數(shù)據的虛擬打印機必須經過,然后,虛擬打印機的打印處理器物理打印機的打印任務完成傳輸打印任務。因此,對打印機的打印內容的監(jiān)視和檢查已經完成。

1.4.2  打印審批技術研究

    審批是用戶在執(zhí)行打印任務前,先提出申請,將要打印的文件、申請者、申請時間等信息提交給審批服務,審批服務根據事先設定的權限信息來判斷是否要對打印申請進行審批。如果需要審批,則將打印申請?zhí)峤唤o相應的文件審批員,文件審批人員經過一級或者多級審批判斷是否允許此次打印申請,后將審批結果反饋給打印申請者。

    在審批過程中,無論流轉到審批過程的哪一個審批人,都要先對文件進行審批。在文件審批過程中,文件始終處于某種狀態(tài),主要包含:待審批、審批中、通過、未通過四種狀態(tài)?!按龑徟?指打印文件申請遞交上去但還未被處理;“審批中”指打印申請正在被處理;“通過” 指審批過程已經結束,打印申請得到批準,可以對申請打印的文件經行打印“未通過” 指由于某種原因,文件審批人員認為用戶無權打印已提交打印申請的文件而對用戶的打印申請進行拒絕;當有各級審批人員中有一級審批未通過時,該打印申請就被否決,整個審批過程結束。

    根據系統(tǒng)功能需求,在數(shù)據庫中用三個表來實現(xiàn)文件的多級審批,分別為用戶表、作業(yè)表、作業(yè)審批級別表。當用戶登錄時,審批服務通過用戶的角色ID判斷用戶是否為文件審批員。若用戶是文件審批員,則根據用戶審批級別和作業(yè)審批級別確定用戶負責審批的作業(yè)。最終將用戶負責審批的作業(yè)以列表的形式展現(xiàn)給審批用戶。

    (1)用戶表tb—users:

    字段名類型長度(字節(jié))是否允許為空說明

    用戶名 varchar 15 否可變長度

    密碼 char 16 是用戶密碼

    姓名 varchar 10 是用戶姓名

    部門ID int 4 是用戶所屬部門標識

    角色ID int 4 是用戶所屬角色標識

    審批級別int 4 是用戶所屬角色標識

    卡號 char 10 是用戶卡號

    說明:用戶表保存用戶信息

    (2)作業(yè)表tb—tasks

    字段名類型長度(字節(jié))是否允許為空說明

    作業(yè)ID int 4 否作業(yè)的唯一標識

    用戶名 varchar 15 是申請打印作業(yè)的用名

    文件名 varchar 80 是文件名稱

    密級ID int 4 是文件密級標識

    去向ID int 4 是文件去向標識

    用途ID int 4 是文件用途標識

    頁數(shù)int 4 是文件頁數(shù)

    份數(shù)int 4 是文件份數(shù)

    審批級別datetime 4 是文件當前的審批級別

    申請時間datetime 8 是文件申請時間

    打印時間datetime 8 是文件打印時間

    刪除時間datetime 8 是文件刪除時間

    拒絕原因 varchar 100 是文件拒絕打印理由

    作業(yè)狀態(tài)int 4 是文件所處狀態(tài):審批中、同意打印和拒絕打印三者中的一種

    打印標志 bit 1 是文件是否打印

    說明:作業(yè)表中保存的是用戶提交打印申請作業(yè)的信息。刪除時間表示作業(yè)已經審批完成并且同意打印但用戶在打印客戶端取消作業(yè)或者作業(yè)已經審批完成但用戶未及時打印有服務器自動刪除的時間。

    (3)審批級別表tb—file—approveLevel

    字段類型長度(字節(jié))是否允許為空說明

    密級ID int 4 否密級ID、去向ID和用途ID共同組成作業(yè)審批級別表的主鍵

    去向ID int 4 否

    用途ID int 4 否

    審批級別int 4 是密級、去向和用途組合對應的審批級別

    說明:作業(yè)審批級別表中保存的是作業(yè)的密級ID、去向ID 和用途ID 所對應的審批級別。系統(tǒng)管理員對作業(yè)的密級、去向和用途信息進行添加、刪除和修改,安全保密員根據需要管理密級、去向和用途對應的審批級別??梢愿鶕芗?、去向和用途的組合共同確定審批級別,也可以只使用其中的一項或者項。這樣,系統(tǒng)使用非常方便,對于涉密單位或者非涉密單位都適用。

1.4.3  打印統(tǒng)計技術研究

    為了完整地記錄打印歷史信息,將數(shù)據庫配置在服務器側,考慮嵌入資源的極限,該研究項目采用了用于嵌入式系統(tǒng)(sqlite)相關數(shù)據庫。sqlite可以使用,并且可以實現(xiàn)用于包容、零配置、支持的sql數(shù)據庫引擎,所述sql具有結構緊湊、高效率、可靠的特征。sqlite提供相應的c語言函數(shù)接口,并且可以經由這些接口來執(zhí)行標準sql詞語。打印結束后,本系統(tǒng)將打印的時間打印到數(shù)據庫文件中,以使打印用戶名、打印文件名稱、打印頁數(shù)、打印份數(shù)等打印信息被寫入數(shù)據庫文件中。

    即使打印結束了,也會發(fā)生不可恢復的故障,在打印途中離開,并保存對應的信息。在后期的打印檢查中,管理員能夠保存方便的查詢存儲在服務器側的打印記錄,進行打印后的安全性控制

1.5  銷毀管理的實現(xiàn)技術研究

    條碼嵌入的程序,主要包括兩個部分,第一部分條碼的生成技術,對應的id參數(shù)輸入,條碼的生成程序應根據需要印刷美術內會嵌入到一樣,一個id的條碼的工作將會生成。第二部分是條的嵌入處理,該部分讀取要首先打印的圖片的數(shù)據,解析圖像數(shù)據的特定位置并將生成的條數(shù)據嵌入指定的位置。在這個過程中,需要注意的是,讀取圖像數(shù)據壓縮加密后的數(shù)據顯示,首先解除解壓縮圖像的處理,圖像處理的過程中,需要判斷圖像的旁邊也為縱條罩衫嵌入在圖像的正左上角,如果圖像是縱向的,根據需要旋轉圖像。

1.5.1  條碼生成設計

    此次研究可以編碼39碼、39碼能對數(shù)字和字母等44個字母進行對應。實際的動作中,代碼是只包含數(shù)字,字母代碼有必要留下一個接口,在39符號中自我驗證性錯誤率低、簡單容易實現(xiàn)、顯示文字的數(shù)量多等優(yōu)點,安全印刷的效率可以大大提高。39碼的編碼規(guī)則在5個線路上表示一個字符。線條表示0,粗線表示為1;線之間的縫隙表示為0,寬度的表示1;除了五條線之外,它們之間的4個間隙是九位數(shù)二進制碼,在其九位中,一定有一個為1,所以就說39碼。條形碼的最初的尾是各*識別符的開始和結束。根據該編碼規(guī)則,創(chuàng)建39個代碼的生成程序。

    條碼的嵌入過程是,印刷作業(yè)分析,完成了程序的擴展性和普遍性,為了提高條碼的接口方式實現(xiàn)指定條碼內存畫布上加速的程序時內存逼中將條碼畫形象的像素提取,本系統(tǒng)在39碼的生成的程序是對人類的形式實現(xiàn),條罩衫和使用的設置,幾個需要提供的接口,本系統(tǒng)需要實現(xiàn)條碼生成的程序提供的接口是條碼清除信息的日期;在帶處理后的校長(以像素為單位,包括條的開始和結束位置)。代碼的設定幅度小。代碼被使用時,一般來說,需要了解代碼的長度,而且本系統(tǒng)內折,文件嵌入代碼,條碼的長度需要預先知道,以便決定條碼的單位寬度,使得條碼的長度最接近于我們所需要的長度。

    在繪制條碼過程中,需要對條碼數(shù)據進行處理,將條碼的編碼規(guī)則轉換為條碼繪制所需要數(shù)據格式,為了便于條碼的繪制,本文提出使用兩個二進制位來表示39 碼各個線條的性質,第一個二進制位標識線的黑白性質,1 表示黑色,0 表示白色;第二個二進制位標識條碼的線的寬窄性質,1 表示寬線,0 表示窄線。在本系統(tǒng)的實現(xiàn)中,需先將條碼信息在開始和結束位置加上*號,即39 碼的起始和結束位。然后將條碼信息按照以上的方法轉換為程序可以直接使用的數(shù)據,而39碼的具體編碼規(guī)則是公開的,我們可以知道每個條碼信息是怎么表示的以下列舉一些。

    {'1', "wnnwnnnnwn"}, {'2', "nnwwnnnnwn"},

    {'3', "wnwwnnnnnn"}, {'4', "nnnwwnnnwn"},

    {'5', "wnnwwnnnnn"}, {'6', "nnwwwnnnnn"},

    {'7', "nnnwnnwnwn"}, {'8', "wnnwnnwnnn"},

    {'9', "nnwwnnwnnn"}, {'0', "nnnwwnwnnn"},

    {'A',"wnnnnwnnwn"}, {'B',"nnwnnwnnwn"},

    {'C',"wnwnnwnnnn"}, {'D',"nnnnwwnnwn"},

    {'E', "wnnnwwnnnn"}, {'F', "nnwnwwnnnn"},

    {'G',"nnnnnwwnwn"}, {'H',"wnnnnwwnnn"},

    {'I', "nnwnnwwnnn"}, {'J', "nnnnwwwnnn"},

    385/5000  

    其中w為寬,n為窄,條形碼是黑白的,最初是黑色的條紋,在這里不顯示,在處理數(shù)據的過程中提取這些信息。因此,轉換過程僅根據39碼的編碼規(guī)則將代碼信息內的各文字轉換為包含在0、1、2和3中的字符串。當然,轉換后的數(shù)據長度也必須記錄。

    條的規(guī)則轉換后的信息根據字符串的值,根據字符串的值而選擇畫筆的顏色和畫筆的寬度,能夠在存儲器面板中畫一條線。

    另外,在本系統(tǒng)中,在程序的初始化中,提供了更窄的尺度設定接口,使得更窄的比例可被設定為3。用戶可以用接口來設定自己所希望的比例。

1.5.2  條碼嵌入技術的實現(xiàn)

    在正常的操作中,根據原始打印作業(yè)數(shù)據格式,為了讀取圖像的數(shù)據,需定義兩個結構體,分別為:

    (1)讀取圖像的結構體

    結構體raw閱讀用結構體的讀取整個文件的頭,用一頁的數(shù)據顯示,其中newdatanewlengthrwidth和flag,實現(xiàn)圖像的旋轉的變數(shù)是圖像的旋轉是順時針旋轉,旋轉過程的圖像的注意的一行的總字節(jié)數(shù)為4字節(jié)的整數(shù)倍,旋轉后的圖像的行數(shù)為4的可能性的一個整數(shù)倍,字節(jié),需用填補保存rwdith變數(shù)下新的圖像幅度。flag變量用于識別圖像如何旋轉。

    整體嵌入程序被分為3個,第一部分進行圖像讀取和前處理工作。第二部分,通過符號生成程序被指定的脫衣繪制圖像,并切片圖像的一行的像素,后使用的數(shù)列,另外,條紋下面的數(shù)字和條碼的下方的文字都集中在數(shù)組里。第三部分將編碼和代碼信息嵌入到打印圖像的指定位置中,并且重新創(chuàng)建最終處理的圖像文件。

    第一部分文件開頭讀取以外,還要對現(xiàn)在的文件數(shù)據解碼并解凍,文件現(xiàn)在的信息對圖像旋轉,判斷是否有可能旋轉,如果有必要,順時針方向旋轉圖像,圖像的新的保存的寬度和高度。下面為圖像預處理的流程:

    (2)圖像預處理流程

    第二部分:條紋符號及代碼的生成圖像的繪制完成,編碼圖像,根據代碼生成程序提供接口被調用,,圖像的繪制是內存板塊上進行,調用前需要對專用的編碼圖像進行充分的處理,所以需建立一個足夠容納條碼圖像的內存畫板。在此次的研究模擬實驗中,內存畫板的大小為2 000×400,有必要適應各種情況。

    此次研究中規(guī)定條碼正好為打印圖像的寬度為五分之一,繪制條碼的寬度(即條碼窄線寬),根據圖像的寬度,確定條碼生成的程序提供接口使用指定條碼的寬度,以此為依據,可以得到可以接受的條碼的寬度,這條碼寬度正好等于照片的寬度的五分之一,本系統(tǒng)中使用CDC 的StretchBlt()方法將圖像縮放至指定的寬度。此后內存畫板里。存儲的就是寬度剛好為圖像寬度五分之一的條碼。

    第三部分完成條碼圖像及條碼信息的嵌入工作,因為需要在每頁圖像上進行嵌入工作,而對內存畫板的操作都比較費時,所以在本系統(tǒng)中先將內存畫板中的條碼圖像及條碼信息的像素提取出來存儲到數(shù)組中,在嵌入時只需使用memcopy()重復工作,這樣可以大大增加效率。在嵌入過程中,需要確定條碼的嵌入位置,本系統(tǒng)中通過多次測試,選取條碼寬度的十五分之一(也就是整個圖像的寬度的七十五分之一)為條碼嵌入的行坐標和縱坐標,這樣做使得條碼不管在何種分辨率的圖像上,條碼的嵌入位置及條碼的大小都相對一樣。因條碼的每行的像素都一樣,提取條碼圖像像素時只需選取條碼圖像的一行存入數(shù)組。最后要注意的是根據flag 的值判斷圖像是否進行過旋轉,以做出不同的處理動作。

    全體的嵌入程序是兼用24位和8位圖像,通過圖像的讀取文件,只提取圖像的像素位數(shù)條碼畫形象及相關信息,提取相應的圖像像素的位數(shù),然后圖像嵌入過程中相應的嵌入對應的字節(jié)數(shù),不同的圖像的像素位數(shù)可以兼容的實現(xiàn),條碼是在打印過程中嵌入嵌入程序,所以需要很高的效率,因此程序要做到耗時最少,程序中最耗時的是解密解壓縮過程,,其次是圖像的讀取和寫入,經過測試,c程序的文件讀寫效率最高,本研究最終選擇c系統(tǒng)的程序實現(xiàn)對文件的讀寫,另外要注意的是,文件的讀寫過程中要用二進制的形式,否則此文件的解讀失誤的可能性很高。

2  總結

    如上所述,這些各種打印監(jiān)控技術分別具有各自的優(yōu)點,但也有各自的短板。實際打印監(jiān)控審計應用場景中,考慮到打印監(jiān)控技術實現(xiàn)的簡易性和監(jiān)控審計內容的完備性的雙重的目標,在未來的印刷監(jiān)控審計技術的一種發(fā)展趨勢是實際應用場景的各種印刷監(jiān)控審計技術,選擇性地結合使用經濟性和發(fā)揮最大的這些技術的優(yōu)點,彌補單獨使用這些技術的監(jiān)控時的不足。

參考文獻

[1] 李培修,敖勇,賈永強.內網涉密信息泄露途徑及防范[J].計算機安全,2005(7):75-76.

[2] 薛質,王軼駿.Windows系統(tǒng)安全原理與技術[M]. 北京:清華大學出版社,2005.

[3] 劉宜軒,李光耀,劉曉靜,等. ASE.NET環(huán)境下的網上審批流程的設計及實現(xiàn)[J] .計算機工程與設計,2010,31(3):525-527.

[4] 周海靜. 網絡打印安全體系結構研究與系統(tǒng)設計[D]. 西安:西安電子科技大學,2010.

[5] 高明松.基于DES 和RSA 網絡數(shù)據安全系統(tǒng)的研究與實現(xiàn)[D]. 哈爾濱: 哈爾濱工程大學, 2000.

[6] Michael Rash.Linux Firewalls.O'Reilly[S].2007: 108-110.

[7] Michael Rash.Linux Firewalls.O'Reilly[S].2007: 123-143.



作者信息:

裴  翾1,俞睿默1,劉逸逸1,李  姝1,陳  興1,秦  峰2

(1. 國網上海市電力公司信息通信公司,上海 200122;

2. 上海安言信息技術有限公司,上海 200050)

此內容為AET網站原創(chuàng),未經授權禁止轉載。